Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Tudnivalók a webvédelemről
A webes védelem a Végponthoz készült Microsoft Defender a webes veszélyforrások elleni védelemből, a webes tartalomszűrésből és az egyéni jelzőkből áll. A webvédelem lehetővé teszi az eszközök védelmét a webes fenyegetések ellen, és segít szabályozni a nemkívánatos tartalmakat. A webvédelmi jelentéseket a Microsoft Defender portálOn, a Webes védelem jelentései >területen találhatja meg.
Webes veszélyforrások elleni védelem
A webes veszélyforrások elleni védelmet biztosító kártyák a webes fenyegetések időbeli észlelése és a webes fenyegetések összegzése.
A webes veszélyforrások elleni védelem a következőket tartalmazza:
- Átfogó betekintés a szervezetet érintő webes fenyegetésekbe.
- A webes fenyegetésekkel kapcsolatos tevékenységekkel kapcsolatos vizsgálati képességek az URL-címek és az ezekhez az URL-címekhez hozzáférő eszközök riasztásai és átfogó profiljai révén.
- A rosszindulatú és nemkívánatos webhelyek általános hozzáférési trendjeit nyomon követő biztonsági funkciók teljes készlete.
Megjegyzés:
A Microsoft Edge és az Internet Explorer kivételével a webvédelmi forgatókönyvek a Hálózatvédelmet használják a vizsgálathoz és a kényszerítéshez:
- Az IP-címek mindhárom protokoll (TCP, HTTP és HTTPS (TLS) esetében támogatottak.
- Egyéni jelzőkben csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
- A HTTP URL-címek (beleértve a teljes URL-címet) bármilyen böngészőben vagy folyamatnál blokkolhatók
- A HTTPS teljes tartománynevei (FQDN) blokkolhatók nem Microsoft-böngészőkben (a teljes URL-címet megjelölő jelzők csak a Microsoft Edge-ben tilthatók le)
- A nem Microsoft-böngészőkben lévő FQDN-ek blokkolásához le kell tiltani a QUIC-t és a titkosított ügyfél hello-t ezekben a böngészőkben
- A HTTP2-kapcsolat ékesítésével betöltött teljes tartománynevek csak a Microsoft Edge-ben tilthatók le.
- A Hálózatvédelem minden porton blokkolja a kapcsolatokat (nem csak a 80-at és a 443-at).
A nem Microsoft Edge-folyamatokban a Network Protection az egyes HTTPS-kapcsolatok teljes tartománynevét határozza meg a TCP/IP-kézfogás után előforduló TLS-kézfogás tartalmának vizsgálatával. Ehhez a HTTPS-kapcsolatnak TCP/IP-t (nem UDP/QUIC-t) kell használnia, és hogy a ClientHello üzenet nincs titkosítva. A QUIC és a Encrypted Client Hello letiltásához a Google Chrome-ban lásd: QuicAllowed és EncryptedClientHelloEnabled. Mozilla Firefox esetén lásd: Disable EncryptedClientHello and network.http.http3.enable.
A mutató hozzáadása és az ügyfélen való kényszerítése között akár két órányi (általában kisebb) késés is lehet. További információ: Webes veszélyforrások elleni védelem.
Egyéni mutatók
Az egyéni jelzőészleléseket a webes fenyegetésészlelések időbeli webes fenyegetésészlelései és a webes fenyegetések összegzése című témakör webes fenyegetésjelentésekben összegzi.
Az egyéni mutatók az alábbiakat biztosítják:
- Ip- és URL-alapú biztonsági rések létrehozásának lehetősége a szervezet fenyegetésekkel szembeni védelme érdekében.
- Megadhatja az Engedélyezés, a Letiltás vagy a Figyelmeztetés viselkedést.
- Vizsgálati képességek az egyéni IP-/URL-jelzőkhöz és az url-címekhez hozzáférő eszközökhöz kapcsolódó tevékenységekhez.
További információ: Jelzők létrehozása IP-címekhez és URL-címekhez/tartományokhoz
Webes tartalom szűrése
A webes tartalomszűrési blokkokat a Webes tevékenységek kategória, a Webes tartalomszűrés összegzése és a Webes tevékenységek összegzése területen összegezzük.
A webes tartalomszűrés a következő lehetőségeket nyújtja:
- Letilthatja, hogy a felhasználók blokkolt kategóriákba tartozó webhelyekhez férjenek hozzá, akár a helyszínen, akár távolról böngésznek.
