Protezione Web

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Informazioni sulla protezione Web

La protezione Web in Microsoft Defender per endpoint è una funzionalità costituita da protezione dalle minacce Web, filtri dei contenuti Web e indicatori personalizzati. La protezione Web consente di proteggere i dispositivi dalle minacce Web e consente di regolare i contenuti indesiderati. È possibile trovare report di protezione Web nel portale di Microsoft 365 Defender passando a Report > Protezione Web.

Le schede di protezione Web

Protezione dalle minacce sul Web

Le schede che costituiscono la protezione dalle minacce Web sono i rilevamenti di minacce Web nel tempo e il riepilogo delle minacce Web.

La protezione dalle minacce Web include:

  • Visibilità completa sulle minacce Web che interessano l'organizzazione.
  • Funzionalità di indagine sulle attività di minaccia correlate al Web tramite avvisi e profili completi di URL e dispositivi che accedono a questi URL.
  • Un set completo di funzionalità di sicurezza che tengono traccia delle tendenze di accesso generali ai siti Web dannosi e indesiderati.

Nota

Per i processi diversi da Microsoft Edge e Internet Explorer, gli scenari di protezione Web sfruttano Protezione di rete per l'ispezione e l'imposizione:

  • IP è supportato per tutti e tre i protocolli (TCP, HTTP e HTTPS (TLS).
  • Sono supportati solo indirizzi IP singoli (nessun blocco CIDR o intervalli IP) negli indicatori personalizzati.
  • Gli URL crittografati (percorso completo) possono essere bloccati solo nei browser di prima parte (Internet Explorer, Edge).
  • Gli URL crittografati (solo FQDN) possono essere bloccati in browser di terze parti (ad esempio, diversi da Internet Explorer, Edge).
  • I blocchi di percorso URL completi possono essere applicati per gli URL non crittografati.

Possono essere presenti fino a 2 ore di latenza (in genere meno) tra il momento in cui viene eseguita l'azione e l'URL e l'IP bloccati.

Per altre informazioni, vedere Protezione dalle minacce Web.

Indicatori personalizzati

I rilevamenti di indicatori personalizzati sono riepilogati anche nei report sulle minacce Web delle organizzazioni in Rilevamenti minacce Web nel tempo e Riepilogo delle minacce Web.

L'indicatore personalizzato include:

  • Possibilità di creare indicatori di compromissione basati su IP e URL per proteggere l'organizzazione dalle minacce.
  • Funzionalità di indagine sulle attività correlate ai profili IP/URL personalizzati e ai dispositivi che accedono a questi URL.
  • Possibilità di creare criteri Consenti, Blocca e Avvisa per INDIRIZZI IP e URL.

Per altre informazioni, vedere Creare indicatori per INDIRIZZI IP e URL/domini

Filtro contenuti Web

Il filtro contenuto Web include attività Web per categoria, riepilogo del filtro contenuto Web e riepilogo attività Web.

Il filtro contenuto Web include:

  • Agli utenti viene impedito di accedere ai siti Web in categorie bloccate, indipendentemente dal fatto che stiano navigando in locale o lontano.
  • È possibile distribuire facilmente criteri diversi a vari set di utenti usando i gruppi di dispositivi definiti nelle impostazioni di controllo degli accessi in base al ruolo Microsoft Defender per endpoint.
  • È possibile accedere ai report Web nella stessa posizione centrale, con visibilità sui blocchi effettivi e sull'utilizzo del Web.

Per altre informazioni, vedere Filtro contenuto Web.

Ordine di precedenza

La protezione Web è costituita dai componenti seguenti, elencati in ordine di precedenza. Ognuno di questi componenti viene applicato dal client SmartScreen in Microsoft Edge e dal client di Protezione rete in tutti gli altri browser e processi.

  • Indicatori personalizzati (IP/URL, criteri di Microsoft Defender for Cloud Apps)

    • Consenti
    • Avvertire
    • Blocca
  • Minacce Web (malware, phishing)

    • SmartScreen Intel, incluso Exchange Online Protection (EOP)
    • Escalation
  • Filtro contenuto Web (WCF)

Nota

Microsoft Defender for Cloud Apps attualmente genera indicatori solo per gli URL bloccati.

L'ordine di precedenza è correlato all'ordine delle operazioni in base al quale viene valutato un URL o un INDIRIZZO IP. Ad esempio, se si dispone di un criterio di filtro del contenuto Web, è possibile creare esclusioni tramite indicatori IP/URL personalizzati. Gli indicatori personalizzati di compromissione (IoC) sono più alti nell'ordine di precedenza rispetto ai blocchi WCF.

Analogamente, durante un conflitto tra gli indicatori, consente di avere sempre la precedenza sui blocchi (logica di override). Ciò significa che un indicatore allow vincerà qualsiasi indicatore di blocco presente.

La tabella seguente riepiloga alcune configurazioni comuni che presentano conflitti all'interno dello stack di protezione Web. Identifica anche le determinazioni risultanti in base alla precedenza elencata in precedenza.



