Utwórz wskaźniki adresów IP i adresów URL/domen

  • Artykuł

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Omówienie

Tworząc wskaźniki dla adresów IP i adresów URL lub domen, możesz teraz zezwalać na adresy IP, adresy URL lub domeny albo blokować je na podstawie własnej analizy zagrożeń. Możesz również ostrzec użytkowników za pomocą monitu, jeśli otworzą ryzykowną aplikację. Monit nie uniemożliwi korzystania z aplikacji, ale możesz podać niestandardowy komunikat i linki do strony firmowej opisującej odpowiednie użycie aplikacji. Użytkownicy nadal mogą pominąć ostrzeżenie i nadal korzystać z aplikacji, jeśli zajdzie taka potrzeba.

Aby zablokować złośliwe adresy IP/adresy URL (określone przez firmę Microsoft), usługa Defender dla punktu końcowego może użyć:

  • Windows Defender SmartScreen dla przeglądarek firmy Microsoft
  • Ochrona sieci dla przeglądarek innych niż Microsoft lub wywołania wykonywane poza przeglądarką

Dane analizy zagrożeń ustawione na blokowanie złośliwych adresów IP/adresów URL są zarządzane przez firmę Microsoft.

Możesz zablokować złośliwe adresy IP/adresy URL za pośrednictwem strony ustawień lub według grup maszyn, jeśli uznasz, że niektóre grupy są bardziej lub mniej zagrożone niż inne.

Uwaga

Bezklasowa notacja routingu Inter-Domain (CIDR) dla adresów IP nie jest obsługiwana.

Przed rozpoczęciem

Przed utworzeniem wskaźników dla adresów IP, adresów URL lub domen należy zapoznać się z następującymi wymaganiami wstępnymi:

Wymagania dotyczące ochrony sieci

Pozycja Zezwalaj i blokuj adres URL/adres IP wymaga włączenia składnika Ochrona punktu końcowego w usłudze Microsoft Defender Ochrona sieci w trybie bloku. Aby uzyskać więcej informacji na temat ochrony sieci i instrukcji konfiguracji, zobacz Włączanie ochrony sieci.

Obsługiwane systemy operacyjne

  • Windows 10, wersja 1709 lub nowsza
  • Windows 11
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2019
  • Windows Server 2022
  • macOS
  • Linux
  • iOS
  • Android

wymagania dotyczące Windows Server 2016 i Windows Server 2012 R2

Windows Server 2016 i Windows Server 2012 R2 muszą zostać dołączone przy użyciu instrukcji zawartych w temacie Dołączanie serwerów z systemem Windows.

wymagania dotyczące wersji programu antywirusowego Microsoft Defender

Wersja klienta ochrony przed złośliwym kodem musi mieć wersję 4.18.1906.x lub nowszą.

Niestandardowe wymagania dotyczące wskaźników sieci

Upewnij się, że niestandardowe wskaźniki sieci są włączone w funkcjach Microsoft Defender XDR>Settings>Advanced. Aby uzyskać więcej informacji, zobacz Funkcje zaawansowane.

Aby uzyskać obsługę wskaźników w systemie iOS, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie iOS.

Aby uzyskać obsługę wskaźników w systemie Android, zobacz Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Android.

Ograniczenia listy wskaźników IoC

Do listy wskaźników można dodawać tylko zewnętrzne adresy IP. Nie można utworzyć wskaźników dla wewnętrznych adresów IP. W przypadku scenariuszy ochrony sieci Web zalecamy korzystanie z wbudowanych funkcji w przeglądarce Microsoft Edge. Przeglądarka Microsoft Edge korzysta z usługi Network Protection do sprawdzania ruchu sieciowego i zezwala na bloki dla protokołów TCP, HTTP i HTTPS (TLS).

Procesy inne niż Microsoft Edge i Internet Explorer

W przypadku procesów innych niż Microsoft Edge i Internet Explorer scenariusze ochrony sieci Web wykorzystują usługę Network Protection do inspekcji i wymuszania:

  • Adres IP jest obsługiwany dla wszystkich trzech protokołów (TCP, HTTP i HTTPS (TLS))
  • W niestandardowych wskaźnikach są obsługiwane tylko pojedyncze adresy IP (brak bloków CIDR ani zakresów adresów IP)
  • Zaszyfrowane adresy URL (pełna ścieżka) mogą być blokowane tylko w przeglądarkach innych firm (Internet Explorer, Edge)
  • Zaszyfrowane adresy URL (tylko nazwa FQDN) mogą być blokowane w przeglądarkach innych firm (czyli innych niż Internet Explorer, Edge)
  • Dla niezaszyfrowanych adresów URL można zastosować bloki pełnej ścieżki adresu URL
  • Jeśli istnieją sprzeczne zasady wskaźnika adresu URL, zostanie zastosowana dłuższa ścieżka. Na przykład zasady https://support.microsoft.com/office wskaźnika adresu URL mają pierwszeństwo przed zasadami https://support.microsoft.comwskaźnika adresu URL.

Ochrona sieci i trójstopnie uzgadnianie protokołu TCP

W przypadku ochrony sieci określenie, czy zezwolić na dostęp do lokacji lub zablokować go, jest wykonywane po zakończeniu uzgadniania trójstopnienego za pośrednictwem protokołu TCP/IP. W związku z tym, gdy lokacja jest zablokowana przez ochronę sieci, w portalu Microsoft Defender może zostać wyświetlony typ ConnectionSuccessNetworkConnectionEvents akcji, mimo że witryna została zablokowana. NetworkConnectionEvents są zgłaszane z warstwy TCP, a nie z ochrony sieci. Po zakończeniu uzgadniania trójstopnienia dostęp do witryny jest dozwolony lub blokowany przez ochronę sieci.

