Sdílet prostřednictvím

Vytváření indikátorů pro IP adresy a adresy URL / domény

  • Článek

Platí pro:

Tip

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Přehled

Vytvořením indikátorů pro IP adresy a adresy URL nebo domény teď můžete povolit nebo blokovat IP adresy, adresy URL nebo domény na základě vlastní analýzy hrozeb. Můžete také upozornit uživatele, pokud otevřou rizikovou aplikaci. Výzva jim nezabrání v používání aplikace. uživatelé můžou upozornění obejít a v případě potřeby aplikaci dál používat.

K blokování škodlivých IP adres nebo adres URL (určených Microsoftem) může Defender for Endpoint použít:

  • Filtr SmartScreen v programu Windows Defender pro prohlížeče Microsoft
  • Ochrana sítě pro prohlížeče od jiných společností než Microsoft nebo volání mimo prohlížeč

Datovou sadu analýzy hrozeb pro blokování škodlivých IP adres nebo adres URL spravuje Microsoft.

Škodlivé IP adresy nebo adresy URL můžete blokovat prostřednictvím stránky nastavení nebo podle skupin počítačů, pokud se domníváte, že některé skupiny jsou více nebo méně ohrožené než jiné.

Poznámka

Zápis CIDR (Classless Inter-Domain Routing) pro IP adresy se nepodporuje.

Podporované operační systémy

Než začnete

Před vytvořením indikátorů pro IPS, adresy URL nebo domény je důležité pochopit následující požadavky.

Požadavky na verzi Microsoft Defender Antivirus

Požadavky na ochranu sítě

Povolit a blokovat adresy URL/IP vyžaduje, aby byla v režimu blokování povolená součást Microsoft Defender for Endpoint Network Protection. Další informace o ochraně sítě a pokynech ke konfiguraci najdete v tématu Povolení ochrany sítě.

Požadavky na vlastní síťové indikátory

Pokud chcete začít blokovat IP adresy nebo adresy URL, zapněte na portálu Microsoft Defender funkci Vlastní indikátory> sítě a přejděte na Nastavení>Obecné>pokročilé funkcekoncových bodů. Další informace najdete v tématu Pokročilé funkce.

Informace o podpoře indikátorů v iOSu najdete v tématu Microsoft Defender for Endpoint v iOSu.

Informace o podpoře indikátorů v Androidu najdete v tématu Microsoft Defender for Endpoint na Androidu.

Omezení seznamu ukazatelů IoC

Do seznamu ukazatelů je možné přidat pouze externí IP adresy. Indikátory se nedají vytvořit pro interní IP adresy. V případě scénářů ochrany webu doporučujeme používat integrované funkce v Microsoft Edgi. Microsoft Edge používá ochranu sítě ke kontrole síťového provozu a povoluje blokování protokolů TCP, HTTP a HTTPS (TLS).

Jiné procesy než Microsoft Edge a Internet Explorer

Pro jiné procesy než Microsoft Edge a Internet Explorer používají scénáře webové ochrany ke kontrole a vynucování ochranu sítě:

  • Ip adresa je podporovaná pro všechny tři protokoly (TCP, HTTP a HTTPS (TLS)).
  • Ve vlastních indikátorech se podporují pouze jednotlivé IP adresy (žádné bloky CIDR ani rozsahy IP adres)
  • Šifrované adresy URL (úplná cesta) můžou být blokované jenom v prohlížečích první strany (Internet Explorer nebo Microsoft Edge).
  • Šifrované adresy URL (jenom plně kvalifikovaný název domény) můžou být blokované v prohlížečích jiných společností než Microsoft (tedy jiných než Internet Explorer nebo Microsoft Edge).
  • Adresy URL načtené prostřednictvím spojování připojení HTTP, například obsah načtený moderními sítěmi CDN, mohou být blokovány pouze v prohlížečích první strany (Internet Explorer, Microsoft Edge), pokud není do seznamu ukazatelů přidána samotná adresa URL CDN.
  • Pro nešifrované adresy URL je možné použít úplné bloky cest URL.
  • Pokud existují konfliktní zásady indikátorů adres URL, použije se delší cesta. Například zásada https://support.microsoft.com/office indikátoru adresy URL má přednost před zásadou https://support.microsoft.comindikátoru adresy URL .
  • Pokud dojde ke konfliktům zásad indikátoru adresy URL, delší cesta se nemusí použít kvůli přesměrování. V takových případech zaregistrujte nepřesměrovanou adresu URL.

Poznámka

Vlastní indikátory ohrožení zabezpečení a funkce filtrování webového obsahu nejsou v současné době podporovány v Ochrana Application Guard relacích aplikace Microsoft Edge. Tyto kontejnerizované relace prohlížeče můžou vynucovat blokování webových hrozeb pouze prostřednictvím integrované ochrany SmartScreen. Nemůžou vynucovat žádné podnikové zásady ochrany webu.

