Erstellen von Indikatoren für IPs und URLs/Domänen

  • Artikel

Gilt für:

Tipp

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Übersicht

Durch das Erstellen von Indikatoren für IP-Adressen und URLs oder Domänen können Sie jetzt IP-Adressen, URLs oder Domänen basierend auf Ihrer eigenen Threat Intelligence zulassen oder blockieren. Sie können Benutzer auch mit einer Eingabeaufforderung warnen, wenn sie eine riskante App öffnen. Die Eingabeaufforderung hindert sie nicht daran, die App zu verwenden, aber Sie können eine benutzerdefinierte Nachricht und Links zu einer Unternehmensseite bereitstellen, die die entsprechende Verwendung der App beschreibt. Benutzer können die Warnung weiterhin umgehen und die App bei Bedarf weiterhin verwenden.

Um böswillige IP-Adressen/URLs (wie von Microsoft bestimmt) zu blockieren, kann Defender für Endpunkt Folgendes verwenden:

  • Windows Defender SmartScreen für Microsoft-Browser
  • Netzwerkschutz für Nicht-Microsoft-Browser oder Aufrufe außerhalb eines Browsers

Das Threat Intelligence-Dataset zum Blockieren bösartiger IP-Adressen/URLs wird von Microsoft verwaltet.

Sie können böswillige IP-Adressen/URLs über die Einstellungsseite oder durch Computergruppen blockieren, wenn Sie bestimmte Gruppen für mehr oder weniger gefährdet erahen als andere.

Hinweis

Die CIDR-Notation (Classless Inter-Domain Routing) für IP-Adressen wird nicht unterstützt.

Bevor Sie beginnen:

Es ist wichtig, die folgenden Voraussetzungen zu verstehen, bevor Sie Indikatoren für IPS, URLs oder Domänen erstellen:

Anforderungen an den Netzwerkschutz

Url/IP zulassen und blockieren erfordert, dass die Microsoft Defender for Endpoint Komponente Netzwerkschutz im Blockmodus aktiviert ist. Weitere Informationen zu Netzwerkschutz und Konfigurationsanweisungen finden Sie unter Aktivieren des Netzwerkschutzes.

Unterstützte Betriebssysteme

  • Windows 10, Version 1709 oder höher
  • Windows 11
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2019
  • Windows Server 2022
  • macOS
  • Linux
  • iOS
  • Android

anforderungen an Windows Server 2016 und Windows Server 2012 R2

Windows Server 2016 und Windows Server 2012 R2 müssen mithilfe der Anweisungen unter Onboarding von Windows-Servern integriert werden.

Microsoft Defender Antivirus-Versionsanforderungen

Die Antischadsoftware-Clientversion muss 4.18.1906.x oder höher sein.

Anforderungen an benutzerdefinierte Netzwerkindikatoren

Stellen Sie sicher, dass benutzerdefinierte Netzwerkindikatoren in Microsoft Defender XDR>Einstellungen>Erweiterte Features aktiviert sind. Weitere Informationen finden Sie unter Erweiterte Features.

Informationen zur Unterstützung von Indikatoren unter iOS finden Sie unter Microsoft Defender for Endpoint unter iOS.

Informationen zur Unterstützung von Indikatoren unter Android finden Sie unter Microsoft Defender for Endpoint unter Android.

Einschränkungen der IoC-Indikatorliste

Nur externe IP-Adressen können der Indikatorliste hinzugefügt werden. Indikatoren können nicht für interne IP-Adressen erstellt werden. Für Webschutzszenarien empfehlen wir die Verwendung der integrierten Funktionen in Microsoft Edge. Microsoft Edge nutzt den Netzwerkschutz , um den Netzwerkdatenverkehr zu untersuchen, und ermöglicht Blöcke für TCP, HTTP und HTTPS (TLS).

