Jelzők létrehozása IP-khez és URL-ekhez/tartományokhoz

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Áttekintés

Az IP-címek, URL-címek vagy tartományok mutatóinak létrehozásával engedélyezheti vagy letilthatja az IP-címeket, URL-címeket vagy tartományokat a saját fenyegetésfelderítése alapján. A felhasználókat is figyelmeztetheti, ha kockázatos alkalmazást nyitnak meg. A parancssor nem akadályozza meg őket az alkalmazás használatában; a felhasználók megkerülhetik a figyelmeztetést, és szükség esetén továbbra is használhatják az alkalmazást.

A (Microsoft által meghatározott) rosszindulatú IP-címek/URL-címek blokkolásához a Végponthoz készült Defender a következőket használhatja:

• Windows Defender SmartScreen Microsoft-böngészőkhöz
• Hálózatvédelem nem Microsoft-böngészők vagy böngészőn kívüli hívások esetén

A kártevő IP-címeket/URL-címeket blokkoló fenyegetésfelderítési adatkészletet a Microsoft kezeli.

A rosszindulatú IP-címeket/URL-címeket letilthatja a beállítások oldalán vagy gépcsoportok szerint, ha bizonyos csoportokat nagyobb vagy kisebb kockázatnak tekint, mint mások.

Támogatott operációs rendszerek

• Windows 11
• Windows 10, 1709-es vagy újabb verzió
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 végponthoz készült Defender modern egységesített megoldásának futtatása (msi-n keresztüli telepítést igényel)
• Windows Server 2012 végponthoz készült Defender modern egységesített megoldást futtató R2 (msi-n keresztüli telepítést igényel)
• macOS
• Linux
• iOS
• Android

Az első lépések

Fontos tisztában lenni az alábbi előfeltételekkel, mielőtt jelzőket hozna létre IP-címekhez, URL-címekhez vagy tartományokhoz.

Microsoft Defender víruskereső verziókövetelményei

• A szervezete Microsoft Defender Víruskeresőt használ. Microsoft Defender víruskeresőnek aktív módban kell lennie nem Microsoft-böngészők esetén. A Microsoft-böngészők, például a Microsoft Edge esetén a Microsoft Defender víruskereső aktív vagy passzív módban is lehet.

• A viselkedésfigyelés engedélyezve van.

• A felhőalapú védelem be van kapcsolva.

• A Cloud Protection hálózati kapcsolata be van kapcsolva.

• A kártevőirtó ügyfélverziónak vagy újabbnak kell lennie 4.18.1906.x . Lásd: Havi platform és motorverziók.

Hálózatvédelmi követelmények

Az URL-cím/IP-cím engedélyezéséhez és letiltásához engedélyezni kell az Végponthoz készült Microsoft Defender összetevőt, amely letiltott módban van engedélyezve. További információ a hálózatvédelemről és a konfigurációs utasításokról: Hálózatvédelem engedélyezése.

Egyéni hálózati mutatókra vonatkozó követelmények

Az IP-címek és/vagy URL-címek blokkolásának megkezdéséhez kapcsolja be az "Egyéni hálózati jelzők" funkciót a Microsoft Defender portálon, és lépjen a Beállítások>Végpontok>Általános>speciális szolgáltatások területre. További információ: Speciális funkciók.

Az iOS-beli mutatók támogatásáról lásd: Végponthoz készült Microsoft Defender iOS rendszeren.

Az androidos mutatók támogatásáról az Android Végponthoz készült Microsoft Defender című témakörben olvashat.

Mutatólista korlátozásai

Csak külső IP-címek adhatók hozzá a mutatólistához. Belső IP-címekhez nem hozhatók létre mutatók. Webvédelmi forgatókönyvek esetén a Microsoft Edge beépített képességeinek használatát javasoljuk. A Microsoft Edge a Network Protection használatával vizsgálja a hálózati forgalmat, és engedélyezi a TCP, HTTP és HTTPS (TLS) blokkok használatát.

Nem Microsoft Edge- és Internet Explorer-folyamatok

A Microsoft Edge és az Internet Explorer kivételével a webvédelmi forgatókönyvek a Hálózatvédelmet használják a vizsgálathoz és a kényszerítéshez:

• Az IP-cím mindhárom protokoll esetében támogatott (TCP, HTTP és HTTPS (TLS))
• Egyéni mutatókban csak egyetlen IP-cím támogatott (CIDR-blokkok és IP-tartományok nélkül).
• A titkosított URL-címek (teljes elérési út) csak belső böngészőkben tilthatók le (Internet Explorer vagy Microsoft Edge)
• A titkosított URL-címek (csak FQDN) blokkolhatók nem Microsoft-böngészőkben (azaz az Internet Explorer vagy a Microsoft Edge kivételével)
• A HTTP-kapcsolaton keresztül betöltött URL-címek, például a modern CDN-ek által betöltött tartalmak csak a belső böngészőkben (Internet Explorer, Microsoft Edge) tilthatók le, kivéve, ha maga a CDN URL-cím fel van véve a mutatólistára.
• A titkosítatlan URL-címekre teljes URL-címblokkok alkalmazhatók
• Ha ütköző URL-jelölőszabályzatok vannak, a hosszabb elérési út lesz alkalmazva. Az URL-mutató szabályzata https://support.microsoft.com/office például elsőbbséget élvez az URL-mutató szabályzatával https://support.microsoft.comszemben.
• Ha az URL-mutató szabályzata ütközést tapasztal, előfordulhat, hogy az átirányítás miatt a hosszabb elérési út nem lesz alkalmazva. Ilyen esetekben regisztráljon egy nem átirányított URL-címet.

