URL/etki alanı ve IP’ler için göstergeler oluşturun

  • Makale

Şunlar için geçerlidir:

İpucu

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Genel bakış

IP'ler ve URL'ler veya etki alanları için göstergeler oluşturarak artık kendi tehdit zekanıza göre IP'lere, URL'lere veya etki alanlarına izin verebilir veya bunları engelleyebilirsiniz. Riskli bir uygulama açtıklarında kullanıcıları bir istemle de uyarabilirsiniz. İstem, uygulamayı kullanmalarını engellemez, ancak özel bir ileti ve uygulamanın uygun kullanımını açıklayan bir şirket sayfasına bağlantılar sağlayabilirsiniz. Kullanıcılar yine de uyarıyı atlayabilir ve gerekirse uygulamayı kullanmaya devam edebilir.

Kötü amaçlı IP'leri/URL'leri engellemek için (Microsoft tarafından belirlendiği gibi), Uç Nokta için Defender şunları kullanabilir:

  • Microsoft tarayıcıları için SmartScreen'i Windows Defender
  • Microsoft dışı tarayıcılar veya tarayıcı dışında yapılan çağrılar için Ağ Koruması

Kötü amaçlı IP'leri/URL'leri engellemek için tehdit bilgileri veri kümesi Microsoft tarafından yönetilir.

Bazı grupların diğerlerinden daha fazla veya daha az risk altında olduğunu düşünüyorsanız, ayarlar sayfasından veya makine gruplarına göre kötü amaçlı IP'leri/URL'leri engelleyebilirsiniz.

Not

IP adresleri için sınıfsız Inter-Domain Yönlendirme (CIDR) gösterimi desteklenmez.

Başlamadan önce

IPS, URL'ler veya etki alanları için göstergeler oluşturmadan önce aşağıdaki önkoşulları anlamak önemlidir:

Ağ Koruması gereksinimleri

URL/IP izin verme ve engelleme, Uç Nokta için Microsoft Defender bileşeni Ağ Koruması'nın blok modunda etkinleştirilmesini gerektirir. Ağ Koruması ve yapılandırma yönergeleri hakkında daha fazla bilgi için bkz . Ağ korumasını etkinleştirme.

Desteklenen işletim sistemleri

  • Windows 10, sürüm 1709 veya üzeri
  • Windows 11
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2019
  • Windows Server 2022
  • macOS
  • Linux
  • iOS
  • Android

Windows Server 2016 ve Windows Server 2012 R2 gereksinimleri

Windows Server 2016 ve Windows Server 2012 R2, Windows sunucularını ekleme yönergeleri kullanılarak eklenmelidir.

virüsten koruma sürüm gereksinimlerini Microsoft Defender

Kötü amaçlı yazılımdan koruma istemcisi sürümü 4.18.1906.x veya üzeri olmalıdır.

Özel ağ göstergeleri gereksinimleri

Microsoft Defender XDR>SettingsGelişmiş özelliklerindeÖzel ağ göstergelerinin etkinleştirildiğinden > emin olun. Daha fazla bilgi için bkz . Gelişmiş özellikler.

iOS'ta göstergelerin desteği için bkz. iOS'ta Uç Nokta için Microsoft Defender.

Android'de gösterge desteği için bkz. Android'de Uç Nokta için Microsoft Defender.

IoC gösterge listesi sınırlamaları

Gösterge listesine yalnızca dış IP'ler eklenebilir. İç IP'ler için göstergeler oluşturulamaz. Web koruma senaryoları için Microsoft Edge'deki yerleşik özellikleri kullanmanızı öneririz. Microsoft Edge ağ trafiğini incelemek için Ağ Koruması'nden yararlanarak TCP, HTTP ve HTTPS (TLS) bloklarına izin verir.

Microsoft Edge ve Internet Explorer dışı işlemler

Web koruma senaryoları, Microsoft Edge ve Internet Explorer dışındaki işlemler için inceleme ve zorlama için Ağ Koruması'dan yararlanıyor:

  • IP, üç protokol için de desteklenir (TCP, HTTP ve HTTPS (TLS))
  • Özel göstergelerde yalnızca tek IP adresleri desteklenir (CIDR blokları veya IP aralıkları yoktur)
  • Şifrelenmiş URL'ler (tam yol) yalnızca birinci taraf tarayıcılarda engellenebilir (Internet Explorer, Edge)
  • Şifrelenmiş URL'ler (yalnızca FQDN) üçüncü taraf tarayıcılarda (Internet Explorer, Edge dışında) engellenebilir
  • Şifrelenmemiş URL'ler için tam URL yol blokları uygulanabilir
  • Çakışan URL göstergesi ilkeleri varsa, daha uzun yol uygulanır. Örneğin, URL göstergesi ilkesi https://support.microsoft.com/office URL göstergesi ilkesinden https://support.microsoft.comönceliklidir.

Ağ koruması ve TCP üç yönlü el sıkışması

Ağ koruması ile, TCP/IP aracılığıyla üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilip verilmeyeceğinin veya engellenip engellenmeyeceğinin belirlenmesi yapılır. Bu nedenle, bir site ağ koruması tarafından engellendiğinde, site engellenmiş olsa bile Microsoft Defender portalında altında NetworkConnectionEvents bir eylem türü ConnectionSuccess görebilirsiniz. NetworkConnectionEvents ağ korumasından değil TCP katmanından bildirilir. Üç yönlü el sıkışması tamamlandıktan sonra siteye erişime izin verilir veya ağ koruması tarafından engellenir.

