Del via

Webbeskyttelse

  • Artikel

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Om webbeskyttelse

Webbeskyttelse i Microsoft Defender for Endpoint består af webtrusselbeskyttelse, filtrering af webindhold og brugerdefinerede indikatorer. Med webbeskyttelse kan du beskytte dine enheder mod webtrusler og hjælpe dig med at regulere uønsket indhold. Du kan finde webbeskyttelsesrapporter på Microsoft Defender-portalen ved at gå til Webbeskyttelse af rapporter>.

Webbeskyttelseskortene

Beskyttelse mod webtrusler

De kort, der udgør webtrusselbeskyttelse, er webtrusselsregistreringer over tid og webtrusseloversigt.

Beskyttelse af webtrusler omfatter:

  • Omfattende synlighed af webtrusler, der påvirker din organisation.
  • Undersøgelsesfunktioner via webrelateret trusselsaktivitet via beskeder og omfattende profiler af URL-adresser og de enheder, der har adgang til disse URL-adresser.
  • Et komplet sæt sikkerhedsfunktioner, der sporer generelle adgangstendenser til skadelige og uønskede websteder.

Bemærk!

I forbindelse med andre processer end Microsoft Edge og Internet Explorer bruger webbeskyttelsesscenarier Netværksbeskyttelse til inspektion og håndhævelse:

  • IP understøttes for alle tre protokoller (TCP, HTTP og HTTPS (TLS)).
  • Det er kun enkelte IP-adresser, der understøttes (ingen CIDR-blokke eller IP-områder) i brugerdefinerede indikatorer.
  • Krypterede URL-adresser (fuld sti) kan kun blokeres i førstepartsbrowsere (Internet Explorer, Edge).
  • Krypterede URL-adresser (kun FQDN) kan blokeres i tredjepartsbrowsere (dvs. andre end Internet Explorer, Edge).
  • Der kan anvendes komplette URL-stiblokke for ukrypterede URL-adresser.

Der kan være op til to timers ventetid (normalt mindre) mellem det tidspunkt, hvor handlingen udføres, og URL-adressen og IP-adressen, der blokeres. Du kan få flere oplysninger under Beskyttelse mod webtrusler.

Brugerdefinerede indikatorer

Brugerdefinerede indikatorregistreringer opsummeres også i dine organisationers webtrusselrapporter under webtrusselsregistreringer over tid og oversigt over webtrusler.

Brugerdefineret indikator indeholder:

  • Mulighed for at oprette IP- og URL-baserede indikatorer for kompromis for at beskytte din organisation mod trusler.
  • Undersøgelsesfunktioner over aktiviteter, der er relateret til dine brugerdefinerede IP/URL-profiler og de enheder, der har adgang til disse URL-adresser.
  • Muligheden for at oprette politikker for Tillad, Bloker og Advar for IP-adresser og URL-adresser.

Du kan få flere oplysninger under Opret indikatorer for IP-adresser og URL-adresser/domæner

Filtrering af webindhold

Filtrering af webindhold omfatter webaktivitet efter kategori, oversigt over filtrering af webindhold og webaktivitetsoversigt.

Filtrering af webindhold omfatter:

  • Brugerne forhindres i at få adgang til websteder i blokerede kategorier, uanset om de søger i det lokale miljø eller væk fra webstedet.
  • Du kan nemt installere forskellige politikker til forskellige brugersæt ved hjælp af de enhedsgrupper, der er defineret i Microsoft Defender for Endpoint rollebaserede indstillinger for adgangskontrol.

    Bemærk!

    Oprettelse af enhedsgruppe understøttes i Defender for Endpoint Plan 1 og Plan 2.

  • Du kan få adgang til webrapporter på den samme centrale placering med synlighed over faktiske blokke og webforbrug.

Du kan få flere oplysninger under Filtrering af webindhold.

