Opret indikatorer for IP'er og URL-adresser/domæner

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Oversigt

Ved at oprette indikatorer for IP-adresser og URL-adresser eller domæner kan du nu tillade eller blokere IP-adresser, URL-adresser eller domæner baseret på din egen trusselsintelligens. Du kan også advare brugerne, hvis de åbner en risikable app. Prompten forhindrer dem ikke i at bruge appen. brugere kan tilsidesætte advarslen og fortsætte med at bruge appen, hvis det er nødvendigt.

Hvis du vil blokere skadelige IP-adresser/URL-adresser, kan Defender for Endpoint bruge:

• Windows Defender SmartScreen til Microsoft-browsere
• Netværksbeskyttelse af ikke-Microsoft-browsere og processer, der ikke er browsere

Standarddatasættet til trusselsintelligens til blokering af skadelige IP-adresser/URL-adresser administreres af Microsoft.

Du kan blokere yderligere skadelige IP-adresser/URL-adresser ved at konfigurere "Brugerdefinerede netværksindikatorer".

Understøttede operativsystemer

• Windows 11
• Windows 10, version 1709 eller nyere
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016, der kører Defender for Endpoint moderne unified løsning (kræver installation via MSI)
• Windows Server 2012 R2, der kører Defender for Endpoint moderne unified løsning (kræver installation via MSI)
• macOS
• Linux
• iOS
• Android

Før du begynder

Det er vigtigt at forstå følgende forudsætninger, før du opretter indikatorer for IP-adresser, URL-adresser eller domæner.

krav til Microsoft Defender antivirusversion

Integration i Microsoft-browsere styres af browserens SmartScreen-indstilling. I andre browsere og programmer skal din organisation have:

• Microsoft Defender Antivirus konfigureret i aktiv tilstand.

• Overvågning af funktionsmåde er aktiveret.

• Skybaseret beskyttelse er slået til.

• Cloud Protection-netværksforbindelse.

• Klientversionen til antimalware skal være 4.18.1906.x eller nyere. Se Månedlige platform- og programversioner.

Krav til netværksbeskyttelse

Url-adresse/IP-tilladelse og -blokering kræver, at Microsoft Defender for Endpoint komponenten Network Protection er aktiveret i blokeringstilstand. Du kan finde flere oplysninger om Netværksbeskyttelse og konfigurationsinstruktioner under Aktivér netværksbeskyttelse.

Krav til brugerdefinerede netværksindikatorer

Hvis du vil starte blokeringen af IP-adresser og/eller URL-adresser, skal du aktivere funktionen "Brugerdefinerede netværksindikatorer" på Microsoft Defender-portalen. Funktionen findes i Indstillinger>Slutpunkter>Generelle>avancerede funktioner. Du kan få flere oplysninger under Avancerede funktioner.

Hvis du vil have hjælp til indikatorer på iOS, skal du se Microsoft Defender for Endpoint på iOS.

Hvis du vil have hjælp til indikatorer på Android, skal du se Microsoft Defender for Endpoint på Android.

Begrænsninger for indikatorliste

Det er kun eksterne IP-adresser, der kan føjes til indikatorlisten. der ikke kan oprettes indikatorer for interne IP-adresser.

Processer, der ikke er Microsoft Edge og Internet Explorer

I forbindelse med andre processer end Microsoft Edge og Internet Explorer kan webbeskyttelsesscenarier bruge Netværksbeskyttelse til inspektion og håndhævelse:

• IP-adresser understøttes for alle tre protokoller (TCP, HTTP og HTTPS (TLS))
• Kun enkelte IP-adresser understøttes (ingen CIDR-blokke eller IP-intervaller) i brugerdefinerede indikatorer
• HTTP URL-adresser (herunder en fuldstændig URL-sti) kan blokeres for alle browsere eller processer
• Fuldt kvalificerede HTTPS-domænenavne (FQDN) kan blokeres i ikke-Microsoft-browsere (indikatorer, der angiver en fuld URL-sti, kan kun blokeres i Microsoft Edge)
• Blokering af FQDN'er i ikke-Microsoft-browsere kræver, at QUIC og Encrypted Client Hello er deaktiveret i disse browsere
• FQDN'er, der indlæses via HTTP2-forbindelsesforbindelser, kan kun blokeres i Microsoft Edge
• Hvis der er modstridende politikker for URL-indikator, anvendes den længere sti. URL-indikatorpolitikken https://support.microsoft.com/office har f.eks. forrang frem for URL-indikatorpolitikken https://support.microsoft.com.

Implementering af netværksbeskyttelse

I ikke-Microsoft Edge-processer bestemmer Network Protection det fuldt kvalificerede domænenavn for hver HTTPS-forbindelse ved at undersøge indholdet af det TLS-håndtryk, der forekommer efter et TCP/IP-håndtryk. Dette kræver, at HTTPS-forbindelsen bruger TCP/IP (ikke UDP/QUIC), og at ClientHello-meddelelsen ikke krypteres. Hvis du vil deaktivere QUIC og Encrypted Client Hello i Google Chrome, skal du se QuicAllowed og EncryptedClientHelloEnabled. For Mozilla Firefox skal du se Disable EncryptedClientHello og network.http.http3.enable.

