Поделиться через

Создание индикаторов для протоколов IP и URL-адресов или доменов

  • Статья

Область применения:

Совет

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Обзор

Создавая индикаторы для IP-адресов и URL-адресов или доменов, вы можете разрешать или блокировать IP-адреса, URL-адреса или домены на основе собственной аналитики угроз. Вы также можете предупредить пользователей с помощью запроса, если они открывают опасное приложение. Запрос не остановит их от использования приложения, но вы можете предоставить пользовательское сообщение и ссылки на страницу компании, где описывается соответствующее использование приложения. Пользователи по-прежнему могут обходить предупреждение и продолжать использовать приложение при необходимости.

Чтобы заблокировать вредоносные IP-адреса и URL-адреса (как определено корпорацией Майкрософт), Defender для конечной точки может использовать:

  • SmartScreen Защитника Windows для браузеров Майкрософт
  • Защита сети для браузеров сторонних корпораций или вызовов, выполненных за пределами браузера

Набор данных аналитики угроз для блокировки вредоносных IP-адресов и URL-адресов управляется корпорацией Майкрософт.

Вы можете заблокировать вредоносные IP-адреса или URL-адреса с помощью страницы параметров или групп компьютеров, если считаете, что некоторые группы подвержены большему или меньшему риску, чем другие.

Примечание.

Inter-Domain Нотация CIDR для IP-адресов не поддерживается.

Поддерживаемые операционные системы

Подготовка к работе

Перед созданием индикаторов для IPS, URL-адресов или доменов важно понимать следующие предварительные требования.

требования к версии антивирусной программы Microsoft Defender

Эта функция доступна, если ваша организация использует антивирусную программу Microsoft Defender (в активном режиме).

Мониторинг поведения включен

Облачная защита включена.

Сетевое подключение Cloud Protection работает

Версия клиента защиты от вредоносных программ должна быть 4.18.1906.x или более поздней. См . статью Версии ежемесячной платформы и подсистемы.

Требования к защите сети

Для разрешения и блокировки URL-адресов или IP-адресов необходимо, чтобы компонент сетевой защиты Microsoft Defender для конечной точки был включен в блочном режиме. Дополнительные сведения о защите сети и инструкциях по настройке см. в разделе Включение защиты сети.

Требования к пользовательским сетевым индикаторам

Чтобы начать блокировку IP-адресов и (или) URL-адресов, включите функцию "Пользовательские сетевые индикаторы" на портале Microsoft Defender, перейдите> в раздел ПараметрыКонечные> точкиОбщие>дополнительные функции. Дополнительные сведения см. в разделе Дополнительные функции.

Сведения о поддержке индикаторов в iOS см. в разделе Microsoft Defender для конечной точки в iOS.

Сведения о поддержке индикаторов в Android см. в разделе Microsoft Defender для конечной точки для Android.

Ограничения списка индикаторов IoC

В список индикаторов можно добавить только внешние IP-адреса. Невозможно создать индикаторы для внутренних IP-адресов. Для сценариев веб-защиты рекомендуется использовать встроенные возможности в Microsoft Edge. Microsoft Edge использует защиту сети для проверки сетевого трафика и позволяет блокировать TCP, HTTP и HTTPS (TLS).

Процессы, не относящиеся к Microsoft Edge и Интернету Обозреватель

Для процессов, отличных от Microsoft Edge и Интернет-Обозреватель, сценарии веб-защиты используют защиту сети для проверки и принудительного применения:

  • IP-адрес поддерживается для всех трех протоколов (TCP, HTTP и HTTPS (TLS))
  • В пользовательских индикаторах поддерживаются только отдельные IP-адреса (без блоков CIDR или диапазонов IP-адресов).
  • Зашифрованные URL-адреса (полный путь) можно заблокировать только в браузерах сторонних разработчиков (Интернет-Обозреватель, Edge)
  • Зашифрованные URL-адреса (только полное доменное имя) можно заблокировать в сторонних браузерах (то есть, кроме интернет-Обозреватель, Edge)
  • Для незашифрованных URL-адресов можно применить полные блоки url-адресов.
  • Если существуют конфликтующие политики индикаторов URL-адресов, применяется более длинный путь. Например, политика https://support.microsoft.com/office индикаторов URL-адресов имеет приоритет над политикой https://support.microsoft.comиндикаторов URL-адресов .
  • В случае конфликтов политики индикаторов URL-адресов более длинный путь может не применяться из-за перенаправления. В таких случаях зарегистрируйте ненаправляемый URL-адрес.

Примечание.

Пользовательские индикаторы компрометации и функции фильтрации веб-содержимого в настоящее время не поддерживаются в Application Guard сеансах Microsoft Edge. Эти контейнерные сеансы браузера могут применять блоки веб-угроз только с помощью встроенной защиты SmartScreen. Они не могут применять какие-либо политики корпоративной веб-защиты.

