צור מחוונים עבור כתובות IP וכתובות URL/תחומים

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

עצה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

סקירה כללית

על-ידי יצירת מחוונים עבור כתובות IP וכתובות URL או תחומים, באפשרותך כעת לאפשר או לחסום כתובות IP, כתובות URL או תחומים בהתבסס על בינת האיומים שלך. באפשרותך גם להזהיר משתמשים באמצעות בקשה אם הם פותחים יישום מסוכן. הבקשה לא תימנע מהם להשתמש ביישום, אך באפשרותך לספק הודעה מותאמת אישית וקישורים לדף חברה המתאר את השימוש המתאים ביישום. המשתמשים עדיין יכולים לעקוף את האזהרה ולהמשיך להשתמש ביישום במידת הצורך.

כדי לחסום כתובות IP/כתובות URL זדוניות (כפי שנקבעו על-ידי Microsoft), Defender for Endpoint יכול להשתמש ב:

• Windows Defender SmartScreen עבור דפדפני Microsoft
• הגנת רשת עבור דפדפנים שאינם של Microsoft, או שיחות שבוצעו מחוץ לדפדפן

ערכת הנתונים של בינת האיומים לחסימת כתובות IP/כתובות URL זדוניות מנוהלת על-ידי Microsoft.

באפשרותך לחסום כתובות IP/כתובות URL זדוניות בדף ההגדרות או לפי קבוצות של מחשב, אם אתה חושב שקבוצות מסוימות נמצאות בסיכון גדול או קטן יותר מאחרות.

הערה

אין תמיכה Inter-Domain ניתוב שיחות (CIDR) עבור כתובות IP.

מערכות הפעלה נתמכות

• Windows 11
• Windows 10, גרסה 1709 ואילך
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 מפעיל פתרון מאוחד מודרני של Defender for Endpoint (דורש התקנה באמצעות MSI)
• Windows Server 2012 R2 מפעיל פתרון מאוחד מודרני של Defender for Endpoint (דורש התקנה באמצעות MSI)
• macOS
• לינוקס (Linux)
• iOS
• אנדרואיד

לפני שתתחיל

חשוב להבין את הדרישות המוקדמות הבאות לפני יצירת מחוונים עבור כתובות IP, כתובות URL או תחומים.

דרישות גירסת האנטי-וירוס של Microsoft Defender

תכונה זו זמינה אם הארגון שלך משתמש באנטי-וירוס של Microsoft Defender (במצב פעיל)

ניטור אופן פעולה זמין

הגנה מבוססת ענן מופעלת.

קישוריות הרשת להגנה על הענן מתפקדת

גירסת הלקוח נגד תוכנות זדוניות חייבת להיות מתקדמת 4.18.1906.x יותר. ראה גירסאות חודשיות של פלטפורמה ומנוע.

דרישות הגנת רשת

היתרה וחסימה של כתובת URL/IP דורשים שרכיב Microsoft Defender for Endpoint Network Protection יהיה זמין במצב חסימה. לקבלת מידע נוסף על הוראות ההגנה על הרשת והתצורה, ראה הפיכת הגנת רשת לזמינה.

דרישות מותאמות אישית של מחווני רשת

כדי להתחיל לחסום כתובות IP ו/או כתובות URL, הפעל את התכונה 'מחווני רשת מותאמים אישית' בפורטל Microsoft Defender, >>> עבור אל הגדרות נקודות קצה תכונות כלליותמתקדמות. לקבלת מידע נוסף, ראה תכונות מתקדמות.

לקבלת תמיכה של מחוונים ב- iOS, ראה Microsoft Defender עבור נקודת קצה ב- iOS.

לקבלת תמיכה של מחוונים ב- Android, ראה Microsoft Defender עבור נקודת קצה ב- Android.

מגבלות של רשימת מחוונים של IoC

ניתן להוסיף רק כתובות IP חיצוניות לרשימת המחוונים. אין אפשרות ליצור מחוונים עבור כתובות IP פנימיות. עבור תרחישים של הגנה באינטרנט, מומלץ להשתמש ביכולות המוכללות ב- Microsoft Edge. Microsoft Edge משתמש בהגנה על הרשת כדי לבדוק את תעבורת הרשת ומאפשר חסימות עבור TCP, HTTP ו- HTTPS (TLS).

