Créer des indicateurs pour les IP et URL/domaines

S’applique à :

Conseil

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Présentation

En créant des indicateurs pour les adresses IP et les URL ou les domaines, vous pouvez désormais autoriser ou bloquer les adresses IP, les URL ou les domaines en fonction de votre propre renseignement sur les menaces. Vous pouvez également avertir les utilisateurs à l’aide d’une invite s’ils ouvrent une application à risque. L’invite ne les empêche pas d’utiliser l’application, mais vous pouvez fournir un message personnalisé et des liens vers une page d’entreprise qui décrit l’utilisation appropriée de l’application. Les utilisateurs peuvent toujours ignorer l’avertissement et continuer à utiliser l’application s’ils en ont besoin.

Pour bloquer les adresses IP/URL malveillantes (comme déterminé par Microsoft), Defender pour point de terminaison peut utiliser :

  • Windows Defender SmartScreen pour les navigateurs Microsoft
  • Protection réseau pour les navigateurs non-Microsoft ou les appels effectués en dehors d’un navigateur

Le jeu de données threat-intelligence pour bloquer les ADRESSES IP/URL malveillantes est géré par Microsoft.

Vous pouvez bloquer les adresses IP/URL malveillantes via la page des paramètres ou par groupe d’ordinateurs, si vous estimez que certains groupes sont plus ou moins exposés que d’autres.

Remarque

La notation CIDR (Classless Inter-Domain Routing) pour les adresses IP n’est pas prise en charge.

Avant de commencer

Il est important de comprendre les prérequis suivants avant de créer des indicateurs pour les adresses IPS, les URL ou les domaines :

Configuration requise pour la protection réseau

L’autorisation et le blocage d’URL/IP nécessitent que le composant Microsoft Defender pour point de terminaison Protection réseau soit activé en mode bloc. Pour plus d’informations sur la protection réseau et les instructions de configuration, consultez Activer la protection réseau.

Systèmes d’exploitation pris en charge

  • Windows 10, version 1709 ou ultérieure
  • Windows 11
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2019
  • Windows Server 2022
  • macOS
  • Linux
  • iOS
  • Android

exigences Windows Server 2016 et Windows Server 2012 R2

Windows Server 2016 et Windows Server 2012 R2 doivent être intégrés à l’aide des instructions fournies dans Intégrer des serveurs Windows.

Configuration requise pour la version de l’antivirus Microsoft Defender

La version du client Antimalware doit être 4.18.1906.x ou ultérieure.

Exigences relatives aux indicateurs de réseau personnalisés

Vérifiez que les indicateurs réseau personnalisés sont activés dans Microsoft Defender XDR>Paramètresfonctionnalités avancées>. Pour plus d’informations, consultez Fonctionnalités avancées.

Pour la prise en charge des indicateurs sur iOS, consultez Microsoft Defender pour point de terminaison sur iOS.

Pour la prise en charge des indicateurs sur Android, consultez Microsoft Defender pour point de terminaison sur Android.

Limitations de la liste des indicateurs IoC

Seules les adresses IP externes peuvent être ajoutées à la liste des indicateurs. Les indicateurs ne peuvent pas être créés pour les adresses IP internes. Pour les scénarios de protection web, nous vous recommandons d’utiliser les fonctionnalités intégrées dans Microsoft Edge. Microsoft Edge tire parti de la protection réseau pour inspecter le trafic réseau et autorise les blocs tcp, HTTP et HTTPS (TLS).

Processus de Explorer Non Microsoft Edge et Internet

Pour les processus autres que Microsoft Edge et internet Explorer, les scénarios de protection web tirent parti de la protection réseau pour l’inspection et l’application :

  • L’adresse IP est prise en charge pour les trois protocoles (TCP, HTTP et HTTPS (TLS))
  • Seules les adresses IP uniques sont prises en charge (aucun bloc CIDR ou plage d’adresses IP) dans les indicateurs personnalisés
  • Les URL chiffrées (chemin d’accès complet) ne peuvent être bloquées que sur les navigateurs internes (Internet Explorer, Edge)
  • Les URL chiffrées (FQDN uniquement) peuvent être bloquées dans les navigateurs tiers (autrement dit, autres que les Explorer Internet, Edge)
  • Des blocs de chemin d’URL complets peuvent être appliqués pour les URL non chiffrées
  • S’il existe des stratégies d’indicateur d’URL en conflit, le chemin d’accès le plus long est appliqué. Par exemple, la stratégie d’indicateur d’URL https://support.microsoft.com/office est prioritaire sur la stratégie d’indicateur d’URL https://support.microsoft.com.

Protection réseau et liaison tcp triple

Avec la protection réseau, la détermination de l’autorisation ou du blocage de l’accès à un site est effectuée après la fin de l’établissement d’une liaison triple via TCP/IP. Par conséquent, lorsqu’un site est bloqué par la protection réseau, vous pouvez voir un type d’action sous ConnectionSuccessNetworkConnectionEvents dans le portail Microsoft Defender, même si le site a été bloqué. NetworkConnectionEvents sont signalés à partir de la couche TCP, et non à partir de la protection réseau. Une fois la négociation triple terminée, l’accès au site est autorisé ou bloqué par la protection réseau.

