שתף באמצעות


הגנה באינטרנט

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

אודות הגנה באינטרנט

הגנה באינטרנט Microsoft Defender עבור נקודת קצה היא יכולת המותאמת להגנה מפני איומים באינטרנט,סינון תוכן אינטרנטומחוונים מותאמים אישית. הגנה באינטרנט מאפשרת לך לאבטח את המכשירים שלך מפני איומי אינטרנט, והיא עוזרת לך להסדיר תוכן לא רצוי. באפשרותך למצוא דוחות הגנה באינטרנט בפורטל Microsoft Defender על-ידי מעבר אל הגנה על > אתרים של דוחות.

כרטיסי ההגנה באינטרנט

הגנה מפני איומים באינטרנט

הכרטיסים שמרכיבים הגנה מפני איום באינטרנט הם זיהוי איומים באינטרנט לאורך זמן וסיכוםאיום באינטרנט.

הגנה מפני איומים באינטרנט כוללת:

  • ניראות מקיפה של איומי אינטרנט המשפיעים על הארגון שלך.
  • יכולות חקירה על-פני פעילות איומים הקשורה לאינטרנט באמצעות התראות ופרופילים מקיפים של כתובות URL והמכשירים שניגישה לכתובות URL אלה.
  • קבוצה מלאה של תכונות אבטחה שעוקבים אחר מגמות גישה כלליות לאתרי אינטרנט זדוניים ולא רצויים.

הערה

עבור תהליכים שאינם Microsoft Edge ו- Internet Explorer, תרחישי הגנה באינטרנט ממנפים את ההגנה על הרשת לבדיקה ולאכיפה:

  • IP נתמך עבור כל שלושת הפרוטוקולים (TCP, HTTP ו- HTTPS (TLS)).
  • רק כתובות IP בודדות נתמכות (אין בלוקי CIDR או טווחי IP) מחוונים מותאמים אישית.
  • ניתן לחסום כתובות URL מוצפנות (נתיב מלא) רק בדפדפנים של צד ראשון (Internet Explorer, Edge).
  • ניתן לחסום כתובות URL מוצפנות (FQDN בלבד) בדפדפנים של ספקים חיצוניים (כלומר, מלבד Internet Explorer, Edge).
  • ניתן להחיל בלוקי נתיב מלאים של כתובת URL עבור כתובות URL לא מוצפנות.

ייתכן שיידרשו עד שעתיים של השהיה (בדרך כלל פחות) בין משך הזמן שבו הפעולה תינקט, וכתובת ה- URL וה- IP נחסמות. לקבלת מידע נוסף, ראה הגנה מפני איומים באינטרנט.

מחוונים מותאמים אישית

זיהויי מחוונים מותאמים אישית מסוכמים גם בדוחות איומים באינטרנט של הארגון שלך תחת זיהוי איומים באינטרנט לאורך זמן וסיכוםאיום באינטרנט.

מחוון מותאם אישית כולל:

  • היכולת ליצור מחוונים מבוססי IP ו- URL לסכנה כדי להגן על הארגון שלך מפני איומים.
  • יכולות חקירה על-פני פעילויות הקשורות לפרופילי ה- IP/URL המותאמים אישית שלך ולמכשירים שניגישה לכתובות URL אלה.
  • היכולת ליצור פריטי מדיניות 'אפשר', 'חסום' ו'הזהר' עבור כתובות IP וכתובות URL.

לקבלת מידע נוסף, ראה יצירת מחוונים עבור כתובות IP וכתובות URL/תחומים

סינון תוכן באינטרנט

סינון תוכן אינטרנט כולל פעילות אינטרנט לפי קטגוריה, סיכום סינון תוכן אינטרנטוסיכום פעילות אינטרנט.

סינון תוכן אינטרנט כולל:

  • המשתמשים אינם יכולים לגשת לאתרי אינטרנט בקטגוריות חסומות, בין אם הם גולשים בסביבה המקומית או לא.
  • באפשרותך לפרוס בנוחות פריטי מדיניות מגוונים בקבוצות שונות של משתמשים באמצעות קבוצות המכשירים המוגדרות בהגדרות בקרת הגישה המבוססות על תפקיד Microsoft Defender עבור נקודת קצה אלה.

    הערה

    יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.

  • באפשרותך לגשת לדוחות אינטרנט באותו מיקום מרכזי, עם ניראות של בלוקים בפועל ושימוש באינטרנט.

לקבלת מידע נוסף, ראה סינון תוכן אינטרנט.