Nicht-Microsoft Edge- und Internet-Explorer-Prozesse

Für andere Prozesse als Microsoft Edge und Internet Explorer nutzen Webschutzszenarien Netzwerkschutz für die Überprüfung und Durchsetzung:

  • IP wird für alle drei Protokolle (TCP, HTTP und HTTPS (TLS)) unterstützt.
  • In benutzerdefinierten Indikatoren werden nur einzelne IP-Adressen unterstützt (keine CIDR-Blöcke oder IP-Bereiche).
  • Verschlüsselte URLs (vollständiger Pfad) können nur in Erstanbieterbrowsern (Internet Explorer, Edge) blockiert werden.
  • Verschlüsselte URLs (nur FQDN) können in Browsern von Drittanbietern blockiert werden (d. a. außer Internet Explorer, Edge).
  • Vollständige URL-Pfadblöcke können auf unverschlüsselte URLs angewendet werden.
  • Wenn es in Konflikt stehende URL-Indikatorrichtlinien gibt, wird der längere Pfad angewendet. Beispielsweise hat die URL-Indikatorrichtlinie https://support.microsoft.com/office Vorrang vor der URL-Indikatorrichtlinie https://support.microsoft.com.

Netzwerkschutz und der dreiseitige TCP-Handshake

Beim Netzwerkschutz wird bestimmt, ob der Zugriff auf einen Standort zugelassen oder blockiert werden soll, nachdem der Drei-Wege-Handshake über TCP/IP abgeschlossen wurde. Wenn ein Standort durch Netzwerkschutz blockiert wird, wird im Microsoft Defender Portal möglicherweise der Aktionstyp ConnectionSuccess unter NetworkConnectionEvents angezeigt, obwohl die Website blockiert wurde. NetworkConnectionEvents werden von der TCP-Ebene und nicht vom Netzwerkschutz gemeldet. Nach Abschluss des Drei-Wege-Handshakes wird der Zugriff auf die Website durch den Netzwerkschutz zugelassen oder blockiert.

Hier sehen Sie ein Beispiel dafür, wie dies funktioniert:

  1. Angenommen, ein Benutzer versucht, auf einem Gerät auf eine Website zuzugreifen. Die Website wird in einer gefährlichen Domäne gehostet und sollte durch den Netzwerkschutz blockiert werden.

  2. Der Drei-Wege-Handshake über TCP/IP beginnt. Bevor sie abgeschlossen ist, wird eine NetworkConnectionEvents Aktion protokolliert, die ActionType als ConnectionSuccessaufgeführt wird. Sobald der Drei-Wege-Handshakeprozess abgeschlossen ist, blockiert der Netzwerkschutz jedoch den Zugriff auf den Standort. All dies geschieht schnell. Ein ähnlicher Prozess tritt bei Microsoft Defender SmartScreen auf. Wenn der Drei-Wege-Handshake abgeschlossen ist, wird eine Bestimmung getroffen, und der Zugriff auf eine Website wird entweder blockiert oder zugelassen.

  3. Im Microsoft Defender-Portal wird eine Warnung in der Warnungswarteschlange aufgeführt. Details zu dieser Warnung enthalten sowohl als AlertEventsauch NetworkConnectionEvents . Sie können sehen, dass die Website blockiert wurde, obwohl Sie auch über ein NetworkConnectionEvents Element mit dem ActionType von ConnectionSuccessverfügen.

Warnmodussteuerelemente

Wenn Sie den Warnmodus verwenden, können Sie die folgenden Steuerelemente konfigurieren:

  • Umgehungsmöglichkeit

    • Schaltfläche "Zulassen" in Edge
    • Schaltfläche "Zulassen" im Popup (Nicht-Microsoft-Browser)
    • Umgehen des Dauerparameters für den Indikator
    • Umgehen der Erzwingung über Microsoft- und Nicht-Microsoft-Browser hinweg

  • Umleitungs-URL

    • Umleitungs-URL-Parameter für den Indikator
    • Umleitungs-URL in Edge
    • Umleitungs-URL für Popups (Nicht-Microsoft-Browser)

Weitere Informationen finden Sie unter Steuern von Apps, die von Microsoft Defender for Endpoint ermittelt wurden.

