Proteção da Web
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Sobre a proteção da Web
A proteção da Web no Microsoft Defender para Ponto de Extremidade é uma funcionalidade composta por proteção contra ameaças da Web, filtragem de conteúdo da Web e indicadores personalizados. A proteção da Web permite proteger seus dispositivos contra ameaças da Web e ajuda você a regular conteúdo indesejado. Você pode encontrar relatórios de proteção Web no portal Microsoft Defender acessando a Proteção da Web de Relatórios>.
Proteção contra ameaças da Web
Os cartões que compõem a proteção contra ameaças da Web são detecções de ameaças da Web ao longo do tempo e resumo de ameaças da Web.
A proteção contra ameaças da Web inclui:
- Visibilidade abrangente sobre ameaças da Web que afetam sua organização.
- Recursos de investigação sobre a atividade de ameaças relacionadas à Web por meio de alertas e perfis abrangentes de URLs e dos dispositivos que acessam essas URLs.
- Um conjunto completo de recursos de segurança que acompanham tendências gerais de acesso a sites mal-intencionados e indesejados.
Observação
Para processos diferentes do Microsoft Edge e do Internet Explorer, os cenários de proteção da Web aproveitam a Proteção de Rede para inspeção e aplicação:
- Há suporte para IP para todos os três protocolos (TCP, HTTP e HTTPS (TLS)).
- Há suporte apenas para endereços IP únicos (sem blocos CIDR ou intervalos de IP) em indicadores personalizados.
- URLs criptografadas (caminho completo) só podem ser bloqueadas em navegadores de primeira parte (Internet Explorer, Edge).
- URLs criptografadas (somente FQDN) podem ser bloqueadas em navegadores de terceiros (ou seja, além da Internet Explorer, Edge).
- Blocos de caminho de URL completos podem ser aplicados para URLs não criptografadas.
Pode haver até duas horas de latência (geralmente menos) entre o tempo em que a ação é tomada e a URL e o IP sendo bloqueados.
Para obter mais informações, consulte Proteção contra ameaças na Web.
Indicadores personalizados
As detecções de indicadores personalizados também são resumidas nos relatórios de ameaças da Web de suas organizações em detecções de ameaças da Web ao longo do tempo e resumo de ameaças da Web.
O indicador personalizado inclui:
- Capacidade de criar indicadores de compromisso baseados em IP e URL para proteger sua organização contra ameaças.
- Recursos de investigação sobre atividades relacionadas aos seus perfis ip/URL personalizados e aos dispositivos que acessam essas URLs.
- A capacidade de criar políticas Permitir, Bloquear e Avisar para IPs e URLs.
Para obter mais informações, consulte Create indicadores para IPs e URLs/domínios
Filtragem de conteúdo da Web
A filtragem de conteúdo da Web inclui atividade da Web por categoria, resumo da filtragem de conteúdo da Web e resumo da atividade da Web.
A filtragem de conteúdo da Web inclui:
- Os usuários são impedidos de acessar sites em categorias bloqueadas, quer estejam navegando no local ou fora.
- Você pode implantar políticas variadas convenientemente em vários conjuntos de usuários usando os grupos de dispositivos definidos nas configurações de controle de acesso baseadas em função Microsoft Defender para Ponto de Extremidade.
Observação
Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.
- Você pode acessar relatórios da Web no mesmo local central, com visibilidade sobre blocos reais e uso da Web.
Para obter mais informações, consulte Filtragem de conteúdo da Web.
Ordem de precedência
A proteção da Web é composta pelos seguintes componentes, listados por ordem de precedência. Cada um desses componentes é imposto pelo cliente SmartScreen no Microsoft Edge e pelo cliente de Proteção de Rede em todos os outros navegadores e processos.
Indicadores personalizados (IP/URL, políticas de Microsoft Defender para Aplicativos de Nuvem)
- Permitir
- Avisar
- Bloquear
Ameaças da Web (malware, phish)
- SmartScreen Intel, incluindo Proteção do Exchange Online (EOP)
- Escalações
WCF (Filtragem de Conteúdo da Web)
Observação
Microsoft Defender para Aplicativos de Nuvem atualmente gera indicadores apenas para URLs bloqueadas.
A ordem de precedência refere-se à ordem das operações pelas quais uma URL ou IP é avaliada. Por exemplo, se você tiver uma política de filtragem de conteúdo da Web, poderá criar exclusões por meio de indicadores IP/URL personalizados. Os indicadores personalizados de comprometimento (IoC) são maiores na ordem de precedência do que os blocos WCF.
Da mesma forma, durante um conflito entre indicadores, permite sempre ter precedência sobre blocos (lógica de substituição). Isso significa que um indicador de permissão tem precedência sobre qualquer indicador de bloco presente.