Ochrana sítě a třícestné metody handshake protokolu TCP

U ochrany sítě se určení, zda povolit nebo zablokovat přístup k lokalitě, provádí po dokončení třícestného metody handshake prostřednictvím protokolu TCP/IP. Proto když je lokalita blokována ochranou sítě, může se na portálu Microsoft Defender zobrazit typ ConnectionSuccessNetworkConnectionEvents akce pod, i když byla lokalita zablokovaná. NetworkConnectionEvents jsou hlášeny z vrstvy PROTOKOLU TCP, nikoli z ochrany sítě. Po dokončení trojcestného metody handshake je přístup k lokalitě povolený nebo blokovaný ochranou sítě.

Tady je příklad, jak to funguje:

  1. Předpokládejme, že se uživatel pokusí o přístup k webu na svém zařízení. Web je hostovaný v nebezpečné doméně a měla by být blokována ochranou sítě.

  2. Spustí se trojcestné handshake přes protokol TCP/IP. Než se akce dokončí, NetworkConnectionEvents zaprotokoluje se a zobrazí ActionType se jako ConnectionSuccess. Jakmile se ale třícestný proces handshake dokončí, ochrana sítě zablokuje přístup k lokalitě. To všechno se děje rychle. K podobnému procesu dochází u Microsoft Defender filtru SmartScreen. Když trojcestný metodou handshake dokončíte rozhodnutí a přístup k webu je buď zablokovaný, nebo povolený.

  3. Na portálu Microsoft Defender je ve frontě upozornění uvedená výstraha. Podrobnosti o této výstraze zahrnují i NetworkConnectionEventsAlertEvents. Můžete vidět, že web byl zablokován, i když máte NetworkConnectionEvents také položku s actiontypem ConnectionSuccess.

Ovládací prvky režimu upozornění

Při použití režimu upozornění můžete nakonfigurovat následující ovládací prvky:

  • Možnost vynechat

    • Tlačítko Povolit v Microsoft Edgi
    • Tlačítko Povolit v informačních nápěvech (prohlížeče jiných společností než Microsoft)
    • Parametr bypass duration na indikátoru
    • Obejití vynucení napříč prohlížeči microsoftu a jiných společností než Microsoft

  • Adresa URL pro přesměrování

    • Parametr adresy URL přesměrování na indikátoru
    • Adresa URL pro přesměrování v Microsoft Edgi
    • Adresa URL pro přesměrování u informační zprávy (prohlížeče jiných společností než Microsoft)

Další informace najdete v tématu Řízení aplikací zjištěných Microsoft Defender for Endpoint.

Ip adresa URL IoC a pořadí zpracování konfliktů zásad domény

Zpracování konfliktů zásad pro domény, adresy URL nebo IP adresy se liší od zpracování konfliktů zásad pro certifikáty.

V případě, že je u stejného indikátoru nastaveno více různých typů akcí (například blokování, upozornění a povolení, typy akcí nastavené pro Microsoft.com), je pořadí, ve kterém se tyto typy akcí projeví, následující:

  1. Povolit

  2. Varovat

  3. Blokování

"Povolit" přepíše "warn", což přepíše "block", a to následujícím způsobem: AllowBlock>Warn>. Proto by v předchozím příkladu byla povolena Microsoft.com .

Defender for Cloud Apps Indikátory

Pokud vaše organizace povolila integraci mezi Defenderem for Endpoint a Defender for Cloud Apps, vytvoří se indikátory bloků v Defenderu for Endpoint pro všechny neschválené cloudové aplikace. Pokud je aplikace uvedena do režimu monitorování, pro adresy URL přidružené k aplikaci se vytvoří indikátory upozornění (obejítelný blok). Indikátory povolení se v tuto chvíli nedají vytvořit pro schválené aplikace. Indikátory vytvořené Defender for Cloud Apps se řídí stejným zpracováním konfliktů zásad jako v předchozí části.

Priorita zásad

Microsoft Defender for Endpoint zásady mají přednost před Microsoft Defender zásadami antivirové ochrany. V situacích, kdy je Defender for Endpoint nastavený na Allow, ale Microsoft Defender Antivirová ochrana je nastavená na Block, se ve výchozím nastavení zásady nastaví na Allow.

Priorita pro více aktivních zásad

Použití více různých zásad filtrování webového obsahu na stejné zařízení vede k přísnějším zásadám, které platí pro každou kategorii. Zvažte následující příklad:

  • Zásada 1 blokuje kategorie 1 a 2 a audituje zbytek.
  • Zásada 2 blokuje kategorie 3 a 4 a audituje zbytek.

Výsledkem je, že všechny kategorie 1 až 4 jsou blokované. Tento scénář je znázorněn na následujícím obrázku.

Diagram znázorňující přednost režimu blokování zásad filtrování webového obsahu před režimem auditování

Vytvoření indikátoru pro IP adresy, adresy URL nebo domény ze stránky nastavení

  1. V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).

  2. Vyberte kartu IP adresy nebo adresy URL/Domény .

  3. Vyberte Přidat položku.

  4. Zadejte následující podrobnosti:

    • Indikátor: Zadejte podrobnosti entity a definujte vypršení platnosti ukazatele.
    • Akce: Zadejte akci, která se má provést, a zadejte popis.
    • Obor: Definujte rozsah skupiny počítačů.

  5. Zkontrolujte podrobnosti na kartě Souhrn a pak vyberte Uložit.

Důležité

Blokování adresy URL nebo IP adresy na zařízení může trvat až 48 hodin po vytvoření zásady.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.