Udostępnij za pośrednictwem

Utwórz wskaźniki adresów IP i adresów URL/domen

  • Artykuł

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Omówienie

Tworząc wskaźniki dla adresów IP i adresów URL lub domen, możesz teraz zezwalać na adresy IP, adresy URL lub domeny albo blokować je na podstawie własnej analizy zagrożeń. Możesz również ostrzec użytkowników za pomocą monitu, jeśli otworzą ryzykowną aplikację. Monit nie uniemożliwi korzystania z aplikacji, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba.

Aby zablokować złośliwe adresy IP/adresy URL (określone przez firmę Microsoft), usługa Defender dla punktu końcowego może użyć:

  • Windows Defender SmartScreen dla przeglądarek firmy Microsoft
  • Ochrona sieci dla przeglądarek innych niż Microsoft lub wywołania wykonywane poza przeglądarką

Dane analizy zagrożeń ustawione na blokowanie złośliwych adresów IP/adresów URL są zarządzane przez firmę Microsoft.

Możesz zablokować złośliwe adresy IP/adresy URL za pośrednictwem strony ustawień lub według grup maszyn, jeśli uznasz, że niektóre grupy są bardziej lub mniej zagrożone niż inne.

Uwaga

Bezklasowa notacja routingu Inter-Domain (CIDR) dla adresów IP nie jest obsługiwana.

Obsługiwane systemy operacyjne

Przed rozpoczęciem

Przed utworzeniem wskaźników dla adresów IP, adresów URL lub domen należy zapoznać się z następującymi wymaganiami wstępnymi.

wymagania dotyczące wersji programu antywirusowego Microsoft Defender

Ta funkcja jest dostępna, jeśli organizacja używa programu antywirusowego Microsoft Defender (w trybie aktywnym)

Monitorowanie zachowania jest włączone

Ochrona oparta na chmurze jest włączona.

Łączność sieciowa usługi Cloud Protection działa

Wersja klienta ochrony przed złośliwym kodem musi być 4.18.1906.x lub nowsza. Zobacz Comiesięczne wersje platformy i aparatu.

Wymagania dotyczące ochrony sieci

Pozycja Zezwalaj na adres URL/adres IP i blokuj wymaga włączenia składnika Ochrona punktu końcowego w usłudze Microsoft Defender Ochrona sieci w trybie bloku. Aby uzyskać więcej informacji na temat ochrony sieci i instrukcji konfiguracji, zobacz Włączanie ochrony sieci.

Niestandardowe wymagania dotyczące wskaźników sieci

Aby rozpocząć blokowanie adresów IP i/lub adresów URL, włącz funkcję "Niestandardowe wskaźniki sieciowe" w portalu Microsoft Defender, przejdź do pozycji Ustawienia>Punkty końcowe>Ogólne>funkcje zaawansowane. Aby uzyskać więcej informacji, zobacz Funkcje zaawansowane.

Aby uzyskać obsługę wskaźników w systemie iOS, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS.

Aby uzyskać obsługę wskaźników w systemie Android, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android.

Ograniczenia listy wskaźników IoC

Do listy wskaźników można dodawać tylko zewnętrzne adresy IP. Nie można utworzyć wskaźników dla wewnętrznych adresów IP. W przypadku scenariuszy ochrony sieci Web zalecamy korzystanie z wbudowanych funkcji w przeglądarce Microsoft Edge. Przeglądarka Microsoft Edge korzysta z usługi Network Protection do sprawdzania ruchu sieciowego i zezwala na bloki dla protokołów TCP, HTTP i HTTPS (TLS).

Procesy inne niż Microsoft Edge i Internet Explorer

W przypadku procesów innych niż Microsoft Edge i Internet Explorer scenariusze ochrony sieci Web wykorzystują usługę Network Protection do inspekcji i wymuszania:

  • Adres IP jest obsługiwany dla wszystkich trzech protokołów (TCP, HTTP i HTTPS (TLS))
  • W niestandardowych wskaźnikach są obsługiwane tylko pojedyncze adresy IP (brak bloków CIDR ani zakresów adresów IP)
  • Zaszyfrowane adresy URL (pełna ścieżka) mogą być blokowane tylko w przeglądarkach innych firm (Internet Explorer, Edge)
  • Zaszyfrowane adresy URL (tylko nazwa FQDN) mogą być blokowane w przeglądarkach innych firm (czyli innych niż Internet Explorer, Edge)
  • Dla niezaszyfrowanych adresów URL można zastosować bloki pełnej ścieżki adresu URL
  • Jeśli istnieją sprzeczne zasady wskaźnika adresu URL, zostanie zastosowana dłuższa ścieżka. Na przykład zasady https://support.microsoft.com/office wskaźnika adresu URL mają pierwszeństwo przed zasadami https://support.microsoft.comwskaźnika adresu URL.
  • W przypadku konfliktów zasad wskaźnika adresu URL dłuższa ścieżka może nie być stosowana z powodu przekierowania. W takich przypadkach zarejestruj adres URL bez przekierowania.

