Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Over webbeveiliging
Webbeveiliging in Microsoft Defender voor Eindpunt bestaat uit beveiliging tegen webdreigingen, filteren van webinhoud en aangepaste indicatoren. Met webbeveiliging kunt u uw apparaten beveiligen tegen webbedreigingen en helpt u ongewenste inhoud te reguleren. U vindt webbeveiligingsrapporten in de Microsoft Defender-portal door naar Rapporten > webbeveiliging te gaan.
Webbedreigingsbeveiliging
De kaarten waaruit bescherming tegen webdreigingen bestaat, zijn Detecties van webdreigingen in de loop van de tijd en samenvatting van webdreigingen.
Web threat protection omvat:
- Uitgebreid inzicht in webbedreigingen die van invloed zijn op uw organisatie.
- Mogelijkheden voor het onderzoeken van webgerelateerde bedreigingsactiviteiten via waarschuwingen en uitgebreide profielen van URL's en de apparaten die toegang hebben tot deze URL's.
- Een volledige set beveiligingsfuncties waarmee algemene toegangstrends tot schadelijke en ongewenste websites worden bijgehouden.
Opmerking
Voor andere processen dan Microsoft Edge en Internet Explorer maken webbeveiligingsscenario's gebruik van Netwerkbeveiliging voor inspectie en afdwinging:
- IP-adressen worden ondersteund voor alle drie de protocollen (TCP, HTTP en HTTPS (TLS)).
- Alleen individuele IP-adressen worden ondersteund (geen CIDR-blokken of IP-bereiken) in aangepaste indicatoren.
- HTTP-URL's (inclusief een volledig URL-pad) kunnen worden geblokkeerd voor elke browser of elk proces
- Volledig gekwalificeerde HTTPS-domeinnamen (FQDN) kunnen worden geblokkeerd in niet-Microsoft-browsers (indicatoren die een volledig URL-pad opgeven, kunnen alleen worden geblokkeerd in Microsoft Edge)
- Voor het blokkeren van FQDN's in niet-Microsoft-browsers is vereist dat QUIC en Encrypted Client Hello zijn uitgeschakeld in deze browsers
- FQDN's die zijn geladen via het samenvoegen van HTTP2-verbindingen, kunnen alleen worden geblokkeerd in Microsoft Edge.
- Netwerkbeveiliging blokkeert verbindingen op alle poorten (niet alleen 80 en 443).
In niet-Microsoft Edge-processen bepaalt Netwerkbeveiliging de volledig gekwalificeerde domeinnaam voor elke HTTPS-verbinding door de inhoud te onderzoeken van de TLS-handshake die optreedt na een TCP/IP-handshake. Dit vereist dat de HTTPS-verbinding GEBRUIKMAAKT van TCP/IP (niet UDP/QUIC) en dat het ClientHello-bericht niet wordt versleuteld. Zie QuicAllowed en EncryptedClientHelloEnabled om QUIC en Encrypted Client Hello uit te schakelen in Google Chrome. Zie EncryptedClientHello en network.http.http.http3.enable voor Mozilla Firefox uitschakelen.
Er kan maximaal twee uur latentie (meestal minder) zijn tussen het moment dat een indicator wordt toegevoegd en deze wordt afgedwongen op de client. Zie Beveiliging tegen webdreigingen voor meer informatie.
Aangepaste indicatoren
Aangepaste indicatordetecties worden samengevat in webdreigingsrapporten onder Web threat detections in de loop van de tijd en Web threat summary.
Aangepaste indicatoren bieden:
- De mogelijkheid om ip- en URL-gebaseerde indicatoren voor inbreuk te maken om uw organisatie te beschermen tegen bedreigingen.
- De mogelijkheid om het gedrag toestaan, blokkeren of waarschuwen op te geven.
- Mogelijkheden onderzoeken voor activiteiten die betrekking hebben op uw aangepaste IP/URL-indicatoren en de apparaten die toegang hebben tot deze URL's.
Zie Indicatoren maken voor IP's en URL's/domeinen voor meer informatie
Filteren van webinhoud
Filterblokken voor webinhoud worden samengevat onder Webactiviteit per categorie, Samenvatting van het filteren van webinhoud en Samenvatting van webactiviteit.
Filteren van webinhoud biedt:
- De mogelijkheid om te voorkomen dat gebruikers toegang krijgen tot websites in geblokkeerde categorieën, of ze nu on-premises of afwezig zijn.