Reihenfolge der Behandlung von IoC-IP-URL und Domänenrichtlinienkonflikten

Die Behandlung von Richtlinienkonflikten für Domänen/URLs/IP-Adressen unterscheidet sich von der Richtlinienkonfliktbehandlung für Zertifikate.

Wenn mehrere verschiedene Aktionstypen für denselben Indikator festgelegt sind (z. B. blockieren, warnen und zulassen, Aktionstypen, die für Microsoft.com festgelegt sind), lautet die Reihenfolge, in der diese Aktionstypen wirksam werden würden:

  1. Zulassen
  2. Warnen
  3. Blockieren

Zulassen von Außerkraftsetzungen warnen, welche Außerkraftsetzungen blockieren: Warnsperre > zulassen>. Daher wäre im obigen Beispiel Microsoft.com zulässig.

Defender für Cloud-Apps-Indikatoren

Wenn Ihr organization die Integration zwischen Defender für Endpunkt und Defender für Cloud-Apps aktiviert hat, werden in Defender für Endpunkt Blockindikatoren für alle nicht sanktionierten Cloudanwendungen erstellt. Wenn eine Anwendung in den Überwachungsmodus versetzt wird, werden Warnindikatoren (umgehungsfähiger Block) für die urLs erstellt, die der Anwendung zugeordnet sind. Zulassungsindikatoren können derzeit nicht für sanktionierte Anwendungen erstellt werden. Von Defender für Cloud Apps erstellte Indikatoren folgen der gleichen Richtlinienkonfliktbehandlung, die im vorherigen Abschnitt beschrieben wurde.

Vorrang von Richtlinien

Microsoft Defender for Endpoint Richtlinie hat Vorrang vor Microsoft Defender Antivirenrichtlinie. In Situationen, in denen Defender für Endpunkt auf Zulassen festgelegt ist, aber Microsoft Defender Antivirus auf Blockieren festgelegt ist, wird die Richtlinie standardmäßig auf Zulassen festgelegt.

Rangfolge für mehrere aktive Richtlinien

Das Anwenden mehrerer verschiedener Richtlinien zum Filtern von Webinhalten auf dasselbe Gerät führt dazu, dass die restriktivere Richtlinie für jede Kategorie gilt. Stellen Sie sich folgendes Szenario vor:

  • Richtlinie 1 blockiert die Kategorien 1 und 2 und überwacht den Rest.
  • Richtlinie 2 blockiert die Kategorien 3 und 4 und überwacht den Rest.

Das Ergebnis ist, dass die Kategorien 1 bis 4 alle blockiert sind. Dies wird in der folgenden Abbildung veranschaulicht.

Diagramm, das die Vorrangfolge des Richtlinienblockmodus für die Webinhaltsfilterung gegenüber dem Überwachungsmodus zeigt.

Create eines Indikators für IP-Adressen, URLs oder Domänen auf der Einstellungsseite

  1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

  2. Wählen Sie die Registerkarte IP-Adressen oder URLs/Domänen aus.

  3. Wählen Sie Element hinzufügen aus.

  4. Geben Sie die folgenden Details an:

    • Indikator: Geben Sie die Entitätsdetails an, und definieren Sie den Ablauf des Indikators.
    • Aktion: Geben Sie die auszuführende Aktion an, und geben Sie eine Beschreibung an.
    • Bereich: Definiert den Bereich der Computergruppe.

  5. Überprüfen Sie die Details auf der Registerkarte Zusammenfassung , und wählen Sie dann Speichern aus.

Hinweis

Zwischen dem Erstellen einer Richtlinie und dem Blockierten der URL oder IP-Adresse auf dem Gerät kann eine Wartezeit von bis zu 2 Stunden auftreten.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.