תהליכים שאינם של Microsoft Edge ו- Internet Explorer

עבור תהליכים שאינם Microsoft Edge ו- Internet Explorer, תרחישי הגנה באינטרנט ממנפים את ההגנה על הרשת לבדיקה ולאכיפה:

• IP נתמך עבור כל שלושת הפרוטוקולים (TCP, HTTP ו- HTTPS (TLS))
• רק כתובות IP בודדות נתמכות (אין בלוקי CIDR או טווחי IP) מחוונים מותאמים אישית
• ניתן לחסום כתובות URL מוצפנות (נתיב מלא) רק בדפדפנים של צד ראשון (Internet Explorer, Edge)
• ניתן לחסום כתובות URL מוצפנות (FQDN בלבד) בדפדפנים של ספקים חיצוניים (פרט ל- Internet Explorer, Edge)
• ניתן להחיל בלוקי נתיב מלאים של כתובת URL עבור כתובות URL לא מוצפנות
• אם קיימות מדיניות מחוון כתובת URL מתנגשת, הנתיב יתווחל. לדוגמה, מדיניות מחוון כתובת ה- https://support.microsoft.com/office URL מקבלת קדימות על-פני מדיניות מחוון כתובת ה- URL https://support.microsoft.com.
• במקרה של התנגשויות מדיניות של מחוון כתובת URL, ייתכן שהנתיב יתמהמה עקב ניתוב מחדש. במקרים כאלה, רשום כתובת URL שאינה מנותבת מחדש.

הגנת רשת ול לחיצת יד תלת-כיוונית של TCP

עם הגנת רשת, קביעה אם לאפשר או לחסום גישה לאתר נוצרת לאחר השלמת לחיצת היד השלושה-כיוונית באמצעות TCP/IP. לכן, כאשר אתר חסום על-ידי הגנה על הרשת, ConnectionSuccessNetworkConnectionEvents ייתכן שתראה סוג פעולה תחת בפורטל Microsoft Defender, למרות שהאתר נחסם. NetworkConnectionEvents מדווחים משכבת ה- TCP, ולא מהגנת רשת. לאחר השלמת לחיצת היד השלושה כיוונית, הגישה לאתר מותרת או חסומה על-ידי הגנת רשת.

להלן דוגמה לאופן הפעולה:

1. נניח שמשתמש מנסה לגשת לאתר אינטרנט במכשיר שלו. האתר מתארח במקרה בתחום מסוכן, והוא אמור להיחסם על-ידי הגנה על הרשת.

2. לחיצת היד השלושה כיוונית באמצעות TCP/IP מצוינת. לפני השלמתה, NetworkConnectionEvents תירשם פעולה והיא ActionType תופיע כ- ConnectionSuccess. עם זאת, ברגע שתהליך לחיצת היד השלושה כיוונית מסתיים, הגנת הרשת חוסמת את הגישה לאתר. כל זה קורה במהירות. תהליך דומה מתרחש עם Microsoft Defender SmartScreen; כאשר לחיצת היד השלושה-כיוונית מסתיימת, נקבעת, והגישה לאתר נחסמת או מותרת.

3. בפורטל Microsoft Defender, מופיעה התראה בתור ההתראות. פרטי התראה זו כוללים הן את והן NetworkConnectionEventsAlertEventsאת . תוכל לראות שהאתר נחסם, למרות שיש לך גם פריט NetworkConnectionEvents עם ה- ActionType של ConnectionSuccess.

הצג אזהרה על פקדי מצב

בעת שימוש במצב אזהרה, באפשרותך לקבוע את תצורת הפקדים הבאים:

• עקוף יכולת

  • לחצן 'אפשר' ב- Edge
  • לחצן 'אפשר' בהודעות מוקפצות (דפדפנים שאינם של Microsoft)
  • עקיפת פרמטר משך של מחוון
  • עקיפת אכיפה בדפדפנים של Microsoft ודפדפנים שאינם של Microsoft

• כתובת URL של ניתוב מחדש

  • פרמטר כתובת URL של ניתוב מחדש של המחוון
  • כתובת URL של ניתוב מחדש ב- Edge
  • ניתוב מחדש של כתובת URL בעת הודעות מוקפצות (דפדפנים שאינם של Microsoft)

לקבלת מידע נוסף, ראה פיקוח על אפליקציות שהתגלו על-ידי Microsoft Defender for Endpoint.