Bunun nasıl çalıştığına dair bir örnek aşağıda verilmişti:

  1. Bir kullanıcının cihazında bir web sitesine erişmeye çalıştığı varsayılmaktadır. Site tehlikeli bir etki alanında barındırılacak ve ağ koruması tarafından engellenmelidir.

  2. TCP/IP aracılığıyla üç yönlü el sıkışması başlar. İşlem tamamlanmadan önce bir NetworkConnectionEvents eylem günlüğe kaydedilir ve eylemi ActionType olarak ConnectionSuccesslistelenir. Ancak, üç yönlü el sıkışma işlemi tamamlandığında ağ koruması siteye erişimi engeller. Tüm bunlar hızlı bir şekilde gerçekleşir. Benzer bir işlem Microsoft Defender SmartScreen ile gerçekleşir; üç yönlü el sıkışması tamamlandığında belirleme yapılır ve siteye erişim engellenir veya izin verilir.

  3. Microsoft Defender portalında, uyarılar kuyruğunda bir uyarı listelenir. Bu uyarının ayrıntıları hem hem AlertEventsde NetworkConnectionEvents içerir. ActionType içeren bir NetworkConnectionEvents öğeniz de olsa, sitenin ConnectionSuccessengellendiğini görebilirsiniz.

Uyarı modu denetimleri

Uyarı modunu kullanırken aşağıdaki denetimleri yapılandırabilirsiniz:

  • Atlama özelliği

    • Edge'de İzin Ver düğmesi
    • Bildirimdeki İzin Ver düğmesi (Microsoft dışı tarayıcılar)
    • Göstergedeki atlama süresi parametresi
    • Microsoft ve Microsoft dışı tarayıcılarda zorlamayı atlama

  • Yeniden yönlendirme URL'si

    • Göstergedeki yeniden yönlendirme URL'si parametresi
    • Edge'de URL'yi yeniden yönlendirme
    • Bildirimde yeniden yönlendirme URL'si (Microsoft dışı tarayıcılar)

Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender tarafından bulunan uygulamaları yönetme.

IoC IP URL'si ve etki alanı ilkesi çakışması işleme sırası

Etki alanları/URL'ler/IP adresleri için ilke çakışması işleme, sertifikalar için ilke çakışması işlemesinden farklıdır.

Aynı göstergede birden çok farklı eylem türünün (örneğin, Microsoft.com için ayarlanan eylem türlerini engelleme, uyarma ve izin verme) ayarlanması durumunda, bu eylem türlerinin geçerlilik sırası şöyle olur:

  1. İzin ver
  2. Uyarmak
  3. Engelle

Geçersiz kılmalara izin ver, hangi geçersiz kılma bloğunuuyarır: Uyarı > Bloğuna İzin Ver>. Bu nedenle, yukarıdaki örnekte Microsoft.com izin verilir.

Cloud Apps için Defender Göstergeleri

Kuruluşunuz Uç Nokta için Defender ile Bulut Uygulamaları için Defender arasında tümleştirmeyi etkinleştirdiyse, tüm tasdik edilmemiş bulut uygulamaları için Uç Nokta için Defender'da blok göstergeleri oluşturulur. Bir uygulama izleme moduna alınırsa, uygulamayla ilişkili URL'ler için uyarı göstergeleri (atlanabilir blok) oluşturulur. Şu anda tasdikli uygulamalar için izin göstergeleri oluşturulamaz. Cloud Apps için Defender tarafından oluşturulan göstergeler, önceki bölümde açıklanan ilke çakışması işlemesini izler.

İlke önceliği

Uç Nokta için Microsoft Defender ilkesi Microsoft Defender Virüsten Koruma ilkesine göre önceliklidir. Uç Nokta için Defender'ın İzin Ver olarak ayarlandığı ancak virüsten koruma Microsoft Defender Engelle olarak ayarlandığı durumlarda, ilke varsayılan olarak İzin Ver olarak ayarlanır.

Birden çok etkin ilke için öncelik

Aynı cihaza birden çok farklı web içeriği filtreleme ilkesi uygulanması, her kategori için daha kısıtlayıcı ilkenin uygulanmasına neden olur. Aşağıdaki senaryoyu inceleyin:

  • İlke 1 , 1 ve 2 kategorilerini engeller ve gerisini denetler
  • İlke 2 , 3 ve 4 kategorilerini engeller ve gerisini denetler

Sonuç, 1-4 kategorilerinin tümünün engellenmesidir. Bu, aşağıdaki görüntüde gösterilmiştir.

Web içeriği filtreleme ilkesi engelleme modunun denetim moduna göre önceliğini gösteren diyagram.

Ayarlar sayfasından IP'ler, URL'ler veya etki alanları için bir gösterge İçerik Oluşturucu

  1. Gezinti bölmesinde Ayarlar>Uç Noktaları>Göstergeleri'ni seçin ( Kurallar'ın altında).

  2. IP adresleri veya URL'ler/Etki Alanları sekmesini seçin.

  3. Öğe ekle'yi seçin.

  4. Aşağıdaki ayrıntıları belirtin:

    • Gösterge - Varlık ayrıntılarını belirtin ve göstergenin süre sonunu tanımlayın.
    • Eylem - Gerçekleştirilecek eylemi belirtin ve bir açıklama sağlayın.
    • Kapsam - Makine grubunun kapsamını tanımlayın.

  5. Özet sekmesinde ayrıntıları gözden geçirin ve Kaydet'i seçin.

Not

İlkenin oluşturulma zamanı ile url veya IP'nin cihazda engellenmesi arasında 2 saate kadar gecikme olabilir.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.