Criar indicadores para IPs e URLs/domínios

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Descrição geral

Ao criar indicadores para IPs e URLs ou domínios, pode agora permitir ou bloquear IPs, URLs ou domínios com base nas suas próprias informações sobre ameaças. Também pode avisar os utilizadores se abrirem uma aplicação de risco. O pedido não os impede de utilizar a aplicação; os utilizadores podem ignorar o aviso e continuar a utilizar a aplicação, se necessário.

Para bloquear IPs/URLs maliciosos, o Defender para Endpoint pode utilizar:

• Windows Defender SmartScreen para browsers da Microsoft
• Proteção de rede para browsers que não sejam da Microsoft e processos que não sejam do browser

O conjunto predefinido de dados de informações sobre ameaças para bloquear IPs/URLs maliciosos é gerido pela Microsoft.

Pode bloquear IPs/URLs maliciosos adicionais ao configurar "Indicadores de rede personalizados".

Sistemas operativos suportados

• Windows 11
• Windows 10, versão 1709 ou posterior
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 a executar a solução unificada moderna do Defender para Endpoint (requer instalação através do MSI)
• Windows Server 2012 R2 a executar a solução unificada moderna do Defender para Endpoint (requer instalação através do MSI)
• macOS
• Linux
• iOS
• Android

Antes de começar

É importante compreender os seguintes pré-requisitos antes de criar indicadores para IPs, URLs ou domínios.

requisitos de versão do Antivírus do Microsoft Defender

A integração nos browsers da Microsoft é controlada pela definição smartScreen do browser. Para outros browsers e aplicações, a sua organização tem de ter:

• Microsoft Defender Antivírus configurado no modo ativo.

• Monitorização de Comportamento ativada.

• Proteção baseada na cloud ativada.

• Conectividade de rede do Cloud Protection.

• A versão do cliente antimalware tem de ser 4.18.1906.x ou posterior. Veja Versões mensais da plataforma e do motor.

Requisitos de Proteção de Rede

A permissão e o bloqueio de URL/IP requerem que a Proteção de Rede do componente Microsoft Defender para Endpoint esteja ativada no modo de bloqueio. Para obter mais informações sobre a Proteção de Rede e as instruções de configuração, veja Ativar a proteção de rede.

Requisitos de indicadores de rede personalizados

Para começar a bloquear endereços IP e/ou URLs, ative a funcionalidade "Indicadores de rede personalizados" no portal Microsoft Defender. A funcionalidade encontra-se em Definições Funcionalidades>Avançadas Gerais>dos Pontos Finais>. Para obter mais informações, veja Funcionalidades avançadas.

Para obter suporte para indicadores no iOS, veja Microsoft Defender para Endpoint no iOS.

Para obter suporte para indicadores no Android, consulte Microsoft Defender para Endpoint no Android.

Limitações da lista de indicadores

Só é possível adicionar IPs externos à lista de indicadores; não é possível criar indicadores para IPs internos.

Processos não Microsoft Edge e Internet Explorer

Para processos que não sejam o Microsoft Edge e o Internet Explorer, os cenários de proteção Web utilizam a Proteção de Rede para inspeção e imposição:

• Os endereços IP são suportados para os três protocolos (TCP, HTTP e HTTPS (TLS))
• Apenas são suportados endereços IP únicos (sem blocos CIDR ou intervalos de IP) em indicadores personalizados
• Os URLs HTTP (incluindo um caminho de URL completo) podem ser bloqueados para qualquer browser ou processo
• Os nomes de domínio completamente qualificados (FQDN) HTTPS podem ser bloqueados em browsers que não sejam da Microsoft (os indicadores que especificam um caminho de URL completo só podem ser bloqueados no Microsoft Edge)
• Bloquear FQDNs em browsers que não sejam da Microsoft requer que o QUIC e o Cliente Encriptado Hello sejam desativados nesses browsers
• Os FQDNs carregados através da ligação HTTP2 só podem ser bloqueados no Microsoft Edge
• Se existirem políticas de indicadores de URL em conflito, será aplicado o caminho mais longo. Por exemplo, a política https://support.microsoft.com/office do indicador de URL tem precedência sobre a política https://support.microsoft.comdo indicador de URL .

Implementação da proteção de rede

Em processos não Microsoft Edge, a Proteção de Rede determina o nome de domínio completamente qualificado para cada ligação HTTPS ao examinar o conteúdo do handshake TLS que ocorre após um handshake TCP/IP. Isto requer que a ligação HTTPS utilize TCP/IP (não UDP/QUIC) e que a mensagem ClientHello não seja encriptada. Para desativar o QUIC e o Cliente Encriptado Hello no Google Chrome, consulte QuicAllowed e EncryptedClientHelloEnabled. Para o Mozilla Firefox, consulte Desativar EncryptedClientHello e network.http.http3.enable.

