Web 保护
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
关于 Web 保护
Microsoft Defender for Endpoint 中的 Web 保护由 Web 威胁防护、Web 内容筛选和自定义指示器组成。 通过 Web 保护,你可以保护设备免受 Web 威胁,并帮助你管理不需要的内容。 可以通过转到“报告 Web 保护”,在 Microsoft Defender 门户中找到 Web 保护报告。>
Web 威胁防护功能
构成 Web 威胁防护的卡片是 一段时间内的 Web 威胁检测 和 Web 威胁摘要。
Web 威胁防护包括:
- 全面了解影响组织的 Web 威胁。
- 通过警报和访问这些 URL 的设备的综合配置文件来调查与 Web 相关的威胁活动。
- 一整套安全功能,用于跟踪恶意和不需要的网站的总体访问趋势。
注意
对于 Microsoft Edge 和 Internet Explorer 以外的进程,Web 保护方案利用网络保护进行检查和强制执行:
- 所有三种协议都支持 IP, (TCP、HTTP 和 HTTPS (TLS) ) 。
- 仅支持单个 IP 地址, (自定义指示器中不) CIDR 块或 IP 范围。
- 只能在第一方浏览器 (Internet Explorer、Edge) 阻止 (完整路径) 的加密 URL。
- (FQDN 的加密 URL 只能在第三方浏览器中阻止) , (Internet Explorer、Edge) 。
- 通过 HTTP 连接合并加载的 URL(例如新式 CDN 加载的内容)仅在Microsoft浏览器 (Internet Explorer、Microsoft Edge) 上被阻止,除非 CDN URL 本身已添加到指示器列表。
- 网络保护将阻止标准和非标准端口上的连接。
- 完整的 URL 路径块可以应用于未加密的 URL。
执行操作和阻止 URL 和 IP 之间的延迟可能最多为 2 小时, (通常) 较少。 有关详细信息,请参阅 Web 威胁防护。
自定义指示器
自定义指示器检测还会在组织的 Web 威胁报告中汇总到一 段时间内的 Web 威胁检测 和 Web 威胁摘要下。
自定义指示器包括:
- 能够创建基于 IP 和 URL 的入侵指标,以保护组织免受威胁。
- 调查与自定义 IP/URL 配置文件和访问这些 URL 的设备相关的活动的功能。
- 为 IP 和 URL 创建允许、阻止和警告策略的功能。
有关详细信息,请参阅 为 IP 和 URL/域创建指示器
Web 内容筛选
Web 内容筛选包括 按类别划分的 Web 活动、 Web 内容筛选摘要和 Web 活动摘要。
Web 内容筛选包括:
- 无论用户是在本地浏览还是外出浏览,都禁止用户访问被阻止类别的网站。
- 可以使用Microsoft Defender for Endpoint基于角色的访问控制设置中定义的设备组,方便地将各种策略部署到各种用户集。
注意
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
- 可以在同一中心位置访问 Web 报表,并了解实际块和 Web 使用情况。
有关详细信息,请参阅 Web 内容筛选。
优先级顺序
Web 保护由以下组件组成,按优先级顺序列出。 每个组件都由 Microsoft Edge 中的 SmartScreen 客户端和所有其他浏览器和进程中的网络保护客户端强制实施。
自定义指示器 (IP/URL、Microsoft Defender for Cloud Apps策略)
- 允许
- 警告
- 阻止
web 威胁 (恶意软件、网络钓鱼)
- SmartScreen Intel,包括Exchange Online Protection (EOP)
- 升级
Web 内容筛选 (WCF)
注意
Microsoft Defender for Cloud Apps当前仅为阻止的 URL 生成指示器。
优先级顺序与计算 URL 或 IP 所依据的操作顺序相关。 例如,如果有 Web 内容筛选策略,可以通过自定义 IP/URL 指示器创建排除项。 IoC) (自定义入侵指标的优先级高于 WCF 块。
同样,在指示器之间发生冲突期间,允许始终优先于块 (替代逻辑) 。 这意味着允许指示器优先于存在的任何块指示器。
下表汇总了在 Web 保护堆栈中出现冲突的一些常见配置。 它还根据本文前面所述的优先级确定生成的决定。
自定义指示器策略 | Web 威胁策略 | WCF 策略 | Defender for Cloud Apps策略 | 结果 |
---|---|---|---|---|
允许 | 阻止 | 阻止 | 阻止 | 允许 (Web 保护替代) |
允许 | 允许 | 阻止 | 阻止 | 允许 (WCF 异常) |
警告 | 阻止 | 阻止 | 阻止 | 警告 (重写) |