סדר קדימות

הגנה על האינטרנט תכלל ברכיבים הבאים, המפורטים לפי סדר הקדימות. כל אחד מרכיבים אלה נאכף על-ידי לקוח SmartScreen ב- Microsoft Edge ועל-ידי לקוח הגנת הרשת בכל הדפדפנים והתהליכים האחרים.

  • מחוונים מותאמים אישית (IP/URL, יישומי ענן של Microsoft Defender מדיניות)

    • אפשר
    • להזהיר
    • חסום
  • איומי אינטרנט (תוכנות זדוניות, דיוג)

    • SmartScreen Intel, כולל Exchange Online Protection (EOP)
    • הסלמות נעות
  • סינון תוכן אינטרנט (WCF)

הערה

יישומי ענן של Microsoft Defender כעת יוצר מחוונים עבור כתובות URL חסומות בלבד.

סדר הקדימות מתייחס בסדר הפעולות שבו מוערכת כתובת URL או IP. לדוגמה, אם יש לך מדיניות סינון תוכן אינטרנט, באפשרותך ליצור פריטים שאינם נכללים באמצעות מחווני IP/כתובת URL מותאמים אישית. מחווני פשרה מותאמים אישית (IoC) גבוהים יותר בסדר הקדימות מאשר בלוקי WCF.

באופן דומה, במהלך התנגשות בין מחוונים, מאפשר תמיד לקבל קדימות על-פני בלוקים (לוגיקת עקיפה). משמעות הדבר היא שמחוון אפשר מקבל קדימות על-פני כל מחוון בלוק קיים.

הטבלה הבאה מסכמת כמה תצורות נפוצות שעשויות להציג התנגשויות בתוך ערימת ההגנה באינטרנט. הוא גם מזהה את ההבעות המתוובעות בהתבסס על הקדימות המתוארות לעיל במאמר זה.

מדיניות מחוון מותאם אישית מדיניות איום באינטרנט מדיניות WCF יישומי ענן של Defender אישית Result
אפשר חסום חסום חסום אפשר (עקיפת הגנה באינטרנט)
אפשר אפשר חסום חסום אפשר (חריגת WCF)
להזהיר חסום חסום חסום אזהרה (עקיפה)

כתובות IP פנימיות אינן נתמכות על-ידי מחוונים מותאמים אישית. לקבלת מדיניות אזהרה כאשר משתמש הקצה עובר אליו, החסימה של האתר בוטלה למשך 24 שעות עבור משתמש זה כברירת מחדל. מסגרת זמן זו מותאמת מרכז הניהול ועברת למטה על-ידי שירות הענן של SmartScreen. היכולת לעקוף אזהרה יכולה גם להיות לא זמינה ב- Microsoft Edge באמצעות CSP עבור בלוקים של איום אינטרנט (תוכנות זדוניות/דיוג). לקבלת מידע נוסף, ראה הגדרות Microsoft Edge SmartScreen.

הגנה על דפדפנים

בכל תרחישי ההגנה באינטרנט, ניתן להשתמש ב- SmartScreen ובהגנה על הרשת יחד כדי להבטיח הגנה הן בדפדפנים והן בתהליכים של Microsoft ושל Microsoft שאינם של Microsoft. SmartScreen מוכלל ישירות ב- Microsoft Edge, בעוד שהגנת רשת מנטרת תעבורה בדפדפנים ובתהליכים שאינם של Microsoft. הדיאגרמה הבאה ממחישה רעיון זה. דיאגרמה זו של שני הלקוחות שעובדים יחד כדי לספק כיסויי דפדפן/אפליקציה מרובים מדויקת עבור כל התכונות של הגנה באינטרנט (מחוונים, איומי אינטרנט, סינון תוכן).

הערה

מחוונים מותאמים אישית של תכונות פשרה וסינון תוכן אינטרנט אינם נתמכים בשלב Application Guard של Microsoft Edge. הפעלות דפדפן אלה המכולות בגורמים מכילים יכולות לאכוף בלוקים של איום אינטרנט רק דרך ההגנה המוכללת של SmartScreen. הם אינם יכולים לאכוף פריטי מדיניות של הגנה באינטרנט ארגוניים. השימוש ב- smartScreen ובהגנה על הרשת יחד

פתרון בעיות בלוקים של נקודות קצה

התגובות מענן SmartScreen מותאם לתקנים. ניתן להשתמש בכלים כגון Fiddler כדי לבדוק את התגובה של שירות הענן, אשר מסייע לקבוע את מקור הבלוק.