Oto przykład tego, jak to działa:

  1. Załóżmy, że użytkownik próbuje uzyskać dostęp do witryny internetowej na swoim urządzeniu. Lokacja jest hostowana w niebezpiecznej domenie i powinna zostać zablokowana przez ochronę sieci.

  2. Rozpoczyna się uzgadnianie trójstopnie za pośrednictwem protokołu TCP/IP. Przed zakończeniem NetworkConnectionEvents jest rejestrowana akcja, a jej ActionType nazwa jest wyświetlana jako ConnectionSuccess. Jednak po zakończeniu trójstopnienego procesu uzgadniania ochrona sieci blokuje dostęp do lokacji. Wszystko to dzieje się szybko. Podobny proces występuje w przypadku Microsoft Defender SmartScreen. Po zakończeniu uzgadniania trójstopnienia jest wykonywane ustalanie, a dostęp do witryny jest zablokowany lub dozwolony.

  3. W portalu Microsoft Defender alert jest wyświetlany w kolejce alertów. Szczegóły tego alertu obejmują zarówno NetworkConnectionEvents i AlertEvents. Widać, że witryna została zablokowana, mimo że masz NetworkConnectionEvents również element o typie ActionType .ConnectionSuccess

Kontrolki trybu ostrzegania

W przypadku korzystania z trybu ostrzegania można skonfigurować następujące kontrolki:

  • Możliwość obejścia

    • Przycisk Zezwalaj w przeglądarce Edge
    • Przycisk Zezwalaj na wyskakujące (przeglądarki inne niż Microsoft)
    • Obejście parametru czasu trwania wskaźnika
    • Pomijanie wymuszania w przeglądarkach firmy Microsoft i innych firm

  • Adres URL przekierowania

    • Parametr przekierowania adresu URL wskaźnika
    • Adres URL przekierowania w przeglądarce Edge
    • Adres URL przekierowania w wyskakujących (przeglądarki innych niż Microsoft)

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami odnalezionych przez Ochrona punktu końcowego w usłudze Microsoft Defender.

IoC IP URL and domain policy conflict handling order (Adres URL ip IoC i kolejność obsługi konfliktów zasad domeny)

Obsługa konfliktów zasad dla domen/adresów URL/adresów IP różni się od obsługi konfliktów zasad dla certyfikatów.

W przypadku, gdy wiele różnych typów akcji jest ustawionych na tym samym wskaźniku (na przykład blokuj, ostrzegaj i zezwalaj na typy akcji ustawione dla Microsoft.com), kolejność, w jakiej te typy akcji będą obowiązywać, to:

  1. Zezwalaj
  2. Ostrzec
  3. Blokuj

Zezwalaj na przesłonięcia ostrzegają, które przesłonięcia blokują: Zezwalaj na > blok ostrzeżenia > . W związku z tym w powyższym przykładzie Microsoft.com będą dozwolone.

Wskaźniki usługi Defender for Cloud Apps

Jeśli Twoja organizacja włączyła integrację między usługami Defender for Endpoint i Defender for Cloud Apps, wskaźniki blokowe zostaną utworzone w usłudze Defender for Endpoint dla wszystkich niesankcjonowanych aplikacji w chmurze. Jeśli aplikacja zostanie umieszczona w trybie monitorowania, zostaną utworzone wskaźniki ostrzeżenia (blok z możliwością obejścia) dla adresów URL skojarzonych z aplikacją. Obecnie nie można tworzyć wskaźników zezwalania dla aplikacji objętych sankcjami. Wskaźniki utworzone przez usługę Defender for Cloud Apps są zgodne z tą samą obsługą konfliktów zasad opisaną w poprzedniej sekcji.

Pierwszeństwo zasad

zasady Ochrona punktu końcowego w usłudze Microsoft Defender mają pierwszeństwo przed zasadami ochrony antywirusowej Microsoft Defender. W sytuacjach, gdy w usłudze Defender dla punktu końcowego jest ustawiona wartość Zezwalaj, ale Microsoft Defender program antywirusowy ma wartość Blokuj, zasady domyślnie mają wartość Zezwalaj.

Pierwszeństwo dla wielu aktywnych zasad

Zastosowanie wielu różnych zasad filtrowania zawartości internetowej na tym samym urządzeniu spowoduje zastosowanie bardziej restrykcyjnych zasad dla każdej kategorii. Rozpatrzmy następujący scenariusz:

  • Zasady 1 blokują kategorie 1 i 2, a pozostałe przeprowadzają inspekcję
  • Zasady 2 blokują kategorie 3 i 4, a pozostałe przeprowadzają inspekcję

W rezultacie wszystkie kategorie 1–4 są zablokowane. Jest to zilustrowane na poniższej ilustracji.

Diagram przedstawiający pierwszeństwo trybu bloku zasad filtrowania zawartości internetowej w trybie inspekcji.

Twórca wskaźnik adresów IP, adresów URL lub domen ze strony ustawień

  1. W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).

  2. Wybierz kartę Adresy IP lub adresy URL/domeny .

  3. Wybierz pozycję Dodaj element.

  4. Określ następujące szczegóły:

    • Wskaźnik — określ szczegóły jednostki i zdefiniuj wygaśnięcie wskaźnika.
    • Akcja — określ akcję do wykonania i podaj opis.
    • Zakres — zdefiniuj zakres grupy maszyn.

  5. Przejrzyj szczegóły na karcie Podsumowanie , a następnie wybierz pozycję Zapisz.

Uwaga

Między utworzeniem zasad a zablokowaniem adresu URL lub adresu IP na urządzeniu może wystąpić do 2 godzin opóźnienia.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.