- Különböző szabályzatok célzásának támogatása a Végponthoz készült Microsoft Defender szerepköralapú hozzáférés-vezérlési beállításokban meghatározott különböző eszközcsoportokra.
Megjegyzés:
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
- Webes jelentéskészítés ugyanazon a központi helyen, a blokkok és a webhasználat áttekintésével.
További információ: Webes tartalomszűrés.
Elsőbbségi sorrend
A webvédelem a következő összetevőkből áll, prioritási sorrendben felsorolva. Ezen összetevők mindegyikét kikényszeríti a Microsoft Edge SmartScreen-ügyfele és a Network Protection-ügyfél minden más böngészőben és folyamatban.
Egyéni mutatók (IP/URL, Microsoft Defender for Cloud Apps szabályzatok)
- Engedélyezés
- Figyelmeztet
- Letiltás
Webes fenyegetések (kártevők, adathalászat)
- SmartScreen Intel
Webes tartalomszűrés (WCF)
Megjegyzés:
Microsoft Defender for Cloud Apps jelenleg csak a letiltott URL-címekhez hoz létre mutatókat.
Az elsőbbségi sorrend az URL-cím vagy IP-cím kiértékelésének sorrendjére vonatkozik. Ha például webes tartalomszűrési szabályzattal rendelkezik, egyéni IP-/URL-jelzők használatával kizárásokat hozhat létre. Az egyéni biztonsági rések mutatói (IoC) nagyobb sorrendben jelennek meg, mint a WCF-blokkok.
Hasonlóképpen, a mutatók közötti ütközés során mindig elsőbbséget élvez a blokkokkal szemben (felülbírálási logika). Ez azt jelenti, hogy az engedélyezési jelző elsőbbséget élvez a jelen lévő blokkjelzőkkel szemben.
Az alábbi táblázat néhány olyan gyakori konfigurációt foglal össze, amelyek ütközéseket jelentenek a webvédelmi veremben. Az eredményként kapott meghatározásokat a cikk korábbi részében ismertetett elsőbbség alapján azonosítja.
| Egyéni mutatószabályzat | Webes veszélyforrás-szabályzat | WCF-szabályzat | Defender for Cloud Apps szabályzat | Result (Eredmény) |
|---|---|---|---|---|
| Engedélyezés | Letiltás | Letiltás | Letiltás | Engedélyezés (webvédelmi felülbírálás) |
| Engedélyezés | Engedélyezés | Letiltás | Letiltás | Engedélyezés (WCF-kivétel) |
| Figyelmeztet | Letiltás | Letiltás | Letiltás | Figyelmeztetés (felülbírálás) |
A belső IP-címeket az egyéni jelzők nem támogatják. Ha a végfelhasználó megkerüli a figyelmeztetési házirendet, a webhely alapértelmezés szerint 24 órán keresztül le van tiltva. Ezt az időkeretet a Rendszergazda módosíthatja, és a SmartScreen felhőszolgáltatás adja át. A figyelmeztetések megkerülésének lehetősége a Microsoft Edge-ben is letiltható a webes fenyegetésblokkok (kártevők/adathalászat) CSP használatával történő használatával. További információ: Microsoft Edge SmartScreen-beállítások.
Böngészők védelme
A SmartScreen és a Network Protection minden webes védelmi forgatókönyvben együtt használható a Microsoft és a nem Microsoft böngészők és folyamatok védelmének biztosítására. A SmartScreen közvetlenül a Microsoft Edge-be van beépítve, a Network Protection pedig a nem Microsoft-böngészőkben és -folyamatokban figyeli a forgalmat. Az alábbi ábra ezt a fogalmat szemlélteti. Ez a diagram, amely azt szemlélteti, hogy a két ügyfél együtt több böngésző-alkalmazás lefedettséget biztosít, pontos a webvédelem minden funkciójára vonatkozóan (mutatók, webes fenyegetések, tartalomszűrés).
Végpontblokkok hibaelhárítása
A SmartScreen-felhőből érkező válaszok szabványosítva vannak. A Telerik Fiddlerhez hasonló eszközökkel megvizsgálható a felhőszolgáltatás válasza, amely segít meghatározni a blokk forrását.
