Webbskydd

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Om webbskydd

Webbskydd i Microsoft Defender för Endpoint är en funktion som består av skydd motwebbhot, webbinnehållsfiltreringoch anpassade indikatorer. Med webbskydd kan du skydda dina enheter mot webbhot och reglera oönskat innehåll. Du hittar webbskyddsrapporter på portalen Microsoft 365 Defender genom att gå till Rapporter > Skydd på webben.

Bild på alla web protection cards.

Skydd mot webbhot

Korten som utgör skydd mot webbhot är identifiering av webbhot över tid och en sammanfattning av webbhot.

Skydd mot webbhot omfattar:

  • Omfattande insyn i webbhot som påverkar din organisation.
  • Undersökningsfunktioner över webbrelaterad hotaktivitet genom varningar och omfattande profiler av URL:er och enheter som har åtkomst till dessa URL:er.
  • En fullständig uppsättning säkerhetsfunktioner som spårar allmänna åtkomsttrender till skadliga och oönskade webbplatser.

Mer information finns i Skydd mot hot på webben.

Anpassade indikatorer

Anpassade indikatoridentifieringar sammanfattas även i din organisations webbhotrapporter under Web Threat Detections över tid och Sammanfattning av webbhot.

Anpassad indikator omfattar:

  • Möjlighet att skapa IP- och URL-baserade indikatorer på kompromisser för att skydda organisationen mot hot.
  • Undersökningsfunktioner över aktiviteter som är relaterade till dina anpassade IP-/URL-profiler och de enheter som använder url:erna.
  • Möjligheten att skapa principer för Tillåt, Blockera och Varna för IP-adresser och URL:er.

Mer information finns i Skapa indikatorer för IP-adresser och URL:er/domäner

Filtrering av webbinnehåll

Webbinnehållsfiltrering omfattar Webbaktivitet efter kategori, Sammanfattning av webbinnehållsfiltrering och Sammanfattning av webbaktivitet.

Webbinnehållsfiltrering omfattar:

  • Användare hindras från att komma åt webbplatser i blockerade kategorier, oavsett om de surfar lokalt eller inte.
  • Du kan enkelt distribuera olika principer till olika uppsättningar av användare med hjälp av enhetsgrupper som definierats i Microsoft Defender för slutpunktsrollbaserade inställningar för åtkomstkontroll.
  • Du kan komma åt webbrapporter på samma centrala plats, med synlighet över faktiska block och webbanvändning.

Mer information finns i Webbinnehållsfiltrering.

Prioritetsordning

Webbskydd består av följande komponenter, listade i prioritetsordning. Var och en av dessa komponenter tillämpas av SmartScreen-klienten i Microsoft Edge och av Network Protection-klienten i alla andra webbläsare och processer.

  • Anpassade indikatorer (IP/URL, Microsoft Defender för principer för molnappar)

    • Tillåt
    • Varna
    • Blockera
  • Webbhot (skadlig kod, phish)

    • SmartScreen Intel, inklusive Exchange Online Protection (EOP)
    • Eskalering
  • Webbinnehållsfiltrering (WCF)

Anteckning

I Microsoft Defender för molnappar genereras för närvarande endast indikatorer för blockerade URL:er.

Prioritetsordningen är angiven i den ordning som en URL eller IP utvärderas. Om du till exempel har en princip för filtrering av webbinnehåll kan du skapa undantag med hjälp av anpassade IP-/URL-indikatorer. Anpassade indikatorer på kompromett (IoC) är högre i prioritetsordning än WCF-block.

Under en konflikt mellan indikatorer kan på samma sätt alltid ha företräde framför block (åsidosätt logik). Det innebär att indikatorn tillåt kommer att blinka över alla blockindikator som finns.

Tabellen nedan sammanfattar några vanliga konfigurationer som skulle innebära konflikter i webbskyddsstacken. Dessutom identifieras de resulterande avgörandena baserat på prioriteten som anges ovan.



Princip för anpassad indikator Policy för webbhot WCF-princip Princip för Defender för molnappar Resultat
Tillåt Blockera Blockera Blockera Tillåt (åsidosättning av webbskydd)
Tillåt Tillåt Blockera Blockera Tillåt (WCF-undantag)
Varna Blockera Blockera Blockera Varna (åsidosättning)

Interna IP-adresser stöds inte av anpassade indikatorer. För en varningsprincip som kringgås av slutanvändaren kommer webbplatsen att avblockeras i 24 timmar för den användaren som standard. Den här tidsperioden kan ändras av administratören och skickas nedåt av SmartScreen-molntjänsten. Möjligheten att kringgå en varning kan också inaktiveras i Microsoft Edge du använder CSP för webbhotblock (skadlig kod/nätfiske). Mer information finns i Microsoft Edge SmartScreen-Inställningar.

