צור מחוונים עבור כתובות IP וכתובות URL/תחומים

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

עצה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

סקירה כללית

על-ידי יצירת מחוונים עבור כתובות IP וכתובות URL או תחומים, באפשרותך כעת לאפשר או לחסום כתובות IP, כתובות URL או תחומים בהתבסס על בינת האיומים שלך. באפשרותך גם להזהיר משתמשים באמצעות בקשה אם הם פותחים יישום מסוכן. הבקשה לא תימנע מהם להשתמש ביישום, אך באפשרותך לספק הודעה מותאמת אישית וקישורים לדף חברה המתאר את השימוש המתאים ביישום. המשתמשים עדיין יכולים לעקוף את האזהרה ולהמשיך להשתמש ביישום במידת הצורך.

כדי לחסום כתובות IP/כתובות URL זדוניות (כפי שנקבעו על-ידי Microsoft), Defender for Endpoint יכול להשתמש ב:

• Windows Defender SmartScreen עבור דפדפני Microsoft
• הגנת רשת עבור דפדפנים שאינם של Microsoft, או שיחות שבוצעו מחוץ לדפדפן

ערכת הנתונים של בינת האיומים לחסימת כתובות IP/כתובות URL זדוניות מנוהלת על-ידי Microsoft.

באפשרותך לחסום כתובות IP/כתובות URL זדוניות בדף ההגדרות או לפי קבוצות של מחשב, אם אתה חושב שקבוצות מסוימות נמצאות בסיכון גדול או קטן יותר מאחרות.

הערה

אין תמיכה Inter-Domain ניתוב שיחות (CIDR) עבור כתובות IP.

לפני שתתחיל

חשוב להבין את הדרישות המוקדמות הבאות לפני יצירת מחוונים עבור כתובות IP, כתובות URL או תחומים:

דרישות הגנת רשת

הרשאה וחסימה של כתובת URL/IP Microsoft Defender עבור נקודת קצה שהרכיב 'הגנת רשת' מופעל במצב חסימה. לקבלת מידע נוסף על הוראות ההגנה על הרשת והתצורה, ראה הפיכת הגנת רשת לזמינה.

מערכות הפעלה נתמכות

• Windows 10 גירסה 1709 ואילך
• Windows 11
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2019
• Windows Server 2022
• Macos
• לינוקס
• iOS
• Android

דרישות Windows Server 2016 ו- Windows Server 2012 R2

Windows Server 2016 ו- Windows Server 2012 R2 חייבים להיות קלוט באמצעות ההוראות בשרתי Windows הצירוף.

Microsoft Defender של גירסת אנטי-וירוס

גירסת הלקוח נגד תוכנות זדוניות חייבת להיות 4.18.1906.x ואילך.

דרישות מותאמות אישית של מחווני רשת

ודא שמחווני רשת מותאמים אישית זמינים בתכונות Microsoft Defender XDR>הגדרות מתקדמות>. לקבלת מידע נוסף, ראה תכונות מתקדמות.

לקבלת תמיכה של מחוונים ב- iOS, ראה Microsoft Defender עבור נקודת קצה ב- iOS.

לקבלת תמיכה של מחוונים ב- Android, ראה Microsoft Defender עבור נקודת קצה ב- Android.

מגבלות של רשימת מחוונים של IoC

ניתן להוסיף רק כתובות IP חיצוניות לרשימת המחוונים. אין אפשרות ליצור מחוונים עבור כתובות IP פנימיות. עבור תרחישים של הגנה באינטרנט, מומלץ להשתמש ביכולות המוכללות ב- Microsoft Edge. Microsoft Edge משתמש בהגנה על הרשת כדי לבדוק את תעבורת הרשת ומאפשר חסימות עבור TCP, HTTP ו- HTTPS (TLS).

תהליכים שאינם של Microsoft Edge ו- Internet Explorer

עבור תהליכים שאינם Microsoft Edge ו- Internet Explorer, תרחישי הגנה באינטרנט ממנפים את ההגנה על הרשת לבדיקה ולאכיפה:

• IP נתמך עבור כל שלושת הפרוטוקולים (TCP, HTTP ו- HTTPS (TLS))
• רק כתובות IP בודדות נתמכות (אין בלוקי CIDR או טווחי IP) מחוונים מותאמים אישית
• ניתן לחסום כתובות URL מוצפנות (נתיב מלא) רק בדפדפנים של צד ראשון (Internet Explorer, Edge)
• ניתן לחסום כתובות URL מוצפנות (FQDN בלבד) בדפדפנים של ספקים חיצוניים (פרט ל- Internet Explorer, Edge)
• ניתן להחיל בלוקי נתיב מלאים של כתובת URL עבור כתובות URL לא מוצפנות
• אם קיימות מדיניות מחוון כתובת URL מתנגשת, הנתיב יתווחל. לדוגמה, מדיניות מחוון כתובת ה- https://support.microsoft.com/office URL מקבלת קדימות על-פני מדיניות מחוון כתובת ה- URL https://support.microsoft.com.

הגנת רשת ול לחיצת יד תלת-כיוונית של TCP

עם הגנת רשת, קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP. לכן, כאשר אתר חסום על-ידי הגנה על רשת, ConnectionSuccessNetworkConnectionEvents ייתכן שתראה סוג פעולה של תחת פורטל Microsoft Defender, למרות שהאתר נחסם. NetworkConnectionEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד השלושה כיוונית, הגישה לאתר מותרת או חסומה על-ידי הגנת רשת.

