Dela via


Webbskydd

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Om webbskydd

Webbskydd i Microsoft Defender för Endpoint är en funktion som består av skydd mot webbhot, filtrering av webbinnehåll och anpassade indikatorer. Med webbskydd kan du skydda dina enheter mot webbhot och hjälpa dig att reglera oönskat innehåll. Du hittar webbskyddsrapporter i Microsoft Defender portalen genom att gå till Webbskydd för rapporter>.

Webbskyddskorten

Skydd mot webbhot

Korten som utgör skydd mot webbhot är webbhotidentifieringar över tid och sammanfattning av webbhot.

Skydd mot webbhot omfattar:

  • Omfattande insyn i webbhot som påverkar din organisation.
  • Undersökningsfunktioner för webbrelaterad hotaktivitet via aviseringar och omfattande profiler för URL:er och de enheter som har åtkomst till dessa URL:er.
  • En fullständig uppsättning säkerhetsfunktioner som spårar allmänna åtkomsttrender till skadliga och oönskade webbplatser.

Obs!

För andra processer än Microsoft Edge och Internet Explorer använder webbskyddsscenarier Nätverksskydd för inspektion och tillämpning:

  • IP stöds för alla tre protokollen (TCP, HTTP och HTTPS (TLS)).
  • Endast enskilda IP-adresser stöds (inga CIDR-block eller IP-intervall) i anpassade indikatorer.
  • Krypterade URL:er (fullständig sökväg) kan bara blockeras i webbläsare från första part (Internet Explorer, Edge).
  • Krypterade URL:er (endast FQDN) kan blockeras i webbläsare från tredje part (dvs. andra än Internet Explorer, Edge).
  • Fullständiga URL-sökvägsblock kan användas för okrypterade URL:er.

Det kan finnas upp till två timmars svarstid (vanligtvis mindre) mellan den tid då åtgärden vidtas och url:en och IP-adressen blockeras. Mer information finns i Skydd mot webbhot.

Anpassade indikatorer

Anpassade indikatoridentifieringar sammanfattas också i organisationens webbhotrapporter under Webbhotidentifieringar över tid och sammanfattning av webbhot.

Anpassad indikator omfattar:

  • Möjlighet att skapa IP- och URL-baserade indikatorer för kompromisser för att skydda din organisation mot hot.
  • Undersökningsfunktioner för aktiviteter relaterade till dina anpassade IP/URL-profiler och de enheter som har åtkomst till dessa URL:er.
  • Möjligheten att skapa principer för Tillåt, Blockera och Varna för IP-adresser och URL:er.

Mer information finns i Skapa indikatorer för IP-adresser och URL:er/domäner

Filtrering av webbinnehåll

Webbinnehållsfiltrering omfattar webbaktivitet efter kategori, sammanfattning av webbinnehållsfiltrering och webbaktivitetssammanfattning.

Webbinnehållsfiltrering omfattar:

  • Användare hindras från att komma åt webbplatser i blockerade kategorier, oavsett om de surfar lokalt eller bort.
  • Du kan enkelt distribuera olika principer till olika uppsättningar användare med hjälp av de enhetsgrupper som definieras i Microsoft Defender för Endpoint rollbaserade inställningar för åtkomstkontroll.

    Obs!

    Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.

  • Du kan komma åt webbrapporter på samma centrala plats, med insyn över faktiska block och webbanvändning.

Mer information finns i Webbinnehållsfiltrering.

Prioritetsordning

Webbskydd består av följande komponenter, som anges i prioritetsordning. Var och en av dessa komponenter framtvingas av SmartScreen-klienten i Microsoft Edge och av nätverksskyddsklienten i alla andra webbläsare och processer.

  • Anpassade indikatorer (IP/URL, Microsoft Defender for Cloud Apps-principer)

    • Tillåt
    • Varna
    • Blockera
  • Webbhot (skadlig kod, nätfiske)

    • SmartScreen Intel, inklusive Exchange Online Protection (EOP)
    • Upptrappning
  • Webbinnehållsfiltrering (WCF)

Obs!

Microsoft Defender for Cloud Apps genererar för närvarande endast indikatorer för blockerade URL:er.

Prioritetsordningen avser ordningen på åtgärder som en URL eller IP-adress utvärderas efter. Om du till exempel har en princip för webbinnehållsfiltrering kan du skapa undantag via anpassade IP-/URL-indikatorer. Anpassade indikatorer för kompromettering (IoC) är högre i prioritetsordning än WCF-block.

På samma sätt, under en konflikt mellan indikatorer, tillåter alltid ha företräde framför block (åsidosättningslogik). Det innebär att en tillåt-indikator har företräde framför alla blockindikatorer som finns.

I följande tabell sammanfattas några vanliga konfigurationer som skulle innebära konflikter i webbskyddsstacken. Den identifierar också de resulterande bestämningarna baserat på prioriteten som beskrivs tidigare i den här artikeln.

Anpassad indikatorprincip Princip för webbhot WCF-princip Defender for Cloud Apps princip Resultat
Tillåt Blockera Blockera Blockera Tillåt (åsidosättning av webbskydd)
Tillåt Tillåt Blockera Blockera Tillåt (WCF-undantag)
Varna Blockera Blockera Blockera Varna (åsidosätt)

Interna IP-adresser stöds inte av anpassade indikatorer. För en varningsprincip när den kringgås av slutanvändaren avblockeras webbplatsen i 24 timmar för den användaren som standard. Den här tidsramen kan ändras av Admin och skickas vidare av SmartScreen-molntjänsten. Möjligheten att kringgå en varning kan också inaktiveras i Microsoft Edge med hjälp av CSP för hotblock för webben (skadlig kod/nätfiske). Mer information finns i Microsoft Edge SmartScreen-inställningar.