Uwaga

Niestandardowe wskaźniki zabezpieczeń zabezpieczeń i funkcji filtrowania zawartości internetowej nie są obecnie obsługiwane w Application Guard sesjach przeglądarki Microsoft Edge. Te konteneryzowane sesje przeglądarki mogą wymuszać bloki zagrożeń internetowych tylko za pośrednictwem wbudowanej ochrony smartscreen. Nie mogą wymuszać żadnych zasad ochrony sieci Web przedsiębiorstwa.

Ochrona sieci i trójstopnie uzgadnianie protokołu TCP

W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccessNetworkConnectionEvents akcji, mimo że witryna została zablokowana. NetworkConnectionEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.

Oto przykład tego, jak to działa:

  1. Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.

  2. Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem NetworkConnectionEvents jest rejestrowana akcja, a jej ActionType nazwa jest wyświetlana jako ConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.

  3. W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno NetworkConnectionEvents i AlertEvents. Widać, że witryna została zablokowana, mimo że masz NetworkConnectionEvents również element o typie ActionType .ConnectionSuccess

Kontrolki trybu ostrzegania

W przypadku korzystania z trybu ostrzegania można skonfigurować następujące kontrolki:

  • Możliwość obejścia

    • Przycisk Zezwalaj w przeglądarce Edge
    • Przycisk Zezwalaj na wyskakujące (przeglądarki inne niż Microsoft)
    • Obejście parametru czasu trwania wskaźnika
    • Pomijanie wymuszania w przeglądarkach firmy Microsoft i innych firm

  • Adres URL przekierowania

    • Parametr przekierowania adresu URL wskaźnika
    • Adres URL przekierowania w przeglądarce Edge
    • Adres URL przekierowania w wyskakujących (przeglądarki innych niż Microsoft)

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.

IoC IP URL and domain policy conflict handling order (Adres URL ip IoC i kolejność obsługi konfliktów zasad domeny)

Obsługa konfliktów zasad dla domen/adresów URL/adresów IP różni się od obsługi konfliktów zasad dla certyfikatów.

W przypadku, gdy wiele różnych typów akcji jest ustawionych na tym samym wskaźniku (na przykład blokuj, ostrzegaj i zezwalaj na typy akcji ustawione dla Microsoft.com), kolejność, w jakiej te typy akcji będą obowiązywać, to:

  1. Zezwalaj
  2. Ostrzegać
  3. Blokuj

Opcja "Zezwalaj" zastępuje ciąg "warn", który zastępuje ciąg "block", w następujący sposób: AllowBlock>Warn>. W związku z tym w poprzednim przykładzie Microsoft.com będzie dozwolone.

wskaźniki Defender for Cloud Apps

Jeśli Twoja organizacja włączyła integrację między usługą Defender for Endpoint i Defender for Cloud Apps, wskaźniki blokowe zostaną utworzone w usłudze Defender for Endpoint dla wszystkich nieusankcjonowanych aplikacji w chmurze. Jeśli aplikacja zostanie umieszczona w trybie monitorowania, zostaną utworzone wskaźniki ostrzeżenia (blok z możliwością obejścia) dla adresów URL skojarzonych z aplikacją. Obecnie nie można tworzyć wskaźników zezwalania dla aplikacji objętych sankcjami. Wskaźniki utworzone przez Defender for Cloud Apps są zgodne z tą samą obsługą konfliktów zasad opisaną w poprzedniej sekcji.

Pierwszeństwo zasad

zasady Ochrona punktu końcowego w usłudze Microsoft Defender mają pierwszeństwo przed zasadami ochrony antywirusowej Microsoft Defender. W sytuacjach, gdy w usłudze Defender dla punktu końcowego ustawiono Allowwartość , ale Microsoft Defender program antywirusowy jest ustawiony na Blockwartość , zasady domyślnie mają Allowwartość .

Pierwszeństwo dla wielu aktywnych zasad

Zastosowanie wielu różnych zasad filtrowania zawartości internetowej na tym samym urządzeniu spowoduje zastosowanie bardziej restrykcyjnych zasad dla każdej kategorii. Rozpatrzmy następujący scenariusz:

  • Zasady 1 blokują kategorie 1 i 2, a pozostałe przeprowadzają inspekcję
  • Zasady 2 blokują kategorie 3 i 4, a pozostałe przeprowadzają inspekcję

W rezultacie wszystkie kategorie 1–4 są zablokowane. Jest to zilustrowane na poniższej ilustracji.

Diagram przedstawiający pierwszeństwo trybu bloku zasad filtrowania zawartości internetowej w trybie inspekcji.

Tworzenie wskaźnika adresów IP, adresów URL lub domen na stronie ustawień

  1. W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).

  2. Wybierz kartę Adresy IP lub adresy URL/domeny .

  3. Wybierz pozycję Dodaj element.

  4. Określ następujące szczegóły:

    • Wskaźnik — określ szczegóły jednostki i zdefiniuj wygaśnięcie wskaźnika.
    • Akcja — określ akcję do wykonania i podaj opis.
    • Zakres — zdefiniuj zakres grupy maszyn.

  5. Przejrzyj szczegóły na karcie Podsumowanie , a następnie wybierz pozycję Zapisz.

Ważna

Zablokowanie adresu URL lub adresu IP na urządzeniu może potrwać do 48 godzin.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.