Rangorden

Webbeskyttelse består af følgende komponenter, der er angivet i prioriteret rækkefølge. Hver af disse komponenter gennemtvinges af SmartScreen-klienten i Microsoft Edge og af Network Protection-klienten i alle andre browsere og processer.

  • Brugerdefinerede indikatorer (IP/URL, Microsoft Defender for Cloud Apps politikker)

    • Tillad
    • Advare
    • Bloker

  • Webtrusler (malware, phish)

    • SmartScreen Intel, herunder Exchange Online Protection (EOP)
    • Eskaleringer

  • WCF (Web Content Filtering)

Bemærk!

Microsoft Defender for Cloud Apps genererer i øjeblikket kun indikatorer for blokerede URL-adresser.

Rangplaceringsrækkefølgen er relateret til den rækkefølge af handlinger, som en URL-adresse eller IP-adresse evalueres efter. Hvis du f.eks. har en politik til filtrering af webindhold, kan du oprette udeladelser via brugerdefinerede IP/URL-indikatorer. Brugerdefinerede indikatorer for kompromis (IoC) har højere prioritetsrækkefølge end WCF-blokke.

På samme måde kan tillad under en konflikt mellem indikatorer altid have forrang over blokke (tilsidesættelseslogik). Det betyder, at en tilladelsesindikator har forrang over en hvilken som helst blokindikator, der findes.

I følgende tabel opsummeres nogle almindelige konfigurationer, der ville give konflikter i webbeskyttelsesstakken. Den identificerer også de resulterende beslutninger baseret på den rangplacering, der er beskrevet tidligere i denne artikel.

Brugerdefineret indikatorpolitik Webtrusselpolitik WCF-politik Defender for Cloud Apps politik Resultat
Tillad Bloker Bloker Bloker Tillad (tilsidesættelse af webbeskyttelse)
Tillad Tillad Bloker Bloker Tillad (WCF-undtagelse)
Advare Bloker Bloker Bloker Advar (tilsidesæt)

Interne IP-adresser understøttes ikke af brugerdefinerede indikatorer. Hvis en advarselspolitik tilsidesættes af slutbrugeren, fjernes blokeringen af webstedet som standard i 24 timer for den pågældende bruger. Denne tidsramme kan ændres af Administration og overføres af SmartScreen-cloudtjenesten. Muligheden for at omgå en advarsel kan også deaktiveres i Microsoft Edge ved hjælp af CSP til webtrusselblokke (malware/phishing). Du kan få flere oplysninger under Indstillinger for SmartScreen for Microsoft Edge.

Beskyt browsere

I alle webbeskyttelsesscenarier kan SmartScreen og Network Protection bruges sammen for at sikre beskyttelse på tværs af både Microsoft- og ikke-Microsoft-browsere og -processer. SmartScreen er indbygget direkte i Microsoft Edge, mens Network Protection overvåger trafik i ikke-Microsoft-browsere og -processer. I følgende diagram illustreres dette koncept. Dette diagram over de to klienter, der arbejder sammen om at levere flere browser-/app-dækninger, er nøjagtigt for alle funktioner i Web Protection (indikatorer, webtrusler, indholdsfiltrering).

Bemærk!

Brugerdefinerede indikatorer for funktioner til filtrering af kompromitteret indhold og webindhold understøttes i øjeblikket ikke i Application Guard sessioner af Microsoft Edge. Disse browsersessioner i objektbeholdere kan kun gennemtvinge webtrusselblokke via den indbyggede SmartScreen-beskyttelse. De kan ikke gennemtvinge nogen politikker til webbeskyttelse i virksomheden. Brugen af smartScreen og Network Protection sammen

Foretag fejlfinding af slutpunktblokke

Svar fra SmartScreen-clouden standardiseres. Værktøjer som Fiddler kan bruges til at inspicere svaret fra cloudtjenesten, hvilket hjælper med at bestemme kilden til blokken.

