حماية ويب
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
حول حماية الويب
حماية الويب في Microsoft Defender لنقطة النهاية هي إمكانية تتكون من الحماية من تهديدات الويبوتصفية محتوى الويبوالمؤشرات المخصصة. تتيح لك حماية الويب تأمين أجهزتك من تهديدات الويب وتساعدك على تنظيم المحتوى غير المرغوب فيه. يمكنك العثور على تقارير حماية الويب في مدخل Microsoft Defender بالانتقال إلى Reports > Web protection.
الحماية من المخاطر على الويب
البطاقات التي تشكل الحماية من تهديدات الويب هي عمليات الكشف عن تهديدات الويب بمرور الوقتوملخص تهديدات الويب.
تتضمن الحماية من تهديدات الويب ما يلي:
- رؤية شاملة لتهديدات الويب التي تؤثر على مؤسستك.
- قدرات التحقيق على نشاط التهديد المرتبط بالويب من خلال التنبيهات وملفات التعريف الشاملة لعناوين URL والأجهزة التي تصل إلى عناوين URL هذه.
- مجموعة كاملة من ميزات الأمان التي تتعقب اتجاهات الوصول العامة إلى مواقع الويب الضارة وغير المرغوب فيها.
ملاحظة
بالنسبة للعمليات الأخرى غير Microsoft Edge وInternet Explorer، تستفيد سيناريوهات حماية الويب من حماية الشبكة للفحص والإنفاذ:
- يتم دعم IP لجميع البروتوكولات الثلاثة (TCP وHTTP وHTTPS (TLS)).
- يتم دعم عناوين IP واحدة فقط (لا توجد كتل CIDR أو نطاقات IP) في المؤشرات المخصصة.
- يمكن حظر عناوين URL المشفرة (المسار الكامل) فقط على مستعرضات الطرف الأول (Internet Explorer، Edge).
- يمكن حظر عناوين URL المشفرة (FQDN فقط) في مستعرضات الجهات الخارجية (أي بخلاف Internet Explorer و Edge).
- يمكن تطبيق كتل مسار URL الكاملة لعناوين URL غير المشفرة.
قد يكون هناك ما يصل إلى ساعتين من زمن الانتقال (عادة أقل) بين وقت اتخاذ الإجراء، وحظر عنوان URL وعنوان IP. لمزيد من المعلومات، راجع الحماية من تهديدات الويب.
مؤشرات مخصصة
كما يتم تلخيص عمليات الكشف عن المؤشرات المخصصة في تقارير تهديدات الويب الخاصة بمؤسستك ضمن عمليات الكشف عن تهديدات الويب بمرور الوقتوملخص تهديدات الويب.
يتضمن المؤشر المخصص ما يلي:
- القدرة على إنشاء مؤشرات اختراق تستند إلى عنوان IP وعنوان URL لحماية مؤسستك من التهديدات.
- قدرات التحقيق على الأنشطة المتعلقة بملفات تعريف IP/URL المخصصة والأجهزة التي تصل إلى عناوين URL هذه.
- القدرة على إنشاء نهج السماح والحظر والتحذير لعناوين IP وعناوين URL.
لمزيد من المعلومات، راجع إنشاء مؤشرات لعناوين IP وعناوين URL/المجالات
تصفية محتوى ويب
تتضمن تصفية محتوى الويب نشاط ويب حسب الفئةوملخص تصفية محتوى ويبوملخص نشاط ويب.
تتضمن تصفية محتوى الويب ما يلي:
- يتم منع المستخدمين من الوصول إلى مواقع الويب في الفئات المحظورة، سواء كانوا يتصفحون محليا أو بعيدا.
- يمكنك نشر نهج متنوعة بسهولة لمجموعات مختلفة من المستخدمين باستخدام مجموعات الأجهزة المحددة في إعدادات التحكم في الوصول المستندة إلى الدور Microsoft Defender لنقطة النهاية.
ملاحظة
يتم دعم إنشاء مجموعة الأجهزة في خطة Defender لنقطة النهاية 1 والخطة 2.
- يمكنك الوصول إلى تقارير الويب في نفس الموقع المركزي، مع الرؤية عبر الكتل الفعلية واستخدام الويب.
لمزيد من المعلومات، راجع تصفية محتوى ويب.
