Webes védelem
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Tudnivalók a webvédelemről
A webes védelem a Végponthoz készült Microsoft Defender a webes veszélyforrások elleni védelemből, a webes tartalomszűrésből és az egyéni jelzőkből áll. A webvédelem lehetővé teszi az eszközök védelmét a webes fenyegetések ellen, és segít szabályozni a nemkívánatos tartalmakat. A webvédelmi jelentéseket a Microsoft Defender portálOn, a Webes védelem jelentései >területen találhatja meg.
Webes veszélyforrások elleni védelem
A webes veszélyforrások elleni védelmet biztosító kártyák a webes fenyegetések időbeli észlelése és a webes fenyegetések összegzése.
A webes veszélyforrások elleni védelem a következőket tartalmazza:
- Átfogó betekintés a szervezetet érintő webes fenyegetésekbe.
- A webes fenyegetésekkel kapcsolatos tevékenységekkel kapcsolatos vizsgálati képességek az URL-címek és az ezekhez az URL-címekhez hozzáférő eszközök riasztásai és átfogó profiljai révén.
- A rosszindulatú és nemkívánatos webhelyek általános hozzáférési trendjeit nyomon követő biztonsági funkciók teljes készlete.
Megjegyzés:
A Microsoft Edge és az Internet Explorer kivételével a webvédelmi forgatókönyvek a Hálózatvédelmet használják a vizsgálathoz és a kényszerítéshez:
- Az IP-cím mindhárom protokoll (TCP, HTTP és HTTPS (TLS) esetében támogatott.
- Egyéni jelzőkben csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
- A titkosított URL-címek (teljes elérési út) csak belső böngészőkben tilthatók le (Internet Explorer, Edge).
- A titkosított URL-címek (csak FQDN) blokkolhatók külső böngészőkben (pl. az Internet Explorer, az Edge kivételével).
- A titkosítatlan URL-címekre teljes URL-címblokkok alkalmazhatók.
A művelet végrehajtása és az URL-cím és az IP-cím blokkolása között akár két órányi késés is lehet (általában kevesebb). További információ: Webes veszélyforrások elleni védelem.
Egyéni mutatók
Az egyéni jelzőészleléseket a szervezetek webes fenyegetésjelentései is összefoglalják a webes fenyegetésészlelések időbeli éswebes fenyegetés-összegzése alatt.
Az egyéni jelző a következőket tartalmazza:
- Ip- és URL-alapú biztonsági rések létrehozására való képesség a szervezet fenyegetésekkel szembeni védelme érdekében.
- Az egyéni IP-/URL-profilokhoz és az ezekhez az URL-címekhez hozzáférő eszközökhöz kapcsolódó tevékenységek vizsgálati képességei.
- Engedélyezési, letiltási és figyelmeztetési szabályzatok létrehozása IP-címekhez és URL-címekhez.
További információ: Jelzők létrehozása IP-címekhez és URL-címekhez/tartományokhoz
Webes tartalom szűrése
A webes tartalomszűrés magában foglalja a webes tevékenységeket kategória szerint, a webes tartalomszűrési összegzést és a webes tevékenységek összegzését.
A webes tartalomszűrés a következőket tartalmazza:
- A felhasználók nem férhetnek hozzá a letiltott kategóriákba tartozó webhelyekhez, függetlenül attól, hogy a helyszínen vagy távol böngésznek.
- A Végponthoz készült Microsoft Defender szerepköralapú hozzáférés-vezérlési beállításokban meghatározott eszközcsoportok használatával kényelmesen telepíthet különböző házirendeket különböző felhasználói csoportokra.
Megjegyzés:
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
- A webes jelentéseket ugyanazon a központi helyen érheti el, a tényleges blokkok és a webes használat áttekintésével.
További információ: Webes tartalomszűrés.
Elsőbbségi sorrend
A webvédelem a következő összetevőkből áll, prioritási sorrendben felsorolva. Ezen összetevők mindegyikét kikényszeríti a Microsoft Edge SmartScreen-ügyfele és a Network Protection-ügyfél minden más böngészőben és folyamatban.
