Webová ochrana

  • Článek
  • 7 min ke čtení

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Informace o webové ochraně

Webová ochrana v Microsoft Defender for Endpoint je funkce tvořená ochranou před webovými hrozbami, filtrováním webového obsahu a vlastními indikátory. Webová ochrana umožňuje zabezpečit vaše zařízení před webovými hrozbami a pomáhá regulovat nežádoucí obsah. Sestavy webové ochrany najdete na portálu Microsoft 365 Defender tak, že přejdete do části Webová ochrana sestav>.

Karty webové ochrany

Ochrana před webovou hrozbou

Karty, které tvoří ochranu před webovými hrozbami, jsou detekce webových hrozeb v průběhu času a Souhrn webových hrozeb.

Ochrana před webovými hrozbami zahrnuje:

  • Komplexní přehled o webových hrozbách, které ovlivňují vaši organizaci.
  • Možnosti prověřování aktivit hrozeb souvisejících s webem prostřednictvím výstrah a komplexních profilů adres URL a zařízení, která k těmto adresám URL přistupují.
  • Úplná sada funkcí zabezpečení, které sledují obecné trendy přístupu ke škodlivým a nežádoucím webům.

Poznámka

Pro jiné procesy než Microsoft Edge a Internet Explorer využívají scénáře webové ochrany ke kontrole a vynucování ochranu sítě:

  • PROTOKOL IP se podporuje pro všechny tři protokoly (TCP, HTTP a HTTPS (TLS)).
  • Ve vlastních indikátorech se podporují pouze jednotlivé IP adresy (žádné bloky CIDR ani rozsahy IP adres).
  • Šifrované adresy URL (úplná cesta) se dají blokovat jenom v prohlížečích první strany (Internet Explorer, Edge).
  • Šifrované adresy URL (pouze plně kvalifikovaný název domény) můžou být blokované v prohlížečích třetích stran (tj. v jiných prohlížečích než Internet Explorer nebo Edge).
  • Pro nešifrované adresy URL je možné použít úplné bloky cest URL.

Mezi časem provedení akce a blokovanou adresou URL a IP adresou může být latence až 2 hodiny (obvykle méně).

Další informace najdete v tématu Ochrana před webovými hrozbami.

Vlastní indikátory

Vlastní detekce indikátorů jsou také shrnuty v sestavách webových hrozeb ve vaší organizaci v části Detekce webových hrozeb v průběhu času a Souhrn webových hrozeb.

Vlastní indikátor zahrnuje:

  • Možnost vytvářet indikátory ohrožení na základě IP adres a adres URL, aby byla vaše organizace chráněná před hrozbami.
  • Možnosti šetření nad aktivitami souvisejícími s vašimi vlastními profily IP/URL a zařízeními, která přistupují k těmto adresám URL.
  • Možnost vytvářet zásady Povolit, Blokovat a Upozornit pro IP adresy a adresy URL.

Další informace najdete v tématu Vytvoření indikátorů pro IP adresy a adresy URL nebo domény.

Filtrování webového obsahu

Filtrování webového obsahu zahrnuje aktivitu webu podle kategorie, souhrn filtrování webového obsahu a souhrn webových aktivit.

Filtrování webového obsahu zahrnuje:

  • Uživatelům se brání v přístupu k webům v blokovaných kategoriích, ať už procházejí místně nebo pryč.
  • Pomocí skupin zařízení definovaných v Microsoft Defender for Endpoint nastavení řízení přístupu na základě role můžete pohodlně nasadit různé zásady pro různé skupiny uživatelů.

    Poznámka

    Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

  • Webové sestavy jsou přístupné ve stejném centrálním umístění s přehledem o skutečných blocích a využití webu.

Další informace najdete v tématu Filtrování webového obsahu.

Pořadí priorit

Webová ochrana se skládá z následujících komponent uvedených v pořadí podle priority. Každou z těchto komponent vynucuje klient SmartScreen v microsoft Edgi a klient služby Network Protection ve všech ostatních prohlížečích a procesech.

  • Vlastní indikátory (IP/URL, zásady Microsoft Defender for Cloud Apps)

    • Povolit
    • Varovat
    • Blokování

  • Webové hrozby (malware, phish)

    • SmartScreen Intel, včetně Exchange Online Protection (EOP)
    • Eskalace

  • Filtrování webového obsahu (WCF)

Poznámka

Microsoft Defender for Cloud Apps aktuálně generuje indikátory pouze pro blokované adresy URL.

Pořadí priorit souvisí s pořadím operací, podle kterých se adresa URL nebo IP adresa vyhodnocuje. Pokud máte například zásady filtrování webového obsahu, můžete vyloučení vytvořit prostřednictvím vlastních indikátorů IP/URL. Vlastní indikátory ohrožení (IoC) mají vyšší pořadí priorit než bloky WCF.

Podobně, během konfliktu mezi indikátory, umožňuje mít vždy přednost před bloky (přepis logiky). To znamená, že indikátor povolení zvítězí nad jakýmkoli indikátorem bloku, který je k dispozici.

Následující tabulka shrnuje některé běžné konfigurace, které by v zásobníku webové ochrany docházelo ke konfliktům. Identifikuje také výsledná určení na základě výše uvedené priority.