להלן דוגמה לאופן הפעולה:

1. נניח שמשתמש מנסה לגשת לאתר אינטרנט במכשיר שלו. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.

2. לחיצת היד השלושה כיוונית באמצעות TCP/IP מצוינת. לפני השלמתה, NetworkConnectionEvents תירשם פעולה והיא ActionType תופיע כ- ConnectionSuccess. עם זאת, ברגע שתהליך לחיצת היד השלושה כיוונית מסתיים, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות. תהליך דומה מתרחש באמצעות Microsoft Defender SmartScreen; כאשר לחיצת היד השלושה-כיוונית מסתיימת, מתבצעת קביעה, והגישה לאתר חסומה או מותרת.

3. בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן NetworkConnectionEventsAlertEventsאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריט NetworkConnectionEvents עם ה- ActionType של ConnectionSuccess.

הצג אזהרה על פקדי מצב

בעת שימוש במצב אזהרה, באפשרותך לקבוע את תצורת הפקדים הבאים:

• עקוף יכולת

  • לחצן 'אפשר' ב- Edge
  • לחצן 'אפשר' בהודעות מוקפצות (דפדפנים שאינם של Microsoft)
  • עקיפת פרמטר משך של מחוון
  • עקיפת אכיפה בדפדפנים של Microsoft ודפדפנים שאינם של Microsoft

• כתובת URL של ניתוב מחדש

  • פרמטר כתובת URL של ניתוב מחדש של המחוון
  • כתובת URL של ניתוב מחדש ב- Edge
  • ניתוב מחדש של כתובת URL בעת הודעות מוקפצות (דפדפנים שאינם של Microsoft)

לקבלת מידע נוסף, ראה פיקוח על אפליקציות שהתגלו על-ידי Microsoft Defender עבור נקודת קצה.

כתובת URL של IP של IoC והזמנות טיפול בהתנגשות מדיניות תחום

טיפול בהתנגשות מדיניות עבור תחומים/כתובות URL/כתובות IP שונה מטיפול בהתנגשויות מדיניות עבור אישורים.

במקרה שבו מוגדרים סוגי פעולות שונים מרובים על אותו מחוון (לדוגמה, חסום, הזהר ותאפשר, סוגי פעולות מוגדרים עבור Microsoft.com), הסדר שבו סוגי פעולות אלה להיכנס לתוקף הוא:

1. אפשר
2. להזהיר
3. חסום

אפשר עקיפות אזהרה איזו חסימה עוקפת: אפשר אבן > אזהרה > . לכן, בדוגמה שלעיל, Microsoft.com מותר.

מחווני Defender for Cloud Apps

אם הארגון שלך הפך שילוב לזמין בין Defender for Endpoint לבין Defender for Cloud Apps, מחווני חסימה ייווצרו ב- Defender for Endpoint עבור כל יישומי הענן ללא פשרות. אם יישום נמצא במצב צג, ייווצרו מחווני אזהרה (בלוק הניתן לעקיפה) עבור כתובות ה- URL המשויכות ליישום. אין אפשרות ליצור מחווני התרה עבור יישומים זמינים בשלב זה. מחוונים שנוצרו על-ידי Defender for Cloud Apps פועלים בהתאם לאותה טיפול בהתנגשויות מדיניות המתואר בסעיף הקודם.

קדימות מדיניות

Microsoft Defender עבור נקודת קצה מדיניות זו כוללת קדימות על-פני Microsoft Defender אנטי-וירוס. במצבים שבהם Defender for Endpoint מוגדר לאפשר, אך Microsoft Defender האנטי-וירוס מוגדר לחסימה, המדיניות תוגדר כברירת מחדל לאפשר.

קדימות עבור פריטי מדיניות פעילים מרובים

החלת פריטי מדיניות שונים מרובים של סינון תוכן אינטרנט על אותו מכשיר תגרום להחלת המדיניות המגבילה יותר עבור כל קטגוריה. שקול את התרחיש הבא:

• מדיניות 1 חוסמת קטגוריות 1 ו- 2 וביקורת של כל השאר
• מדיניות 2 חוסמת קטגוריות 3 ו- 4 וביקורת של כל השאר

התוצאה היא שכל הקטגוריות 1-4 חסומות. אפשרות זו מוצגת בתמונה הבאה.

Create מחוון עבור כתובות IP, כתובות URL או תחומים בדף ההגדרות

1. בחלונית הניווט, בחר הגדרות מחווני>נקודות קצה> (תחת כללים).

2. בחר את הכרטיסיה כתובות IP או כתובות URL/תחומים .

3. בחר הוסף פריט.

4. ציין את הפרטים הבאים:

   • Indicator - ציין את פרטי הישות והגדיר את תפוגת המחוון.
   • Action - ציין את הפעולה שיש לבצע וספק תיאור.
   • Scope - הגדרת הטווח של קבוצת המכונה.

5. סקור את הפרטים בכרטיסיה סיכום ולאחר מכן בחר שמור.

הערה

ייתכן שקיימות עד שעתיים של השהיה בין מועד יצירת המדיניות לבין כתובת ה- URL או כתובת ה- IP שנחסמו במכשיר.

מאמרים קשורים

• יצירת מחוונים
• יצירת מחוונים עבור קבצים
• Create מחוונים המבוססים על אישורים
• נהל מחוונים
• פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אנטי Microsoft Defender וירוסים

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.