Webová ochrana

Platí pro:

Chcete se seznámit s Microsoft Defender for Endpoint? Zaregistrujte si bezplatnou zkušební verzi.

Informace o ochraně webu

Webová ochrana v Microsoft Defender for Endpoint je funkce tvořená ochranou webových hrozeb, filtrováním webového obsahu a vlastními indikátory. Ochrana webu umožňuje zabezpečit zařízení před webovými hrozbami a pomáhá regulovat nežádoucí obsah. Sestavy ochrany webu najdete na portálu Microsoft 365 Defender tak, že přejdete na sestavy > ochranu webu.

Webové ochranné karty

Ochrana před webovou hrozbou

Karty, které tvoří ochranu webových hrozeb, jsou detekce webových hrozeb v průběhu času a souhrn webových hrozeb.

Ochrana před webovými hrozbami zahrnuje:

  • Komplexní přehled o webových hrozbách, které ovlivňují vaši organizaci.
  • Možnosti šetření týkající se aktivit souvisejících s webovými hrozbami prostřednictvím výstrah a komplexních profilů adres URL a zařízení, která k těmto adresám URL přistupují.
  • Úplná sada funkcí zabezpečení, které sledují obecné trendy přístupu k škodlivým a nežádoucím webům.

Další informace najdete v tématu Ochrana webových hrozeb.

Vlastní indikátory

Vlastní detekce indikátorů jsou také shrnuty v sestavách webových hrozeb organizace v rámci detekce webových hrozeb v průběhu času a souhrnu webových hrozeb.

Vlastní indikátor zahrnuje:

  • Možnost vytvářet indikátory ohrožení zabezpečení na základě IP adres a adres URL, které chrání vaši organizaci před hrozbami
  • Možnosti šetření nad aktivitami souvisejícími s vašimi vlastními profily IP adres/adres URL a zařízeními, která k těmto adresám URL přistupují.
  • Možnost vytvářet zásady Povolit, Blokovat a Upozornit pro IP adresy a adresy URL.

Další informace najdete v tématu Vytvoření indikátorů pro IP adresy a adresy URL nebo domény.

Filtrování webového obsahu

Filtrování webového obsahu zahrnuje aktivitu webu podle kategorie, souhrn filtrování webového obsahu a souhrn aktivity webu.

Filtrování webového obsahu zahrnuje:

  • Uživatelům je zabráněno v přístupu k webům v blokovaných kategoriích bez ohledu na to, jestli procházejí místně nebo mimo provoz.
  • Různé zásady můžete pohodlně nasadit různým sadám uživatelů pomocí skupin zařízení definovaných v Microsoft Defender for Endpoint nastavení řízení přístupu na základě role.
  • K webovým sestavám můžete přistupovat ve stejném centrálním umístění s přehledem o skutečných blocích a využití webu.

Další informace najdete v tématu Filtrování webového obsahu.

Pořadí priorit

Ochrana webu se skládá z následujících komponent uvedených v pořadí podle priority. Každou z těchto komponent vynucuje klient SmartScreen v Microsoft Edge a klient network protection ve všech ostatních prohlížečích a procesech.

  • Vlastní indikátory (IP adresa/adresa URL, zásady Microsoft Defender for Cloud Apps)

    • Povolit
    • Varovat
    • Blokování
  • Webové hrozby (malware, phish)

    • SmartScreen Intel, včetně Exchange Online Protection (EOP)
    • Eskalace
  • Filtrování webového obsahu (WCF)

Poznámka

Microsoft Defender for Cloud Apps aktuálně generuje indikátory pouze pro blokované adresy URL.

Pořadí priorit se vztahuje k pořadí operací, podle kterých se vyhodnocuje adresa URL nebo IP adresa. Pokud máte například zásady filtrování webového obsahu, můžete vyloučení vytvořit prostřednictvím vlastních indikátorů IP adres nebo adres URL. Vlastní indikátory ohrožení zabezpečení (IoC) jsou vyšší v pořadí podle priority než bloky WCF.

Podobně při konfliktu mezi ukazateli umožňuje mít vždy přednost před bloky (přepsat logiku). To znamená, že indikátor povolení vyhraje nad jakýmkoli indikátorem bloku, který je k dispozici.

Následující tabulka shrnuje některé běžné konfigurace, které by představovaly konflikty v rámci zásobníku ochrany webu. Identifikuje také výsledná určení na základě výše uvedené priority.



Vlastní zásady indikátorů Zásady webových hrozeb Zásady WCF Zásady Defender for Cloud Apps Result (Výsledek)
Povolit Blokování Blokování Blokování Povolit (přepsání webové ochrany)
Povolit Povolit Blokování Blokování Povolit (výjimka WCF)
Varovat Blokování Blokování Blokování Upozornit (přepsat)

Vlastní indikátory nepodporují interní IP adresy. Pokud koncový uživatel obejde zásadu upozornění, web se pro daného uživatele ve výchozím nastavení odblokuje po dobu 24 hodin. Tento časový rámec může správce upravit a je předán cloudovou službou SmartScreen. Možnost obejít upozornění je také možné zakázat v Microsoft Edge použití CSP pro bloky webových hrozeb (malware/phishing). Další informace najdete v tématu Microsoft Edge Nastavení SmartScreen.

Ochrana prohlížečů

Ve všech scénářích ochrany webu je možné filtr SmartScreen a ochranu sítě používat společně, aby byla zajištěna ochrana v prohlížečích a procesech první i třetí strany. Filtr SmartScreen je integrovaný přímo do Microsoft Edge, zatímco služba Network Protection monitoruje provoz v prohlížečích a procesech třetích stran. Tento koncept znázorňuje následující diagram. Tento diagram dvou klientů, kteří spolupracují na poskytování více pokrytí prohlížeče nebo aplikací, je přesný pro všechny funkce služby Web Protection (indikátory, webové hrozby, filtrování obsahu).

Společné použití filtru smartScreen a ochrany sítě

Řešení potíží s bloky koncových bodů

Odpovědi z cloudu SmartScreen jsou standardizované. Pomocí nástrojů, jako je Fiddler, můžete zkontrolovat odpověď z cloudové služby, což vám pomůže určit zdroj bloku.

Když cloudová služba SmartScreen odpoví odpovědí na povolení, blokování nebo upozornění, předá se kategorie odpovědi a kontext serveru zpět klientovi. V Microsoft Edge kategorie odpovědi určuje příslušnou blokovou stránku, která se má zobrazit (škodlivé, phishingové, organizační zásady).

V následující tabulce jsou uvedené odpovědi a jejich korelované funkce.



ResponseCategory Funkce zodpovědná za blok
Vlastní zásady WCF
CustomBlockList Vlastní indikátory
CasbPolicy Defender for Cloud Apps
Škodlivý Webové hrozby
Útok phishing Webové hrozby

Pokročilý proaktivní vyhledávání pro ochranu webu

Kusto dotazy v pokročilém proaktivním vyhledávání je možné použít ke shrnutí bloků ochrany webu ve vaší organizaci po dobu až 30 dnů. Tyto dotazy používají výše uvedené informace k rozlišení různých zdrojů bloků a jejich souhrnu uživatelsky přívětivým způsobem. Následující dotaz například uvádí všechny bloky WCF pocházející z Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomBlockList"

Podobně můžete pomocí následujícího dotazu vypsat všechny bloky WCF pocházející ze služby Network Protection (například blok WCF v prohlížeči třetí strany). Všimněte si, že actionType byl aktualizován a "Experience" byl změněn na 'ResponseCategory'.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Pokud chcete zobrazit seznam bloků, které jsou způsobené jinými funkcemi (jako jsou vlastní indikátory), projděte si tabulku výše s popisem jednotlivých funkcí a jejich příslušné kategorie odpovědí. Tyto dotazy je také možné upravit tak, aby hledaly telemetrii související s konkrétními počítači ve vaší organizaci. Všimněte si, že ActionType zobrazený v každém dotazu výše zobrazí pouze připojení, která byla blokována funkcí Web Protection, a ne veškerý síťový provoz.

Činnost koncového uživatele

Pokud uživatel navštíví webovou stránku, která představuje riziko malwaru, phishingu nebo jiných webových hrozeb, Microsoft Edge aktivuje blokovou stránku s informacemi o tom, že tento web byl nahlášen jako nebezpečný, spolu s informacemi souvisejícími s hrozbou.

Pokud je zablokovaný WCF nebo vlastním indikátorem, v Microsoft Edge se zobrazí bloková stránka s informacemi o tom, že uživatel tento web zablokuje jeho organizace.

V každém případě se v prohlížečích třetích stran nezobrazují žádné blokové stránky a uživateli se zobrazí stránka Zabezpečené připojení selhalo spolu s informační zprávou. V závislosti na zásadách zodpovědných za blok se uživateli v informační zprávě zobrazí jiná zpráva. Například filtrování webového obsahu zobrazí zprávu "Tento obsah je blokovaný".

Hlášení falešně pozitivních výsledků

Pokud chcete nahlásit falešně pozitivní výsledek pro weby, které filtr SmartScreen považuje za nebezpečné, použijte odkaz, který se zobrazí na stránce bloku v Microsoft Edge (jak je znázorněno výše).

U WCF můžete rozporovat kategorii domény. Přejděte na kartu Domains (Domény ) sestav WCF a potom klikněte na Report Nepřesnost. Otevře se informační rámeček. Nastavte prioritu incidentu a uveďte některé další podrobnosti, například navrhovanou kategorii. Další informace o tom, jak zapnout WCF a jak rozporovat kategorie, najdete v tématu Filtrování webového obsahu.

Další informace o odesílání falešně pozitivních nebo negativních výsledků najdete v tématu Adresa falešně pozitivních nebo negativních výsledků v Microsoft Defender for Endpoint.



Téma Popis
Ochrana před webovou hrozbou Zastavte přístup k webům phishing, vektorům malwaru, zneužití webů, nedůvěryhodným webům nebo webům s nízkou reputací a webům, které jste zablokovali.
Filtrování webového obsahu Sledujte a regulovat přístup k webům na základě jejich kategorií obsahu.