Zásady vlastních ukazatelů Zásady webových hrozeb Zásady WCF Zásady Defenderu for Cloud Apps Result (Výsledek)
Povolit Blokování Blokování Blokování Povolit (přepsání webové ochrany)
Povolit Povolit Blokování Blokování Povolit (výjimka WCF)
Varovat Blokování Blokování Blokování Upozornit (přepsat)

Interní IP adresy nejsou podporovány vlastními indikátory. V případě zásady upozornění při vynechání koncovým uživatelem se web ve výchozím nastavení pro daného uživatele odblokuje na 24 hodin. Tento časový rámec může upravit Správa a předává ho cloudová služba SmartScreen. Možnost obejít upozornění je také možné zakázat v Microsoft Edgi pomocí CSP pro blokování webových hrozeb (malware nebo phishing). Další informace najdete v tématu Nastavení filtru SmartScreen v microsoft Edgi.

Ochrana prohlížečů

Ve všech scénářích ochrany webu je možné filtry SmartScreen a Ochranu sítě používat společně k zajištění ochrany v prohlížečích a procesech třetích stran. Filtr SmartScreen je integrovaný přímo do Microsoft Edge, zatímco Ochrana sítě monitoruje provoz v prohlížečích a procesech třetích stran. Následující diagram znázorňuje tento koncept. Tento diagram dvou klientů, kteří společně spolupracují na poskytování pokrytí více prohlížečů nebo aplikací, je přesný pro všechny funkce webové ochrany (indikátory, webové hrozby, filtrování obsahu).

Společné používání filtru smartScreen a ochrany sítě

Řešení potíží s bloky koncových bodů

Odpovědi z cloudu SmartScreen jsou standardizované. Nástroje jako Fiddler je možné použít ke kontrole odpovědi z cloudové služby, což vám pomůže určit zdroj bloku.

Když cloudová služba SmartScreen odpoví odpovědí typu povolení, blokování nebo upozornění, předá se do klienta zpět kategorie odpovědi a kontext serveru. V Microsoft Edgi je kategorie odpovědí to, co se používá k určení vhodné stránky blokování, která se má zobrazit (škodlivé, phishingové, organizační zásady).

Následující tabulka ukazuje odpovědi a jejich korelované funkce.


ResponseCategory Funkce zodpovědná za blok
CustomPolicy WCF
CustomBlockList Vlastní indikátory
CasbPolicy Defender for Cloud Apps
Škodlivý Webové hrozby
Útok phishing Webové hrozby

Rozšířené vyhledávání pro ochranu webu

Dotazy Kusto v rozšířeném proaktivním vyhledávání je možné použít k souhrnu bloků webové ochrany ve vaší organizaci po dobu až 30 dnů. Tyto dotazy používají výše uvedené informace k rozlišení mezi různými zdroji bloků a jejich shrnutí uživatelsky přívětivým způsobem. Například následující dotaz obsahuje seznam všech bloků WCF pocházejících z Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

Podobně můžete pomocí následujícího dotazu zobrazit seznam všech bloků WCF pocházejících z ochrany sítě (například bloku WCF v prohlížeči třetí strany). Všimněte si, že actionType se aktualizoval a prostředí se změnilo na ResponseCategory.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Pokud chcete vypsat bloky, které jsou způsobeny jinými funkcemi (jako jsou vlastní indikátory), přečtěte si výše uvedenou tabulku s popisem jednotlivých funkcí a jejich příslušných kategorií odpovědí. Tyto dotazy se také dají upravit tak, aby vyhledávají telemetrická data související s konkrétními počítači ve vaší organizaci. Všimněte si, že ActionType zobrazený v každém dotazu výše zobrazí pouze připojení blokovaná funkcí Webové ochrany, a ne všechny síťové přenosy.

Činnost koncového uživatele

Pokud uživatel navštíví webovou stránku, která představuje riziko malwaru, phishingu nebo jiných webových hrozeb, Microsoft Edge aktivuje blokovou stránku s textem "Tento web byl nahlášen jako nebezpečný" spolu s informacemi souvisejícími s touto hrozbou.

Stránka zablokovaná aplikací Microsoft Edge

Pokud ho zablokuje WCF nebo vlastní indikátor, zobrazí se v Microsoft Edgi stránka bloku s informacemi o tom, že je tento web blokovaný jeho organizací.

Stránka blokovaná vaší organizací

V každém případě se v prohlížečích třetích stran nezobrazují žádné blokové stránky a uživateli se zobrazí stránka "Zabezpečené připojení selhalo" spolu s informačním oznámením. V závislosti na zásadách zodpovědných za blokování se uživateli v informační zprávě zobrazí jiná zpráva. Při filtrování webového obsahu se například zobrazí zpráva "Tento obsah je blokovaný".

Stránka blokovaná službou WCF

Nahlásit falešně pozitivní výsledky

Pokud chcete nahlásit falešně pozitivní výsledky pro weby, které filtr SmartScreen považuje za nebezpečné, použijte odkaz, který se zobrazí na stránce blokování v Microsoft Edgi (jak je znázorněno výše).

V případě WCF můžete rozporovat kategorii domény. V sestavách WCF přejděte na kartu Domains (Domény ). Vedle každé z domén se zobrazí tři tečky. Najeďte myší na tyto tři tečky a vyberte Kategorie sporu. Otevře se informační panel. Nastavte prioritu incidentu a uveďte některé další podrobnosti, například navrženou kategorii. Další informace o tom, jak zapnout WCF a jak zpochybnit kategorie, najdete v tématu Filtrování webového obsahu.

Další informace o tom, jak odeslat falešně pozitivní/negativní výsledky, najdete v tématu Řešení falešně pozitivních/negativních výsledků v Microsoft Defender for Endpoint.


Téma Popis
Ochrana před webovou hrozbou Zastavte přístup k phishingovým webům, vektorům malwaru, zneužitým webům, nedůvěryhodným webům nebo webům s nízkou reputací a webům, které jste zablokovali.
Filtrování webového obsahu Sledujte a regulujte přístup k webům na základě jejich kategorií obsahu.