Créer des indicateurs pour les adresses IP et les URL/domainesCreate indicators for IPs and URLs/domains

S’applique à :Applies to:

Conseil

Vous souhaitez faire l’expérience de Defender for Endpoint ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Defender pour le point de terminaison peut bloquer ce que Microsoft considère comme des ADRESSES/URL malveillantes, via Windows Defender SmartScreen pour navigateurs Microsoft et via la Protection du réseau pour les navigateurs non-Microsoft ou les appels effectués en dehors d’un navigateur.Defender for Endpoint can block what Microsoft deems as malicious IPs/URLs, through Windows Defender SmartScreen for Microsoft browsers, and through Network Protection for non-Microsoft browsers or calls made outside of a browser.

Le jeu de données d’intelligence contre les menaces a été géré par Microsoft.The threat intelligence data set for this has been managed by Microsoft.

En créant des indicateurs pour les adresses IP, les URL ou les domaines, vous pouvez désormais autoriser ou bloquer des adresses IP, des URL ou des domaines en fonction de vos propres renseignements sur les menaces.By creating indicators for IPs and URLs or domains, you can now allow or block IPs, URLs, or domains based on your own threat intelligence. Pour ce faire, vous pouvez utiliser la page des paramètres ou des groupes d’ordinateurs si vous estez d’après certains groupes plus ou moins à risque que d’autres.You can do this through the settings page or by machine groups if you deem certain groups to be more or less at risk than others.

Notes

La notation CIDR (Classless Inter-Domain Routing) pour les adresses IP n’est pas prise en charge.Classless Inter-Domain Routing (CIDR) notation for IP addresses is not supported.

Avant de commencerBefore you begin

Il est important de comprendre les conditions préalables suivantes avant de créer des indicateurs pour IPS, URL ou domaines :It's important to understand the following prerequisites prior to creating indicators for IPS, URLs, or domains:

  • Url/IP allow and block relies on the Defender for Endpoint component Network Protection to be enabled in block mode.URL/IP allow and block relies on the Defender for Endpoint component Network Protection to be enabled in block mode. Pour plus d’informations sur la protection du réseau et les instructions de configuration, voir Activer la protection réseau.For more information on Network Protection and configuration instructions, see Enable network protection.
  • La version du client anti-programme malveillant doit être 4.18.1906.x ou version ultérieure.The Antimalware client version must be 4.18.1906.x or later.
  • Pris en charge sur les ordinateurs sur Windows 10, version 1709 ou ultérieure.Supported on machines on Windows 10, version 1709 or later.
  • Assurez-vous que les indicateurs réseau personnalisés sont activés dans le Centre de sécurité Microsoft Defender > paramètres > fonctionnalités avancées.Ensure that Custom network indicators is enabled in Microsoft Defender Security Center > Settings > Advanced features. Pour plus d’informations, voir Fonctionnalités avancées.For more information, see Advanced features.
  • Pour la prise en charge des indicateurs sur iOS, voir Configurer des indicateurs personnalisés.For support of indicators on iOS, see Configure custom indicators.

Important

Seules les IP externes peuvent être ajoutées à la liste d’indicateurs.Only external IPs can be added to the indicator list. Les indicateurs ne peuvent pas être créés pour les IP internes.Indicators cannot be created for internal IPs. Pour les scénarios de protection web, nous vous recommandons d’utiliser les fonctionnalités intégrées dans Microsoft Edge.For web protection scenarios, we recommend using the built-in capabilities in Microsoft Edge. Microsoft Edge tire parti de la Protection du réseau pour inspecter le trafic réseau et autorise les blocs pour TCP, HTTP et HTTPS (TLS).Microsoft Edge leverages Network Protection to inspect network traffic and allows blocks for TCP, HTTP, and HTTPS (TLS). S’il existe des stratégies d’indicateur d’URL en conflit, le chemin d’accès le plus long est appliqué.If there are conflicting URL indicator policies, the longer path is applied. Par exemple, la stratégie d’indicateur d’URL https:\\support.microsoft.com/en-us/office est prioritaire sur la stratégie d’indicateur d’URL. https:\\support.microsoft.comFor example, the URL indicator policy https:\\support.microsoft.com/en-us/office takes precedence over the URL indicator policy https:\\support.microsoft.com.

Notes

Pour tous les autres processus, les scénarios de protection web tirent parti de la Protection du réseau pour l’inspection et l’application :For all other processes, web protection scenarios leverage Network Protection for inspection and enforcement:

  • L’adresse IP est prise en charge pour les trois protocolesIP is supported for all three protocols
  • Seules les adresses IP individuelles sont pris en charge (pas de blocs CIDR ou de plages IP)Only single IP addresses are supported (no CIDR blocks or IP ranges)
  • Les URL chiffrées (chemin d’accès complet) ne peuvent être bloquées que sur les navigateurs de première partie (Internet Explorer, Edge)Encrypted URLs (full path) can only be blocked on first party browsers (Internet Explorer, Edge)
  • Les URL chiffrées (FQDN uniquement) peuvent être bloquées en dehors des navigateurs de première partie (Internet Explorer, Edge)Encrypted URLS (FQDN only) can be blocked outside of first party browsers (Internet Explorer, Edge)
  • Les blocs de chemin d’accès d’URL complète peuvent être appliqués au niveau du domaine et à toutes les URL non chiffréesFull URL path blocks can be applied on the domain level and all unencrypted URLs

Notes

Il peut y avoir jusqu’à 2 heures de latence (généralement moins) entre le moment où l’action est prise et l’URL et l’ADRESSE IP bloquées.There may be up to 2 hours of latency (usually less) between the time the action is taken, and the URL and IP being blocked.

Créer un indicateur pour les adresses IP, les URL ou les domaines à partir de la page des paramètresCreate an indicator for IPs, URLs, or domains from the settings page

  1. Dans le volet de navigation, sélectionnez Indicateurs > de paramètres.In the navigation pane, select Settings > Indicators.

  2. Sélectionnez l’onglet Adresses IP ou URL/Domaines.Select the IP addresses or URLs/Domains tab.

  3. Sélectionnez Ajouter un élément.Select Add item.

  4. Spécifiez les détails suivants :Specify the following details:

    • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.Indicator - Specify the entity details and define the expiration of the indicator.
    • Action : spécifiez l’action à prendre et fournissez une description.Action - Specify the action to be taken and provide a description.
    • Étendue : définir l’étendue du groupe d’ordinateurs.Scope - Define the scope of the machine group.
  5. Consultez les détails de l’onglet Résumé, puis cliquez sur Enregistrer.Review the details in the Summary tab, then click Save.