A determinação de permitir ou bloquear o acesso a um site é efetuada após a conclusão do handshake tridirecional através de TCP/IP e de qualquer handshake TLS. Assim, quando um site é bloqueado pela proteção de rede, poderá ver um tipo de ConnectionSuccessNetworkConnectionEvents ação no portal do Microsoft Defender, apesar de o site ter sido bloqueado. NetworkConnectionEvents são comunicados a partir da camada TCP e não da proteção de rede. Após a conclusão do handshake tridirecional, o acesso ao site é permitido ou bloqueado pela proteção de rede.

Eis um exemplo de como funciona:

1. Suponha que um utilizador tenta aceder a um site no respetivo dispositivo. O site está alojado num domínio perigoso e deve ser bloqueado pela proteção de rede.

2. O handshake TCP/IP é iniciado. Antes de ser concluída, é registada uma NetworkConnectionEvents ação e ActionType está listada como ConnectionSuccess. No entanto, assim que o processo de handshake TCP/IP for concluído, a proteção de rede bloqueia o acesso ao site. Tudo isto acontece rapidamente. Um processo semelhante ocorre com Microsoft Defender SmartScreen; é depois de o handshake concluir que é efetuada uma determinação e o acesso a um site é bloqueado ou permitido.

3. No portal Microsoft Defender, é apresentado um alerta na fila de alertas. Os detalhes desse alerta incluem e NetworkConnectionEventsAlertEvents. Pode ver que o site foi bloqueado, apesar de também ter um NetworkConnectionEvents item com o ActionType de ConnectionSuccess.

Controlos do modo de aviso

Ao utilizar o modo de aviso, pode configurar os seguintes controlos:

• Capacidade de ignorar

  • Botão Permitir no Microsoft Edge
  • Botão Permitir na torrada (browsers não Microsoft)
  • Ignorar o parâmetro de duração no indicador
  • Ignorar a imposição em browsers Microsoft e Não Microsoft

• URL de Redirecionamento

  • Parâmetro url de redirecionamento no indicador
  • URL de Redirecionamento no Microsoft Edge
  • URL de redirecionamento em alertas (browsers não Microsoft)

Para obter mais informações, veja Governar aplicações detetadas por Microsoft Defender para Endpoint.

Ordem de processamento de conflitos de políticas de domínio e URL de IP do indicador

O processamento de conflitos de políticas para domínios/URLs/endereços IP difere do processamento de conflitos de políticas para certificados.

No caso de vários tipos de ações diferentes serem definidos no mesmo indicador (por exemplo, três indicadores para Microsoft.com com os tipos de ação bloquear, avisar e permitir), a ordem pela qual esses tipos de ação entrarão em vigor é:

1. Permitir

2. Avisar

3. Bloquear

"Permitir" substitui "avisar", que substitui "bloco", da seguinte forma: AllowBlock>Warn>. Por conseguinte, no exemplo anterior, Microsoft.com seria permitido.

Indicadores de Defender for Cloud Apps

Se a sua organização tiver ativado a integração entre o Defender para Endpoint e Defender for Cloud Apps, os indicadores de bloco são criados no Defender para Endpoint para todas as aplicações na cloud não aprovadas. Se uma aplicação for colocada no modo de monitorização, são criados indicadores de aviso (bloco passível de ignorar) para os URLs associados à aplicação. Os indicadores de permissão não são criados automaticamente para aplicações aprovadas. Os indicadores criados por Defender for Cloud Apps seguem o mesmo processamento de conflitos de políticas descrito na secção anterior.

Precedência da política

Microsoft Defender para Endpoint política tem precedência sobre Microsoft Defender política antivírus. Em situações em que o Defender para Endpoint está definido como Allow, mas Microsoft Defender Antivírus está definido como Block, o resultado é Allow.

Precedência para várias políticas ativas

A aplicação de várias políticas de filtragem de conteúdos Web diferentes no mesmo dispositivo resulta na aplicação de uma política mais restritiva para cada categoria. Considere o seguinte exemplo:

• A Política 1 bloqueia as categorias 1 e 2 e audita o resto
• A Política 2 bloqueia as categorias 3 e 4 e audita o resto

O resultado é que as categorias 1-4 estão todas bloqueadas. Este cenário é ilustrado na imagem seguinte.

Criar um indicador para IPs, URLs ou domínios a partir da página de definições

1. No painel de navegação, selecione Definições>Indicadores dePontos Finais> (em Regras).

2. Selecione o separador Endereços IP ou URLs/Domínios .

3. Selecione Adicionar item.

4. Especifique os seguintes detalhes:

   • Indicador: especifique os detalhes da entidade e defina a expiração do indicador.
   • Ação: especifique a ação a executar e forneça uma descrição.
   • Âmbito: especifique os grupos de máquinas virtuais que devem impor o indicador.

5. Reveja os detalhes no separador Resumo e, em seguida, selecione Guardar.

Importante

Pode demorar até 48 horas após a criação de uma política para que um URL ou endereço IP seja bloqueado num dispositivo. Na maioria dos casos, os blocos entrarão em vigor em menos de duas horas.

Artigos relacionados

• Criar indicadores
• Criar indicadores para ficheiros
• Criar indicadores com base em certificados
• Gerir indicadores
• Exclusões do Antivírus de Microsoft Defender para Endpoint e Microsoft Defender

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.