Opprett indikatorer for IP-er og nettadresser/domener

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Tips

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Oversikt

Ved å opprette indikatorer for IP-er og nettadresser eller domener kan du nå tillate eller blokkere IP-er, nettadresser eller domener basert på din egen trusselintelligens. Du kan også advare brukere med en ledetekst hvis de åpner en risikabel app. Ledeteksten hindrer dem ikke i å bruke appen, men du kan gi en egendefinert melding og koblinger til en firmaside som beskriver riktig bruk av appen. Brukere kan fortsatt hoppe over advarselen og fortsette å bruke appen hvis de trenger det.

Hvis du vil blokkere skadelige IP-er/nettadresser (som bestemt av Microsoft), kan Defender for Endpoint bruke:

• Windows Defender SmartScreen for Microsoft-nettlesere
• Nettverksbeskyttelse for ikke-Microsoft-nettlesere, eller anrop som er gjort utenfor en nettleser

Datasettet for trusselintelligens for å blokkere skadelige IP-er/nettadresser administreres av Microsoft.

Du kan blokkere skadelige IP-er/nettadresser via innstillingssiden eller etter maskingrupper, hvis du anser bestemte grupper for å være mer eller mindre utsatt enn andre.

Obs!

Klasseløs Inter-Domain-notasjon (CIDR) for IP-adresser støttes ikke.

Før du starter

Det er viktig å forstå følgende forutsetninger før du oppretter indikatorer for IPS, nettadresser eller domener:

Krav til nettverksbeskyttelse

Nettadresse/IP-tillatelse og -blokk krever at Microsoft Defender for endepunkt komponenten Network Protection er aktivert i blokkmodus. Hvis du vil ha mer informasjon om nettverksbeskyttelse og konfigurasjonsinstruksjoner, kan du se Aktivere nettverksbeskyttelse.

Operativsystemer som støttes

• Windows 10, versjon 1709 eller nyere
• Windows 11
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2019
• Windows Server 2022
• Macos
• Linux
• iOS
• Android

Windows Server 2016- og Windows Server 2012 R2-krav

Windows Server 2016 og Windows Server 2012 R2 må være pålastet ved hjelp av instruksjonene i Windows-servere på bord.

Microsoft Defender antivirusversjonskrav

Antimalware-klientversjonen må være 4.18.1906.x eller nyere.

Krav til egendefinerte nettverksindikatorer

Kontroller at egendefinerte nettverksindikatorer er aktivert i Microsoft Defender XDR>Innstillinger>avanserte funksjoner. Hvis du vil ha mer informasjon, kan du se Avanserte funksjoner.

Hvis du vil ha støtte for indikatorer på iOS, kan du se Microsoft Defender for endepunkt på iOS.

Hvis du vil ha støtte for indikatorer på Android, kan du se Microsoft Defender for endepunkt på Android.

Begrensninger for IoC-indikatorliste

Bare eksterne IP-er kan legges til i indikatorlisten. Indikatorer kan ikke opprettes for interne IP-er. For scenarioer for webbeskyttelse anbefaler vi at du bruker de innebygde funksjonene i Microsoft Edge. Microsoft Edge drar nytte av Nettverksbeskyttelse for å undersøke nettverkstrafikk og tillater blokker for TCP, HTTP og HTTPS (TLS).

Ikke-Microsoft Edge- og Internet Explorer-prosesser

Når det gjelder andre prosesser enn Microsoft Edge og Internet Explorer, drar webbeskyttelsesscenarioer nytte av Nettverksbeskyttelse for inspeksjon og håndhevelse:

• IP støttes for alle tre protokollene (TCP, HTTP og HTTPS (TLS))
• Bare enkle IP-adresser støttes (ingen CIDR-blokker eller IP-områder) i egendefinerte indikatorer
• Krypterte URL-adresser (fullstendig bane) kan bare blokkeres på førsteparts nettlesere (Internet Explorer, Edge)
• Krypterte URL-adresser (bare FQDN) kan blokkeres i tredjeparts nettlesere (det vil eksempel: Internet Explorer, Edge)
• Fullstendige baneblokker for URL-adresse kan brukes for ukrypterte URL-adresser
• Hvis det finnes indikatorpolicyer for nettadresser i konflikt, brukes den lengre banen. Indikatorpolicyen https://support.microsoft.com/office for NETTADRESSE har for eksempel forrang over indikatorpolicyen https://support.microsoft.comfor NETTADRESSE.

Nettverksbeskyttelse og TCP-treveis håndtrykk

Med nettverksbeskyttelse bestemmes det om tilgang til et område skal tillates eller blokkeres etter fullføring av treveis håndtrykk via TCP/IP. Når et nettsted blokkeres av nettverksbeskyttelse, kan du derfor se en handlingstype ConnectionSuccess under NetworkConnectionEvents i Microsoft Defender-portalen, selv om området ble blokkert. NetworkConnectionEvents rapporteres fra TCP-laget, og ikke fra nettverksbeskyttelse. Når det treveis håndtrykket er fullført, tillates eller blokkeres tilgang til nettstedet av nettverksbeskyttelse.