כאשר שירות הענן של SmartScreen מגיב עם תגובה מסוג אפשר, חוסם או מזהיר, קטגוריית תגובה והקשר שרת מומסרים בחזרה ללקוח. ב- Microsoft Edge, קטגוריית התגובה משמשת לקביעת דף החסימה המתאים להצגת (זדוני, דיוג, מדיניות ארגונית).

הטבלה הבאה מציגה את התגובות ואת התכונות המתאם שלהן.

קטגוריית תגובה תכונה האחראית לבלוק
מדיניות מותאמת אישית WCF (WCF)
CustomBlockList מחוונים מותאמים אישית
קספרפולי Defender עבור יישומי ענן
זדוני איומי אינטרנט
דיוג איומי אינטרנט

ציד מתקדם להגנה על האינטרנט

ניתן להשתמש בשאילתות Kusto בשלבי ציד מתקדמים כדי לסכם חסימות הגנה באינטרנט בארגון שלך למשך עד 30 יום. שאילתות אלה משתמשות במידע המפורט לעיל כדי להבחין בין מקורות הבלוקים השונים ולסכם אותם באופן ידידותי למשתמש. לדוגמה, השאילתה הבאה מפרטת את כל בלוקי WCF שמקורם ב- Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

באופן דומה, באפשרותך להשתמש בשאילתה הבאה כדי להציג רשימה של כל בלוקי WCF שמקורם בהגנה על הרשת (לדוגמה, בלוק WCF בדפדפן שאינו של Microsoft). ה ActionType - מתעדכן ומשתנה Experience ל- ResponseCategory.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

כדי ליצור רשימה של בלוקים עקב תכונות אחרות (כגון מחוונים מותאמים אישית), עיין בטבלה המפורטת לעיל במאמר זה. הטבלה מתארת כל תכונה ואת קטגוריית התגובה המתאימה שלה. ניתן לשנות שאילתות אלה כדי לחפש מדידת שימוש הקשורה למחשבים ספציפיים בארגון שלך. ה- ActionType המוצג בכל שאילתה מציג רק את החיבורים שנחסמו על-ידי תכונה של הגנה באינטרנט, ולא את כל תעבורת הרשת.

חוויית משתמש

אם משתמש מבקר בדף אינטרנט מהווה סיכון לתוכנות זדוניות, דיוג או איומי אינטרנט אחרים, Microsoft Edge מפעיל דף חסימה הדומה לתמונה הבאה:

צילום מסך המציג הודעת חסימה חדשה עבור אתר אינטרנט.

החל מ- Microsoft Edge 124, דף הבלוק הבא מוצג עבור כל בלוקי הקטגוריות של סינון תוכן אינטרנט.

צילום מסך המציג תוכן חסום.

בכל מקרה, לא מוצגים דפי חסימה בדפדפנים שאינם של Microsoft, והמשתמש רואה את הדף "החיבור המאובטח נכשל" יחד עם הודעה מורמת. בהתאם למדיניות האחראית לבלוק, משתמש רואה הודעה אחרת בהודעה המורמת. לדוגמה, סינון תוכן אינטרנט מציג את ההודעה "תוכן זה חסום".

דווח על תוצאות חיוביות מוטעות

כדי לדווח על תוצאה חיובית מוטעית עבור אתרים ש- SmartScreen ראה אותם כמסוכנים, השתמש בקישור שמופיע בדף החסימה ב- Microsoft Edge (כפי שמוצג קודם במאמר זה).

עבור WCF, באפשרותך לערער על הקטגוריה של תחום. נווט אל הכרטיסיה תחומים של דוחות WCF. תראה שלוש נקודות לצד כל אחד מהתחום. רחף מעל שלוש נקודות אלה ובחר קטגוריית מחלוקת. תפריט נשלף נפתח. הגדר את העדיפות של המקרה וספק פרטים אחרים, כגון הקטגוריה המוצעת. לקבלת מידע נוסף על אופן ההפעלה של WCF ועל האופן לקטגוריות של מחלוקות, ראה סינון תוכן אינטרנט.

לקבלת מידע נוסף אודות אופן השליחה של תוצאות חיוביות/שליליות מוטעות, ראה כתובת של תוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה.

מאמר תיאור
הגנה מפני איומים באינטרנט מנע גישה לאתרי דיוג, לווקטורים של תוכנות זדוניות, לאתרי ניצול לרעה, לאתרי מוניטין לא מהימנים או שפלים ולאתרים שנחסמו.
סינון תוכן באינטרנט עקוב אחר הגישה לאתרי אינטרנט וסדר אותם בהתאם לקטגוריות התוכן שלהם.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.