Erstellen von Indikatoren für IPs und URLs/Domänen

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Tipp

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Übersicht

Durch das Erstellen von Indikatoren für IP-Adressen und URLs oder Domänen können Sie jetzt IP-Adressen, URLs oder Domänen basierend auf Ihrer eigenen Threat Intelligence zulassen oder blockieren. Sie können Benutzer auch mit einer Eingabeaufforderung warnen, wenn sie eine riskante App öffnen. Die Eingabeaufforderung hindert sie nicht daran, die App zu verwenden, aber Sie können eine benutzerdefinierte Nachricht und Links zu einer Unternehmensseite bereitstellen, die die entsprechende Verwendung der App beschreibt. Benutzer können die Warnung weiterhin umgehen und die App bei Bedarf weiterhin verwenden.

Um böswillige IP-Adressen/URLs (wie von Microsoft bestimmt) zu blockieren, kann Defender für Endpunkt Folgendes verwenden:

• Windows Defender SmartScreen für Microsoft-Browser
• Netzwerkschutz für Nicht-Microsoft-Browser oder Aufrufe außerhalb eines Browsers

Das Threat Intelligence-Dataset zum Blockieren bösartiger IP-Adressen/URLs wird von Microsoft verwaltet.

Sie können böswillige IP-Adressen/URLs über die Einstellungsseite oder durch Computergruppen blockieren, wenn Sie bestimmte Gruppen für mehr oder weniger gefährdet erahen als andere.

Hinweis

Die CIDR-Notation (Classless Inter-Domain Routing) für IP-Adressen wird nicht unterstützt.

Unterstützte Betriebssysteme

• Windows 11
• Windows 10, Version 1709 oder höher
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 ausführung der modernen einheitlichen Defender für Endpunkt-Lösung (installation über MSI erforderlich)
• Windows Server 2012 R2 mit moderner einheitlicher Defender für Endpunkt-Lösung (installation über MSI erforderlich)
• macOS
• Linux
• iOS
• Android

Bevor Sie beginnen

Es ist wichtig, die folgenden Voraussetzungen zu verstehen, bevor Sie Indikatoren für IPS, URLs oder Domänen erstellen.

Microsoft Defender Antivirus-Versionsanforderungen

Dieses Feature ist verfügbar, wenn Ihr organization Microsoft Defender Antivirus (im aktiven Modus) verwendet.

Die Verhaltensüberwachung ist aktiviert.

Der cloudbasierte Schutz ist aktiviert.

Cloud Protection-Netzwerkkonnektivität ist funktionsfähig

Die Antischadsoftwareclientversion muss oder höher sein 4.18.1906.x . Weitere Informationen finden Sie unter Monatliche Plattform- und Engine-Versionen.

Anforderungen an den Netzwerkschutz

Url/IP zulassen und blockieren erfordert, dass die Microsoft Defender for Endpoint Komponente Netzwerkschutz im Blockmodus aktiviert ist. Weitere Informationen zu Netzwerkschutz und Konfigurationsanweisungen finden Sie unter Aktivieren des Netzwerkschutzes.

Anforderungen an benutzerdefinierte Netzwerkindikatoren

Um mit dem Blockieren von IP-Adressen und/oder URLs zu beginnen, aktivieren Sie die Funktion "Benutzerdefinierte Netzwerkindikatoren" im Microsoft Defender-Portal, wechseln Sie zu Einstellungen>Endpunkte>Allgemein>Erweiterte Features. Weitere Informationen finden Sie unter Erweiterte Features.

Informationen zur Unterstützung von Indikatoren unter iOS finden Sie unter Microsoft Defender for Endpoint unter iOS.

Informationen zur Unterstützung von Indikatoren unter Android finden Sie unter Microsoft Defender for Endpoint unter Android.

Einschränkungen der IoC-Indikatorliste

Nur externe IP-Adressen können der Indikatorliste hinzugefügt werden. Indikatoren können nicht für interne IP-Adressen erstellt werden. Für Webschutzszenarien empfehlen wir die Verwendung der integrierten Funktionen in Microsoft Edge. Microsoft Edge nutzt den Netzwerkschutz , um den Netzwerkdatenverkehr zu untersuchen, und ermöglicht Blöcke für TCP, HTTP und HTTPS (TLS).

Nicht-Microsoft Edge- und Internet-Explorer-Prozesse

Für andere Prozesse als Microsoft Edge und Internet Explorer nutzen Webschutzszenarien Netzwerkschutz für die Überprüfung und Durchsetzung:

• IP wird für alle drei Protokolle (TCP, HTTP und HTTPS (TLS)) unterstützt.
• In benutzerdefinierten Indikatoren werden nur einzelne IP-Adressen unterstützt (keine CIDR-Blöcke oder IP-Bereiche).
• Verschlüsselte URLs (vollständiger Pfad) können nur in Erstanbieterbrowsern (Internet Explorer, Edge) blockiert werden.
• Verschlüsselte URLs (nur FQDN) können in Browsern von Drittanbietern blockiert werden (d. a. außer Internet Explorer, Edge).
• Vollständige URL-Pfadblöcke können auf unverschlüsselte URLs angewendet werden.
• Wenn es in Konflikt stehende URL-Indikatorrichtlinien gibt, wird der längere Pfad angewendet. Beispielsweise hat die URL-Indikatorrichtlinie https://support.microsoft.com/office Vorrang vor der URL-Indikatorrichtlinie https://support.microsoft.com.
• Im Fall von Url-Indikator-Richtlinienkonflikten wird der längere Pfad möglicherweise aufgrund der Umleitung nicht angewendet. Registrieren Sie in solchen Fällen eine nicht umgeleitete URL.

