Luo ilmaisimia IP-osoitteille ja URL-osoitteille/toimialueille

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Yleiskatsaus

Luomalla URL-osoitteiden ja URL-osoitteiden tai toimialueiden ilmaisimia voit nyt sallia tai estää URL-osoitteita, URL-osoitteita tai toimialueita oman uhkatietosi perusteella. Voit myös varoittaa käyttäjiä, jos he avaavat riskialttiin sovelluksen. Kehote ei estä heitä käyttämästä sovellusta. käyttäjät voivat ohittaa varoituksen ja jatkaa sovelluksen käyttöä tarvittaessa.

Haittaohjelmien/URL-osoitteiden estämiseksi Defender for Endpoint voi käyttää seuraavaa:

• Windows Defender SmartScreen Microsoft-selaimille
• Verkon suojaus muille kuin Microsoftin selaimille ja muille kuin selainprosesseille

Microsoft hallitsee oletusarvoista uhkien hallintatietojoukkoa haitallisten INTERNET-osoitteiden/URL-osoitteiden estämiseksi.

Voit estää muut haitalliset INTERNET-osoitteet määrittämällä mukautetut verkkoilmaisimet.

Tuetut käyttöjärjestelmät

• Windows 11
• Windows 10, versio 1709 tai uudempi
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 Defender for Endpointin modernissa yhdistetyssä ratkaisussa (edellyttää asentamista MSI:n kautta)
• Windows Server 2012 R2, jossa Defender for Endpoint moderni yhdistetty ratkaisu (edellyttää asentamista MSI:n kautta)
• macOS
• Linux
• iOS
• Androidi

Alkuvalmistelut

On tärkeää ymmärtää seuraavat edellytykset, ennen kuin luot ilmaisimia URL-osoitteille, url-osoitteille tai toimialueille.

Microsoft Defender virustentorjuntaohjelman versiovaatimukset

Integrointia Microsoft-selaimiin hallitaan selaimen SmartScreen-asetuksella. Muissa selaimissa ja sovelluksissa organisaatiossasi on oltava seuraavat:

• Microsoft Defender virustentorjuntaohjelma määritetty aktiivisessa tilassa.

• Toiminnan valvonta käytössä.

• Pilvipohjainen suojaus on otettu käyttöön.

• Cloud Protection -verkkoyhteys.

• Haittaohjelmien torjuntaohjelman version on oltava 4.18.1906.x tai uudempi. Katso Kuukausittaiset käyttöympäristö- ja moduuliversiot.

Verkon suojausvaatimukset

SALLITTU URL/IP-osoite ja esto edellyttävät, että Microsoft Defender for Endpoint osan verkkosuojaus on käytössä lohkotilassa. Lisätietoja verkon suojauksesta ja määritysohjeista on kohdassa Verkon suojauksen käyttöönotto.

Mukautetun verkon ilmaisinvaatimukset

Voit aloittaa IP-osoitteiden ja/tai URL-osoitteiden estämisen ottamalla käyttöön mukautettujen verkkoilmaisimien ominaisuuden Microsoft Defender portaalissa. Ominaisuus löytyy kohdasta Asetukset>PäätepisteetYleiset>lisäominaisuudet>. Lisätietoja on kohdassa Lisäominaisuudet.

iOS-indikaattoreiden tuki on iOS-Microsoft Defender for Endpoint kohdassa.

Jos haluat tukea Android-ilmaisimia, katso Microsoft Defender for Endpoint Androidissa.

Ilmaisinluettelon rajoitukset

Ilmaisinluetteloon voidaan lisätä vain ulkoisia IP:itä. indikaattoria ei voi luoda sisäisille IPS:ille.

