Web 保护

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

关于 Web 保护

Microsoft Defender for Endpoint 中的 Web 保护由 Web 威胁防护Web 内容筛选自定义指示器组成。 通过 Web 保护,你可以保护设备免受 Web 威胁,并帮助你管理不需要的内容。 可以通过转到“报告 Web 保护”,在 Microsoft Defender 门户中找到 Web 保护报告。>

Web 保护卡

Web 威胁防护功能

构成 Web 威胁防护的卡片是 一段时间内的 Web 威胁检测Web 威胁摘要

Web 威胁防护包括:

  • 全面了解影响组织的 Web 威胁。
  • 通过警报和访问这些 URL 的设备的综合配置文件来调查与 Web 相关的威胁活动。
  • 一整套安全功能,用于跟踪恶意和不需要的网站的总体访问趋势。

注意

对于 Microsoft Edge 和 Internet Explorer 以外的进程,Web 保护方案利用网络保护进行检查和执行:

  • 所有三种协议都支持 IP, (TCP、HTTP 和 HTTPS (TLS) ) 。
  • 仅支持单个 IP 地址, (自定义指示器中不) CIDR 块或 IP 范围。
  • 只能在第一方浏览器 (Internet Explorer、Edge) 阻止 (完整路径) 的加密 URL。
  • (FQDN 的加密 URL 只能在第三方浏览器中阻止) , (Internet Explorer、Edge) 。
  • 完整的 URL 路径块可以应用于未加密的 URL。

执行操作的时间与阻止 URL 和 IP 之间的延迟可能长达 2 小时, (通常不太) 。

有关详细信息,请参阅 Web 威胁防护

自定义指示器

自定义指示器检测还会在组织的 Web 威胁报告中汇总到一 段时间内的 Web 威胁检测Web 威胁摘要下。

自定义指示器包括:

  • 能够创建基于 IP 和 URL 的入侵指标,以保护组织免受威胁。
  • 调查与自定义 IP/URL 配置文件和访问这些 URL 的设备相关的活动的功能。
  • 为 IP 和 URL 创建允许、阻止和警告策略的功能。

有关详细信息,请参阅 为 IP 和 URL/域创建指示器

Web 内容筛选

Web 内容筛选包括 按类别划分的 Web 活动Web 内容筛选摘要Web 活动摘要

Web 内容筛选包括:

  • 无论用户是在本地浏览还是外出浏览,都阻止用户访问被阻止类别的网站。
  • 可以使用Microsoft Defender for Endpoint基于角色的访问控制设置中定义的设备组,方便地将各种策略部署到各种用户集。

    注意

    Defender for Endpoint 计划 1 和计划 2 支持创建设备组。

  • 可以在同一中心位置访问 Web 报表,并了解实际块和 Web 使用情况。

有关详细信息,请参阅 Web 内容筛选

优先级顺序

Web 保护由以下组件组成,按优先级顺序列出。 Microsoft Edge 中的 SmartScreen 客户端和所有其他浏览器和进程中的网络保护客户端强制实施上述每个组件。

  • 自定义指示器 (IP/URL、Microsoft Defender for Cloud Apps策略)

    • 允许
    • 警告
    • 阻止
  • web 威胁 (恶意软件、网络钓鱼)

    • SmartScreen Intel,包括Exchange Online Protection (EOP)
    • 升级
  • Web 内容筛选 (WCF)

注意

Microsoft Defender for Cloud Apps当前仅为阻止的 URL 生成指示器。

优先级顺序与计算 URL 或 IP 所依据的操作顺序相关。 例如,如果有 Web 内容筛选策略,可以通过自定义 IP/URL 指示器创建排除项。 IoC) (自定义入侵指标的优先级高于 WCF 块。

同样,在指示器之间发生冲突期间,允许始终优先于块 (替代逻辑) 。 这意味着允许指示器将胜过存在的任何块指示器。

下表汇总了在 Web 保护堆栈中出现冲突的一些常见配置。 它还根据上面列出的优先级确定生成的决定。



自定义指示器策略 Web 威胁策略 WCF 策略 Defender for Cloud Apps 策略 结果
允许 阻止 阻止 阻止 允许 (Web 保护替代)
允许 允许 阻止 阻止 允许 (WCF 异常)
警告 阻止 阻止 阻止 警告 (重写)