Egyéni mutatók (IP/URL, Microsoft Defender for Cloud Apps szabályzatok)
- Engedélyezés
- Figyelmeztet
- Letiltás
Webes fenyegetések (kártevők, adathalászat)
- SmartScreen Intel, beleértve a Exchange Online Védelmi szolgáltatás (EOP)
- Torkolljon
Webes tartalomszűrés (WCF)
Megjegyzés:
Microsoft Defender for Cloud Apps jelenleg csak a letiltott URL-címekhez hoz létre mutatókat.
Az elsőbbségi sorrend az URL-cím vagy IP-cím kiértékelésének sorrendjére vonatkozik. Ha például webes tartalomszűrési szabályzattal rendelkezik, egyéni IP-/URL-jelzők használatával kizárásokat hozhat létre. Az egyéni biztonsági rések mutatói (IoC) nagyobb sorrendben jelennek meg, mint a WCF-blokkok.
Hasonlóképpen, a mutatók közötti ütközés során mindig elsőbbséget élvez a blokkokkal szemben (felülbírálási logika). Ez azt jelenti, hogy az engedélyezési jelző elsőbbséget élvez a jelen lévő blokkjelzőkkel szemben.
Az alábbi táblázat néhány olyan gyakori konfigurációt foglal össze, amelyek ütközéseket jelentenek a webvédelmi veremben. Az eredményként kapott meghatározásokat a cikk korábbi részében ismertetett elsőbbség alapján azonosítja.
Egyéni mutatószabályzat | Webes veszélyforrás-szabályzat | WCF-szabályzat | Defender for Cloud Apps szabályzat | Result (Eredmény) |
---|---|---|---|---|
Engedélyezés | Letiltás | Letiltás | Letiltás | Engedélyezés (webvédelmi felülbírálás) |
Engedélyezés | Engedélyezés | Letiltás | Letiltás | Engedélyezés (WCF-kivétel) |
Figyelmeztet | Letiltás | Letiltás | Letiltás | Figyelmeztetés (felülbírálás) |
A belső IP-címeket az egyéni jelzők nem támogatják. Ha a végfelhasználó megkerüli a figyelmeztetési házirendet, a webhely alapértelmezés szerint 24 órán keresztül le van tiltva. Ezt az időkeretet a Rendszergazda módosíthatja, és a SmartScreen felhőszolgáltatás adja át. A figyelmeztetések megkerülésének lehetősége a Microsoft Edge-ben is letiltható a webes fenyegetésblokkok (kártevők/adathalászat) CSP használatával történő használatával. További információ: Microsoft Edge SmartScreen-beállítások.
Böngészők védelme
A SmartScreen és a Network Protection minden webes védelmi forgatókönyvben együtt használható a Microsoft és a nem Microsoft böngészők és folyamatok védelmének biztosítására. A SmartScreen közvetlenül a Microsoft Edge-be van beépítve, a Network Protection pedig a nem Microsoft-böngészőkben és -folyamatokban figyeli a forgalmat. Az alábbi ábra ezt a fogalmat szemlélteti. Ez a diagram, amely azt szemlélteti, hogy a két ügyfél együtt több böngésző-alkalmazás lefedettséget biztosít, pontos a webvédelem minden funkciójára vonatkozóan (mutatók, webes fenyegetések, tartalomszűrés).
Megjegyzés:
A Microsoft Edge Alkalmazásőr munkameneteiben jelenleg nem támogatottak a biztonsági rések és a webes tartalomszűrés egyéni mutatói. Ezek a tárolóalapú böngésző-munkamenetek csak a beépített SmartScreen-védelemmel tudják kikényszeríteni a webes fenyegetésblokkokat. Nem kényszeríthetnek vállalati webvédelmi szabályzatokat.
Végpontblokkok hibaelhárítása
A SmartScreen-felhőből érkező válaszok szabványosítva vannak. A Fiddlerhez hasonló eszközökkel megvizsgálható a felhőszolgáltatás válasza, amely segít meghatározni a blokk forrását.
Amikor a SmartScreen felhőszolgáltatás engedélyezési, letiltási vagy figyelmeztetési válaszsal válaszol, a rendszer visszaküldi a válaszkategóriát és a kiszolgálói környezetet az ügyfélnek. A Microsoft Edge-ben a válaszkategória határozza meg a megjelenítendő megfelelő blokklapot (rosszindulatú, adathalászat, szervezeti szabályzat).
