Utwórz wskaźniki adresów IP i adresów URL/domen

  • Artykuł

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Omówienie

Tworząc wskaźniki dla adresów IP i adresów URL lub domen, możesz teraz zezwalać na adresy IP, adresy URL lub domeny albo blokować je na podstawie własnej analizy zagrożeń. Możesz również ostrzec użytkowników za pomocą monitu, jeśli otworzą ryzykowną aplikację. Monit nie uniemożliwi korzystania z aplikacji, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba.

Aby zablokować złośliwe adresy IP/adresy URL (określone przez firmę Microsoft), usługa Defender dla punktu końcowego może użyć:

  • Windows Defender SmartScreen dla przeglądarek firmy Microsoft
  • Ochrona sieci dla przeglądarek innych niż Microsoft lub wywołania wykonywane poza przeglądarką

Dane analizy zagrożeń ustawione na blokowanie złośliwych adresów IP/adresów URL są zarządzane przez firmę Microsoft.

Możesz zablokować złośliwe adresy IP/adresy URL za pośrednictwem strony ustawień lub według grup maszyn, jeśli uznasz, że niektóre grupy są bardziej lub mniej zagrożone niż inne.

Uwaga

Bezklasowa notacja routingu Inter-Domain (CIDR) dla adresów IP nie jest obsługiwana.

Obsługiwane systemy operacyjne

Przed rozpoczęciem

Przed utworzeniem wskaźników dla adresów IP, adresów URL lub domen należy zapoznać się z następującymi wymaganiami wstępnymi.

Wymagania dotyczące wersji programu antywirusowego Microsoft Defender

Ta funkcja jest dostępna, jeśli Organizacja używa programu antywirusowego Microsoft Defender (w trybie aktywnym)

Monitorowanie zachowania jest włączone

Ochrona oparta na chmurze jest włączona.

Łączność sieciowa usługi Cloud Protection działa

Wersja klienta ochrony przed złośliwym kodem musi być 4.18.1906.x lub nowsza. Zobacz Comiesięczne wersje platformy i aparatu.

Wymagania dotyczące ochrony sieci

Pozycja Zezwalaj na adres URL/adres IP i blokuj wymaga włączenia ochrony sieci składnika usługi Microsoft Defender for Endpoint w trybie bloku. Aby uzyskać więcej informacji na temat ochrony sieci i instrukcji konfiguracji, zobacz Włączanie ochrony sieci.

Niestandardowe wymagania dotyczące wskaźników sieci

Aby rozpocząć blokowanie adresów IP i/lub adresów URL, włącz funkcję "Niestandardowe wskaźniki sieciowe" w portalu usługi Microsoft Defender, przejdź do pozycji Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane. Aby uzyskać więcej informacji, zobacz Funkcje zaawansowane.

Aby uzyskać obsługę wskaźników w systemie iOS, zobacz Microsoft Defender for Endpoint w systemie iOS.

Aby uzyskać obsługę wskaźników w systemie Android, zobacz Microsoft Defender for Endpoint w systemie Android.

Ograniczenia listy wskaźników IoC

Do listy wskaźników można dodawać tylko zewnętrzne adresy IP. Nie można utworzyć wskaźników dla wewnętrznych adresów IP. W przypadku scenariuszy ochrony sieci Web zalecamy korzystanie z wbudowanych funkcji w przeglądarce Microsoft Edge. Przeglądarka Microsoft Edge korzysta z usługi Network Protection do sprawdzania ruchu sieciowego i zezwala na bloki dla protokołów TCP, HTTP i HTTPS (TLS).

Procesy inne niż Microsoft Edge i Internet Explorer

W przypadku procesów innych niż Microsoft Edge i Internet Explorer scenariusze ochrony sieci Web wykorzystują usługę Network Protection do inspekcji i wymuszania:

  • Adres IP jest obsługiwany dla wszystkich trzech protokołów (TCP, HTTP i HTTPS (TLS))
  • W niestandardowych wskaźnikach są obsługiwane tylko pojedyncze adresy IP (brak bloków CIDR ani zakresów adresów IP)
  • Zaszyfrowane adresy URL (pełna ścieżka) mogą być blokowane tylko w przeglądarkach innych firm (Internet Explorer, Edge)
  • Zaszyfrowane adresy URL (tylko nazwa FQDN) mogą być blokowane w przeglądarkach innych firm (czyli innych niż Internet Explorer, Edge)
  • Dla niezaszyfrowanych adresów URL można zastosować bloki pełnej ścieżki adresu URL
  • Jeśli istnieją sprzeczne zasady wskaźnika adresu URL, zostanie zastosowana dłuższa ścieżka. Na przykład zasady https://support.microsoft.com/office wskaźnika adresu URL mają pierwszeństwo przed zasadami https://support.microsoft.comwskaźnika adresu URL.
  • W przypadku konfliktów zasad wskaźnika adresu URL dłuższa ścieżka może nie być stosowana z powodu przekierowania. W takich przypadkach zarejestruj adres URL bez przekierowania.

