建立 IP 和 URL/網域的指示器
適用於:
提示
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
概觀
藉由建立IP和URL或網域的指標,您現在可以根據自己的威脅情報來允許或封鎖IP、URL或網域。 如果使用者開啟有風險的應用程式,您也可以提示他們發出警告。 提示不會阻止他們使用應用程式,但您可以提供自定義訊息,以及描述應用程式適當使用方式的公司頁面連結。 使用者仍然可以略過警告,並視需要繼續使用應用程式。
若要封鎖由 Microsoft) 所判斷的惡意 IP/URL (,適用於端點的 Defender 可以使用:
- Windows Defender SmartScreen for Microsoft 瀏覽器
- 非 Microsoft 瀏覽器的網路保護,或在瀏覽器外部進行的呼叫
用來封鎖惡意IP/URL的威脅情報數據集是由 Microsoft 管理。
如果您認為某些群組比其他群組有更多或更少的風險,您可以透過 [設定] 頁面或計算機群組封鎖惡意 IP/URL。
注意事項
不支援IP位址的無類別 Inter-Domain 路由 (CIDR) 表示法。
開始之前
在建立 IPS、URL 或網域的指標之前,請務必先瞭解下列必要條件:
網路保護需求
URL/IP 允許和封鎖需要在封鎖模式中啟用 適用於端點的 Microsoft Defender 元件網路保護。 如需網路保護和設定指示的詳細資訊,請參閱 啟用網路保護。
支援的作業系統
- Windows 10 版本 1709 或更新版本。
- Windows 11
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2019
- Windows Server 2022
- macOS
- Linux
- iOS
- Android
Windows Server 2016和 Windows Server 2012 R2 需求
Windows Server 2016 和 Windows Server 2012 R2 必須使用上架 Windows 伺服器中的指示上線。
Microsoft Defender 防病毒軟體版本需求
Antimalware 用戶端版本必須是 4.18.1906.x 或更新版本。
自定義網路指標需求
確定已在 Microsoft Defender 全面偵測回應>Settings> 進階功能中啟用自定義網路指標。 如需詳細資訊,請參閱 進階功能。
如需 iOS 上指標的支援,請參閱 iOS 上的 適用於端點的 Microsoft Defender。
如需 Android 上指標的支援,請參閱 Android 上的 適用於端點的 Microsoft Defender。
IoC 指標清單限制
只有外部IP可以新增至指標清單。 無法為內部IP建立指標。 針對 Web 保護案例,建議您在 Microsoft Edge 中使用內建功能。 Microsoft Edge 利用 網路保護 來檢查網路流量,並允許 TCP、HTTP 和 HTTPS (TLS) 的區塊。
非 Microsoft Edge 和 Internet Explorer 程式
針對 Microsoft Edge 和 Internet Explorer 以外的程式,Web 保護案例會利用網路保護進行檢查和強制執行:
- TCP、HTTP 和 HTTPS (TLS (這三種通訊協定都支援 IP) )
- 在自定義指標中不) CIDR 區塊或IP範圍 (僅支援單一IP位址
- 加密的 URL (完整路徑) 只能在 Internet Explorer、Edge (的第一方瀏覽器上封鎖)
- 僅限) (FQDN 的加密 URL 可以在 Internet Explorer、Edge) 以外的第三方瀏覽器中封鎖 (
- 完整 URL 路徑區塊可以套用至未加密的 URL
- 如果有衝突的 URL 指標原則,則會套用較長的路徑。 例如,URL 指標原則
https://support.microsoft.com/office的優先順序高於 URL 指標原則https://support.microsoft.com。
網路保護和 TCP 三向交握
