Utwórz wskaźniki adresów IP i adresów URL/domen
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Porada
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Omówienie
Tworząc wskaźniki dla adresów IP i adresów URL lub domen, możesz teraz zezwalać na adresy IP, adresy URL lub domeny albo blokować je na podstawie własnej analizy zagrożeń. Możesz również ostrzec użytkowników za pomocą monitu, jeśli otworzą ryzykowną aplikację. Monit nie uniemożliwi korzystania z aplikacji, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba.
Aby zablokować złośliwe adresy IP/adresy URL (określone przez firmę Microsoft), usługa Defender dla punktu końcowego może użyć:
- Windows Defender SmartScreen dla przeglądarek firmy Microsoft
- Ochrona sieci dla przeglądarek innych niż Microsoft lub wywołań wykonywanych poza przeglądarką
Dane analizy zagrożeń ustawione na blokowanie złośliwych adresów IP/adresów URL są zarządzane przez firmę Microsoft.
Możesz zablokować złośliwe adresy IP/adresy URL za pośrednictwem strony ustawień lub według grup maszyn, jeśli uznasz, że niektóre grupy są bardziej lub mniej zagrożone niż inne.
Uwaga
Bezklasowa notacja routingu Inter-Domain (CIDR) dla adresów IP nie jest obsługiwana.
Obsługiwane systemy operacyjne
- System Windows 11
- Windows 10, wersja 1709 lub nowsza
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 uruchamianie nowoczesnego, ujednoliconego rozwiązania usługi Defender for Endpoint (wymaga instalacji za pośrednictwem usługi MSI)
- Windows Server 2012 R2 z nowoczesnym, ujednoliconym rozwiązaniem usługi Defender for Endpoint (wymaga instalacji za pośrednictwem msi)
- macOS
- Linux
- iOS
- Android
Przed rozpoczęciem
Przed utworzeniem wskaźników dla adresów IP, adresów URL lub domen należy zapoznać się z następującymi wymaganiami wstępnymi.
wymagania dotyczące wersji programu antywirusowego Microsoft Defender
Twoja organizacja używa programu antywirusowego Microsoft Defender. Microsoft Defender program antywirusowy musi być w trybie aktywnym dla przeglądarek innych niż Microsoft. W przeglądarkach firmy Microsoft, takich jak Edge, program antywirusowy Microsoft Defender może być w trybie aktywnym lub pasywnym.
Monitorowanie zachowania jest włączone.
Ochrona oparta na chmurze jest włączona.
Łączność sieciowa usługi Cloud Protection jest włączona.
Wersja klienta ochrony przed złośliwym kodem musi być
4.18.1906.x
lub nowsza. Zobacz Comiesięczne wersje platformy i aparatu.
Wymagania dotyczące ochrony sieci
Pozycja Zezwalaj na adres URL/adres IP i blokuj wymaga włączenia składnika Ochrona punktu końcowego w usłudze Microsoft Defender Ochrona sieci w trybie bloku. Aby uzyskać więcej informacji na temat ochrony sieci i instrukcji konfiguracji, zobacz Włączanie ochrony sieci.
Niestandardowe wymagania dotyczące wskaźników sieci
Aby rozpocząć blokowanie adresów IP i/lub adresów URL, włącz funkcję "Niestandardowe wskaźniki sieciowe" w portalu Microsoft Defender, przejdź do pozycji Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane. Aby uzyskać więcej informacji, zobacz Funkcje zaawansowane.
Aby uzyskać obsługę wskaźników w systemie iOS, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS.
Aby uzyskać obsługę wskaźników w systemie Android, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android.
Ograniczenia listy wskaźników IoC
Do listy wskaźników można dodawać tylko zewnętrzne adresy IP. Nie można utworzyć wskaźników dla wewnętrznych adresów IP. W przypadku scenariuszy ochrony sieci Web zalecamy korzystanie z wbudowanych funkcji w przeglądarce Microsoft Edge. Przeglądarka Microsoft Edge korzysta z usługi Network Protection do sprawdzania ruchu sieciowego i zezwala na bloki dla protokołów TCP, HTTP i HTTPS (TLS).
Procesy inne niż Microsoft Edge i Internet Explorer
W przypadku procesów innych niż Microsoft Edge i Internet Explorer scenariusze ochrony sieci Web wykorzystują usługę Network Protection do inspekcji i wymuszania:
- Adres IP jest obsługiwany dla wszystkich trzech protokołów (TCP, HTTP i HTTPS (TLS))
- W niestandardowych wskaźnikach są obsługiwane tylko pojedyncze adresy IP (brak bloków CIDR ani zakresów adresów IP)
- Zaszyfrowane adresy URL (pełna ścieżka) mogą być blokowane tylko w przeglądarkach innych firm (Internet Explorer, Edge)
- Zaszyfrowane adresy URL (tylko nazwa FQDN) mogą być blokowane w przeglądarkach innych firm (czyli innych niż Internet Explorer, Edge)
- Adresy URL ładowane za pośrednictwem łączenia połączeń HTTP, takie jak zawartość ładowana przez nowoczesne sieci CDN, mogą być blokowane tylko w przeglądarkach innych firm (Internet Explorer, Edge), chyba że sam adres URL usługi CDN zostanie dodany do listy wskaźników.
- Dla niezaszyfrowanych adresów URL można zastosować bloki pełnej ścieżki adresu URL
- Jeśli istnieją sprzeczne zasady wskaźnika adresu URL, zostanie zastosowana dłuższa ścieżka. Na przykład zasady
https://support.microsoft.com/office
wskaźnika adresu URL mają pierwszeństwo przed zasadamihttps://support.microsoft.com
wskaźnika adresu URL. - W przypadku konfliktów zasad wskaźnika adresu URL dłuższa ścieżka może nie być stosowana z powodu przekierowania. W takich przypadkach zarejestruj adres URL bez przekierowania.