Ochrona sieci i trójstopnie uzgadnianie protokołu TCP

W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy witryna jest zablokowana przez ochronę sieci, w portalu usługi Microsoft Defender może zostać wyświetlony typ ConnectionSuccessNetworkConnectionEvents akcji, mimo że witryna została zablokowana. NetworkConnectionEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.

Oto przykład tego, jak to działa:

  1. Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.

  2. Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem NetworkConnectionEvents jest rejestrowana akcja, a jej ActionType nazwa jest wyświetlana jako ConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku filtru Microsoft Defender SmartScreen; Gdy uzgadnianie trójstopnie kończy się, jest wykonywane określenie, a dostęp do witryny jest zablokowany lub dozwolony.

  3. W portalu usługi Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno NetworkConnectionEvents i AlertEvents. Widać, że witryna została zablokowana, mimo że masz NetworkConnectionEvents również element o typie ActionType .ConnectionSuccess

Kontrolki trybu ostrzegania

W przypadku korzystania z trybu ostrzegania można skonfigurować następujące kontrolki:

  • Możliwość obejścia

    • Przycisk Zezwalaj w przeglądarce Edge
    • Przycisk Zezwalaj na wyskakujące (przeglądarki inne niż Microsoft)
    • Obejście parametru czasu trwania wskaźnika
    • Pomijanie wymuszania w przeglądarkach firmy Microsoft i innych firm

  • Adres URL przekierowania

    • Parametr przekierowania adresu URL wskaźnika
    • Adres URL przekierowania w przeglądarce Edge
    • Adres URL przekierowania w wyskakujących (przeglądarki innych niż Microsoft)

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez usługę Microsoft Defender dla punktu końcowego.

IoC IP URL and domain policy conflict handling order (Adres URL ip IoC i kolejność obsługi konfliktów zasad domeny)

Obsługa konfliktów zasad dla domen/adresów URL/adresów IP różni się od obsługi konfliktów zasad dla certyfikatów.

W przypadku, gdy wiele różnych typów akcji jest ustawionych na tym samym wskaźniku (na przykład blokuj, ostrzegaj i zezwalaj na typy akcji ustawione dla Microsoft.com), kolejność, w jakiej te typy akcji będą obowiązywać, to:

  1. Zezwalaj
  2. Ostrzegać
  3. Blokuj

Zezwalaj na przesłonięcia ostrzegają, które przesłonięcia blokują: Zezwalaj na > blok ostrzeżenia > . W związku z tym w powyższym przykładzie Microsoft.com będzie dozwolone.

Wskaźniki usługi Defender for Cloud Apps

Jeśli Twoja organizacja włączyła integrację między usługami Defender for Endpoint i Defender for Cloud Apps, wskaźniki blokowe zostaną utworzone w usłudze Defender for Endpoint dla wszystkich niesankcjonowanych aplikacji w chmurze. Jeśli aplikacja zostanie umieszczona w trybie monitorowania, zostaną utworzone wskaźniki ostrzeżenia (blok z możliwością obejścia) dla adresów URL skojarzonych z aplikacją. Obecnie nie można tworzyć wskaźników zezwalania dla aplikacji objętych sankcjami. Wskaźniki utworzone przez usługę Defender for Cloud Apps są zgodne z tą samą obsługą konfliktów zasad opisaną w poprzedniej sekcji.

Pierwszeństwo zasad

Zasady programu Microsoft Defender for Endpoint mają pierwszeństwo przed zasadami ochrony antywirusowej Microsoft Defender. W sytuacjach, gdy w usłudze Defender dla punktu końcowego jest ustawiona wartość Zezwalaj, ale program antywirusowy Microsoft Defender jest ustawiony na wartość Blokuj, zasady będą domyślnie zezwalać.

Pierwszeństwo dla wielu aktywnych zasad

Zastosowanie wielu różnych zasad filtrowania zawartości internetowej na tym samym urządzeniu spowoduje zastosowanie bardziej restrykcyjnych zasad dla każdej kategorii. Rozpatrzmy następujący scenariusz:

  • Zasady 1 blokują kategorie 1 i 2, a pozostałe przeprowadzają inspekcję
  • Zasady 2 blokują kategorie 3 i 4, a pozostałe przeprowadzają inspekcję

W rezultacie wszystkie kategorie 1–4 są zablokowane. Jest to zilustrowane na poniższej ilustracji.

Diagram przedstawiający pierwszeństwo trybu bloku zasad filtrowania zawartości internetowej w trybie inspekcji.

Tworzenie wskaźnika adresów IP, adresów URL lub domen na stronie ustawień

  1. W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).

  2. Wybierz kartę Adresy IP lub adresy URL/domeny .

  3. Wybierz pozycję Dodaj element.

  4. Określ następujące szczegóły:

    • Wskaźnik — określ szczegóły jednostki i zdefiniuj wygaśnięcie wskaźnika.
    • Akcja — określ akcję do wykonania i podaj opis.
    • Zakres — zdefiniuj zakres grupy maszyn.

  5. Przejrzyj szczegóły na karcie Podsumowanie , a następnie wybierz pozycję Zapisz.

Uwaga

Między utworzeniem zasad a zablokowaniem adresu URL lub adresu IP na urządzeniu może wystąpić do 2 godzin opóźnienia.

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.