Criteri indicatori personalizzati Criteri di minaccia Web Criteri WCF Criteri di Defender per app cloud Risultato
Consenti Blocca Blocca Blocca Consenti (override della protezione Web)
Consenti Consenti Blocca Blocca Consenti (eccezione WCF)
Avvertire Blocca Blocca Blocca Avvisa (override)

Gli indirizzi IP interni non sono supportati da indicatori personalizzati. Per un criterio di avviso quando viene ignorato dall'utente finale, il sito verrà sbloccato per 24 ore per tale utente per impostazione predefinita. Questo intervallo di tempo può essere modificato dal Amministrazione e viene passato dal servizio cloud SmartScreen. La possibilità di ignorare un avviso può anche essere disabilitata in Microsoft Edge usando CSP per i blocchi di minacce Web (malware/phishing). Per altre informazioni, vedere Impostazioni smartscreen di Microsoft Edge.

Proteggere i browser

In tutti gli scenari di protezione Web, SmartScreen e Protezione di rete possono essere usati insieme per garantire la protezione sia nei browser e nei processi di prima che di terze parti. SmartScreen è integrato direttamente in Microsoft Edge, mentre Protezione rete monitora il traffico in browser e processi di terze parti. Il diagramma seguente illustra questo concetto. Questo diagramma dei due client che interagiscono per fornire più copertura di browser/app è accurato per tutte le funzionalità di protezione Web (indicatori, minacce Web, filtro contenuto).

L'utilizzo di smartScreen e protezione di rete insieme

Risolvere i problemi relativi ai blocchi di endpoint

Le risposte dal cloud SmartScreen sono standardizzate. Strumenti come Fiddler possono essere usati per esaminare la risposta dal servizio cloud, che consente di determinare l'origine del blocco.

Quando il servizio cloud SmartScreen risponde con una risposta consenti, blocca o avvisa, una categoria di risposta e un contesto del server vengono inoltrati di nuovo al client. In Microsoft Edge, la categoria di risposta è ciò che viene usato per determinare la pagina di blocco appropriata da visualizzare (dannoso, phishing, criteri dell'organizzazione).

La tabella seguente mostra le risposte e le relative funzionalità correlate.



ResponseCategory Funzionalità responsabile del blocco
CustomPolicy Wcf
CustomBlockList Indicatori personalizzati
CasbPolicy Defender per app cloud
Dannoso Minacce Web
Phishing Minacce Web

Ricerca avanzata per la protezione Web

Le query Kusto nella ricerca avanzata possono essere usate per riepilogare i blocchi di protezione Web nell'organizzazione per un massimo di 30 giorni. Queste query usano le informazioni elencate in precedenza per distinguere tra le varie origini di blocchi e riepilogarle in modo semplice. Ad esempio, la query seguente elenca tutti i blocchi WCF provenienti da Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

Analogamente, è possibile usare la query seguente per elencare tutti i blocchi WCF provenienti da Network Protection, ad esempio un blocco WCF in un browser di terze parti. Si noti che ActionType è stato aggiornato e 'Experience' è stato modificato in 'ResponseCategory'.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Per elencare i blocchi dovuti ad altre funzionalità (ad esempio gli indicatori personalizzati), fare riferimento alla tabella precedente che delinea ogni funzionalità e la rispettiva categoria di risposta. Queste query possono anche essere modificate per cercare dati di telemetria correlati a computer specifici nell'organizzazione. Si noti che actionType illustrato in ogni query precedente mostrerà solo le connessioni bloccate da una funzionalità di protezione Web e non tutto il traffico di rete.

Esperienza utente

Se un utente visita una pagina Web che presenta un rischio di malware, phishing o altre minacce Web, Microsoft Edge attiverà una pagina di blocco che legge "Questo sito è stato segnalato come non sicuro" insieme alle informazioni correlate alla minaccia.

Se bloccato da WCF o da un indicatore personalizzato, in Microsoft Edge viene visualizzata una pagina di blocco che indica all'utente che il sito è bloccato dall'organizzazione.

In ogni caso, non vengono visualizzate pagine bloccate nei browser di terze parti e l'utente visualizza una pagina "Connessione sicura non riuscita" insieme a una notifica di tipo avviso popup. A seconda dei criteri responsabili del blocco, un utente visualizzerà un messaggio diverso nella notifica di tipo avviso popup. Ad esempio, il filtro contenuto Web visualizzerà il messaggio "Questo contenuto è bloccato".

Segnala falsi positivi

Per segnalare un falso positivo per i siti considerati pericolosi da SmartScreen, usare il collegamento visualizzato nella pagina del blocco in Microsoft Edge (come illustrato in precedenza).

Per WCF, è possibile contestare la categoria di un dominio. Passare alla scheda Domini dei report WCF e quindi fare clic su Imprecisione report. Verrà aperto un riquadro a comparsa. Impostare la priorità dell'evento imprevisto e fornire alcuni dettagli aggiuntivi, ad esempio la categoria suggerita. Per altre informazioni su come attivare WCF e su come contestare le categorie, vedere Filtro contenuto Web.

Per altre informazioni su come inviare falsi positivi/negativi, vedere Indirizzo di falsi positivi/negativi in Microsoft Defender per endpoint.



Argomento Descrizione
Protezione dalle minacce sul Web Arrestare l'accesso a siti di phishing, vettori di malware, siti di exploit, siti non attendibili o a bassa reputazione e siti bloccati.
Filtro contenuti Web Tenere traccia e regolare l'accesso ai siti Web in base alle categorie di contenuto.