Protezione Web

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Informazioni sulla protezione Web

La protezione Web in Microsoft Defender per endpoint è una funzionalità costituita da protezione dalle minacce Web, filtri dei contenuti Web e indicatori personalizzati. La protezione Web consente di proteggere i dispositivi dalle minacce Web e consente di regolare i contenuti indesiderati. È possibile trovare report di protezione Web nel portale di Microsoft Defender passando a Protezione Web report>.

Le schede di protezione Web

Protezione dalle minacce sul Web

Le schede che costituiscono la protezione dalle minacce Web sono i rilevamenti di minacce Web nel tempo e ilriepilogo delle minacce Web.

La protezione dalle minacce Web include:

  • Visibilità completa sulle minacce Web che interessano l'organizzazione.
  • Funzionalità di indagine sulle attività di minaccia correlate al Web tramite avvisi e profili completi di URL e dispositivi che accedono a questi URL.
  • Un set completo di funzionalità di sicurezza che tengono traccia delle tendenze di accesso generali ai siti Web dannosi e indesiderati.

Nota

Per i processi diversi da Microsoft Edge e Internet Explorer, gli scenari di protezione Web sfruttano Protezione di rete per l'ispezione e l'imposizione:

  • IP è supportato per tutti e tre i protocolli (TCP, HTTP e HTTPS (TLS).
  • Sono supportati solo indirizzi IP singoli (nessun blocco CIDR o intervalli IP) negli indicatori personalizzati.
  • Gli URL crittografati (percorso completo) possono essere bloccati solo nei browser di prima parte (Internet Explorer, Edge).
  • Gli URL crittografati (solo FQDN) possono essere bloccati in browser di terze parti (ad esempio, diversi da Internet Explorer, Edge).
  • I blocchi di percorso URL completi possono essere applicati per gli URL non crittografati.

Potrebbero essere presenti fino a due ore di latenza (in genere meno) tra il momento in cui viene eseguita l'azione e l'URL e l'IP bloccati. Per altre informazioni, vedere Protezione dalle minacce Web.

Indicatori personalizzati

I rilevamenti di indicatori personalizzati sono riepilogati anche nei report sulle minacce Web delle organizzazioni in Rilevamenti delle minacce Web nel tempo e Riepilogo delle minacce Web.

L'indicatore personalizzato include:

  • Possibilità di creare indicatori di compromissione basati su IP e URL per proteggere l'organizzazione dalle minacce.
  • Funzionalità di indagine sulle attività correlate ai profili IP/URL personalizzati e ai dispositivi che accedono a questi URL.
  • Possibilità di creare criteri Consenti, Blocca e Avvisa per INDIRIZZI IP e URL.

Per altre informazioni, vedere Creare indicatori per INDIRIZZI IP e URL/domini

Filtro contenuti Web

Il filtro contenuto Web include attività Web per categoria, riepilogo del filtro contenuto Web e riepilogo attività Web.

Il filtro contenuto Web include:

  • Agli utenti viene impedito di accedere ai siti Web in categorie bloccate, indipendentemente dal fatto che stiano navigando in locale o lontano.
  • È possibile distribuire facilmente criteri diversi a vari set di utenti usando i gruppi di dispositivi definiti nelle impostazioni di controllo degli accessi in base al ruolo Microsoft Defender per endpoint.

    Nota

    La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

  • È possibile accedere ai report Web nella stessa posizione centrale, con visibilità sui blocchi effettivi e sull'utilizzo del Web.

Per altre informazioni, vedere Filtro contenuto Web.

Ordine di precedenza

La protezione Web è costituita dai componenti seguenti, elencati in ordine di precedenza. Ognuno di questi componenti viene applicato dal client SmartScreen in Microsoft Edge e dal client di Protezione rete in tutti gli altri browser e processi.

  • Indicatori personalizzati (IP/URL, criteri di Microsoft Defender for Cloud Apps)

    • Consenti
    • Avvertire
    • Blocca
  • Minacce Web (malware, phishing)

    • SmartScreen Intel, incluso Exchange Online Protection (EOP)
    • Escalation
  • Filtro contenuto Web (WCF)

Nota

Microsoft Defender for Cloud Apps attualmente genera indicatori solo per gli URL bloccati.

L'ordine di precedenza è correlato all'ordine delle operazioni in base al quale viene valutato un URL o un INDIRIZZO IP. Ad esempio, se si dispone di un criterio di filtro del contenuto Web, è possibile creare esclusioni tramite indicatori IP/URL personalizzati. Gli indicatori personalizzati di compromissione (IoC) sono più alti nell'ordine di precedenza rispetto ai blocchi WCF.

Analogamente, durante un conflitto tra gli indicatori, consente di avere sempre la precedenza sui blocchi (logica di override). Ciò significa che un indicatore allow ha la precedenza su qualsiasi indicatore di blocco presente.

La tabella seguente riepiloga alcune configurazioni comuni che presentano conflitti all'interno dello stack di protezione Web. Identifica anche le determinazioni risultanti in base alla precedenza descritta in precedenza in questo articolo.

Criteri indicatori personalizzati Criteri di minaccia Web Criteri WCF criteri Defender for Cloud Apps Risultato
Consenti Blocca Blocca Blocca Consenti (override della protezione Web)
Consenti Consenti Blocca Blocca Consenti (eccezione WCF)
Avvertire Blocca Blocca Blocca Avvisa (override)

Gli indirizzi IP interni non sono supportati da indicatori personalizzati. Per un criterio di avviso quando viene ignorato dall'utente finale, il sito viene sbloccato per 24 ore per tale utente per impostazione predefinita. Questo intervallo di tempo può essere modificato dal Amministrazione e viene passato dal servizio cloud SmartScreen. La possibilità di ignorare un avviso può anche essere disabilitata in Microsoft Edge usando CSP per i blocchi di minacce Web (malware/phishing). Per altre informazioni, vedere Impostazioni smartscreen di Microsoft Edge.

