Protezione Web

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Informazioni sulla protezione Web

La protezione Web in Microsoft Defender for Endpoint è una funzionalità di protezione dalle minacce Web,filtro contenuto Webe indicatori personalizzati. La protezione Web consente di proteggere i dispositivi dalle minacce Web e consente di regolare i contenuti indesiderati. È possibile trovare i report di protezione Web nel portale Microsoft 365 Defender web andando a Report > Protezione Web.

Immagine di tutte le schede di protezione Web.

Protezione dalle minacce sul Web

Le schede che costituiscono la protezione dalle minacce Web sono i rilevamenti delle minacce Web nel tempo e il riepilogo delle minacce Web.

La protezione dalle minacce Web include:

  • Visibilità completa sulle minacce Web che interessano l'organizzazione.

  • Funzionalità di indagine sull'attività di minacce correlate al Web tramite avvisi e profili completi di URL e dispositivi che accedono a questi URL.

  • Un set completo di funzionalità di sicurezza che tiene traccia delle tendenze generali di accesso a siti Web dannosi e indesiderati.

Per ulteriori informazioni, vedere Protezione dalle minacce Web.

Indicatori personalizzati

I rilevamenti di indicatori personalizzati vengono riepilogati anche nei report delle minacce Web delle organizzazioni in Rilevamenti di minacce Web nel tempo e Riepilogo delle minacce Web.

L'indicatore personalizzato include:

  • Possibilità di creare indicatori di compromissione basati su IP e URL per proteggere l'organizzazione dalle minacce.

  • Funzionalità di analisi sulle attività correlate ai profili IP/URL personalizzati e ai dispositivi che accedono a questi URL.

  • Possibilità di creare criteri Consenti, Blocca e Avvisa per INDIRIZZI IP e URL.

Per ulteriori informazioni, vedere Creare indicatori per IP e URL/domini

Filtro contenuti Web

Il filtro contenuto Web include le attività Web per categoria, il riepilogo del filtro contenuto Web e il riepilogo delle attività Web.

Il filtro contenuto Web include:

  • Agli utenti non è consentito accedere a siti Web in categorie bloccate, indipendentemente dal fatto che si esezionino in locale o fuori sede.

  • Puoi distribuire in modo pratico diversi criteri a diversi set di utenti usando i gruppi di dispositivi definiti nelle impostazioni di controllo di accesso basato sui ruoli di Microsoft Defender for Endpoint.

  • È possibile accedere ai report Web nella stessa posizione centrale, con visibilità sui blocchi effettivi e sull'utilizzo web.

Per ulteriori informazioni, vedere Filtro contenuto Web.

Ordine di precedenza

La protezione Web è costituito da componenti seguenti, elencati in ordine di precedenza. Ognuno di questi componenti viene applicato dal client SmartScreen in Microsoft Edge e dal client di Protezione di rete in tutti gli altri browser e processi.

  • Indicatori personalizzati (criteri IP/URL, Microsoft Cloud App Security (MCAS)

    • Consenti
    • Warn
    • Blocca
  • Minacce Web (malware, phish)

    • SmartScreen Intel, incluso Exchange Online Protection (EOP)
    • Escalation
  • Filtro contenuto Web (WCF)

Nota

Microsoft Cloud App Security (MCAS) attualmente genera indicatori solo per gli URL bloccati.

L'ordine di precedenza è correlato all'ordine delle operazioni in base al quale viene valutato un URL o un IP. Ad esempio, se si dispone di un criterio di filtro dei contenuti Web, è possibile creare esclusioni tramite indicatori IP/URL personalizzati. Gli indicatori di compromissione personalizzati (IoC) sono superiori nell'ordine di precedenza rispetto ai blocchi WCF.

Analogamente, durante un conflitto tra indicatori, consente di avere sempre la precedenza sui blocchi (logica di override). Ciò significa che un indicatore consentirà di conquistare qualsiasi indicatore di blocco presente.

Nella tabella seguente sono riepilogate alcune configurazioni comuni che presenterebbero conflitti all'interno dello stack di protezione Web. Identifica inoltre le determinazioni risultanti in base alla precedenza elencata in precedenza.



Criterio indicatore personalizzato Criteri di minaccia Web Criteri WCF Criteri MCAS Risultato
Consenti Blocca Blocca Blocca Consenti (sostituzione della protezione Web)
Consenti Consenti Blocca Blocca Allow (eccezione WCF)
Warn Blocca Blocca Blocca Warn (override)

Gli indirizzi IP interni non sono supportati dagli indicatori personalizzati. Per un criterio di avviso quando viene ignorato dall'utente finale, il sito verrà sbloccato per 24 ore per tale utente per impostazione predefinita. Questo intervallo di tempo può essere modificato dall'amministratore e viene passato dal servizio cloud SmartScreen. La possibilità di ignorare un avviso può essere disabilitata anche in Microsoft Edge CSP per i blocchi di minacce Web (malware/phishing). Per ulteriori informazioni, vedere Microsoft Edge SmartScreen Impostazioni.

