Creare indicatori per IP e URL/domini

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft 365 Defender

Suggerimento

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Defender per endpoint può bloccare gli INDIRIZZI IP/URL dannosi di Microsoft, tramite Windows Defender SmartScreen per browser Microsoft e tramite Protezione di rete per browser o chiamate non Microsoft effettuate all'esterno di un browser.

Il set di dati di Intelligence sulle minacce per questo è stato gestito da Microsoft.

Creando indicatori per INDIRIZZI IP e URL o domini, è ora possibile consentire o bloccare indirizzi IP, URL o domini in base alle proprie intelligence sulle minacce. È anche possibile avvisare gli utenti con una richiesta se aprono un'app rischiosa. La richiesta non impedisce loro di usare l'app, ma è possibile fornire un messaggio personalizzato e collegamenti a una pagina aziendale che descrive l'utilizzo appropriato dell'app. Gli utenti possono comunque ignorare l'avviso e continuare a usare l'app, se necessario.

È possibile eseguire questa operazione tramite la pagina delle impostazioni o per gruppi di computer se si ritiene che determinati gruppi siano più o meno a rischio rispetto ad altri.

Nota

La notazione CIDR (Classless Inter-Domain Routing) per gli indirizzi IP non è supportata.

Informazioni preliminari

È importante comprendere i prerequisiti seguenti prima di creare indicatori per indirizzi IP, URL o domini:

• URL/IP allow and block si basa sull'abilitazione di Protezione di rete del componente Defender per endpoint in modalità blocco. Per altre informazioni su Protezione rete e istruzioni di configurazione, vedere Abilitare la protezione di rete.

• La versione del client Antimalware deve essere 4.18.1906.x o successiva.

• Supportato nei computer in Windows 10 versione 1709 o successiva, Windows 11, Windows Server 2016, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022 e dispositivi Android e iOS.

  Nota

  Windows Server 2016 e Windows Server 2012 R2 dovranno essere caricati usando le istruzioni in Eseguire l'onboarding dei server Windows per il funzionamento di questa funzionalità.

• Assicurarsi che gli indicatori di rete personalizzati siano abilitati in Microsoft 365 Defender > funzionalità avanzate Impostazioni>. Per altre informazioni, vedere Funzionalità avanzate.

• Per il supporto degli indicatori in iOS, vedere Microsoft Defender per endpoint in iOS.

• Per il supporto degli indicatori in Android, vedere Microsoft Defender per endpoint su Android.

Importante

È possibile aggiungere solo indirizzi IP esterni all'elenco di indicatori. Non è possibile creare indicatori per gli indirizzi IP interni. Per gli scenari di protezione Web, è consigliabile usare le funzionalità predefinite in Microsoft Edge. Microsoft Edge sfrutta protezione di rete per controllare il traffico di rete e consente blocchi per TCP, HTTP e HTTPS (TLS). Se sono presenti criteri di indicatore URL in conflitto, viene applicato il percorso più lungo. Ad esempio, i criteri https://support.microsoft.com/office dell'indicatore URL hanno la precedenza sui criteri https://support.microsoft.comdell'indicatore URL.

Nota

Per tutti gli altri processi, gli scenari di protezione Web sfruttano Protezione di rete per l'ispezione e l'imposizione:

• L'IP è supportato per tutti e tre i protocolli
• Sono supportati solo indirizzi IP singoli (nessun blocco CIDR o intervalli IP)
• Gli URL crittografati (percorso completo) possono essere bloccati solo nei browser di prima parte (Internet Explorer, Edge)
• Gli URL crittografati (solo FQDN) possono essere bloccati all'esterno dei browser di prima parte (Internet Explorer, Edge)
• I blocchi di percorso URL completi possono essere applicati a livello di dominio e a tutti gli URL non crittografati

Possono essere presenti fino a 2 ore di latenza (in genere meno) tra il momento in cui viene eseguita l'azione e l'URL e l'IP bloccati.

Quando si usa la modalità di avviso, è possibile configurare i controlli seguenti:

Possibilità di bypass:

• Pulsante Consenti in Edge
• Pulsante Consenti per l'avviso popup (browser non Microsoft)
• Ignorare il parametro di durata nell'indicatore
• Ignorare l'imposizione nei browser Microsoft e non Microsoft

URL di reindirizzamento:

• Parametro URL di reindirizzamento nell'indicatore
• URL di reindirizzamento in Edge
• URL di reindirizzamento nell'avviso popup (browser non Microsoft)

Per altre informazioni, vedere Gestire le app individuate da Microsoft Defender per endpoint.

Creare un indicatore per indirizzi IP, URL o domini dalla pagina delle impostazioni

1. Nel riquadro di spostamento selezionare Impostazioni > Indicatori endpoint > (in Regole).

2. Selezionare la scheda URL o INDIRIZZI IP/Domini .

3. Selezionare Aggiungi elemento.

4. Specificare i dettagli seguenti:

   • Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
   • Azione: specificare l'azione da eseguire e specificare una descrizione.
   • Ambito: definire l'ambito del gruppo di computer.

5. Esaminare i dettagli nella scheda Riepilogo e quindi fare clic su Salva.

Argomenti correlati

• Creare indicatori
• Creare indicatori per file
• Creare indicatori in base ai certificati
• Gestire indicatori