Muut kuin Microsoft Edgen ja Internet Explorerin prosessit

Muissa prosesseissa kuin Microsoft Edgessä ja Internet Explorerissa verkon suojausskenaariot käyttävät verkon suojausta tarkastuksissa ja täytäntöönpanossa:

• IP-osoitteita tuetaan kaikissa kolmessa protokollassa (TCP, HTTP ja HTTPS (TLS))
• Vain yksittäisiä IP-osoitteita tuetaan (ei CIDR-lohkoja tai IP-alueita) mukautetuissa ilmaisimissa
• HTTP-URL-osoitteet (mukaan lukien täydellinen URL-polku) voidaan estää mille tahansa selaimelle tai prosessille
• HTTPS:n täydelliset toimialuenimet voidaan estää muissa kuin Microsoft-selaimissa (koko URL-polun määrittävät ilmaisimet voidaan estää vain Microsoft Edgessä)
• FQDN:n estäminen muissa kuin Microsoft-selaimissa edellyttää, että QUIC ja Encrypted Client Hello poistetaan käytöstä kyseisissä selaimissa
• HTTP2-yhteyden yhdistämisen kautta ladatut toimialuenimen (FQDN) yhteydet voidaan estää vain Microsoft Edgessä
• Jos URL-ilmaisimen käytännöt ovat ristiriitaisia, pidempi polku on käytössä. Esimerkiksi URL-ilmaisimen käytäntö https://support.microsoft.com/office on etusijalla URL-ilmaisinkäytäntöön https://support.microsoft.comnähden.

Verkon suojauksen toteutus

Muissa kuin Microsoft Edge -prosesseissa verkkosuojaus määrittää kunkin HTTPS-yhteyden tarkan toimialuenimen tarkastelemalla TLS-kättelyn sisältöä, joka tapahtuu TCP/IP-kättelyn jälkeen. Tämä edellyttää, että HTTPS-yhteys käyttää TCP/IP:tä (ei UDP/QUIC) ja että ClientHello-viestiä ei salata. Jos haluat poistaa QUIC: n ja salatun asiakkaan hei käytöstä Google Chromessa, katso QuicAllowed ja EncryptedClientHelloEnabled. Mozilla Firefox on kohdassa Disable EncryptedClientHello and network.http.http3.enable.

Sivustolle pääsyn salliminen tai estäminen tehdään sen jälkeen, kun kolmisuuntainen kättely on suoritettu TCP/IP :n ja mahdollisen TLS-kättelyn kautta. Näin ollen, kun verkkosuojaus estää sivuston, saatat nähdä -toimintotyypin ConnectionSuccessNetworkConnectionEvents Microsoft Defender portaalissa, vaikka sivusto on estetty. NetworkConnectionEvents ilmoitetaan TCP-kerroksesta, ei verkon suojauksesta. Kun kaksisuuntainen kättely on valmis, verkkosuojaus sallii tai estää sivuston käytön.

Tässä on esimerkki siitä, miten tämä toimii:

1. Oletetaan, että käyttäjä yrittää käyttää verkkosivustoa laitteessaan. Sivustoa isännöidä todennäköisesti vaarallisella toimialueella, ja verkkosuojaus tulisi estää.

2. TCP/IP-kättely alkaa. Ennen kuin se on valmis, NetworkConnectionEvents toiminto kirjataan lokiin, ja sen ActionType luettelona ConnectionSuccesson . Kuitenkin heti kun TCP/IP-kättelyprosessi on valmis, verkon suojaus estää pääsyn sivustoon. Kaikki tämä tapahtuu nopeasti. Samanlainen prosessi tapahtuu SmartScreen-Microsoft Defender: kun kättely on valmis, määritys tehdään ja sivuston käyttö on joko estetty tai sallittu.

3. Microsoft Defender portaalissa ilmoitus näkyy ilmoitusjonossa. Tämän ilmoituksen tiedot ovat sekä että NetworkConnectionEventsAlertEvents. Näet, että sivusto on estetty, vaikka sinulla on myös kohde, jonka NetworkConnectionEvents ActionType on ConnectionSuccess.

Varoitustilan ohjausobjektit

Kun käytät varoitustilaa, voit määrittää seuraavat ohjausobjektit:

• Ohituskyky

  • Salli-painike Microsoft Edgessä
  • Salli-painike ilmoituspainike (muut kuin Microsoft-selaimet)
  • Ohita ilmaisimen kestoparametri
  • Ohita pakottaminen Microsoft- ja muissa kuin Microsoft-selaimissa

• Uudelleenohjauksen URL-osoite

  • Uudelleenohjauksen URL-parametri ilmaisimessa
  • Uudelleenohjauksen URL-osoite Microsoft Edgessä
  • Uudelleenohjauksen URL-osoite välinäytössä (muut kuin Microsoft-selaimet)

Lisätietoja on artikkelissa Microsoft Defender for Endpoint löytämien sovellusten hallitseminen.