- Ondersteuning voor het richten van verschillende beleidsregels op verschillende apparaatgroepen die zijn gedefinieerd in de instellingen voor op rollen gebaseerd toegangsbeheer Microsoft Defender voor Eindpunt.
Opmerking
Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.
- Webrapportage op dezelfde centrale locatie, met inzicht in zowel blokken als webgebruik.
Zie Webinhoud filteren voor meer informatie.
Volgorde van prioriteit
Webbeveiliging bestaat uit de volgende onderdelen, vermeld in volgorde van prioriteit. Elk van deze onderdelen wordt afgedwongen door de SmartScreen-client in Microsoft Edge en door de netwerkbeveiligingsclient in alle andere browsers en processen.
Aangepaste indicatoren (IP/URL, Microsoft Defender for Cloud Apps beleid)
- Toestaan
- Waarschuwen
- Blokkeren
Webbedreigingen (malware, phish)
- SmartScreen Intel
Filteren van webinhoud (WCF)
Opmerking
Microsoft Defender for Cloud Apps genereert momenteel alleen indicatoren voor geblokkeerde URL's.
De volgorde van prioriteit heeft betrekking op de volgorde van bewerkingen waarmee een URL of IP wordt geëvalueerd. Als u bijvoorbeeld een beleid voor het filteren van webinhoud hebt, kunt u uitsluitingen maken via aangepaste IP-/URL-indicatoren. Aangepaste indicatoren van inbreuk (IoC) zijn hoger in de volgorde van prioriteit dan WCF-blokken.
Op dezelfde manier kan tijdens een conflict tussen indicatoren altijd voorrang hebben op blokken (onderdrukkingslogica). Dit betekent dat een toegestane indicator voorrang heeft op een blokindicator die aanwezig is.
De volgende tabel bevat een overzicht van enkele veelvoorkomende configuraties die conflicten zouden veroorzaken binnen de webbeveiligingsstack. Ook worden de resulterende bepalingen geïdentificeerd op basis van de prioriteit die eerder in dit artikel is beschreven.
| Aangepast indicatorbeleid | Beleid voor webrisico's | WCF-beleid | Defender for Cloud Apps-beleid | Resultaat |
|---|---|---|---|---|
| Toestaan | Blokkeren | Blokkeren | Blokkeren | Toestaan (onderdrukking van webbeveiliging) |
| Toestaan | Toestaan | Blokkeren | Blokkeren | Toestaan (WCF-uitzondering) |
| Waarschuwen | Blokkeren | Blokkeren | Blokkeren | Waarschuwen (overschrijven) |
Interne IP-adressen worden niet ondersteund door aangepaste indicatoren. Voor een waarschuwingsbeleid wanneer deze wordt omzeild door de eindgebruiker, wordt de blokkering van de site standaard 24 uur voor die gebruiker gedeblokkeerd. Dit tijdsbestek kan worden gewijzigd door de Beheer en wordt doorgegeven door de SmartScreen-cloudservice. De mogelijkheid om een waarschuwing te omzeilen kan ook worden uitgeschakeld in Microsoft Edge met behulp van CSP voor web-bedreigingsblokken (malware/phishing). Zie Microsoft Edge SmartScreen-instellingen voor meer informatie.
Browsers beveiligen
In alle scenario's voor webbeveiliging kunnen SmartScreen en Netwerkbeveiliging samen worden gebruikt om beveiliging te garanderen in zowel Microsoft- als niet-Microsoft-browsers en -processen. SmartScreen is rechtstreeks ingebouwd in Microsoft Edge, terwijl Netwerkbeveiliging verkeer bewaakt in niet-Microsoft-browsers en -processen. In het volgende diagram ziet u dit concept. Dit diagram van de twee clients die samenwerken om meerdere browser-/app-dekkingen te bieden, is nauwkeurig voor alle functies van webbeveiliging (indicatoren, webbedreigingen, inhoudsfiltering).
Problemen met eindpuntblokken oplossen
Antwoorden van de SmartScreen-cloud zijn gestandaardiseerd. Hulpprogramma's zoals Telerik Fiddler kunnen worden gebruikt om het antwoord van de cloudservice te inspecteren, waardoor de bron van het blok kan worden bepaald.