自定义指示器不支持内部 IP 地址。 对于最终用户绕过的警告策略,默认情况下,该网站将取消阻止该用户的 24 小时。 此时间范围可由管理员修改,并由 SmartScreen 云服务向下传递。 还可以在 Microsoft Edge 中使用 CSP 来阻止 web 威胁块 (恶意软件/网络钓鱼) 中禁用绕过警告的功能。 有关详细信息,请参阅 Microsoft Edge SmartScreen 设置。
保护浏览器
在所有 Web 保护方案中,SmartScreen 和网络保护可以一起使用,以确保跨Microsoft和非Microsoft浏览器和进程提供保护。 SmartScreen 直接内置于 Microsoft Edge 中,而网络保护则监视非Microsoft浏览器和进程中的流量。 下图说明了此概念。 此关系图显示两个客户端协同工作以提供多个浏览器/应用覆盖范围,对于 Web 防护 (指示器、Web 威胁、内容筛选) 的所有功能而言都是准确的。
注意
Microsoft Edge 的应用程序防护会话中当前不支持自定义泄露指示器和 Web 内容筛选功能。 这些容器化浏览器会话只能通过内置的 SmartScreen 保护强制实施 Web 威胁块。 它们无法强制实施任何企业 Web 保护策略。
排查终结点块问题
来自 SmartScreen 云的响应是标准化的。 Fiddler 等工具可用于检查云服务的响应,这有助于确定块的来源。
当 SmartScreen 云服务响应允许、阻止或警告响应时,响应类别和服务器上下文将中继回客户端。 在 Microsoft Edge 中,响应类别用于确定相应的阻止页面,以显示 (恶意、网络钓鱼、组织策略) 。
下表显示了响应及其相关特征。
ResponseCategory | 负责块的功能 |
---|---|
CustomPolicy | WCF |
CustomBlockList | 自定义指示器 |
CasbPolicy | Defender for Cloud Apps |
恶意 | Web 威胁 |
网络钓鱼 | Web 威胁 |
Web 保护的高级搜寻
高级搜寻中的 Kusto 查询可用于汇总组织中长达 30 天的 Web 保护块。 这些查询使用上面列出的信息来区分块的各种来源,并以用户友好的方式汇总它们。 例如,以下查询列出了源自 Microsoft Edge 的所有 WCF 块。
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
同样,可以使用以下查询列出源自网络保护的所有 WCF 块 (例如,非Microsoft浏览器) 中的 WCF 块。 已 ActionType
更新并 Experience
更改为 ResponseCategory
。
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
若要列出由于其他功能 ((如自定义指示器) )导致的块,请参阅本文前面列出的表。 下表概述了每个功能及其各自的响应类别。 可以修改这些查询,以搜索与组织中特定计算机相关的遥测数据。 每个查询中显示的 ActionType 仅显示 Web 保护功能阻止的连接,而不是所有网络流量。
用户体验
如果用户访问的网页存在恶意软件、网络钓鱼或其他 Web 威胁的风险,Microsoft Edge 会触发类似于下图的阻止页:
从 Microsoft Edge 124 开始,所有 Web 内容筛选类别块都显示以下阻止页。
在任何情况下,非Microsoft浏览器中不会显示任何阻止页,并且用户会看到“安全连接失败”页面以及 Toast 通知。 根据负责阻止的策略,用户会看到 Toast 通知中的不同消息。 例如,Web 内容筛选显示消息“此内容已被阻止”。
报告误报
若要报告 SmartScreen 视为危险的站点的误报,请使用 Microsoft Edge (块页上显示的链接,如本文前面) 所示。
对于 WCF,可以对域的类别提出异议。 导航到 WCF 报表 的“域 ”选项卡。 每个域旁边都有一个省略号。 将鼠标悬停在此省略号上,然后选择“ 争议类别”。 此时会打开浮出控件。 设置事件的优先级并提供一些其他详细信息,例如建议的类别。 有关如何打开 WCF 以及如何对类别提出异议的详细信息,请参阅 Web 内容筛选。
有关如何提交误报/负值的详细信息,请参阅解决Microsoft Defender for Endpoint中的误报/负数。
相关文章
文章 | 说明 |
---|---|
Web 威胁防护功能 | 阻止访问网络钓鱼网站、恶意软件载体、攻击网站、不受信任或低信誉站点以及被阻止的网站。 |
Web 内容筛选 | 根据网站的内容类别跟踪和规范对网站的访问。 |
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。