ترتيب الأسبقية
تتكون حماية الويب من المكونات التالية، المدرجة بترتيب الأسبقية. يتم فرض كل مكون من هذه المكونات بواسطة عميل SmartScreen في Microsoft Edge ومن قبل عميل حماية الشبكة في جميع المستعرضات والعمليات الأخرى.
المؤشرات المخصصة (IP/URL، نهج Microsoft Defender for Cloud Apps)
- سماح
- حذر
- حظر
تهديدات الويب (البرامج الضارة والتصيد الاحتيالي)
- SmartScreen Intel، بما في ذلك Exchange Online Protection (EOP)
- التصعيد
تصفية محتوى الويب (WCF)
ملاحظة
Microsoft Defender for Cloud Apps حاليا بإنشاء مؤشرات لعناوين URL المحظورة فقط.
يتعلق ترتيب الأسبقية بترتيب العمليات التي يتم من خلالها تقييم عنوان URL أو IP. على سبيل المثال، إذا كان لديك نهج تصفية محتوى ويب، يمكنك إنشاء استثناءات من خلال مؤشرات IP/URL المخصصة. مؤشرات التسوية المخصصة (IoC) أعلى بترتيب الأسبقية من كتل WCF.
وبالمثل، أثناء التعارض بين المؤشرات، يسمح دائما بأخذ الأسبقية على الكتل (تجاوز المنطق). وهذا يعني أن مؤشر السماح له الأسبقية على أي مؤشر كتلة موجود.
يلخص الجدول التالي بعض التكوينات الشائعة التي قد تعرض تعارضات داخل مكدس حماية الويب. كما يحدد القرارات الناتجة استنادا إلى الأسبقية الموضحة سابقا في هذه المقالة.
نهج المؤشر المخصص | نهج تهديدات الويب | نهج WCF | نهج Defender for Cloud Apps | نتيجة |
---|---|---|---|---|
سماح | حظر | حظر | حظر | السماح (تجاوز حماية الويب) |
سماح | سماح | حظر | حظر | السماح (استثناء WCF) |
حذر | حظر | حظر | حظر | تحذير (تجاوز) |
لا تدعم المؤشرات المخصصة عناوين IP الداخلية. بالنسبة لنهج التحذير عند تجاوزه من قبل المستخدم النهائي، يتم إلغاء حظر الموقع لمدة 24 ساعة لهذا المستخدم بشكل افتراضي. يمكن تعديل هذا الإطار الزمني بواسطة مسؤول ويتم تمريره بواسطة خدمة سحابة SmartScreen. يمكن أيضا تعطيل القدرة على تجاوز تحذير في Microsoft Edge باستخدام CSP لحظر تهديدات الويب (البرامج الضارة/التصيد الاحتيالي). لمزيد من المعلومات، راجع Microsoft Edge SmartScreen Settings.
حماية المستعرضات
في جميع سيناريوهات حماية الويب، يمكن استخدام SmartScreen وحماية الشبكة معا لضمان الحماية عبر كل من مستعرضات وعمليات Microsoft وغير التابعة ل Microsoft. تم إنشاء SmartScreen مباشرة في Microsoft Edge، بينما تراقب Network Protection نسبة استخدام الشبكة في المستعرضات والعمليات غير التابعة ل Microsoft. يوضح الرسم التخطيطي التالي هذا المفهوم. هذا الرسم التخطيطي للعملاء اللذين يعملان معا لتوفير تغطية متعددة للمستعرض/التطبيق دقيق لجميع ميزات حماية الويب (المؤشرات، تهديدات الويب، تصفية المحتوى).
ملاحظة
لا يتم حاليا دعم المؤشرات المخصصة للاختراق وميزات تصفية محتوى الويب في جلسات حماية التطبيقات من Microsoft Edge. يمكن لجلسات المستعرض الحاوية هذه فرض كتل تهديدات الويب فقط عبر حماية SmartScreen المضمنة. لا يمكنهم فرض أي نهج حماية ويب للمؤسسة.
استكشاف أخطاء كتل نقطة النهاية وإصلاحها
يتم توحيد الاستجابات من سحابة SmartScreen. يمكن استخدام أدوات مثل Fiddler لفحص الاستجابة من الخدمة السحابية، مما يساعد على تحديد مصدر الكتلة.
عندما تستجيب خدمة سحابة SmartScreen باستجابة السماح أو الحظر أو التحذير، يتم ترحيل فئة الاستجابة وسياق الخادم مرة أخرى إلى العميل. في Microsoft Edge، فئة الاستجابة هي ما يتم استخدامه لتحديد صفحة الحظر المناسبة لإظهارها (ضارة، والتصيد الاحتيالي، والنهج التنظيمي).