A tabela a seguir resume algumas configurações comuns que apresentariam conflitos na pilha de proteção da Web. Ele também identifica as determinações resultantes com base na precedência descrita anteriormente neste artigo.
| Política de indicador personalizado | Política de ameaças da Web | Política WCF | Política do Defender para Aplicativos de Nuvem | Resultado |
|---|---|---|---|---|
| Permitir | Bloquear | Bloquear | Bloquear | Permitir (substituição de proteção Web) |
| Permitir | Permitir | Bloquear | Bloquear | Permitir (exceção do WCF) |
| Avisar | Bloquear | Bloquear | Bloquear | Avisar (substituição) |
Não há suporte para endereços IP internos por indicadores personalizados. Para uma política de aviso quando ignorada pelo usuário final, o site é desbloqueado por 24 horas para esse usuário por padrão. Esse período pode ser modificado pelo Administração e é passado para baixo pelo serviço de nuvem SmartScreen. A capacidade de ignorar um aviso também pode ser desabilitada no Microsoft Edge usando CSP para blocos de ameaças da Web (malware/phishing). Para obter mais informações, consulte Configurações do Microsoft Edge SmartScreen.
Proteger navegadores
Em todos os cenários de proteção da Web, o SmartScreen e a Proteção de Rede podem ser usados juntos para garantir a proteção em navegadores e processos da Microsoft e não da Microsoft. O SmartScreen é integrado diretamente ao Microsoft Edge, enquanto a Proteção de Rede monitora o tráfego em navegadores e processos que não são da Microsoft. O diagrama a seguir ilustra esse conceito. Este diagrama dos dois clientes que trabalham juntos para fornecer várias coberturas de navegador/aplicativo é preciso para todos os recursos de Proteção da Web (Indicadores, Ameaças da Web, Filtragem de Conteúdo).
Solucionar problemas de blocos de ponto de extremidade
As respostas da nuvem SmartScreen são padronizadas. Ferramentas como o Fiddler podem ser usadas para inspecionar a resposta do serviço de nuvem, o que ajuda a determinar a origem do bloco.
Quando o serviço de nuvem SmartScreen responde com uma resposta de permissão, bloqueio ou aviso, uma categoria de resposta e um contexto de servidor são retransmitidos de volta para o cliente. No Microsoft Edge, a categoria de resposta é o que é usado para determinar a página de bloco apropriada a ser exibida (mal-intencionada, phishing, política organizacional).
A tabela a seguir mostra as respostas e seus recursos correlacionados.
| ResponseCategory | Recurso responsável pelo bloco |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Indicadores personalizados |
| CasbPolicy | Aplicativos do Defender para Nuvem |
| Mal-intencionado | Ameaças da Web |
| Phishing | Ameaças da Web |
Busca avançada por proteção da Web
As consultas kusto na caça avançada podem ser usadas para resumir os blocos de proteção da Web em sua organização por até 30 dias. Essas consultas usam as informações listadas acima para distinguir entre as várias fontes de blocos e resumi-las de maneira amigável ao usuário. Por exemplo, a consulta a seguir lista todos os blocos WCF originados do Microsoft Edge.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
Da mesma forma, você pode usar a consulta a seguir para listar todos os blocos WCF originados da Proteção de Rede (por exemplo, um bloco WCF em um navegador que não é da Microsoft). O ActionType é atualizado e Experience alterado para ResponseCategory.
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
Para listar blocos devido a outros recursos (como Indicadores Personalizados), consulte a tabela listada anteriormente neste artigo. A tabela descreve cada recurso e sua respectiva categoria de resposta. Essas consultas podem ser modificadas para pesquisar telemetria relacionada a computadores específicos em sua organização. O ActionType mostrado em cada consulta mostra apenas as conexões que foram bloqueadas por um recurso de Proteção Da Web e nem todo o tráfego de rede.
Experiência do usuário
Se um usuário visitar uma página da Web que representa um risco de malware, phishing ou outras ameaças da Web, o Microsoft Edge disparará uma página de bloco que se assemelha à seguinte imagem:
Começando com o Microsoft Edge 124, a página de bloco a seguir é mostrada para todos os blocos de categoria de Filtragem de Conteúdo da Web.
De qualquer forma, nenhuma página de bloco é mostrada em navegadores que não são da Microsoft e o usuário vê uma página "Falha de Conexão Segura" junto com uma notificação de brinde. Dependendo da política responsável pelo bloco, um usuário verá uma mensagem diferente na notificação de brinde. Por exemplo, a filtragem de conteúdo da Web exibe a mensagem: "Esse conteúdo está bloqueado".
Relatar falsos positivos
Para relatar um falso positivo para sites considerados perigosos pelo SmartScreen, use o link que aparece na página do bloco no Microsoft Edge (conforme mostrado anteriormente neste artigo).
Para WCF, você pode contestar a categoria de um domínio. Navegue até a guia Domínios dos relatórios do WCF. Você vê uma reticência ao lado de cada um dos domínios. Passe o mouse sobre essas reticências e selecione Categoria de Disputa. Um flyout é aberto. Defina a prioridade do incidente e forneça alguns outros detalhes, como a categoria sugerida. Para obter mais informações sobre como ativar o WCF e como contestar categorias, confira Filtragem de conteúdo da Web.
Para obter mais informações sobre como enviar falsos positivos/negativos, consulte Abordar falsos positivos/negativos em Microsoft Defender para Ponto de Extremidade.
Informações relacionadas
| Artigo | Descrição |
|---|---|
| Proteção contra ameaças da Web | Impedir o acesso a sites de phishing, vetores de malware, sites de exploração, sites não confiáveis ou de baixa reputação e sites bloqueados. |
| Filtragem de conteúdo da Web | Acompanhe e regular o acesso a sites com base em suas categorias de conteúdo. |
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de