Az alábbi táblázat a válaszokat és azok korrelált funkcióit mutatja be.
ResponseCategory | A blokkért felelős funkció |
---|---|
CustomPolicy | WCF |
CustomBlockList | Egyéni mutatók |
CasbPolicy | Defender for Cloud Apps |
Rosszindulatú | Webes fenyegetések |
Adathalászat | Webes fenyegetések |
Speciális veszélyforrás-keresés a webvédelemhez
A speciális veszélyforrás-keresésben használt Kusto-lekérdezésekkel akár 30 napig összegzheti a szervezet webvédelmi blokkjait. Ezek a lekérdezések a fent felsorolt információk alapján különböztetik meg a blokkok különböző forrásait, és felhasználóbarát módon összegzik azokat. Az alábbi lekérdezés például felsorolja a Microsoft Edge-ből származó összes WCF-blokkot.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
Ehhez hasonlóan a következő lekérdezéssel listázhatja a Hálózatvédelemből származó összes WCF-blokkot (például egy WCF-blokkot egy nem Microsoft-böngészőben). A ActionType
frissül, és Experience
a következőre ResponseCategory
módosul: .
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
A más funkciók (például az egyéni mutatók) miatt fellépő blokkok listázásához tekintse meg a cikk korábbi részében felsorolt táblázatot. A táblázat az egyes funkciókat és a hozzájuk tartozó válaszkategóriákat ismerteti. Ezek a lekérdezések módosíthatók a szervezet adott gépeihez kapcsolódó telemetriai adatok kereséséhez. Az egyes lekérdezésekben látható ActionType csak azokat a kapcsolatokat jeleníti meg, amelyeket egy webvédelmi szolgáltatás blokkolt, és nem minden hálózati forgalmat.
Felhasználói élmény
Ha egy felhasználó olyan weblapot látogat meg, amely kártevők, adathalászat vagy egyéb webes fenyegetések kockázatát hordozhatja, a Microsoft Edge az alábbi képhez hasonló blokklapot aktivál:
A Microsoft Edge 124-től kezdődően a következő blokklap jelenik meg az összes webes tartalomszűrési kategóriablokk esetében.
A nem Microsoft-böngészőkben semmilyen blokklap nem jelenik meg, és a felhasználó egy bejelentési értesítéssel együtt egy "A biztonságos kapcsolat meghiúsult" oldalt lát. A letiltásért felelős szabályzattól függően a felhasználó egy másik üzenetet lát a bejelentési értesítésben. A webes tartalomszűrés például a következő üzenetet jeleníti meg: "Ez a tartalom le van tiltva".
Hamis pozitív eredmények jelentése
A SmartScreen által veszélyesnek ítélt webhelyek hamis pozitív eredményének bejelentéséhez használja a Microsoft Edge blokkoldalán megjelenő hivatkozást (ahogy azt a cikk korábbi részében is láthatjuk).
A WCF esetében vitathatja a tartomány kategóriáját. Lépjen a WCF-jelentések Tartományok lapjára. Az egyes tartományok mellett három pont jelenik meg. Vigye az egérmutatót a három pontra, és válassza a Vitakategória lehetőséget. Ekkor megnyílik egy úszó panel. Állítsa be az incidens prioritását, és adjon meg néhány egyéb részletet, például a javasolt kategóriát. A WCF bekapcsolásával és a kategóriák vitatásával kapcsolatos további információkért lásd: Webes tartalomszűrés.
A téves pozitív/negatív értékek beküldésével kapcsolatos további információkért lásd: A téves pozitívok/negatívok kezelése Végponthoz készült Microsoft Defender.
Kapcsolódó cikkek
Cikk | Leírás |
---|---|
Webes veszélyforrások elleni védelem | Az adathalász webhelyekhez, kártevővektorokhoz, biztonsági rések kihasználásához, nem megbízható vagy alacsony hírnévnek örvendő webhelyekhez és letiltott webhelyekhez való hozzáférés megakadályozása. |
Webes tartalom szűrése | A webhelyekhez való hozzáférés nyomon követése és szabályozása a tartalomkategóriák alapján. |
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.