自定义指示器不支持内部 IP 地址。 对于最终用户绕过的警告策略,默认情况下,该网站将取消阻止该用户的 24 小时。 此时间范围可由管理员修改,并由 SmartScreen 云服务向下传递。 还可以在 Microsoft Edge 中使用 CSP 来禁用绕过警告的功能,以阻止 web 威胁 (恶意软件/网络钓鱼) 。 有关详细信息,请参阅 Microsoft Edge SmartScreen 设置

保护浏览器

在所有 Web 保护方案中,SmartScreen 和网络保护可以一起使用,以确保跨第一方和第三方浏览器和进程提供保护。 SmartScreen 直接内置于 Microsoft Edge 中,而网络保护监视第三方浏览器和进程中的流量。 下图说明了此概念。 此关系图显示两个客户端协同工作以提供多个浏览器/应用覆盖范围,对于 Web 防护 (指示器、Web 威胁、内容筛选) 的所有功能而言都是准确的。

将 smartScreen 和网络保护一起使用

排查终结点块问题

来自 SmartScreen 云的响应是标准化的。 Fiddler 等工具可用于检查云服务的响应,这有助于确定块的来源。

当 SmartScreen 云服务响应允许、阻止或警告响应时,响应类别和服务器上下文将中继回客户端。 在 Microsoft Edge 中,响应类别用于确定相应的阻止页面,以显示 (恶意、网络钓鱼、组织策略) 。

下表显示了响应及其相关特征。



ResponseCategory 负责块的功能
CustomPolicy Wcf
CustomBlockList 自定义指示器
CasbPolicy Defender for Cloud Apps
恶意 Web 威胁
网络钓鱼 Web 威胁

Web 保护的高级搜寻

高级搜寻中的 Kusto 查询可用于汇总组织中长达 30 天的 Web 保护块。 这些查询使用上面列出的信息来区分块的各种来源,并以用户友好的方式汇总它们。 例如,下面的查询列出了源自 Microsoft Edge 的所有 WCF 块。

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

同样,可以使用下面的查询列出源自网络保护的所有 WCF 块 (例如第三方浏览器中的 WCF 块) 。 请注意,ActionType 已更新,“体验”已更改为“ResponseCategory”。

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

若要列出由于其他功能 ((如自定义指示器) )导致的块,请参阅上表,其中概述了每个功能及其各自的响应类别。 还可以修改这些查询,以搜索与组织中的特定计算机相关的遥测数据。 请注意,上述每个查询中显示的 ActionType 将仅显示 Web 保护功能阻止的那些连接,而不是所有网络流量。

用户体验

如果用户访问的网页存在恶意软件、网络钓鱼或其他 Web 威胁的风险,Microsoft Edge 将触发一个阻止页面,其中显示“此网站已报告为不安全”,以及与威胁相关的信息。

Microsoft Edge 阻止的页面

如果被 WCF 或自定义指示器阻止,Microsoft Edge 中会显示一个阻止页,告知用户此网站已被其组织阻止。

组织阻止的页面

在任何情况下,第三方浏览器中不会显示任何阻止页,并且用户会看到“安全连接失败”页面以及 Toast 通知。 根据负责阻止的策略,用户将在 Toast 通知中看到不同的消息。 例如,Web 内容筛选将显示消息“此内容已被阻止”。

WCF 阻止的页面

报告误报

若要报告 SmartScreen 视为危险的站点的误报,请使用 Microsoft Edge (块页上显示的链接,如上) 所示。

对于 WCF,可以对域的类别提出异议。 导航到 WCF 报表 的“域 ”选项卡。 你将在每个域旁边看到一个省略号。 将鼠标悬停在此省略号上,然后选择“ 争议类别”。 将打开浮出控件。 设置事件的优先级并提供一些其他详细信息,例如建议的类别。 有关如何打开 WCF 以及如何对类别提出异议的详细信息,请参阅 Web 内容筛选

有关如何提交误报/负值的详细信息,请参阅解决Microsoft Defender for Endpoint中的误报/负数。



主题 说明
Web 威胁防护功能 停止对网络钓鱼网站、恶意软件载体、攻击网站、不受信任或低信誉站点以及已阻止的站点的访问。
Web 内容筛选 根据网站的内容类别跟踪和规范对网站的访问。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区