Wanneer de SmartScreen-cloudservice reageert met een antwoord op toestaan, blokkeren of waarschuwen, worden een antwoordcategorie en servercontext doorgestuurd naar de client. In Microsoft Edge wordt de antwoordcategorie gebruikt om te bepalen welke blokkeringspagina moet worden weergegeven (kwaadwillend, phishing, organisatiebeleid).
In de volgende tabel ziet u de antwoorden en de bijbehorende gecorreleerde functies.
| ResponseCategory | Functie die verantwoordelijk is voor het blok |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Aangepaste indicatoren |
| CasbPolicy | Defender voor Cloud-apps |
| Kwaadaardig | Webbedreigingen |
| Phishing | Webbedreigingen |
Geavanceerde opsporing voor webbeveiliging
Kusto-query's in geavanceerde opsporing kunnen worden gebruikt om webbeveiligingsblokken in uw organisatie maximaal 30 dagen samen te vatten. Deze query's gebruiken de bovenstaande informatie om onderscheid te maken tussen de verschillende bronnen van blokken en deze op een gebruiksvriendelijke manier samen te vatten. In de volgende query worden bijvoorbeeld alle WCF-blokken weergegeven die afkomstig zijn van Microsoft Edge.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
Op dezelfde manier kunt u de volgende query gebruiken om alle WCF-blokken weer te geven die afkomstig zijn van Netwerkbeveiliging (bijvoorbeeld een WCF-blok in een niet-Microsoft-browser). De ActionType wordt bijgewerkt en Experience gewijzigd in ResponseCategory.
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
Als u blokken wilt weergeven die worden veroorzaakt door andere functies (zoals Aangepaste indicatoren), raadpleegt u de tabel die eerder in dit artikel is vermeld. De tabel bevat een overzicht van elke functie en de bijbehorende antwoordcategorie. Deze query's kunnen worden gewijzigd om te zoeken naar telemetrie met betrekking tot specifieke machines in uw organisatie. Het ActionType dat in elke query wordt weergegeven, toont alleen de verbindingen die zijn geblokkeerd door een functie voor webbeveiliging en niet al het netwerkverkeer.
Gebruikerservaring
Als een gebruiker een webpagina bezoekt die een risico vormt op malware, phishing of andere webbedreigingen, wordt in Microsoft Edge een blokkeringspagina weergegeven die lijkt op de volgende afbeelding:
Vanaf Microsoft Edge 124 wordt de volgende blokpagina weergegeven voor alle categorieblokken voor het filteren van webinhoud.
In elk geval worden er geen blokkeringspagina's weergegeven in niet-Microsoft-browsers en ziet de gebruiker in plaats daarvan de pagina 'Beveiligde verbinding mislukt' samen met een Pop-upmelding van Windows. Afhankelijk van het beleid dat verantwoordelijk is voor het blok, ziet een gebruiker een ander bericht in de pop-upmelding. Als u bijvoorbeeld webinhoud filtert, wordt het bericht 'Deze inhoud is geblokkeerd' weergegeven.
Fout-positieven rapporteren
Als u een fout-positief wilt melden voor sites die als gevaarlijk worden beschouwd door SmartScreen, gebruikt u de koppeling die wordt weergegeven op de blokkeringspagina in Microsoft Edge (zoals eerder in dit artikel is weergegeven).
Voor WCF kunt u een blok overschrijven met behulp van de indicator Toestaan en eventueel de categorie van een domein betwisten. Ga naar het tabblad Domeinen van de WCF-rapporten. U ziet een beletselteken naast elk van de domeinen. Beweeg de muisaanwijzer over dit beletselteken en selecteer Geschilcategorie. Er wordt een flyout geopend. Stel de prioriteit van het incident in en geef enkele andere details op, zoals de voorgestelde categorie. Zie Filteren van webinhoud voor meer informatie over het inschakelen van WCF en het betwisten van categorieën.
Zie Fout-positieven/negatieven adres in Microsoft Defender voor Eindpunt voor meer informatie over het verzenden van fout-positieven/negatieven.
Verwante artikelen
| Artikel | Beschrijving |
|---|---|
| Webbedreigingsbeveiliging | Toegang tot phishing-sites, malwarevectoren, misbruiksites, niet-vertrouwde sites of sites met een lage reputatie en geblokkeerde sites voorkomen. |
| Filteren van webinhoud | Toegang tot websites bijhouden en reguleren op basis van hun inhoudscategorieën. |
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.