Verkkosuojaus
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Tietoja www-suojauksesta
Microsoft Defender for Endpoint verkkosuojaus on ominaisuus, joka koostuu verkkouhkien suojaamisesta, verkkosisällön suodatuksesta ja mukautetuista ilmaisimista. Verkkosuojauksen avulla voit suojata laitteesi verkkouhkia vastaan ja säännellä ei-toivottua sisältöä. Voit etsiä verkkosuojausraportteja Microsoft Defender portaalista siirtymällä kohtaan Raportit > verkkosuojaus.
Verkkouhilta suojautuminen
Kortit, jotka muodostavat verkkouhkien suojauksen, ovat web-uhkien tunnistuksia ajan mittaan ja verkkouhkien yhteenvetoa.
Verkkouhkien suojaus sisältää seuraavat:
- Kattava näkyvyys organisaatioosi vaikuttaviin verkkouhkiin.
- Tutki toimintoja, jotka liittyvät verkkoon liittyvään uhkatoimintoon hälytyksillä ja kattavilla URL-osoitteiden profiileilla ja laitteilla, jotka käyttävät näitä URL-osoitteita.
- Koko joukko suojausominaisuuksia, jotka seuraavat yleisiä käyttötrendejä haitallisille ja ei-toivotuille sivustoille.
Huomautus
Muissa prosesseissa kuin Microsoft Edgessä ja Internet Explorerissa verkkosuojausskenaariot hyödyntävät verkon suojausta tarkastuksissa ja täytäntöönpanossa:
- IP-osoite on tuettu kaikissa kolmessa protokollassa (TCP, HTTP ja HTTPS (TLS)).
- Vain yksittäisiä IP-osoitteita tuetaan (ei CIDR-lohkoja tai IP-alueita) mukautetuissa ilmaisimissa.
- Salatut URL-osoitteet (koko polku) voidaan estää vain ensimmäisen osapuolen selaimissa (Internet Explorer, Edge).
- Salatut URL-osoitteet (vain FQDN) voidaan estää kolmansien osapuolten selaimissa (muu kuin Internet Explorer, Edge).
- Salaamattomille URL-osoitteille voidaan käyttää kaikkia URL-polkulohkoja.
Toiminnon suorittamisen ja URL-osoitteen ja IP-osoitteen estojen välillä voi olla enintään 2 tuntia viivettä (yleensä vähemmän).
Lisätietoja on artikkelissa Web Threat Protection.
Mukautetut ilmaisimet
Mukautettujen ilmaisimien tunnistuksista tehdään yhteenveto myös organisaatiosi verkon uhkaraporteista, jotka ovat kohdassa Verkon uhkien tunnistuksia ajan mittaan ja verkkouhkien yhteenveto.
Mukautettu ilmaisin sisältää seuraavat:
- Mahdollisuus luoda IP- ja URL-pohjaisia kompromissi-ilmaisimia, jotka suojaavat organisaatiotasi uhkilta.
- Tutki mukautettuihin IP-/URL-profiileihisi ja näitä URL-osoitteita käyttäviin laitteisiin liittyviä toimintoja.
- Mahdollisuus luoda Salli-, Estä- ja Varoita-käytäntöjä URL-osoitteille.
Lisätietoja on ohjeaiheessa Create URL-osoitteita ja URL-osoitteita/toimialueita koskevat indikaattorit.
Verkkosisällön suodatus
Verkkosisällön suodatus sisältää verkkoaktiviteetin luokan mukaan, verkkosisällön suodatuksen yhteenvedon ja verkkotoimintojen yhteenvedon.
Verkkosisällön suodatukseen sisältyvät:
- Käyttäjät eivät voi käyttää estettyjen luokkien sivustoja, olivatpa he sitten selailemassa paikallisesti tai poissa.
- Voit kätevästi ottaa käyttöön erilaisia käytäntöjä eri käyttäjäjoukoille käyttämällä laiteryhmiä, jotka on määritetty Microsoft Defender for Endpoint roolipohjaisen käytön valvonnan asetuksissa.
Huomautus
Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.
- Voit käyttää verkkoraportteja samassa keskitetyssä sijainnissa ja tarkastella todellisia lohkoja ja verkkokäyttöä.
Lisätietoja on kohdassa Verkkosisällön suodattaminen.