Uwaga
Niestandardowe wskaźniki zabezpieczeń zabezpieczeń i funkcji filtrowania zawartości internetowej nie są obecnie obsługiwane w Application Guard sesjach przeglądarki Microsoft Edge. Te konteneryzowane sesje przeglądarki mogą wymuszać bloki zagrożeń internetowych tylko za pośrednictwem wbudowanej ochrony smartscreen. Nie mogą wymuszać żadnych zasad ochrony sieci Web przedsiębiorstwa.
Ochrona sieci i trójstopnie uzgadnianie protokołu TCP
W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccess
NetworkConnectionEvents
akcji, mimo że witryna została zablokowana.
NetworkConnectionEvents
są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.
Oto przykład tego, jak to działa:
Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.
Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem
NetworkConnectionEvents
jest rejestrowana akcja, a jejActionType
nazwa jest wyświetlana jakoConnectionSuccess
. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno
NetworkConnectionEvents
iAlertEvents
. Widać, że witryna została zablokowana, mimo że maszNetworkConnectionEvents
również element o typie ActionType .ConnectionSuccess
Kontrolki trybu ostrzegania
W przypadku korzystania z trybu ostrzegania można skonfigurować następujące kontrolki:
Możliwość obejścia
- Przycisk Zezwalaj w przeglądarce Edge
- Przycisk Zezwalaj na wyskakujące (przeglądarki inne niż Microsoft)
- Obejście parametru czasu trwania wskaźnika
- Pomijanie wymuszania w przeglądarkach firmy Microsoft i innych firm
Adres URL przekierowania
- Parametr przekierowania adresu URL wskaźnika
- Adres URL przekierowania w przeglądarce Edge
- Adres URL przekierowania w wyskakujących (przeglądarki innych niż Microsoft)
Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.
IoC IP URL and domain policy conflict handling order (Adres URL ip IoC i kolejność obsługi konfliktów zasad domeny)
Obsługa konfliktów zasad dla domen/adresów URL/adresów IP różni się od obsługi konfliktów zasad dla certyfikatów.
W przypadku, gdy wiele różnych typów akcji jest ustawionych na tym samym wskaźniku (na przykład blokuj, ostrzegaj i zezwalaj na typy akcji ustawione dla Microsoft.com), kolejność, w jakiej te typy akcji będą obowiązywać, to:
Zezwalaj
Ostrzegać
Blokuj
Opcja "Zezwalaj" zastępuje ciąg "warn", który zastępuje ciąg "block", w następujący sposób: Allow
Block
>Warn
>. W związku z tym w poprzednim przykładzie Microsoft.com
będzie dozwolone.
wskaźniki Defender for Cloud Apps
Jeśli Twoja organizacja włączyła integrację między usługą Defender for Endpoint i Defender for Cloud Apps, wskaźniki blokowe zostaną utworzone w usłudze Defender for Endpoint dla wszystkich nieusankcjonowanych aplikacji w chmurze. Jeśli aplikacja zostanie umieszczona w trybie monitorowania, zostaną utworzone wskaźniki ostrzeżenia (blok z możliwością obejścia) dla adresów URL skojarzonych z aplikacją. Obecnie nie można tworzyć wskaźników zezwalania dla aplikacji objętych sankcjami. Wskaźniki utworzone przez Defender for Cloud Apps są zgodne z tą samą obsługą konfliktów zasad opisaną w poprzedniej sekcji.
Pierwszeństwo zasad
zasady Ochrona punktu końcowego w usłudze Microsoft Defender mają pierwszeństwo przed zasadami ochrony antywirusowej Microsoft Defender. W sytuacjach, gdy w usłudze Defender dla punktu końcowego ustawiono Allow
wartość , ale Microsoft Defender program antywirusowy jest ustawiony na Block
wartość , zasady domyślnie mają Allow
wartość .
Pierwszeństwo dla wielu aktywnych zasad
Zastosowanie wielu różnych zasad filtrowania zawartości internetowej na tym samym urządzeniu spowoduje zastosowanie bardziej restrykcyjnych zasad dla każdej kategorii. Rozpatrzmy następujący scenariusz:
- Zasady 1 blokują kategorie 1 i 2, a pozostałe przeprowadzają inspekcję
- Zasady 2 blokują kategorie 3 i 4, a pozostałe przeprowadzają inspekcję
W rezultacie wszystkie kategorie 1–4 są zablokowane. Jest to zilustrowane na poniższej ilustracji.
Tworzenie wskaźnika adresów IP, adresów URL lub domen na stronie ustawień
W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).
Wybierz kartę Adresy IP lub adresy URL/domeny .
Wybierz pozycję Dodaj element.
Określ następujące szczegóły:
- Wskaźnik — określ szczegóły jednostki i zdefiniuj wygaśnięcie wskaźnika.
- Akcja — określ akcję do wykonania i podaj opis.
- Zakres — zdefiniuj zakres grupy maszyn.
Przejrzyj szczegóły na karcie Podsumowanie , a następnie wybierz pozycję Zapisz.
Ważna
Zablokowanie adresu URL lub adresu IP na urządzeniu może potrwać do 48 godzin.
Artykuły pokrewne
- Utwórz wskaźniki
- Utwórz wskaźniki dla plików
- Tworzenie wskaźników na podstawie certyfikatów
- Zarządzaj wskaźnikami
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.