Når SmartScreen-cloudtjenesten reagerer med et allow-, block- eller warn-svar, videresendes en svarkategori og serverkontekst til klienten. I Microsoft Edge er svarkategorien den, der bruges til at bestemme den relevante blokside, der skal vises (ondsindet, phishing, organisationspolitik).

I følgende tabel vises svarene og deres korrelerede funktioner.

Svarkategori Funktion, der er ansvarlig for blokken
Brugerdefineret politik WCF
CustomBlockList Brugerdefinerede indikatorer
CasbPolicy Defender for Cloud Apps
Ondsindet Webtrusler
Phishing Webtrusler

Avanceret søgning efter webbeskyttelse

Kusto-forespørgsler i avanceret jagt kan bruges til at opsummere webbeskyttelsesblokke i din organisation i op til 30 dage. Disse forespørgsler bruger de oplysninger, der er angivet ovenfor, til at skelne mellem de forskellige kilder til blokke og opsummere dem på en brugervenlig måde. Følgende forespørgsel viser f.eks. alle WCF-blokke, der stammer fra Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

På samme måde kan du bruge følgende forespørgsel til at få vist alle WCF-blokke, der stammer fra Network Protection (f.eks. en WCF-blok i en ikke-Microsoft-browser). ActionType opdateres og Experience ændres til ResponseCategory.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Hvis du vil have vist blokke, der skyldes andre funktioner (f.eks. brugerdefinerede indikatorer), skal du se den tabel, der er angivet tidligere i denne artikel. I tabellen beskrives hver funktion og deres respektive svarkategori. Disse forespørgsler kan ændres for at søge efter telemetri, der er relateret til bestemte maskiner i din organisation. Den ActionType, der vises i hver forespørgsel, viser kun de forbindelser, der blev blokeret af en webbeskyttelsesfunktion og ikke al netværkstrafik.

Brugeroplevelse

Hvis en bruger besøger en webside, der udgør en risiko for malware, phishing eller andre webtrusler, udløser Microsoft Edge en blokside, der ligner følgende billede:

Skærmbillede, der viser en ny blokeringsmeddelelse for et websted.

Fra og med Microsoft Edge 124 vises følgende blokside for alle kategoriblokke til filtrering af webindhold.

Skærmbillede, der viser blokeret indhold.

Under alle omstændigheder vises der ingen bloksider i ikke-Microsoft-browsere, og brugeren får vist siden "Sikker forbindelse mislykkedes" sammen med en toastmeddelelse. Afhængigt af den politik, der er ansvarlig for blokken, får en bruger vist en anden meddelelse i toastmeddelelsen. Filtrering af webindhold viser f.eks. meddelelsen "Dette indhold er blokeret".

Rapportér falske positiver

Hvis du vil rapportere et falsk positivt for websteder, der er blevet betragtet som farlige af SmartScreen, skal du bruge det link, der vises på bloksiden i Microsoft Edge (som vist tidligere i denne artikel).

For WCF kan du bestride kategorien for et domæne. Gå til fanen Domæner i WCF-rapporterne. Du kan se en ellipse ud for hvert af domænerne. Peg på denne ellipse, og vælg Bestridelseskategori. Der åbnes et pop op-vindue. Angiv prioriteten for hændelsen, og angiv nogle andre oplysninger, f.eks. den foreslåede kategori. Du kan få flere oplysninger om, hvordan du slår WCF til, og hvordan du bestrider kategorier, under Filtrering af webindhold.

Du kan finde flere oplysninger om, hvordan du indsender falske positiver/negativer, i Adresse falske positive/negative i Microsoft Defender for Endpoint.

Artikel Beskrivelse
Beskyttelse mod webtrusler Undgå adgang til phishing-websteder, malwarevektorer, udnytte websteder, websteder, der ikke er tillid til, eller websteder med lavt omdømme og websteder, der er blokeret.
Filtrering af webindhold Spor og regulerer adgangen til websteder baseret på deres indholdskategorier.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.