Käsittelyjärjestys
Verkkosuojaus koostuu seuraavista osista, jotka on lueteltu tärkeysjärjestyksessä. Microsoft Edgen SmartScreen-asiakasohjelma ja Network Protection -asiakasohjelma valvovat kutakin näistä osista kaikissa muissa selaimissa ja prosesseissa.
Mukautetut ilmaisimet (IP/URL, Microsoft Defender for Cloud Apps käytännöt)
- Salli
- Varoittaa
- Estä
Verkkouhat (haittaohjelma, tietojenkalastelu)
- SmartScreen Intel, mukaan lukien Exchange Online Protection (EOP)
- Eskalaatiot
Verkkosisällön suodatus (WCF)
Huomautus
Microsoft Defender for Cloud Apps luo tällä hetkellä ilmaisimia vain estetyille URL-osoitteille.
Käsittelyjärjestys liittyy toimintojen järjestykseen, jossa URL- tai IP-osoite arvioidaan. Jos sinulla on esimerkiksi verkkosisällön suodatuskäytäntö, voit luoda poissulkemisia mukautettujen IP-osoite-/URL-ilmaisimien avulla. Mukautetut kompromissi-indikaattorit (IoC) ovat käsittelyjärjestyksessä suurempia kuin WCF-lohkot.
Samoin indikaattorien välisen ristiriidan aikana sallii aina käyttää etusijaa lohkoihin nähden (ohituslogiikka). Tämä tarkoittaa sitä, että sallittujen ilmaisimien etusija on käytettävissä olevaan lohkoilmaisimeen nähden.
Seuraavassa taulukossa on yhteenveto joistakin yleisistä määrityksistä, jotka voivat aiheuttaa ristiriitoja www-suojauspinossa. Siinä yksilöidään myös tulokseksi saadut määritykset edellä tässä artikkelissa kuvatun käsittelyjärjestyksen perusteella.
| Mukautetun ilmaisimen käytäntö | Verkkouhkakäytäntö | WCF-käytäntö | Defender for Cloud Apps -käytäntö | Tulos |
|---|---|---|---|---|
| Salli | Estä | Estä | Estä | Salli (WWW-suojauksen ohitus) |
| Salli | Salli | Estä | Estä | Salli (WCF-poikkeus) |
| Varoittaa | Estä | Estä | Estä | Varoita (ohita) |
Mukautetut ilmaisimet eivät tue sisäisiä IP-osoitteita. Jos haluat varoituskäytännön, kun loppukäyttäjä ohittaa sen, sivuston esto poistetaan oletusarvoisesti 24 tunniksi kyseiseltä käyttäjältä. Hallinta voi muokata tätä ajanjaksoa, ja SmartScreen-pilvipalvelu välittää sen. Mahdollisuus ohittaa varoitus voidaan poistaa käytöstä myös Microsoft Edgessä käyttämällä CSP:tä verkkouhkalohkoissa (haittaohjelma/tietojenkalastelu). Lisätietoja on kohdassa Microsoft Edge SmartScreen -asetukset.
Suojaa selaimet
Kaikissa verkkosuojaustilanteissa SmartScreeniä ja verkon suojausta voidaan käyttää yhdessä suojauksen varmistamiseksi sekä Microsoftin selaimissa että muissa kuin Microsoftin selaimissa ja prosesseissa. SmartScreen on sisäänrakennettu suoraan Microsoft Edgeen, kun taas Network Protection valvoo liikennettä muissa kuin Microsoftin selaimissa ja prosesseissa. Seuraava kaavio havainnollistaa tätä käsitettä. Tämä kaavio kahdesta asiakkaasta, jotka tekevät yhteistyötä useiden selain- ja sovelluskattavuusominaisuuksien tarjoamiseksi, on tarkka kaikille Web Protectionin ominaisuuksille (ilmaisimet, verkkouhat, sisällön suodattaminen).
Päätepistelohkojen vianmääritys
SmartScreen-pilvipalvelun vastaukset on standardoitu. Fiddlerin kaltaisten työkalujen avulla voidaan tarkastaa pilvipalvelun vastaus, mikä auttaa määrittämään lohkon lähteen.
Kun SmartScreen-pilvipalvelu vastaa salli-, estä- tai varoita-vastauksella, vastausluokka ja palvelinkonteksti välitetään takaisin asiakkaalle. Microsoft Edgessä vastausluokkaa käytetään määrittämään sopiva lohkosivu näytettäväksi (haitallinen, tietojen kalastelu, organisaatiokäytäntö).