כתובת URL של IP של IoC והזמנות טיפול בהתנגשות מדיניות תחום

טיפול בהתנגשות מדיניות עבור תחומים/כתובות URL/כתובות IP שונה מטיפול בהתנגשויות מדיניות עבור אישורים.

במקרה שבו מוגדרים סוגי פעולות שונים מרובים על אותו מחוון (לדוגמה, חסום, הזהר ותאפשר, סוגי פעולות מוגדרים עבור Microsoft.com), הסדר שבו סוגי פעולות אלה להיכנס לתוקף הוא:

1. אפשר
2. להזהיר
3. חסום

אפשר עקיפות אזהרה איזו חסימה עוקפת: אפשר אבן > אזהרה > . לכן, בדוגמה שלעיל, Microsoft.com הוא מותר.

מחווני Defender for Cloud Apps

אם הארגון שלך הפך שילוב לזמין בין Defender for Endpoint לבין Defender for Cloud Apps, מחווני חסימה ייווצרו ב- Defender for Endpoint עבור כל יישומי הענן ללא פשרות. אם יישום נמצא במצב צג, ייווצרו מחווני אזהרה (בלוק הניתן לעקיפה) עבור כתובות ה- URL המשויכות ליישום. אין אפשרות ליצור מחווני התרה עבור יישומים זמינים בשלב זה. מחוונים שנוצרו על-ידי Defender for Cloud Apps פועלים בהתאם לאותה טיפול בהתנגשויות מדיניות המתואר בסעיף הקודם.

קדימות מדיניות

מדיניות Microsoft Defender for Endpoint כוללת קדימות על-פני מדיניות האנטי-וירוס של Microsoft Defender. במצבים שבהם Defender for Endpoint מוגדר לאפשר, אך האנטי-וירוס של Microsoft Defender מוגדר לחסימה, המדיניות תוגדר כברירת מחדל לאפשר.

קדימות עבור פריטי מדיניות פעילים מרובים

החלת פריטי מדיניות שונים מרובים של סינון תוכן אינטרנט על אותו מכשיר תגרום להחלת המדיניות המגבילה יותר עבור כל קטגוריה. שקול את התרחיש הבא:

• מדיניות 1 חוסמת קטגוריות 1 ו- 2 וביקורת של כל השאר
• מדיניות 2 חוסמת קטגוריות 3 ו- 4 וביקורת של כל השאר

התוצאה היא שכל הקטגוריות 1-4 חסומות. אפשרות זו מוצגת בתמונה הבאה.

יצירת מחוון עבור כתובות IP, כתובות URL או תחומים בדף ההגדרות

1. בחלונית הניווט, בחר הגדרות מחווני>נקודות קצה> (תחת כללים).

2. בחר את הכרטיסיה כתובות IP או כתובות URL/תחומים .

3. בחר הוסף פריט.

4. ציין את הפרטים הבאים:

   • Indicator - ציין את פרטי הישות והגדיר את תפוגת המחוון.
   • Action - ציין את הפעולה שיש לבצע וספק תיאור.
   • Scope - הגדרת הטווח של קבוצת המכונה.

5. סקור את הפרטים בכרטיסיה סיכום ולאחר מכן בחר שמור.

הערה

ייתכן שקיימות עד שעתיים של השהיה בין מועד יצירת המדיניות לבין כתובת ה- URL או כתובת ה- IP שנחסמו במכשיר.

מאמרים קשורים

• יצירת מחוונים
• יצירת מחוונים עבור קבצים
• יצירת מחוונים בהתבסס על אישורים
• נהל מחוונים
• פריטים שאינם נכללים ב- Microsoft Defender עבור נקודת קצה והאנטי-וירוס של Microsoft Defender

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.