Erstellen von Indikatoren für IPs und URLs/Domänen
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Tipp
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Übersicht
Durch das Erstellen von Indikatoren für IP-Adressen und URLs oder Domänen können Sie jetzt IP-Adressen, URLs oder Domänen basierend auf Ihrer eigenen Threat Intelligence zulassen oder blockieren. Sie können Benutzer auch mit einer Eingabeaufforderung warnen, wenn sie eine riskante App öffnen. Die Eingabeaufforderung hindert sie nicht daran, die App zu verwenden, aber Sie können eine benutzerdefinierte Nachricht und Links zu einer Unternehmensseite bereitstellen, die die entsprechende Verwendung der App beschreibt. Benutzer können die Warnung weiterhin umgehen und die App bei Bedarf weiterhin verwenden.
Um böswillige IP-Adressen/URLs (wie von Microsoft bestimmt) zu blockieren, kann Defender für Endpunkt Folgendes verwenden:
- Windows Defender SmartScreen für Microsoft-Browser
- Netzwerkschutz für Nicht-Microsoft-Browser oder Aufrufe außerhalb eines Browsers
Das Threat Intelligence-Dataset zum Blockieren bösartiger IP-Adressen/URLs wird von Microsoft verwaltet.
Sie können böswillige IP-Adressen/URLs über die Einstellungsseite oder durch Computergruppen blockieren, wenn Sie bestimmte Gruppen für mehr oder weniger gefährdet erahen als andere.
Hinweis
Die CIDR-Notation (Classless Inter-Domain Routing) für IP-Adressen wird nicht unterstützt.
Unterstützte Betriebssysteme
- Windows 11
- Windows 10, Version 1709 oder höher
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 ausführung der modernen einheitlichen Defender für Endpunkt-Lösung (installation über MSI erforderlich)
- Windows Server 2012 R2 mit moderner einheitlicher Defender für Endpunkt-Lösung (installation über MSI erforderlich)
- macOS
- Linux
- iOS
- Android
Bevor Sie beginnen
Es ist wichtig, die folgenden Voraussetzungen zu verstehen, bevor Sie Indikatoren für IPS, URLs oder Domänen erstellen.
Microsoft Defender Antivirus-Versionsanforderungen
Ihr organization verwendet Microsoft Defender Antivirus. Microsoft Defender Antivirus muss sich für Nicht-Microsoft-Browser im aktiven Modus befinden. Mit Microsoft-Browsern wie Edge kann sich Microsoft Defender Antivirus im aktiven oder passiven Modus befinden.
Die Verhaltensüberwachung ist aktiviert.
Der cloudbasierte Schutz ist aktiviert.
Die Cloud Protection-Netzwerkkonnektivität ist aktiviert.
Die Antischadsoftwareclientversion muss oder höher sein
4.18.1906.x
. Weitere Informationen finden Sie unter Monatliche Plattform- und Engine-Versionen.
Anforderungen an den Netzwerkschutz
Url/IP zulassen und blockieren erfordert, dass die Microsoft Defender for Endpoint Komponente Netzwerkschutz im Blockmodus aktiviert ist. Weitere Informationen zu Netzwerkschutz und Konfigurationsanweisungen finden Sie unter Aktivieren des Netzwerkschutzes.
Anforderungen an benutzerdefinierte Netzwerkindikatoren
Um mit dem Blockieren von IP-Adressen und/oder URLs zu beginnen, aktivieren Sie die Funktion "Benutzerdefinierte Netzwerkindikatoren" im Microsoft Defender-Portal, wechseln Sie zu Einstellungen>Endpunkte>Allgemein>Erweiterte Features. Weitere Informationen finden Sie unter Erweiterte Features.
Informationen zur Unterstützung von Indikatoren unter iOS finden Sie unter Microsoft Defender for Endpoint unter iOS.
Informationen zur Unterstützung von Indikatoren unter Android finden Sie unter Microsoft Defender for Endpoint unter Android.
Einschränkungen der IoC-Indikatorliste
Nur externe IP-Adressen können der Indikatorliste hinzugefügt werden. Indikatoren können nicht für interne IP-Adressen erstellt werden. Für Webschutzszenarien empfehlen wir die Verwendung der integrierten Funktionen in Microsoft Edge. Microsoft Edge nutzt den Netzwerkschutz , um den Netzwerkdatenverkehr zu untersuchen, und ermöglicht Blöcke für TCP, HTTP und HTTPS (TLS).
Nicht-Microsoft Edge- und Internet-Explorer-Prozesse
Für andere Prozesse als Microsoft Edge und Internet Explorer nutzen Webschutzszenarien Netzwerkschutz für die Überprüfung und Durchsetzung:
- IP wird für alle drei Protokolle (TCP, HTTP und HTTPS (TLS)) unterstützt.
- In benutzerdefinierten Indikatoren werden nur einzelne IP-Adressen unterstützt (keine CIDR-Blöcke oder IP-Bereiche).
- Verschlüsselte URLs (vollständiger Pfad) können nur in Erstanbieterbrowsern (Internet Explorer, Edge) blockiert werden.
- Verschlüsselte URLs (nur FQDN) können in Browsern von Drittanbietern blockiert werden (d. a. außer Internet Explorer, Edge).
- URLs, die über http-Verbindungszusammenführung geladen werden, z. B. inhalte, die von modernen CDNs geladen werden, können nur in Erstanbieterbrowsern (Internet Explorer, Edge) blockiert werden, es sei denn, die CDN-URL selbst wird der Indikatorliste hinzugefügt.
- Vollständige URL-Pfadblöcke können auf unverschlüsselte URLs angewendet werden.