Ilmaisimen IP-OSOITE ja toimialuekäytännön ristiriitojen käsittelyjärjestys

Toimialueiden, URL-osoitteiden tai IP-osoitteiden käytäntöristiriitojen käsittely eroaa varmenteiden käytäntöjen ristiriitojen käsittelystä.

Jos samaan ilmaisimeen on määritetty useita eri toimintotyyppejä (esimerkiksi kolme ilmaisinta Microsoft.com kun toimintotyypit ovat lohko, varoita ja salli), kyseiset toimintotyypit tulevat voimaan seuraavasti:

1. Salli

2. Varoittaa

3. Estä

"Salli" ohittaa "varoituksen", joka ohittaa "lohkon", seuraavasti: AllowBlock>Warn>. Sen vuoksi edellisessä esimerkissä Microsoft.com sallittaisiin.

Defender for Cloud Apps-ilmaisimet

Jos organisaatiosi on ottanut käyttöön integroinnin Defender for Endpointin ja Defender for Cloud Apps välillä, block-ilmaisimet luodaan Defender for Endpointissa kaikille ei-toimimattomille pilvisovelluksille. Jos sovellus asetetaan näyttötilaan, sovellukseen liittyville URL-osoitteille luodaan varoitusilmaisimet (ohitettavissa oleva lohko). Sallittuja ilmaisimia ei luoda automaattisesti pakotteiden kohteena olevia sovelluksia varten. Defender for Cloud Apps luomat ilmaisimet noudattavat edellisessä osiossa kuvattua käytäntöjen ristiriitojen käsittelyä.

Käytännön käsittelyjärjestys

Microsoft Defender for Endpoint käytännöllä on ensisijainen Microsoft Defender virustentorjuntakäytäntöön nähden. Tilanteissa, joissa Defender for Endpoint -asetuksena Allowon , mutta Microsoft Defender virustentorjunta-asetuksena Blockon , tulos on Allow.

Useiden aktiivisten käytäntöjen käsittelyjärjestys

Jos otat käyttöön useita eri verkkosisällön suodatuskäytäntöjä samassa laitteessa, sovelletaan rajoittavampaa käytäntöä kuhunkin luokkaan. Oletetaan seuraava tilanne:

• Käytäntö 1 estää luokat 1 ja 2 ja tarkastaa loput
• Käytäntö 2 estää luokat 3 ja 4 ja tarkastaa loput

Tuloksena on, että kaikki luokat 1–4 on estetty. Tämä skenaario on kuvattu seuraavassa kuvassa.

Luo ilmaisin URL-osoitteille, URL-osoitteille tai toimialueille Asetus-sivulla

1. Valitse siirtymisruudussa Asetukset>Päätepisteen ilmaisimet> (Säännöt-kohdasta).

2. Valitse IP-osoitteet tai URL-osoitteet/toimialueet -välilehti.

3. Valitse Lisää kohde.

4. Määritä seuraavat tiedot:

   • Ilmaisin: Määritä entiteetin tiedot ja ilmaisimen vanhentuminen.
   • Toiminto: Määritä suoritettava toiminto ja anna kuvaus.
   • Laajuus: Määritä tietokoneryhmä, jonka on valvottava ilmaisinta.

5. Tarkista tiedot Yhteenveto-välilehdessä ja valitse sitten Tallenna.

Tärkeää

Voi kestää jopa 48 tuntia sen jälkeen, kun käytäntö on luotu, jotta URL- tai IP-osoite estetään laitteessa. Useimmissa tapauksissa lohkot tulevat voimaan alle kahdessa tunnissa.

Aiheeseen liittyviä artikkeleita

• Ilmaisimien luominen
• Luo ilmaisimia tiedostoille
• Varmenteisiin perustuvien ilmaisimien luominen
• Ilmaisimien hallinta
• Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.