يعرض الجدول التالي الاستجابات والميزات المرتبطة بها.
فئة الاستجابة | الميزة المسؤولة عن الكتلة |
---|---|
نهج مخصص | WCF |
CustomBlockList | مؤشرات مخصصة |
CasbPolicy | Defender for Cloud Apps |
خبيث | تهديدات الويب |
التصيّد الاحتيالي | تهديدات الويب |
التتبع المتقدم لحماية الويب
يمكن استخدام استعلامات Kusto في التتبع المتقدم لتلخيص كتل حماية الويب في مؤسستك لمدة تصل إلى 30 يوما. تستخدم هذه الاستعلامات المعلومات المذكورة أعلاه للتمييز بين مصادر الكتل المختلفة وتلخيصها بطريقة سهلة الاستخدام. على سبيل المثال، يسرد الاستعلام التالي جميع كتل WCF التي تنشأ من Microsoft Edge.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
وبالمثل، يمكنك استخدام الاستعلام التالي لسرد جميع كتل WCF التي تنشأ من Network Protection (على سبيل المثال، كتلة WCF في مستعرض غير تابع ل Microsoft).
ActionType
يتم تحديث وتغيير Experience
إلى ResponseCategory
.
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
لسرد الكتل التي ترجع إلى ميزات أخرى (مثل المؤشرات المخصصة)، راجع الجدول المدرج سابقا في هذه المقالة. يوضح الجدول كل ميزة وفئة الاستجابة الخاصة بها. يمكن تعديل هذه الاستعلامات للبحث عن بيانات تتبع الاستخدام المتعلقة بآلات معينة في مؤسستك. يعرض ActionType الموضح في كل استعلام فقط تلك الاتصالات التي تم حظرها بواسطة ميزة حماية ويب، وليس كل حركة مرور الشبكة.
تجربة المستخدم
إذا زار مستخدم صفحة ويب تشكل خطرا من البرامج الضارة أو التصيد الاحتيالي أو تهديدات الويب الأخرى، يقوم Microsoft Edge بتشغيل صفحة حظر تشبه الصورة التالية:
بدءا من Microsoft Edge 124، يتم عرض صفحة الكتلة التالية لجميع كتل فئات تصفية محتوى الويب.
على أي حال، لا يتم عرض أي صفحات حظر في مستعرضات غير Microsoft، ويشاهد المستخدم صفحة "فشل الاتصال الآمن" جنبا إلى جنب مع إعلام منبثق. استنادا إلى النهج المسؤول عن الكتلة، يرى المستخدم رسالة مختلفة في الإعلام المنبثق. على سبيل المثال، تعرض تصفية محتوى الويب الرسالة ، "تم حظر هذا المحتوى."
الإبلاغ عن إيجابيات خاطئة
للإبلاغ عن إيجابية خاطئة للمواقع التي تعتبرها SmartScreen خطيرة، استخدم الارتباط الذي يظهر على صفحة الحظر في Microsoft Edge (كما هو موضح سابقا في هذه المقالة).
بالنسبة إلى WCF، يمكنك الاعتراض على فئة المجال. انتقل إلى علامة التبويب المجالات لتقارير WCF. ترى علامة حذف بجانب كل مجال من المجالات. مرر مؤشر الماوس فوق علامة الحذف هذه وحدد فئة النزاع. يتم فتح قائمة منبثقة. حدد أولوية الحدث وقدم بعض التفاصيل الأخرى، مثل الفئة المقترحة. لمزيد من المعلومات حول كيفية تشغيل WCF وكيفية التنازع على فئات، راجع تصفية محتوى الويب.
لمزيد من المعلومات حول كيفية إرسال الإيجابيات/السلبيات الخاطئة، راجع معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية.
المقالات ذات الصلة
مقالة | الوصف |
---|---|
الحماية من المخاطر على الويب | منع الوصول إلى مواقع التصيد الاحتيالي، وناقلات البرامج الضارة، ومواقع الاستغلال، والمواقع غير الموثوق بها أو ذات السمعة المنخفضة، والمواقع المحظورة. |
تصفية محتوى ويب | تعقب وتنظيم الوصول إلى مواقع الويب استنادا إلى فئات المحتوى الخاصة بها. |
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.