Proteção Web
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft 365 Defender
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Acerca da proteção Web
A proteção Web Microsoft Defender para Endpoint é uma funcionalidade formada por proteção Web contra ameaças, filtragem de conteúdo Web e indicadores personalizados. A proteção Web permite-lhe proteger os seus dispositivos contra ameaças web e ajuda-o a regular conteúdos indesejados. Pode encontrar relatórios de proteção Web no portal Microsoft 365 Defender ao ir para Relatórios > Proteção Web.
Proteção contra ameaças da Web
Os cartões que formam proteção contra ameaças Web são deteções de ameaças na Web ao longo do tempo e resumo de ameaças na Web.
A proteção contra ameaças Web inclui:
- Visibilidade abrangente sobre ameaças na Web que afetam a sua organização.
- Capacidades de investigação através de atividade ameaças relacionadas com a Web através de alertas e perfis abrangentes de URLs e dos dispositivos que acedem a estes URLs.
- Um conjunto completo de funcionalidades de segurança que acompanharão as tendências de acesso geral a sites maliciosos e indesejados.
Para obter mais informações, consulte Proteção contra ameaças Web.
Indicadores personalizados
As deteções de indicadores personalizados também são resumidas nos relatórios de ameaças Web da sua organização em Deteções de ameaças na Web ao longo do tempo e resumo de ameaças na Web.
O indicador personalizado inclui:
- Capacidade de criar indicadores baseados em IP e URL de compromisso para proteger a sua organização contra ameaças.
- Capacidades de investigação sobre atividades relacionadas com os seus perfis IP/URL personalizados e os dispositivos que acedem a estes URLs.
- A capacidade de criar políticas de Permitir, Bloquear e Avisar para IPs e URLs.
Para obter mais informações, consulte Criar indicadores para IPs e URLs/domínios
Filtragem de conteúdos Web
A filtragem de conteúdos Web inclui a atividade Web por categoria, o resumo da filtragem de conteúdo Web e o resumo da atividade Web.
A filtragem de conteúdo Web inclui:
- Os utilizadores são impedidos de aceder a Web sites em categorias bloqueadas, quer naveguem no local ou a partir da rua.
- Pode implementar convenientemente políticas variadas para vários conjuntos de utilizadores ao utilizar os grupos de dispositivos definidos nas definições de controlo de acesso baseadas em Microsoft Defender para Endpoint funções.
- Pode aceder a relatórios Web na mesma localização central, com visibilidade sobre blocos reais e utilização da Web.
Para obter mais informações, consulte Filtragem de conteúdo Web.
Ordem de precedência
A proteção Web é formada dos seguintes componentes, listados por ordem de precedência. Cada um destes componentes é imposta pelo cliente do SmartScreen no Microsoft Edge e pelo cliente Network Protection em todos os outros browsers e processos.
Indicadores personalizados (IP/URL, Microsoft Defender for Cloud Apps políticas)
- Permitir
- Avisar
- Bloquear
Ameaças web (malware, phish)
- SmartScreen Intel, incluindo Proteção do Exchange Online (EOP)
- Escalas
WCF (Web Content Filtering)
Nota
Microsoft Defender for Cloud Apps atualmente gera indicadores apenas para URLs bloqueados.
A ordem de precedência relaciona-se com a ordem de operações pela qual um URL ou IP é avaliado. Por exemplo, se tiver uma política de filtragem de conteúdo Web, pode criar exclusões através de indicadores DE IP/URL personalizados. Os Indicadores Personalizados de compromisso (IoC) são superiores na ordem de precedência do que os blocos WCF.
Da mesma forma, durante um conflito entre indicadores, permite ter sempre precedência sobre blocos (anular a lógica de sobresserção). Isto significa que um indicador de permitir irá sobressar qualquer indicador de bloqueio que está presente.
A tabela abaixo resume algumas configurações comuns que iriam apresentar conflitos na pilha de proteção Web. Identifica também as determinaçãos resultantes com base na precedência listada acima.
| Política de Indicadores Personalizados | Política de ameaças Web | Política WCF | Política do Defender para Aplicações na Nuvem | Result |
|---|---|---|---|---|
| Permitir | Bloquear | Bloquear | Bloquear | Permitir (override de proteção Na Web) |
| Permitir | Permitir | Bloquear | Bloquear | Permitir (exceção WCF) |
| Avisar | Bloquear | Bloquear | Bloquear | Avisar (override) |
Os endereços IP internos não são suportados por indicadores personalizados. Para uma política de aviso quando o utilizador final desbloquear, o site será desbloqueado durante 24 horas para esse utilizador por predefinição. Este período de tempo pode ser modificado pelo Administração e é transmitido pelo serviço em nuvem do SmartScreen. A capacidade de ignora um aviso também pode ser desativada no Microsoft Edge através do CSP para bloqueios de ameaças Web (malware/phishing). Para obter mais informações, consulte Definições do Microsoft Edge no SmartScreen.