Proteggere i browser

In tutti gli scenari di protezione Web, SmartScreen e Protezione di rete possono essere usati insieme per garantire la protezione nei browser e nei processi Microsoft e non Microsoft. SmartScreen è integrato direttamente in Microsoft Edge, mentre Protezione rete monitora il traffico in browser e processi non Microsoft. Il diagramma seguente illustra questo concetto. Questo diagramma dei due client che interagiscono per fornire più code browser/app è accurato per tutte le funzionalità di protezione Web (indicatori, minacce Web, filtro contenuto).

Nota

Gli indicatori personalizzati delle funzionalità di compromissione e filtro contenuto Web non sono attualmente supportati nelle sessioni Application Guard di Microsoft Edge. Queste sessioni del browser in contenitori possono applicare blocchi di minacce Web solo tramite la protezione SmartScreen predefinita. Non possono applicare criteri di protezione Web aziendali. L'utilizzo di smartScreen e protezione di rete insieme

Risolvere i problemi relativi ai blocchi di endpoint

Le risposte dal cloud SmartScreen sono standardizzate. Strumenti come Fiddler possono essere usati per controllare la risposta dal servizio cloud, che consente di determinare l'origine del blocco.

Quando il servizio cloud SmartScreen risponde con una risposta consenti, blocca o avvisa, una categoria di risposta e un contesto del server vengono inoltrati di nuovo al client. In Microsoft Edge, la categoria di risposta è ciò che viene usato per determinare la pagina di blocco appropriata da visualizzare (dannoso, phishing, criteri dell'organizzazione).

La tabella seguente illustra le risposte e le relative funzionalità correlate.

ResponseCategory Funzionalità responsabile del blocco
CustomPolicy WCF
CustomBlockList Indicatori personalizzati
CasbPolicy Defender per app cloud
Dannosa Minacce Web
Phishing Minacce Web

Ricerca avanzata per la protezione Web

Le query Kusto nella ricerca avanzata possono essere usate per riepilogare i blocchi di protezione Web nell'organizzazione per un massimo di 30 giorni. Queste query usano le informazioni elencate in precedenza per distinguere tra le varie origini di blocchi e riepilogarle in modo semplice. Ad esempio, la query seguente elenca tutti i blocchi WCF provenienti da Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

Analogamente, è possibile usare la query seguente per elencare tutti i blocchi WCF provenienti da Protezione di rete, ad esempio un blocco WCF in un browser non Microsoft. L'oggetto ActionType viene aggiornato e Experience modificato in ResponseCategory.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Per elencare i blocchi dovuti ad altre funzionalità, ad esempio gli indicatori personalizzati, fare riferimento alla tabella elencata in precedenza in questo articolo. La tabella descrive ogni funzionalità e la rispettiva categoria di risposta. Queste query possono essere modificate per cercare i dati di telemetria correlati a computer specifici nell'organizzazione. ActionType illustrato in ogni query mostra solo le connessioni bloccate da una funzionalità di protezione Web e non tutto il traffico di rete.

Esperienza utente

Se un utente visita una pagina Web che presenta un rischio di malware, phishing o altre minacce Web, Microsoft Edge attiva una pagina di blocco simile all'immagine seguente:

Screenshot che mostra la nuova notifica di blocco per un sito Web.

A partire da Microsoft Edge 124, viene visualizzata la pagina di blocco seguente per tutti i blocchi di categoria Filtro contenuto Web.

Screenshot che mostra il contenuto bloccato.

In ogni caso, non vengono visualizzate pagine bloccate nei browser non Microsoft e l'utente visualizza una pagina "Connessione sicura non riuscita" insieme a una notifica di tipo avviso popup. A seconda dei criteri responsabili del blocco, un utente visualizza un messaggio diverso nella notifica di tipo avviso popup. Ad esempio, il filtro contenuto Web visualizza il messaggio "Questo contenuto è bloccato".

Segnala falsi positivi

Per segnalare un falso positivo per i siti considerati pericolosi da SmartScreen, usare il collegamento visualizzato nella pagina del blocco in Microsoft Edge (come illustrato in precedenza in questo articolo).

Per WCF, è possibile contestare la categoria di un dominio. Passare alla scheda Domini dei report WCF. Verranno visualizzati i puntini di sospensione accanto a ognuno dei domini. Passare il puntatore del mouse su questi puntini di sospensione e selezionare Categoria di controversie. Verrà aperto un riquadro a comparsa. Impostare la priorità dell'evento imprevisto e specificare altri dettagli, ad esempio la categoria suggerita. Per altre informazioni su come attivare WCF e su come contestare le categorie, vedere Filtro contenuto Web.

Per altre informazioni su come inviare falsi positivi/negativi, vedere Indirizzo di falsi positivi/negativi in Microsoft Defender per endpoint.

Articolo Descrizione
Protezione dalle minacce sul Web Impedire l'accesso a siti di phishing, vettori di malware, siti di exploit, siti non attendibili o a bassa reputazione e siti bloccati.
Filtro contenuti Web Tenere traccia e regolare l'accesso ai siti Web in base alle categorie di contenuto.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.