Skapa indikatorer för IP:er och URL:er/domäner
Gäller för:
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för Endpoint kan blockera vad Microsoft bedömer som skadliga IP-adresser/URL-adresser via Windows Defender SmartScreen för Microsoft-webbläsare och via Nätverksskydd för webbläsare som inte är Microsoft eller samtal som görs utanför en webbläsare.
Datauppsättningen för hotinformation för detta har hanterats av Microsoft.
Genom att skapa indikatorer för IP-adresser och URL:er eller domäner kan du nu tillåta eller blockera IP-adresser, URL:er eller domäner baserat på din egen hotinformation. Du kan också varna användare med en uppmaning om att öppna en riskabel app. Uppmaningen stoppar dem inte från att använda programmet, men du kan visa ett anpassat meddelande och skapa länkar till en företagssida som beskriver hur programmet används. Användare kan fortfarande kringgå varningen och fortsätta använda appen om de behöver det.
Det kan du göra via inställningssidan eller efter datorgrupper om du anser att vissa grupper är mer eller mindre riskerade än andra.
Anteckning
Classless Inter-Domain routing notation (CIDR) notation för IP-adresser stöds inte.
Innan du börjar
Det är viktigt att förstå följande förutsättningar innan du skapar indikatorer för IPS, URL:er eller domäner:
Tillåt och blockera URL/IP förlitar sig på att Defender för Endpoint-komponenten Nätverksskydd aktiveras i blockeringsläge. Mer information om nätverksskydd och konfigurationsanvisningar finns i Aktivera nätverksskydd.
Klientversionen av Antimalware måste vara 4.18.1906.x eller senare.
Stöds på datorer med Windows 10, version 1709 eller senare, Windows 11, Windows Server 2016, Windows Server 2012 R2, Windows Server 2019 och Windows Server 2022.
Anteckning
Windows Server 2016 och Windows Server 2012 måste R2 introduceras med hjälp av anvisningarna i Onboard Windows-servrar för att den här funktionen ska fungera.
Kontrollera att anpassade nätverksindikatorer är aktiverat i Microsoft 365 Defender > Inställningar > Avancerade funktioner. Mer information finns i Avancerade funktioner.
Information om stöd för indikatorer i iOS finns i Konfigurera anpassade indikatorer.
Viktigt
Endast externa IP-adresser kan läggas till i indikatorlistan. Indikatorer kan inte skapas för interna IP-adresser.
För webbskyddsscenarier rekommenderar vi att du använder de inbyggda funktionerna i Microsoft Edge. Microsoft Edge utnyttjar nätverksskydd för att kontrollera nätverkstrafik och tillåter block för TCP, HTTP och HTTPS (TLS).
Om det finns URL-indikatorprinciper som är i konflikt tillämpas den längre sökvägen. URL-indikatorprincipen har https://support.microsoft.com/office till exempel företräde framför URL-indikatorprincipen. https://support.microsoft.com
Anteckning
För alla andra processer använder webbskyddsscenarier Nätverksskydd för kontroll och tillämpning:
- IP stöds för alla tre protokollen
- Endast enskilda IP-adresser stöds (inga CIDR-block eller IP-intervall)
- Krypterade URL:er (fullständig sökväg) kan endast blockeras i webbläsare från första part (Internet Explorer, Edge)
- Krypterade URL:er (endast FQDN) kan blockeras utanför webbläsare från första part (Internet Explorer, Edge)
- Fullständiga URL-sökvägsblock kan tillämpas på domännivån och alla okrypterade URL:er
Det kan finnas upp till två timmars svarstid (vanligtvis mindre) mellan den tid åtgärden vidtas och URL:en och IP blockeras.
När du använder varningsläge kan du konfigurera följande kontroller:
Möjlighet att kringgå:
- Knappen Tillåt i Edge
- Knappen Tillåt i popup-meddelanden (webbläsare som inte är Microsoft)
- Förbikopplingsparameter för indikatorn
- Förbikoppling i Microsoft- och icke-Microsoft-webbläsare
Omdirigera URL:
- Parametern Redirect URL för indikatorn
- Omdirigera URL i Edge
- Omdirigera URL i popup-meddelanden (webbläsare som inte är Microsoft)
Mer information finns i Styra appar som upptäcks av Microsoft Defender för Endpoint.
Skapa en indikator för IP-adresser, URL:er eller domäner från inställningssidan
Välj Slutpunktsindikatorer Inställningar > > (under Regler) i navigeringsfönstret.
Välj fliken IP-adresser eller URL:er/Domäner.
Välj Lägg till objekt.
Ange följande information:
- Indikator – Ange enhetens information och definiera indikatorns förfallotid.
- Åtgärd – Ange vilken åtgärd som ska vidtas och ange en beskrivning.
- Omfattning – Definiera datorgruppens omfattning.
Granska informationen på fliken Sammanfattning och klicka sedan på Spara.