Seuraavassa taulukossa näkyvät vastaukset ja niiden korreloidut ominaisuudet.
| Vastauksen luokka | Lohkosta vastuussa oleva ominaisuus |
|---|---|
| Mukautettukäytäntö | WCF |
| Mukautettu Estoluettelo | Mukautetut ilmaisimet |
| CasbPolicy | Defender for Cloud Apps |
| Haittaohjelmien | WWW-uhat |
| Tietojenkalastelu | WWW-uhat |
Kehittynyt metsästys verkkosuojausta varten
Kusto kyselyitä kehittyneessä metsästyksessä voidaan käyttää yhteenvedon tekemiseen organisaation verkkosuojauslohkoista enintään 30 päivän ajan. Nämä kyselyt käyttävät yllä lueteltuja tietoja erottamaan eri lohkojen lähteet ja tekemään niistä yhteenvedon käyttäjäystävällisellä tavalla. Esimerkiksi seuraavassa kyselyssä luetellaan kaikki WCF-lohkot, jotka ovat peräisin Microsoft Edgestä.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
Vastaavasti voit seuraavan kyselyn avulla luetella kaikki WCF-lohkot, jotka ovat peräisin verkon suojauksesta (esimerkiksi WCF-lohkosta muissa kuin Microsoft-selaimissa). ActionType päivitetään ja Experience muutetaan arvoksi ResponseCategory.
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
Muista ominaisuuksista (kuten mukautetuista ilmaisimista) johtuvien lohkojen luettelo on taulukossa, joka on lueteltu aiemmin tässä artikkelissa. Taulukko jäsentää kunkin ominaisuuden ja niiden vastausluokan. Näitä kyselyitä voidaan muokata, jos haluat hakea telemetriatietoja, jotka liittyvät organisaatiosi tiettyihin koneisiin. Kussakin kyselyssä näkyvä ActionType näyttää vain ne yhteydet, jotka www-suojausominaisuus esti, eivät kaikkea verkkoliikennettä.
Käyttökokemus
Jos käyttäjä käy verkkosivulla, joka aiheuttaa haittaohjelmien, tietojenkalastelun tai muiden verkkouhkien riskin, Microsoft Edge käynnistää seuraavan kuvan kaltaisen lohkosivun:
Microsoft Edge 124:stä alkaen kaikille verkkosisällön suodatuksen luokkalohkoille näytetään seuraava lohkosivu.
Joka tapauksessa muissa kuin Microsoftin selaimissa ei näytetä lohkosivuja, ja käyttäjä näkee Suojatun yhteyden epäonnistuminen -sivun sekä ilmoitusruutuilmoituksen. Käyttäjä näkee ilmoituspalkissa eri viestin sen mukaan, mikä käytäntö on vastuussa lohkosta. Esimerkiksi verkkosisällön suodattaminen näyttää sanoman "Tämä sisältö on estetty".
Ilmoita epätosi-positiiviset
Jos haluat ilmoittaa false-positiivisen positiivisista sivustoista, joita SmartScreen on pitänyt vaarallisina, käytä linkkiä, joka näkyy Microsoft Edgen lohkosivulla (kuten aiemmin tässä artikkelissa).
WCF:ssä voit kiistää toimialueen luokan. Siirry WCF-raporttien Toimialueet-välilehteen . Kunkin toimialueen vieressä näkyy kolme pistettä. Vie hiiren osoitin tämän kolmen pisteen päälle ja valitse Kiistaluokka. Pikaikkuna avautuu. Määritä tapahtuman prioriteetti ja anna muita tietoja, kuten ehdotettu luokka. Lisätietoja WCF:n ottaminen käyttöön ja luokkien kiistäminen on artikkelissa Verkkosisällön suodattaminen.
Lisätietoja siitä, miten voit lähettää false-positiivisia/negatiivisia, on kohdassa Käsittele false-positiivisia/negatiivisia arvoja Microsoft Defender for Endpoint.
Aiheeseen liittyvät tiedot
| Artiklan | Kuvaus |
|---|---|
| Verkkouhilta suojautuminen | Estä tietojenkalastelusivustojen, haittaohjelmavektorien, hyödyntämissivustojen, epäluotettävien tai huonomaineisten sivustojen ja estettyjen sivustojen käyttö. |
| Verkkosisällön suodatus | Seuraa ja säädä verkkosivustojen käyttöä niiden sisältöluokkien perusteella. |
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle