Webschutz

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Informationen zum Webschutz

Webschutz in Microsoft Defender für Endpunkt ist eine Funktion, die aus Webbedrohungsschutz, Webinhaltsfilterungund benutzerdefinierten Indikatorenbesteht. Mithilfe von Webschutz können Sie Ihre Geräte vor Webbedrohungen schützen und unerwünschte Inhalte steuern. Webschutzberichte finden Sie im Microsoft 365 Defender Portal, indem Sie zu Berichte > Webschutz wechseln.

Abbildung aller Webschutzkarten.

Internet-Bedrohungsschutz

Die Karten, die den Schutz vor Webrisiken bilden, sind Web-Bedrohungserkennungen im Zeitverlauf und Web-Bedrohungszusammenfassung.

Der Schutz vor Webrisiken umfasst:

  • Umfassende Einblicke in Webbedrohungen, die Sich auf Ihre Organisation auswirken.
  • Untersuchungsfunktionen über webbezogene Bedrohungsaktivitäten durch Warnungen und umfassende Profile von URLs und den Geräten, die auf diese URLs zugreifen.
  • Eine vollständige Reihe von Sicherheitsfeatures, mit denen allgemeine Zugriffstrends auf bösartige und unerwünschte Websites nachverfolgt werden.

Weitere Informationen finden Sie unter Web threat protection.

Benutzerdefinierte Indikatoren

Benutzerdefinierte Indikatorerkennungen werden auch in Den Web-Bedrohungsberichten Ihrer Organisation unter Web threat detections over time und Web Threat Summary zusammengefasst.

Der benutzerdefinierte Indikator umfasst:

  • Möglichkeit, IP- und URL-basierte Gefährdungsindikatoren zu erstellen, um Ihre Organisation vor Bedrohungen zu schützen.
  • Untersuchungsfunktionen für Aktivitäten im Zusammenhang mit Ihren benutzerdefinierten IP-/URL-Profilen und den Geräten, die auf diese URLs zugreifen.
  • Die Möglichkeit, Zulassungs-, Block- und Warnrichtlinien für IPs und URLs zu erstellen.

Weitere Informationen finden Sie unter "Erstellen von Indikatoren für IPs und URLs/Domänen"

Webinhaltsfilterung

Die Webinhaltsfilterung umfasst Webaktivität nach Kategorie, Zusammenfassung der Webinhaltsfilterung und Webaktivitätszusammenfassung.

Die Webinhaltsfilterung umfasst:

  • Benutzer werden daran gehindert, auf Websites in blockierten Kategorien zuzugreifen, unabhängig davon, ob sie lokal oder abwesend surfen.
  • Sie können verschiedene Richtlinien bequem für verschiedene Benutzergruppen bereitstellen, indem Sie die in den rollenbasierten Zugriffssteuerungseinstellungenvon Microsoft Defender für Endpunkt definierten Gerätegruppen verwenden.
  • Sie können an demselben zentralen Ort auf Webberichte zugreifen, mit Sichtbarkeit der tatsächlichen Blöcke und der Webnutzung.

Weitere Informationen finden Sie unter Web content filtering.

Rangfolge

Der Webschutz besteht aus den folgenden Komponenten, die in der Reihenfolge der Rangfolge aufgeführt sind. Jede dieser Komponenten wird vom SmartScreen-Client in Microsoft Edge und vom Netzwerkschutzclient in allen anderen Browsern und Prozessen erzwungen.

  • Benutzerdefinierte Indikatoren (IP/URL, Microsoft Defender für Cloud-Apps-Richtlinien)

    • Zulassen
    • Warnen
    • Blockieren
  • Webbedrohungen (Schadsoftware, Phishing)

    • SmartScreen Intel, einschließlich Exchange Online Protection (EOP)
    • Eskalationen
  • Web Content Filtering (WCF)

Hinweis

Microsoft Defender für Cloud-Apps generiert derzeit Indikatoren nur für blockierte URLs.

Die Rangfolge bezieht sich auf die Reihenfolge der Vorgänge, anhand derer eine URL oder IP ausgewertet wird. Wenn Sie beispielsweise über eine Webinhaltsfilterungsrichtlinie verfügen, können Sie Ausschlüsse über benutzerdefinierte IP-/URL-Indikatoren erstellen. Benutzerdefinierte Gefährdungsindikatoren (Indicators of compromise, IoC) sind in der Rangfolge höher als WCF-Blöcke.

Ebenso haben während eines Konflikts zwischen Indikatoren die Berechtigungen immer Vorrang vor Blöcken (Überschreibungslogik). Dies bedeutet, dass ein Zulassungsindikator alle vorhandenen Blockanzeigen durchläuft.

In der folgenden Tabelle sind einige allgemeine Konfigurationen zusammengefasst, die Konflikte innerhalb des Webschutzstapels verursachen würden. Es identifiziert auch die resultierenden Ermittlungen basierend auf der oben aufgeführten Rangfolge.



Richtlinie für benutzerdefinierte Indikatoren Web-Bedrohungsrichtlinie WCF-Richtlinie Defender für Cloud-Apps-Richtlinie Result
Zulassen Blockieren Blockieren Blockieren Zulassen (Außerkraftsetzung des Webschutzes)
Zulassen Zulassen Blockieren Blockieren Zulassen (WCF-Ausnahme)
Warnen Blockieren Blockieren Blockieren Warnen (Außerkraftsetzung)

Interne IP-Adressen werden von benutzerdefinierten Indikatoren nicht unterstützt. Für eine Warnrichtlinie, wenn sie vom Endbenutzer umgangen wird, wird die Blockierung der Website für diesen Benutzer standardmäßig 24 Stunden lang aufgehoben. Dieser Zeitrahmen kann vom Administrator geändert werden und wird vom SmartScreen-Clouddienst übergeben. Die Möglichkeit zum Umgehen einer Warnung kann auch in Microsoft Edge mithilfe von CSP für Webbedrohungsblöcke (Schadsoftware/Phishing) deaktiviert werden. Weitere Informationen finden Sie unter Microsoft Edge SmartScreen-Einstellungen.

Schützen von Browsern

In allen Webschutzszenarien können SmartScreen und Netzwerkschutz zusammen verwendet werden, um den Schutz sowohl über Browser und Prozesse von Erst- als auch von Drittanbietern zu gewährleisten. SmartScreen ist direkt in Microsoft Edge integriert, während Der Netzwerkschutz den Datenverkehr in Browsern und Prozessen von Drittanbietern überwacht. Das folgende Diagramm veranschaulicht dieses Konzept. Dieses Diagramm der beiden Clients, die zusammenarbeiten, um mehrere Browser-/App-Abdeckungen bereitzustellen, ist für alle Features von Web Protection (Indikatoren, Webbedrohungen, Inhaltsfilterung) genau.

Gemeinsame Verwendung von SmartScreen und Netzwerkschutz.

Problembehandlung bei Endpunktblöcken

Antworten aus der SmartScreen-Cloud sind standardisiert. Tools wie Fiddler können verwendet werden, um die Antwort des Clouddiensts zu überprüfen, wodurch die Quelle des Blocks ermittelt wird.

Wenn der SmartScreen-Clouddienst mit einer Antwort zum Zulassen, Blockieren oder Warnen antwortet, werden eine Antwortkategorie und der Serverkontext an den Client zurückgeleitet. In Microsoft Edge wird die Antwortkategorie verwendet, um die geeignete anzuzeigende Blockseite zu ermitteln (bösartig, Phishing, Unternehmensrichtlinie).

Die folgende Tabelle zeigt die Antworten und ihre korrelierten Features.