- Wenn es in Konflikt stehende URL-Indikatorrichtlinien gibt, wird der längere Pfad angewendet. Beispielsweise hat die URL-Indikatorrichtlinie
https://support.microsoft.com/office
Vorrang vor der URL-Indikatorrichtliniehttps://support.microsoft.com
. - Im Fall von Url-Indikator-Richtlinienkonflikten wird der längere Pfad möglicherweise aufgrund der Umleitung nicht angewendet. Registrieren Sie in solchen Fällen eine nicht umgeleitete URL.
Hinweis
Benutzerdefinierte Indikatoren für Gefährdungs- und Webinhaltsfilterungsfeatures werden derzeit in Application Guard Sitzungen von Microsoft Edge nicht unterstützt. Diese containerisierten Browsersitzungen können nur Webbedrohungsblöcke über den integrierten SmartScreen-Schutz erzwingen. Sie können keine Unternehmenswebschutzrichtlinien erzwingen.
Netzwerkschutz und der dreiseitige TCP-Handshake
Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn ein Standort durch Netzwerkschutz blockiert wird, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess
unter NetworkConnectionEvents
angezeigt, obwohl die Website blockiert wurde.
NetworkConnectionEvents
werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.
Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:
Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.
Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine
NetworkConnectionEvents
Aktion protokolliert, dieActionType
alsConnectionSuccess
aufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als
AlertEvents
auchNetworkConnectionEvents
. Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über einNetworkConnectionEvents
Element mit dem ActionType vonConnectionSuccess
verfügen.
Warnmodussteuerelemente
Wenn Sie den Warnmodus verwenden, können Sie die folgenden Steuerelemente konfigurieren:
Umgehungsmöglichkeit
- Schaltfläche "Zulassen" in Edge
- Schaltfläche "Zulassen" im Popup (Nicht-Microsoft-Browser)
- Umgehen des Dauerparameters für den Indikator
- Umgehen der Erzwingung über Microsoft- und Nicht-Microsoft-Browser hinweg
Umleitungs-URL
- Umleitungs-URL-Parameter für den Indikator
- Umleitungs-URL in Edge
- Umleitungs-URL für Popups (Nicht-Microsoft-Browser)
Weitere Informationen finden Sie unter Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden.
Reihenfolge der Behandlung von IoC-IP-URL und Domänenrichtlinienkonflikten
Die Behandlung von Richtlinienkonflikten für Domänen/URLs/IP-Adressen unterscheidet sich von der Richtlinienkonfliktbehandlung für Zertifikate.
Wenn mehrere verschiedene Aktionstypen für denselben Indikator festgelegt sind (z. B. blockieren, warnen und zulassen, Aktionstypen, die für Microsoft.com festgelegt sind), lautet die Reihenfolge, in der diese Aktionstypen wirksam werden würden:
Zulassen
Warnen
Blockieren
"Allow" überschreibt "warn", wodurch "block" wie folgt überschrieben wird: Allow
Block
>Warn
>. Daher wäre im vorherigen Beispiel Microsoft.com
zulässig.
Defender for Cloud Apps Indikatoren
Wenn Ihr organization die Integration zwischen Defender für Endpunkt und Defender for Cloud Apps aktiviert hat, werden in Defender für Endpunkt Blockindikatoren für alle nicht genehmigten Cloudanwendungen erstellt. Wenn eine Anwendung in den Überwachungsmodus versetzt wird, werden Warnindikatoren (umgehungsfähiger Block) für die urLs erstellt, die der Anwendung zugeordnet sind. Zulassungsindikatoren können derzeit nicht für sanktionierte Anwendungen erstellt werden. Von Defender for Cloud Apps erstellte Indikatoren folgen der im vorherigen Abschnitt beschriebenen Behandlung von Richtlinienkonflikten.
Vorrang von Richtlinien
Microsoft Defender for Endpoint Richtlinie hat Vorrang vor Microsoft Defender Antivirenrichtlinie. In Situationen, in dem Defender für Endpunkt auf Allow
festgelegt ist, aber Microsoft Defender Antivirus auf Block
festgelegt ist, wird die Richtlinie standardmäßig auf festgelegtAllow
.
Rangfolge für mehrere aktive Richtlinien
Das Anwenden mehrerer verschiedener Richtlinien zum Filtern von Webinhalten auf dasselbe Gerät führt dazu, dass die restriktivere Richtlinie für jede Kategorie gilt. Stellen Sie sich folgendes Szenario vor:
- Richtlinie 1 blockiert die Kategorien 1 und 2 und überwacht den Rest.
- Richtlinie 2 blockiert die Kategorien 3 und 4 und überwacht den Rest.
Das Ergebnis ist, dass die Kategorien 1 bis 4 alle blockiert sind. Dies wird in der folgenden Abbildung veranschaulicht.
Erstellen eines Indikators für IP-Adressen, URLs oder Domänen auf der Einstellungsseite
Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.
Wählen Sie die Registerkarte IP-Adressen oder URLs/Domänen aus.
Wählen Sie Element hinzufügen aus.
Geben Sie die folgenden Details an:
- Indikator: Geben Sie die Entitätsdetails an, und definieren Sie den Ablauf des Indikators.
- Aktion: Geben Sie die auszuführende Aktion an, und geben Sie eine Beschreibung an.
- Bereich: Definiert den Bereich der Computergruppe.
Überprüfen Sie die Details auf der Registerkarte Zusammenfassung , und wählen Sie dann Speichern aus.
Wichtig
Es kann bis zu 48 Stunden dauern, nachdem eine Richtlinie erstellt wurde, bis eine URL oder IP-Adresse auf einem Gerät blockiert wird.
Verwandte Artikel
- Indikatoren erstellen
- Erstellen von Indikatoren für Dateien
- Erstellen von Indikatoren basierend auf Zertifikaten
- Indikatoren verwalten
- Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.