Afgørelsen af, om der skal tillades eller blokeres adgang til et websted, foretages efter afslutningen af trevejshandsken via TCP/IP og TLS-håndtryk . Når et websted er blokeret af netværksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under NetworkConnectionEvents på Microsoft Defender-portalen, selvom webstedet er blokeret. NetworkConnectionEvents rapporteres fra TCP-laget og ikke fra netværksbeskyttelse. Når det trevejshåndtryk er fuldført, er adgang til webstedet tilladt eller blokeret af netværksbeskyttelse.

Her er et eksempel på, hvordan det fungerer:

1. Lad os antage, at en bruger forsøger at få adgang til et websted på sin enhed. Webstedet hostes tilfældigvis på et farligt domæne, og det bør blokeres af netværksbeskyttelse.

2. TCP/IP-håndtrykket begynder. Før den fuldføres, logføres en NetworkConnectionEvents handling, og den ActionType er angivet som ConnectionSuccess. Men så snart TCP/IP-handshakeprocessen er fuldført, blokerer netværksbeskyttelse adgangen til webstedet. Alt dette sker hurtigt. En lignende proces forekommer med Microsoft Defender SmartScreen. Det er, når håndtrykket er fuldført, at der foretages en bestemmelse, og adgang til et websted enten er blokeret eller tilladt.

3. I Microsoft Defender-portalen vises en besked i beskedkøen. Oplysningerne om denne besked omfatter både NetworkConnectionEvents og AlertEvents. Du kan se, at webstedet er blokeret, selvom du også har et NetworkConnectionEvents element med ActionType for ConnectionSuccess.

Kontrolelementer i advarselstilstand

Når du bruger advarselstilstand, kan du konfigurere følgende kontrolelementer:

• Overløbs evne

  • Knappen Tillad i Microsoft Edge
  • Knappen Tillad på toast (ikke-Microsoft-browsere)
  • Overløb varighedsparameteren på indikatoren
  • Tilsidesæt håndhævelse på tværs af Microsoft- og ikke-Microsoft-browsere

• URL-adresse til omdirigering

  • URL-adresseparameter for omdirigering på indikatoren
  • URL-adresse til omdirigering i Microsoft Edge
  • URL-adresse til omdirigering på toast (ikke-Microsoft-browsere)

Du kan finde flere oplysninger under Styr de apps, der registreres af Microsoft Defender for Endpoint.

Rækkefølge for håndtering af konflikter i forbindelse med indikator-IP-adresse og domænepolitik

Politikkonflikthåndtering for domæner/URL-adresser/IP-adresser adskiller sig fra håndtering af politikkonflikter for certifikater.

Hvis der er angivet flere forskellige handlingstyper for den samme indikator (f.eks. tre indikatorer for Microsoft.com med handlingstyperne blok,advars og tillad), vil disse handlingstyper træde i kraft:

1. Tillad

2. Advare

3. Bloker

"Allow" tilsidesætter "warn", som tilsidesætter "block" på følgende måde: Allow>>WarnBlock. Derfor er det tilladt i det forrige eksempel Microsoft.com .

indikatorer for Defender for Cloud Apps

Hvis din organisation har aktiveret integration mellem Defender for Endpoint og Defender for Cloud Apps, oprettes der blokindikatorer i Defender for Endpoint for alle ikke-registrerede cloudprogrammer. Hvis et program sættes i overvågningstilstand, oprettes der advarselsindikatorer (blok, der kan tilsidesættes) for de URL-adresser, der er knyttet til programmet. Tillad indikatorer oprettes ikke automatisk for godkendte programmer. Indikatorer, der oprettes af Defender for Cloud Apps følger den samme politikkonflikthåndtering, der er beskrevet i forrige afsnit.

Prioritet for politik

Microsoft Defender for Endpoint politik har forrang frem for Microsoft Defender Antivirus-politik. I situationer, hvor Defender for Endpoint er angivet til Allow, men Microsoft Defender Antivirus er angivet til Block, er Allowresultatet .

Rangplacering for flere aktive politikker

Anvendelse af flere forskellige politikker til filtrering af webindhold på den samme enhed resulterer i den mere restriktive politik, der gælder for hver kategori. Overvej følgende scenarie:

• Politik 1 blokerer kategori 1 og 2 og overvåger resten
• Politik 2 blokerer kategori 3 og 4 og overvåger resten

Resultatet er, at kategorierne 1-4 er blokeret. Dette scenarie er illustreret på følgende billede.

Opret en indikator for IP-adresser, URL-adresser eller domæner fra indstillingssiden

1. Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.

2. Vælg fanen IP-adresser eller URL-adresser/domæner .

3. Vælg Tilføj element.

4. Angiv følgende oplysninger:

   • Indikator: Angiv enhedsdetaljerne, og definer indikatorens udløb.
   • Handling: Angiv den handling, der skal udføres, og angiv en beskrivelse.
   • Område: Angiv den eller de computergrupper, der skal gennemtvinge indikatoren.

5. Gennemse oplysningerne under fanen Oversigt , og vælg derefter Gem.

Vigtigt!

Det kan tage op til 48 timer, efter at der er oprettet en politik for en URL-adresse eller IP-adresse, der skal blokeres på en enhed. I de fleste tilfælde træder blokke i kraft om under to timer.

Relaterede artikler

• Opret indikatorer
• Opret indikatorer for filer
• Opret indikatorer baseret på certifikater
• Administrer indikatorer
• Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.