Skydda webbläsare

I alla webbskyddsscenarier kan SmartScreen och Nätverksskydd användas tillsammans för att säkerställa skydd i både Microsoft- och icke-Microsoft-webbläsare och processer. SmartScreen är inbyggt direkt i Microsoft Edge, medan Network Protection övervakar trafik i webbläsare och processer som inte kommer från Microsoft. Följande diagram illustrerar det här konceptet. Det här diagrammet över de två klienter som arbetar tillsammans för att tillhandahålla flera webbläsar-/apptäckningar är korrekt för alla funktioner i webbskydd (indikatorer, webbhot, innehållsfiltrering).

Obs!

Anpassade indikatorer för funktioner för kompromisser och webbinnehållsfiltrering stöds för närvarande inte i Application Guard sessioner i Microsoft Edge. Dessa containerbaserade webbläsarsessioner kan bara framtvinga webbhotblock via det inbyggda SmartScreen-skyddet. De kan inte framtvinga några företagswebbskyddsprinciper. Användningen av smartScreen och nätverksskydd tillsammans

Felsöka slutpunktsblock

Svar från SmartScreen-molnet är standardiserade. Verktyg som Fiddler kan användas för att inspektera svaret från molntjänsten, vilket hjälper dig att fastställa blockets källa.

När SmartScreen-molntjänsten svarar med ett svar om att tillåta, blockera eller varna skickas en svarskategori och serverkontext tillbaka till klienten. I Microsoft Edge är svarskategorin det som används för att fastställa lämplig blockeringssida som ska visas (skadlig, nätfiske, organisationsprincip).

I följande tabell visas svaren och deras korrelerade funktioner.

ResponseCategory Funktion som ansvarar för blocket
CustomPolicy WCF
CustomBlockList Anpassade indikatorer
CasbPolicy Defender för Molnappar
Skadlig Webbhot
Fiske Webbhot

Avancerad jakt på webbskydd

Kusto-frågor i avancerad jakt kan användas för att sammanfatta webbskyddsblock i din organisation i upp till 30 dagar. Dessa frågor använder informationen som anges ovan för att skilja mellan de olika blockkällorna och sammanfatta dem på ett användarvänligt sätt. Följande fråga visar till exempel alla WCF-block som kommer från Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

På samma sätt kan du använda följande fråga för att lista alla WCF-block som kommer från Nätverksskydd (till exempel ett WCF-block i en webbläsare som inte kommer från Microsoft). ActionType uppdateras och Experience ändras till ResponseCategory.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Om du vill visa block som beror på andra funktioner (t.ex. anpassade indikatorer) läser du tabellen som angavs tidigare i den här artikeln. Tabellen beskriver varje funktion och deras respektive svarskategori. Dessa frågor kan ändras för att söka efter telemetri som är relaterade till specifika datorer i din organisation. ActionType som visas i varje fråga visar endast de anslutningar som har blockerats av en webbskyddsfunktion och inte all nätverkstrafik.

Användarupplevelse

Om en användare besöker en webbsida som utgör en risk för skadlig kod, nätfiske eller andra webbhot utlöser Microsoft Edge en blocksida som liknar följande bild:

Skärmbild som visar nytt blockeringsmeddelande för en webbplats.

Från och med Microsoft Edge 124 visas följande blocksida för alla kategoriblock för webbinnehållsfiltrering.

Skärmbild som visar blockerat innehåll.

I vilket fall som helst visas inga blocksidor i webbläsare som inte kommer från Microsoft, och användaren ser sidan "Säker anslutning misslyckades" tillsammans med ett popup-meddelande. Beroende på vilken princip som ansvarar för blocket ser en användare ett annat meddelande i popup-meddelandet. Filtrering av webbinnehåll visar till exempel meddelandet "Det här innehållet är blockerat".

Rapportera falska positiva identifieringar

Om du vill rapportera en falsk positiv identifiering för webbplatser som har bedömts som farliga av SmartScreen använder du länken som visas på blockeringssidan i Microsoft Edge (som du ser tidigare i den här artikeln).

För WCF kan du bestrida kategorin för en domän. Gå till fliken Domäner i WCF-rapporterna. Du ser en ellips bredvid var och en av domänerna. Hovra över den här ellipsen och välj Tvistkategori. En utfälld meny öppnas. Ange prioriteten för incidenten och ange viss annan information, till exempel den föreslagna kategorin. Mer information om hur du aktiverar WCF och hur du bestrider kategorier finns i Webbinnehållsfiltrering.

Mer information om hur du skickar falska positiva/negativa identifieringar finns i Adressera falska positiva/negativa i Microsoft Defender för Endpoint.

Artikel Beskrivning
Skydd mot webbhot Förhindra åtkomst till nätfiskewebbplatser, vektorer för skadlig kod, sårbarhetswebbplatser, ej betrodda webbplatser eller webbplatser med lågt rykte och webbplatser som blockeras.
Filtrering av webbinnehåll Spåra och reglera åtkomsten till webbplatser baserat på deras innehållskategorier.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.