Skydda webbläsare

I alla scenarier för webbskydd kan SmartScreen och nätverksskydd användas tillsammans för att säkerställa skydd i både första och tredje parts webbläsare och processer. SmartScreen är inbyggt direkt i Microsoft Edge, medan Network Protection övervakar trafik i webbläsare och processer från tredje part. Diagrammet nedan illustrerar det här begreppet. Det här diagrammet med de två klienter som arbetar tillsammans för att tillhandahålla flera webbläsar-/apptäckningar är korrekt för alla funktioner i Webbskydd (Indikatorer, Webbhot, Innehållsfiltrering).

Använda SmartScreen och Nätverksskydd tillsammans.

Felsöka slutpunktsblock

Svaren från SmartScreen-molnet är standardiserade. Verktyg som Fiddler kan användas för att kontrollera svaret från molntjänsten, vilket hjälper till att fastställa källan till blockeringen.

När SmartScreen-molntjänsten svarar med ett svar som tillåts, blockeras eller varnas, vidarebefordras en svarskategori och serverkontext tillbaka till klienten. I Microsoft Edge är svarskategorin vad som används för att avgöra vilken blockeringssida som ska visas (skadlig, nätfiske, organisationsprincip).

I tabellen nedan visas svaren och deras korrelerade funktioner.



ResponseCategory Funktion som ansvarar för blocket
CustomPolicy WCF
CustomBlockList Anpassade indikatorer
CasbPolicy Defender för Molnappar
Skadlig Webbhot
Nätfiske Webbhot

Avancerad sökning för webbskydd

Kustofrågor inom avancerad sökning kan användas för att sammanfatta webbskyddsblock i organisationen i upp till 30 dagar. Dessa frågor använder informationen ovan för att skilja mellan olika källor för block och summera dem på ett användarvänligt sätt. I frågan nedan visas till exempel alla WCF-block som kommer Microsoft Edge.

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomBlockList"

På samma sätt kan du använda frågan nedan för att lista alla WCF-block som kommer från nätverksskydd (till exempel ett WCF-block i en webbläsare från tredje part). Observera att ActionType har uppdaterats och att "Experience" har ändrats till 'ResponseCategory'.

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

Om du vill lista block som beror på andra funktioner (t.ex. anpassade indikatorer) går du till tabellen ovan och visar varje funktion och respektive svarskategori. Dessa frågor kan också ändras för att söka efter telemetri relaterade till specifika datorer i organisationen. Observera att ActionType som visas i varje fråga ovan bara visar de anslutningar som har blockerats av en Web Protection-funktion, och inte all nätverkstrafik.

Användarupplevelse

Om en användare besöker en webbsida som kan utgöra en risk för skadlig programvara, nätfiske eller andra webbhot utlöser Microsoft Edge en blockeringssida där "Den här webbplatsen har rapporterats som osäker" tillsammans med information om risken.

Sidan blockeras av Microsoft Edge.

Om den är blockerad av WCF eller en anpassad indikator visas en blocksida i Microsoft Edge som berättar för användaren att den här webbplatsen blockeras av organisationen.

Sidan är blockerad av din organisation.

I vilket fall som helst visas inga blockerade sidor i webbläsare från tredje part och användaren ser sidan "Säker anslutning misslyckades" tillsammans med ett popup-meddelande. Beroende på vilken princip som ansvarar för blocket ser en användare ett annat meddelande i popup-meddelandet. Exempelvis visar webbinnehållsfiltrering meddelandet "Det här innehållet är blockerat".

Sidan är blockerad av WCF.

Rapportera falska positiva resultat

Om du vill rapportera en falsk positiv inställning för webbplatser som har anses vara skadliga för SmartScreen använder du länken som visas på blocksidan i Microsoft Edge (enligt ovan).

För WCF kan du tvista om kategorin för en domän. Gå till fliken Domäner i WCF-rapporterna och klicka sedan på Rapportinkurs. En utfälling öppnas. Ange prioritet för incidenten och ange ytterligare information, till exempel den föreslagna kategorin. Mer information om hur du aktiverar WCF och hur du tvistar kategorier finns i Webbinnehållsfiltrering.

Mer information om hur du skickar falska positiva/negativa tal finns i Adress till falska positiva/negativa tal i Microsoft Defender för slutpunkt.



Ämne Beskrivning
Skydd mot webbhot Stoppa åtkomst till nätfiskewebbplatser, vektorer för skadlig programvara, utnyttja webbplatser, icke betrodda eller ryktesbaserade webbplatser och webbplatser som du har blockerat.
Filtrering av webbinnehåll Spåra och reglera åtkomsten till webbplatser baserat på deras innehållskategorier.