ResponseCategory Für den Block zuständiges Feature
CustomPolicy WCF
CustomBlockList Benutzerdefinierte Indikatoren
CasbPolicy Defender for Cloud Apps
Bösartig Webbedrohungen
Phishing Webbedrohungen

Erweiterte Suche nach Webschutz

Kusto-Abfragen in der erweiterten Suche können verwendet werden, um Webschutzblöcke in Ihrer Organisation für bis zu 30 Tage zusammenzufassen. Diese Abfragen verwenden die oben aufgeführten Informationen, um zwischen den verschiedenen Quellen von Blöcken zu unterscheiden und sie auf benutzerfreundliche Weise zusammenzufassen. Die folgende Abfrage listet beispielsweise alle WCF-Blöcke auf, die von Microsoft Edge stammen.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomBlockList"

Auf ähnliche Weise können Sie die folgende Abfrage verwenden, um alle WCF-Blöcke aufzuführen, die von Netzwerkschutz stammen (z. B. ein WCF-Block in einem Drittanbieterbrowser). Beachten Sie, dass actionType aktualisiert und "Experience" in "ResponseCategory" geändert wurde.

DeviceEvents 
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Informationen zum Auflisten von Blöcken, die auf andere Features (z. B. benutzerdefinierte Indikatoren) zurückzuführen sind, finden Sie in der tabelle oben, in der die einzelnen Features und ihre jeweilige Antwortkategorie aufgeführt sind. Diese Abfragen können auch geändert werden, um nach Telemetrie im Zusammenhang mit bestimmten Computern in Ihrer Organisation zu suchen. Beachten Sie, dass der in den obigen Abfragen gezeigte ActionType nur die Verbindungen anzeigt, die von einem Webschutzfeature blockiert wurden, und nicht den gesamten Netzwerkdatenverkehr.

Verwendung durch den Benutzer

Wenn ein Benutzer eine Webseite besucht, die ein Risiko für Schadsoftware, Phishing oder andere Webbedrohungen darstellt, löst Microsoft Edge eine Blockseite mit der Aufschrift "Diese Website wurde als unsicher gemeldet" zusammen mit Informationen im Zusammenhang mit der Bedrohung aus.

Seite, die von Microsoft Edge blockiert wird.

Wenn sie von WCF oder einem benutzerdefinierten Indikator blockiert wird, wird eine Blockseite in Microsoft Edge angezeigt, die dem Benutzer mitteilt, dass diese Website von ihrer Organisation blockiert wird.

Seite, die von Ihrer Organisation blockiert wird.

In jedem Fall werden keine Blockseiten in Drittanbieterbrowsern angezeigt, und dem Benutzer wird eine Seite "Sichere Verbindung fehlgeschlagen" zusammen mit einer Popupbenachrichtigung angezeigt. Abhängig von der für den Block verantwortlichen Richtlinie wird einem Benutzer eine andere Meldung in der Popupbenachrichtigung angezeigt. Die Webinhaltsfilterung zeigt beispielsweise die Meldung "Dieser Inhalt ist blockiert" an.

Von WCF blockierte Seite.

Melden falsch positiver Ergebnisse

Um ein falsch positives Ergebnis für Websites zu melden, die von SmartScreen als gefährlich eingestuft wurden, verwenden Sie den Link, der auf der Blockseite in Microsoft Edge angezeigt wird (siehe oben).

Für WCF können Sie die Kategorie einer Domäne in Frage stellt. Navigieren Sie zur Registerkarte "Domänen" der WCF-Berichte, und klicken Sie dann auf "Ungenauigkeit melden". Ein Flyout wird geöffnet. Legen Sie die Priorität des Vorfalls fest, und geben Sie zusätzliche Details an, z. B. die vorgeschlagene Kategorie. Weitere Informationen zum Aktivieren von WCF und zum Anstreiten von Kategorien finden Sie unter Webinhaltsfilterung.

Weitere Informationen zum Übermitteln falsch positiver/negativer Ergebnisse finden Sie unter "Adressierung falsch positiver/negativer Ergebnisse" in Microsoft Defender für Endpunkt.



Thema Beschreibung
Internet-Bedrohungsschutz Beenden Sie den Zugriff auf Phishing-Websites, Schadsoftwarevektoren, Exploit-Websites, nicht vertrauenswürdige oder websites mit niedriger Reputation und Websites, die Sie blockiert haben.
Internet-Inhaltsfilterung Nachverfolgen und Steuern des Zugriffs auf Websites basierend auf deren Inhaltskategorien.