Her er et eksempel på hvordan dette fungerer:

1. La oss si at en bruker prøver å få tilgang til et nettsted på enheten sin. Nettstedet driftes tilfeldigvis på et farlig domene, og det bør blokkeres av nettverksbeskyttelse.

2. Det treveis håndtrykket via TCP/IP starter. Før den fullføres, logges en NetworkConnectionEvents handling, og ActionType den er oppført som ConnectionSuccess. Men så snart treveis håndtrykkprosessen er fullført, blokkerer nettverksbeskyttelsen tilgangen til nettstedet. Alt dette skjer raskt. En lignende prosess oppstår med Microsoft Defender SmartScreen. Det er når det treveis håndtrykket fullfører at en bestemmelse er gjort, og tilgang til et nettsted er enten blokkert eller tillatt.

3. I Microsoft Defender-portalen vises et varsel i varslingskøen. Detaljer om dette varselet omfatter både NetworkConnectionEvents og AlertEvents. Du kan se at området ble blokkert, selv om du også har et NetworkConnectionEvents element med Handlingstype for ConnectionSuccess.

Varslingsmoduskontroller

Når du bruker varslingsmodus, kan du konfigurere følgende kontroller:

• Omgåelsesevne

  • Tillat-knappen i Edge
  • Tillat-knappen på toast (nettlesere som ikke er Fra Microsoft)
  • Parameteren Omgå varighet på indikatoren
  • Omgå håndhevelse på tvers av Microsoft- og Ikke-Microsoft-nettlesere

• Url-adresse for omdiriger

  • Parameter for omdirigering av NETTADRESSE på indikatoren
  • Nettadresse for omdirigering i Edge
  • Nettadresse for omadressering på toast (nettlesere som ikke er Fra Microsoft)

Hvis du vil ha mer informasjon, kan du se Styre apper som oppdages av Microsoft Defender for endepunkt.

IoC IP URL og konflikthåndteringsrekkefølge for domenepolicy

Håndtering av policykonflikt for domener/URL-adresser/IP-adresser skiller seg fra policykonfliktsbehandling for sertifikater.

I tilfeller der flere forskjellige handlingstyper angis på samme indikator (for eksempel blokker, advar og tillat, handlingstyper som er angitt for Microsoft.com), vil rekkefølgen disse handlingstypene tre i kraft:

1. Tillat
2. Advare
3. Blokker

Tillat overstyringer som advarer om hvilke overstyringer som blokkerer: Tillat > varslingsblokk > . Derfor, i eksemplet ovenfor, vil Microsoft.com være tillatt.

Indikatorer for Defender for skyapper

Hvis organisasjonen har aktivert integrering mellom Defender for Endpoint og Defender for Cloud Apps, opprettes blokkindikatorer i Defender for Endpoint for alle skyprogrammer som ikke er helliggjort. Hvis et program settes i overvåkingsmodus, opprettes varselindikatorer (omkoblingsblokk) for URL-adressene som er knyttet til programmet. Tillat-indikatorer kan ikke opprettes for sanksjonerte programmer på dette tidspunktet. Indikatorer opprettet av Defender for Cloud Apps følger den samme policykonfliktshåndteringen som er beskrevet i forrige del.

Policyprioritet

Microsoft Defender for endepunkt policyen har forrang over Microsoft Defender antiviruspolicy. I situasjoner der Defender for Endpoint er satt til Tillat, men Microsoft Defender Antivirus er satt til Blokker, vil policyen som standard tillates.

Prioritet for flere aktive policyer

Hvis du bruker flere forskjellige policyer for filtrering av nettinnhold på samme enhet, vil det føre til at den mer restriktive policyen gjelder for hver kategori. Vurder følgende scenario:

• Policy 1 blokkerer kategori 1 og 2 og overvåker resten
• Policy 2 blokkerer kategori 3 og 4 og overvåker resten

Resultatet er at kategoriene 1–4 er blokkert. Dette er illustrert i illustrasjonen nedenfor.

Opprett en indikator for IP-er, nettadresser eller domener fra innstillingssiden

1. VelgInnstillinger-endepunktindikatorer>> (under Regler) i navigasjonsruten.

2. Velg IP-adresser eller nettadresser/domener-fanen .

3. Velg Legg til element.

4. Angi følgende detaljer:

   • Indikator – Angi enhetsdetaljene og definer utløpet av indikatoren.
   • Handling – Angi handlingen som skal utføres, og angi en beskrivelse.
   • Omfang – Definer omfanget for maskingruppen.

5. Se gjennom detaljene i Sammendrag-fanen , og velg deretter Lagre.

Obs!

Det kan være opptil to timers ventetid mellom tidspunktet en policy opprettes, og nettadressen eller IP-adressen som blokkeres på enheten.

Relaterte artikler

• Opprett indikatorer
• Opprett indikatorer for filer
• Opprett indikatorer basert på sertifikater
• Behandle indikatorer
• Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.