Hinweis

Benutzerdefinierte Indikatoren für Gefährdungs- und Webinhaltsfilterungsfeatures werden derzeit in Application Guard Sitzungen von Microsoft Edge nicht unterstützt. Diese containerisierten Browsersitzungen können nur Webbedrohungsblöcke über den integrierten SmartScreen-Schutz erzwingen. Sie können keine Unternehmenswebschutzrichtlinien erzwingen.

Netzwerkschutz und der dreiseitige TCP-Handshake

Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn ein Standort durch Netzwerkschutz blockiert wird, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess unter NetworkConnectionEvents angezeigt, obwohl die Website blockiert wurde. NetworkConnectionEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.

Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:

1. Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.

2. Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine NetworkConnectionEvents Aktion protokolliert, die ActionType als ConnectionSuccessaufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.

3. Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als AlertEventsauch NetworkConnectionEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über ein NetworkConnectionEvents Element mit dem ActionType von ConnectionSuccessverfügen.

Warnmodussteuerelemente

Wenn Sie den Warnmodus verwenden, können Sie die folgenden Steuerelemente konfigurieren:

• Umgehungsmöglichkeit

  • Schaltfläche "Zulassen" in Edge
  • Schaltfläche "Zulassen" im Popup (Nicht-Microsoft-Browser)
  • Umgehen des Dauerparameters für den Indikator
  • Umgehen der Erzwingung über Microsoft- und Nicht-Microsoft-Browser hinweg

• Umleitungs-URL

  • Umleitungs-URL-Parameter für den Indikator
  • Umleitungs-URL in Edge
  • Umleitungs-URL für Popups (Nicht-Microsoft-Browser)

Weitere Informationen finden Sie unter Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden.

Reihenfolge der Behandlung von IoC-IP-URL und Domänenrichtlinienkonflikten

Die Behandlung von Richtlinienkonflikten für Domänen/URLs/IP-Adressen unterscheidet sich von der Richtlinienkonfliktbehandlung für Zertifikate.

Wenn mehrere verschiedene Aktionstypen für denselben Indikator festgelegt sind (z. B. blockieren, warnen und zulassen, Aktionstypen, die für Microsoft.com festgelegt sind), lautet die Reihenfolge, in der diese Aktionstypen wirksam werden würden:

1. Zulassen
2. Warnen
3. Blockieren

"Allow" überschreibt "warn", wodurch "block" wie folgt überschrieben wird: AllowBlock>Warn>. Daher wäre im vorherigen Beispiel Microsoft.com zulässig.

Defender for Cloud Apps Indikatoren

Wenn Ihr organization die Integration zwischen Defender für Endpunkt und Defender for Cloud Apps aktiviert hat, werden in Defender für Endpunkt Blockindikatoren für alle nicht genehmigten Cloudanwendungen erstellt. Wenn eine Anwendung in den Überwachungsmodus versetzt wird, werden Warnindikatoren (umgehungsfähiger Block) für die urLs erstellt, die der Anwendung zugeordnet sind. Zulassungsindikatoren können derzeit nicht für sanktionierte Anwendungen erstellt werden. Von Defender for Cloud Apps erstellte Indikatoren folgen der im vorherigen Abschnitt beschriebenen Behandlung von Richtlinienkonflikten.

Vorrang von Richtlinien

Microsoft Defender for Endpoint Richtlinie hat Vorrang vor Microsoft Defender Antivirenrichtlinie. In Situationen, in dem Defender für Endpunkt auf Allowfestgelegt ist, aber Microsoft Defender Antivirus auf Blockfestgelegt ist, wird die Richtlinie standardmäßig auf festgelegtAllow.

Rangfolge für mehrere aktive Richtlinien

Das Anwenden mehrerer verschiedener Richtlinien zum Filtern von Webinhalten auf dasselbe Gerät führt dazu, dass die restriktivere Richtlinie für jede Kategorie gilt. Stellen Sie sich folgendes Szenario vor:

• Richtlinie 1 blockiert die Kategorien 1 und 2 und überwacht den Rest.
• Richtlinie 2 blockiert die Kategorien 3 und 4 und überwacht den Rest.

Das Ergebnis ist, dass die Kategorien 1 bis 4 alle blockiert sind. Dies wird in der folgenden Abbildung veranschaulicht.

Erstellen eines Indikators für IP-Adressen, URLs oder Domänen auf der Einstellungsseite

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

2. Wählen Sie die Registerkarte IP-Adressen oder URLs/Domänen aus.

3. Wählen Sie Element hinzufügen aus.

4. Geben Sie die folgenden Details an:

   • Indikator: Geben Sie die Entitätsdetails an, und definieren Sie den Ablauf des Indikators.
   • Aktion: Geben Sie die auszuführende Aktion an, und geben Sie eine Beschreibung an.
   • Bereich: Definiert den Bereich der Computergruppe.

5. Überprüfen Sie die Details auf der Registerkarte Zusammenfassung , und wählen Sie dann Speichern aus.

Wichtig

Es kann bis zu 48 Stunden dauern, nachdem eine Richtlinie erstellt wurde, bis eine URL oder IP-Adresse auf einem Gerät blockiert wird.

Verwandte Artikel

• Indikatoren erstellen
• Erstellen von Indikatoren für Dateien
• Erstellen von Indikatoren basierend auf Zertifikaten
• Indikatoren verwalten
• Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.