透過網路保護,在完成透過 TCP/IP 的三向交握之後,決定是否允許或封鎖網站的存取。 因此,當網站遭到網路保護封鎖時,即使網站遭到封鎖,您還是可能會在 Microsoft Defender 入口網站中看到 下方的動作類型ConnectionSuccessNetworkConnectionEvents。 NetworkConnectionEvents 會從 TCP 層回報,而不是從網路保護回報。 完成三向交握之後,網路保護會允許或封鎖網站的存取。
以下是運作方式的範例:
假設用戶嘗試存取其裝置上的網站。 網站正好裝載在危險的網域上,而且應該遭到網路保護封鎖。
透過 TCP/IP 的三向交握會開始。 完成之前,
NetworkConnectionEvents會記錄動作,並將其ActionType列為ConnectionSuccess。 不過,一旦三向交握程式完成,網路保護就會封鎖網站的存取。 這一切都會快速發生。 Microsoft Defender SmartScreen 也會發生類似的程式;在三向交握完成時,即會進行判斷,並封鎖或允許存取網站。在 Microsoft Defender 入口網站中,警示會列在警示佇列中。 該警示的詳細資料包括 和
NetworkConnectionEventsAlertEvents。 您可以看到網站遭到封鎖,即使您也有 ActionType 為 的專案ConnectionSuccess也一NetworkConnectionEvents樣。
警告模式控制件
使用警告模式時,您可以設定下列控件:
略過功能
- Edge 中的 [允許] 按鈕
- 快顯通知 (非 Microsoft 瀏覽器上的 [允許] 按鈕)
- 指標上的略過持續時間參數
- 在 Microsoft 和非 Microsoft 瀏覽器之間略過強制執行
重新導向URL
- 指標上的重新導向 URL 參數
- Edge 中的重新導向 URL
- 在快顯通知 (非 Microsoft 瀏覽器上重新導向 URL)
如需詳細資訊,請參閱管理 適用於端點的 Microsoft Defender 探索到的應用程式。
IoC IP URL 和網域原則衝突處理順序
網域/URL/IP 位址的原則衝突處理與憑證的原則衝突處理不同。
在相同指標上設定多個不同動作類型的案例 (例如 ,針對 Microsoft.com) 设定的区块、 警告和 允許動作類型,這些動作類型的生效順序如下:
- 允許
- 警告
- 封鎖
允許 覆寫 警告 哪些覆寫 區塊:允許 > 警告 > 區塊。 因此,在上述範例中,會允許 Microsoft.com。
適用於雲端應用程式的Defender指標
如果您的組織已啟用適用於端點的 Defender 與適用於雲端應用程式的 Defender 之間的整合,將會在適用於端點的 Defender 中為所有未批准的雲端應用程式建立封鎖指標。 如果應用程式處於監視模式,則會針對與應用程式相關聯的URL建立警告指標 (可略過的區塊) 。 目前無法為獲批准的應用程式建立允許指標。 適用於雲端應用程式的Defender所建立的指標會遵循上一節所述的相同原則衝突處理。
原則優先順序
適用於端點的 Microsoft Defender 原則的優先順序高於 Microsoft Defender 防病毒軟體原則。 當適用於端點的 Defender 設定為 [允許],但 Microsoft Defender 防病毒軟體設定為 [封鎖] 時,原則會預設為 [允許]。
多個作用中原則的優先順序
將多個不同的 Web 內容篩選原則套用至相同的裝置,將會對每個類別套用更嚴格的原則。 請試想下列案例:
- 原則 1 會封鎖類別 1 和 2,並稽核其餘部分
- 原則 2 會封鎖類別 3 和 4,並稽核其餘部分
結果是類別 1-4 全部遭到封鎖。 下圖說明這一點。
從 [設定] 頁面 Create IP、URL 或網域的指標
在瀏覽窗格中,選>取 [規則) ] 底下的 [設定端點>指標 (]。
選取 [IP 位址] 或 [URL/網域] 索引標籤 。
選取 [新增專案]。
指定下列詳細資料:
- 指標 - 指定實體詳細數據,並定義指標的到期日。
- 動作 ─ 指定要採取的動作並提供描述。
- 範圍 - 定義計算機群組的範圍。
檢閱 [ 摘要] 索 引標籤中的詳細數據,然後選取 [ 儲存]。
注意事項
在建立原則與封鎖裝置上的 URL 或 IP 之間,最多可能會有 2 小時的延遲。
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應