Amikor a SmartScreen felhőszolgáltatás engedélyezési, letiltási vagy figyelmeztetési válaszsal válaszol, a rendszer visszaküldi a válaszkategóriát és a kiszolgálói környezetet az ügyfélnek. A Microsoft Edge-ben a válaszkategória határozza meg a megjelenítendő megfelelő blokklapot (rosszindulatú, adathalászat, szervezeti szabályzat).
Az alábbi táblázat a válaszokat és azok korrelált funkcióit mutatja be.
| ResponseCategory | A blokkért felelős funkció |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Egyéni mutatók |
| CasbPolicy | Defender for Cloud Apps |
| Rosszindulatú | Webes fenyegetések |
| Adathalászat | Webes fenyegetések |
Speciális veszélyforrás-keresés a webvédelemhez
A speciális veszélyforrás-keresésben használt Kusto-lekérdezésekkel akár 30 napig összegzheti a szervezet webvédelmi blokkjait. Ezek a lekérdezések a fent felsorolt információk alapján különböztetik meg a blokkok különböző forrásait, és felhasználóbarát módon összegzik azokat. Az alábbi lekérdezés például felsorolja a Microsoft Edge-ből származó összes WCF-blokkot.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
Ehhez hasonlóan a következő lekérdezéssel listázhatja a Hálózatvédelemből származó összes WCF-blokkot (például egy WCF-blokkot egy nem Microsoft-böngészőben). A ActionType frissül, és Experience a következőre ResponseCategorymódosul: .
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
A más funkciók (például az egyéni mutatók) miatt fellépő blokkok listázásához tekintse meg a cikk korábbi részében felsorolt táblázatot. A táblázat az egyes funkciókat és a hozzájuk tartozó válaszkategóriákat ismerteti. Ezek a lekérdezések módosíthatók a szervezet adott gépeihez kapcsolódó telemetriai adatok kereséséhez. Az egyes lekérdezésekben látható ActionType csak azokat a kapcsolatokat jeleníti meg, amelyeket egy webvédelmi szolgáltatás blokkolt, és nem minden hálózati forgalmat.
Felhasználói élmény
Ha egy felhasználó olyan weblapot látogat meg, amely kártevők, adathalászat vagy egyéb webes fenyegetések kockázatát hordozhatja, a Microsoft Edge az alábbi képhez hasonló blokklapot jelenít meg:
A Microsoft Edge 124-től kezdődően a következő blokklap jelenik meg az összes webes tartalomszűrési kategóriablokk esetében.
Mindenesetre nem jelennek meg blokklapok a nem Microsoft-böngészőkben, és a felhasználó ehelyett a "Biztonságos kapcsolat meghiúsult" oldalt és a Windows bejelentési értesítését látja. A letiltásért felelős szabályzattól függően a felhasználó egy másik üzenetet lát a bejelentési értesítésben. A webes tartalomszűrés például a következő üzenetet jeleníti meg: "Ez a tartalom le van tiltva".
Hamis pozitív eredmények jelentése
A SmartScreen által veszélyesnek ítélt webhelyek hamis pozitív eredményének bejelentéséhez használja a Microsoft Edge blokkoldalán megjelenő hivatkozást (ahogy azt a cikk korábbi részében is láthatjuk).
WCF esetén felülbírálhat egy blokkot egy Engedélyezés jelzővel, és opcionálisan vitathatja a tartomány kategóriáját. Lépjen a WCF-jelentések Tartományok lapjára. Az egyes tartományok mellett három pont jelenik meg. Vigye az egérmutatót a három pontra, és válassza a Vitakategória lehetőséget. Ekkor megnyílik egy úszó panel. Állítsa be az incidens prioritását, és adjon meg néhány egyéb részletet, például a javasolt kategóriát. A WCF bekapcsolásával és a kategóriák vitatásával kapcsolatos további információkért lásd: Webes tartalomszűrés.
A téves pozitív/negatív értékek beküldésével kapcsolatos további információkért lásd: A téves pozitívok/negatívok kezelése Végponthoz készült Microsoft Defender.
Kapcsolódó cikkek
| Cikk | Leírás |
|---|---|
| Webes veszélyforrások elleni védelem | Az adathalász webhelyekhez, kártevővektorokhoz, biztonsági rések kihasználásához, nem megbízható vagy alacsony hírnévnek örvendő webhelyekhez és letiltott webhelyekhez való hozzáférés megakadályozása. |
| Webes tartalom szűrése | A webhelyekhez való hozzáférés nyomon követése és szabályozása a tartalomkategóriák alapján. |