Proteggere i browser

In tutti gli scenari di protezione Web, SmartScreen e Protezione di rete possono essere usati insieme per garantire la protezione sia nei browser e nei processi di prima e di terze parti. SmartScreen è integrato direttamente in Microsoft Edge, mentre Protezione di rete monitora il traffico nei browser e nei processi di terze parti. Il diagramma seguente illustra questo concetto. Questo diagramma dei due client che collaborano per fornire più coperture browser/app è accurato per tutte le funzionalità di Protezione Web (indicatori, minacce Web, filtro contenuto).

Uso di SmartScreen e Protezione di rete insieme.

Risolvere i problemi relativi ai blocchi endpoint

Le risposte dal cloud SmartScreen sono standardizzate. Strumenti come Fiddler possono essere usati per esaminare la risposta dal servizio cloud, che consente di determinare l'origine del blocco.

Quando il servizio cloud SmartScreen risponde con una risposta consenti, blocca o avvisa, una categoria di risposta e il contesto del server vengono inoltrati di nuovo al client. In Microsoft Edge, la categoria di risposta è quella utilizzata per determinare la pagina di blocco appropriata da visualizzare (dannoso, phishing, criteri organizzativi).

La tabella seguente mostra le risposte e le relative funzionalità correlate.



ResponseCategory Funzionalità responsabile del blocco
CustomPolicy WCF
CustomBlockList Indicatori personalizzati
CasbPolicy MCAS
Dannoso Minacce Web
Phishing Minacce Web

Ricerca avanzata per la protezione Web

Le query Kusto nella ricerca avanzata possono essere utilizzate per riepilogare i blocchi di protezione Web nell'organizzazione per un massimo di 30 giorni. Queste query utilizzano le informazioni sopra elencate per distinguere le varie origini dei blocchi e riepilogarle in modo semplice da usare. Ad esempio, la query seguente elenca tutti i blocchi WCF provenienti da Microsoft Edge.

DeviceEvents  
| where ActionType == "SmartScreenUrlWarning" 
| extend ParsedFields=parse_json(AdditionalFields) 
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy" 

Analogamente, è possibile utilizzare la query seguente per elencare tutti i blocchi WCF provenienti da Protezione di rete (ad esempio, un blocco WCF in un browser di terze parti). Tieni presente che ActionType è stato aggiornato e "Experience" è stato modificato in "ResponseCategory".

DeviceEvents  
| where ActionType == "ExploitGuardNetworkProtectionBlocked" 
| extend ParsedFields=parse_json(AdditionalFields) 
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy" 

Per elencare i blocchi dovuti ad altre funzionalità (come gli indicatori personalizzati), fare riferimento alla tabella precedente che delinea ogni funzionalità e la rispettiva categoria di risposta. Queste query possono anche essere modificate per cercare dati di telemetria correlati a computer specifici nell'organizzazione. Si noti che actionType mostrato in ogni query precedente mostrerà solo le connessioni bloccate da una funzionalità di protezione Web e non tutto il traffico di rete.

Esperienza utente

Se un utente visita una pagina Web che rappresenta un rischio di malware, phishing o altre minacce Web, Microsoft Edge attiverà una pagina di blocco con il messaggio "Questo sito è stato segnalato come non sicuro" insieme alle informazioni relative alla minaccia.

Pagina bloccata da Microsoft Edge.

Se bloccato da WCF o da un indicatore personalizzato, viene visualizzata una pagina di blocco Microsoft Edge che indica all'utente che questo sito è bloccato dall'organizzazione.

Pagina bloccata dall'organizzazione.

In ogni caso, nei browser di terze parti non viene visualizzata alcuna pagina di blocco e l'utente visualizza una pagina "Connessione sicura non riuscita" insieme a una notifica di tipo avviso popup. A seconda del criterio responsabile del blocco, un utente visualizza un messaggio diverso nella notifica di tipo avviso popup. Ad esempio, il filtro contenuto Web visualizza il messaggio "Questo contenuto è bloccato".

Pagina bloccata da WCF.

Segnalare falsi positivi

Per segnalare un falso positivo per i siti ritenuti pericolosi da SmartScreen, usa il collegamento visualizzato nella pagina di blocco in Microsoft Edge (come mostrato sopra).

Per WCF, è possibile contestare la categoria di un dominio. Passare alla scheda Domini dei report WCF e quindi fare clic su Segnala imprecisione. Si aprirà un riquadro a comparsa. Impostare la priorità dell'evento imprevisto e fornire alcuni dettagli aggiuntivi, ad esempio la categoria suggerita. Per ulteriori informazioni su come attivare WCF e su come contestare le categorie, vedere Filtro contenuto Web.

Per ulteriori informazioni su come inviare falsi positivi/negativi, vedere Indirizzo falsi positivi/negativi in Microsoft Defender per endpoint.

Argomento Descrizione
Protezione dalle minacce sul Web Interrompere l'accesso a siti di phishing, vettori di malware, siti di exploit, siti non attendibili o di bassa reputazione e siti bloccati.
Filtro contenuti Web Tenere traccia e regolare l'accesso ai siti Web in base alle categorie di contenuto.