Voici un exemple de fonctionnement :

  1. Supposons qu’un utilisateur tente d’accéder à un site web sur son appareil. Le site est hébergé sur un domaine dangereux et doit être bloqué par la protection réseau.

  2. L’établissement d’une liaison triple via TCP/IP commence. Avant qu’elle ne se termine, une NetworkConnectionEvents action est journalisée et son ActionType est répertorié en tant que ConnectionSuccess. Toutefois, dès que le processus de négociation triple est terminé, la protection réseau bloque l’accès au site. Tout cela se produit rapidement. Un processus similaire se produit avec Microsoft Defender SmartScreen ; c’est lorsque la négociation tridirectionnel se termine qu’une détermination est effectuée et que l’accès à un site est bloqué ou autorisé.

  3. Dans le portail Microsoft Defender, une alerte est répertoriée dans la file d’attente des alertes. Les détails de cette alerte incluent à la fois NetworkConnectionEvents et AlertEvents. Vous pouvez voir que le site a été bloqué, même si vous avez également un NetworkConnectionEvents élément avec l’ActionType de ConnectionSuccess.

Contrôles du mode d’avertissement

Lorsque vous utilisez le mode d’avertissement, vous pouvez configurer les contrôles suivants :

  • Capacité de contournement

    • Bouton Autoriser dans Edge
    • Bouton Autoriser sur toast (navigateurs non-Microsoft)
    • Ignorer le paramètre de durée sur l’indicateur
    • Contourner l’application sur les navigateurs Microsoft et non-Microsoft
  • URL de redirection

    • Paramètre URL de redirection sur l’indicateur
    • URL de redirection dans Edge
    • URL de redirection sur toast (navigateurs non-Microsoft)

Pour plus d’informations, consultez Gouverner les applications découvertes par Microsoft Defender pour point de terminaison.

Ordre de gestion des conflits d’URL IP ioC et de stratégie de domaine

La gestion des conflits de stratégie pour les domaines/URL/adresses IP diffère de la gestion des conflits de stratégie pour les certificats.

Dans le cas où plusieurs types d’actions différents sont définis sur le même indicateur (par exemple, bloquer, avertir et autoriser, types d’actions définis pour Microsoft.com), l’ordre dans lequel ces types d’actions prennent effet est le suivant :

  1. Autoriser
  2. Avertir
  3. Bloquer

Autoriser les remplacements avertir qui remplace le bloc : Autoriser le > bloc d’avertissement > . Par conséquent, dans l’exemple ci-dessus, Microsoft.com serait autorisé.

Indicateurs Defender for Cloud Apps

Si votre organization a activé l’intégration entre Defender pour point de terminaison et Defender for Cloud Apps, des indicateurs de blocage sont créés dans Defender pour point de terminaison pour toutes les applications cloud non approuvées. Si une application est placée en mode moniteur, des indicateurs d’avertissement (bloc contournable) sont créés pour les URL associées à l’application. Les indicateurs d’autorisation ne peuvent pas être créés pour les applications approuvées pour le moment. Les indicateurs créés par Defender for Cloud Apps suivent la même gestion des conflits de stratégie que celle décrite dans la section précédente.

Priorité des stratégies

Microsoft Defender pour point de terminaison stratégie est prioritaire sur Microsoft Defender stratégie antivirus. Dans les situations où Defender pour point de terminaison est défini sur Autoriser, mais Microsoft Defender’Antivirus est défini sur Bloquer, la stratégie est définie par défaut sur Autoriser.

Priorité pour plusieurs stratégies actives

L’application de plusieurs stratégies de filtrage de contenu web différentes sur le même appareil entraîne l’application de la stratégie plus restrictive pour chaque catégorie. Prenons l’exemple du scénario suivant :

  • La stratégie 1 bloque les catégories 1 et 2 et audite le reste
  • La stratégie 2 bloque les catégories 3 et 4 et audite le reste

Le résultat est que les catégories 1 à 4 sont toutes bloquées. Cela est illustré dans l’image suivante.

Diagramme montrant la priorité du mode de blocage de stratégie de filtrage de contenu web par rapport au mode audit.

Créer un indicateur pour les adresses IP, les URL ou les domaines à partir de la page des paramètres

  1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

  2. Sélectionnez l’onglet Adresses IP ou URL/Domaines .

  3. Sélectionnez Ajouter un élément.

  4. Spécifiez les détails suivants :

    • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
    • Action : spécifiez l’action à entreprendre et fournissez une description.
    • Étendue : définissez l’étendue du groupe de machines.
  5. Passez en revue les détails sous l’onglet Résumé , puis sélectionnez Enregistrer.

Remarque

Il peut y avoir jusqu’à 2 heures de latence entre le moment où une stratégie est créée et que l’URL ou l’adresse IP est bloquée sur l’appareil.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.