Proteger browsers
Em todos os cenários de proteção Web, o SmartScreen e a Proteção da Rede podem ser utilizados em conjunto para garantir a proteção em todos os browsers e processos de terceiros. O SmartScreen está incorporado diretamente no Microsoft Edge, enquanto o Network Protection monitoriza o tráfego em browsers e processos de terceiros. O diagrama abaixo ilustra este conceito. Este diagrama dos dois clientes a trabalhar em conjunto para fornecer múltiplas coberturas do browser/aplicação está correto para todas as funcionalidades da Proteção Web (Indicadores, Ameaças Web, Filtragem de Conteúdos).
Remoção de blocos de pontos finais
As respostas da nuvem SmartScreen estão padronizadas. As ferramentas como o Fiddler podem ser utilizadas para inspecionar a resposta a partir do serviço na nuvem, o que irá ajudar a determinar a origem do bloqueio.
Quando o serviço em nuvem do SmartScreen responder com uma resposta de permitir, bloquear ou avisar, uma categoria de resposta e o contexto do servidor são reencaminhados para o cliente. No Microsoft Edge, a categoria de resposta é a que é utilizada para determinar a página de bloco adequada a mostrar (malicioso, phishing, política organizacional).
A tabela abaixo mostra as respostas e as respetivas funcionalidades correlacionadas.
| ResponseCategory | Funcionalidade responsável pelo bloco |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Indicadores personalizados |
| CasbPolicy | Defender for Cloud Apps |
| Malicioso | Ameaças na Web |
| Phishing | Ameaças na Web |
Pesquisa avançada para proteção na Web
As consultas Kusto em procura avançada podem ser utilizadas para resumir blocos de proteção Web na sua organização durante até 30 dias. Estas consultas utilizam as informações listadas acima para distinguir as várias origens de blocos e resumir os blocos de uma forma fácil de utilizar. Por exemplo, a consulta abaixo lista todos os blocos WCF com origem no Microsoft Edge.
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
Da mesma forma, pode utilizar a consulta abaixo para listar todos os blocos WCF com origem na Proteção de Rede (por exemplo, um bloco WCF num browser de terceiros). Tenha em atenção que o ActionType foi atualizado e que a "Experiência" foi alterada para "ResponseCategory".
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
Para blocos de lista que se deva a outras funcionalidades (como Indicadores Personalizados), consulte a tabela acima que destaca cada funcionalidade e respetiva categoria de resposta. Estas consultas também podem ser modificadas para procurar telemetria relacionada com máquinas específicas na sua organização. Tenha em atenção que o ActionType apresentado em cada consulta acima mostrará apenas as ligações que foram bloqueadas por uma funcionalidade de Proteção Web e não todo o tráfego de rede.
Experiência do utilizador
Se um utilizador visitar uma página Web que representa um risco de software malware, phishing ou outras ameaças na Web, o Microsoft Edge aciona uma página de bloqueio que diz "Este site foi comunicado como não seguro" juntamente com informações relacionadas com a ameaça.
Se for bloqueada por WCF ou por um indicador personalizado, é mostrada uma página de bloqueio no Microsoft Edge a indicar ao utilizador que este site está bloqueado pela respetiva organização.
Em qualquer caso, não são apresentadas páginas de bloqueio em browsers de terceiros e o utilizador vê uma página "A Ligação Segura Falhou" juntamente com uma notificação de aviso. Dependendo da política responsável pelo bloqueio, um utilizador verá uma mensagem diferente na notificação de aviso. Por exemplo, a filtragem de conteúdo web irá apresentar a mensagem "Este conteúdo está bloqueado".
Comunicar falsos positivos
Para denunciar um falso positivo para sites considerados perigosos pelo SmartScreen, utilize a ligação apresentada na página de bloqueio no Microsoft Edge (conforme mostrado acima).
No caso do WCF, pode contestar a categoria de um domínio. Navegue para o separador Domínios dos relatórios WCF e, em seguida, clique em Relatório Incorreto. Será aberta uma panfleto. Defina a prioridade do incidente e forneça alguns detalhes adicionais, como a categoria sugerida. Para obter mais informações sobre como ativo a WCF e as categorias de litígio, consulte Filtragem de conteúdo Web.
Para obter mais informações sobre como submeter falsos positivos/negativos, consulte o t endereço endereço falsos positivos/negativos em Microsoft Defender para Endpoint.
Informações relacionadas
| Tópico | Descrição |
|---|---|
| Proteção contra ameaças da Web | Interromper o acesso a sites de phishing, vetores de software malictado, exploit sites, sites não fidedtados ou de baixa reputação e sites que tenha bloqueado. |
| Filtragem de conteúdos Web | Controle e regular o acesso a Web sites com base nas categorias de conteúdos. |