Защита сети и трехстороннее подтверждение TCP

В случае защиты сети определение того, следует ли разрешать или блокировать доступ к сайту, производится после завершения трехстороннего подтверждения через TCP/IP. Таким образом, если сайт заблокирован защитой сети, на портале Microsoft Defender может отображаться тип ConnectionSuccessNetworkConnectionEvents действия в разделе, даже если сайт был заблокирован. NetworkConnectionEvents отображаются на уровне TCP, а не из защиты сети. После завершения трехстороннего подтверждения доступ к сайту будет разрешен или заблокирован защитой сети.

Ниже приведен пример того, как это работает.

  1. Предположим, что пользователь пытается получить доступ к веб-сайту на своем устройстве. Сайт размещается в опасном домене, и он должен быть заблокирован сетевой защитой.

  2. Начинается трехстороннее подтверждение через TCP/IP. Перед его завершением NetworkConnectionEvents действие регистрируется и отображается ActionType как ConnectionSuccess. Однако как только процесс трехстороннего подтверждения завершится, защита сети блокирует доступ к сайту. Все это происходит быстро. Аналогичный процесс происходит с Microsoft Defender SmartScreen. Это происходит, когда трехстороннее подтверждение завершается, что делается определение, а доступ к сайту либо заблокирован, либо разрешен.

  3. На портале Microsoft Defender в очереди оповещений отображается оповещение. Сведения об этом оповещении включают и NetworkConnectionEventsAlertEvents. Вы видите, что сайт был заблокирован, даже если у вас также есть NetworkConnectionEvents элемент с ActionType .ConnectionSuccess

Элементы управления режимом предупреждения

При использовании режима предупреждения можно настроить следующие элементы управления:

  • Возможность обхода

    • Кнопка "Разрешить" в Edge
    • Кнопка "Разрешить" в всплывающем меню (браузеры сторонних пользователей)
    • Обход параметра duration для индикатора
    • Обход принудительного применения в браузерах Майкрософт и сторонних браузеров

  • URL-адрес перенаправления

    • Параметр URL-адреса перенаправления для индикатора
    • URL-адрес перенаправления в Edge
    • URL-адрес перенаправления в всплывающем окне (браузеры сторонних корпораций)

Дополнительные сведения см. в разделе Управление приложениями, обнаруженными Microsoft Defender для конечной точки.

Порядок обработки IP-URL-адреса Интернета вещей и конфликтов в политике домена

Обработка конфликтов политик для доменов, URL-адресов и IP-адресов отличается от обработки конфликтов политик для сертификатов.

В случае, если для одного индикатора задано несколько разных типов действий (например, блокировать, предупреждать и разрешать, типы действий, заданные для Microsoft.com), эти типы действий будут действовать следующим образом:

  1. Разрешить
  2. Предупреждать
  3. Блокировка

"Разрешить" переопределяет "warn", который переопределяет "block", как показано ниже: AllowBlock>Warn>. Таким образом, в предыдущем примере Microsoft.com будет разрешено.

Индикаторы Defender for Cloud Apps

Если ваша организация включила интеграцию между Defender для конечной точки и Defender for Cloud Apps, в Defender для конечной точки будут созданы блочные индикаторы для всех несанкционированных облачных приложений. Если приложение переводится в режим мониторинга, для URL-адресов, связанных с приложением, будут созданы индикаторы предупреждения (обходимый блок). В настоящее время невозможно создать индикаторы разрешения для санкционированных приложений. Индикаторы, созданные Defender for Cloud Apps, соответствуют обработке конфликтов политик, описанной в предыдущем разделе.

Приоритет политик

политика Microsoft Defender для конечной точки имеет приоритет над политикой антивирусной программы Microsoft Defender. В ситуациях, когда defender для конечной точки имеет значение Allow, но Microsoft Defender Антивирусная программа имеет значение Block, политика по умолчанию имеет значение Allow.

Приоритет для нескольких активных политик

Применение нескольких разных политик фильтрации веб-содержимого к одному и тому же устройству приведет к применению более ограничительной политики для каждой категории. Рассмотрим следующий сценарий.

  • Политика 1 блокирует категории 1 и 2 и выполняет аудит остальных
  • Политика 2 блокирует категории 3 и 4 и выполняет аудит остальных

В результате все категории 1–4 блокируются. Это показано на следующем рисунке.

Схема, показывающая приоритет режима блокировки политики фильтрации веб-содержимого над режимом аудита.

Создание индикатора для IP-адресов, URL-адресов или доменов на странице параметров

  1. В области навигации выберите Параметры Индикаторы>конечных> точек разделе Правила).

  2. Выберите вкладку IP-адреса или URL-адреса/Домены .

  3. Выберите Добавить элемент.

  4. Укажите следующие сведения:

    • Индикатор — укажите сведения о сущности и определите срок действия индикатора.
    • Действие — укажите выполняемое действие и укажите описание.
    • Область — определите область группы компьютеров.

  5. Просмотрите сведения на вкладке Сводка , а затем нажмите кнопку Сохранить.

Важно!

После создания политики для блокировки URL-адреса или IP-адреса на устройстве может потребоваться до 48 часов.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.