Hálózatvédelem és a TCP háromutas kézfogása

A hálózatvédelemmel a tcp/IP-en keresztüli háromirányú kézfogás befejezése után meg kell határozni, hogy engedélyezi vagy letiltja-e a hozzáférést egy helyhez. Így ha egy hely hálózati védelemmel van letiltva, a Microsoft Defender portálon egy művelettípus ConnectionSuccessNetworkConnectionEvents jelenhet meg, annak ellenére, hogy a hely le lett tiltva. NetworkConnectionEvents A jelentések a TCP-rétegből, nem pedig a hálózatvédelemből származnak. A háromutas kézfogás befejezése után a helyhez való hozzáférést engedélyezi vagy blokkolja a hálózatvédelem.

Íme egy példa ennek működésére:

1. Tegyük fel, hogy egy felhasználó megpróbál hozzáférni egy webhelyhez az eszközén. A webhelyet véletlenül egy veszélyes tartomány üzemelteti, és a hálózatvédelemnek le kell tiltani.

2. Megkezdődik a TCP/IP-en keresztüli háromirányú kézfogás. A művelet végrehajtása NetworkConnectionEvents előtt a rendszer naplózza a műveletet, és ActionType a következőképpen jelenik meg ConnectionSuccess: . Amint azonban a háromutas kézfogási folyamat befejeződik, a hálózatvédelem blokkolja a helyhez való hozzáférést. Mindez gyorsan megtörténik. Hasonló folyamat történik Microsoft Defender SmartScreen esetén; a háromutas kézfogás befejezi a meghatározást, és a webhelyhez való hozzáférés le van tiltva vagy engedélyezve van.

3. A Microsoft Defender portálon egy riasztás szerepel a riasztások várólistáján. A riasztás részletei közé tartozik a és AlertEventsa isNetworkConnectionEvents. Láthatja, hogy a webhely le lett tiltva, annak ellenére, hogy rendelkezik a NetworkConnectionEvents ActionType ConnectionSuccesselemével is.

Figyelmeztetés módú vezérlők

Figyelmeztetési mód használatakor a következő vezérlőket konfigurálhatja:

• Megkerülési képesség

  • Engedélyezés gomb a Microsoft Edge-ben
  • Engedélyezés gomb a bejelentésen (nem Microsoft-böngészők)
  • Az időtartam paraméter megkerülése a mutatón
  • Kényszerítés megkerülése a Microsoft és a nem Microsoft böngészők között

• Átirányítási URL-cím

  • Átirányítási URL-paraméter a mutatón
  • Átirányítási URL-cím a Microsoft Edge-ben
  • Átirányítási URL-cím bejelentés esetén (nem Microsoft-böngészők)

További információ: A Végponthoz készült Microsoft Defender által felderített alkalmazások szabályozása.

Az IP-cím és a tartományházirend ütközéskezelési sorrendje

A tartományok/URL-címek/IP-címek szabályzatütközés-kezelése eltér a tanúsítványokkal kapcsolatos szabályzatütközések kezelésétől.

Abban az esetben, ha több különböző művelettípus van beállítva ugyanazon a mutatón (például blokk, figyelmeztetés és engedélyezés, Microsoft.com beállított művelettípusok), a művelettípusok érvénybe lépésének sorrendje a következő:

1. Engedélyezés

2. Figyelmeztet

3. Letiltás

Az "Engedélyezés" felülbírálja a "figyelmeztetést", amely felülbírálja a "blokkot", az alábbiak szerint: AllowBlock>Warn>. Ezért az előző példában Microsoft.com ez engedélyezve lett volna.

Defender for Cloud Apps mutatók

Ha a szervezete engedélyezte a Végponthoz készült Defender és a Defender for Cloud Apps közötti integrációt, a végponthoz készült Defenderben blokkjelzők jönnek létre minden nem engedélyezett felhőalkalmazáshoz. Ha egy alkalmazás figyelési módban van, figyelmeztetésjelzők (megkerülhető blokk) jönnek létre az alkalmazáshoz társított URL-címekhez. Az engedélyezett alkalmazásokhoz jelenleg nem hozhatók létre engedélyezési mutatók. A Defender for Cloud Apps által létrehozott mutatók az előző szakaszban leírt szabályzatütközések kezelését követik.

Szabályzatok prioritása

Végponthoz készült Microsoft Defender szabályzat elsőbbséget élvez Microsoft Defender víruskereső házirenddel szemben. Azokban az esetekben, amikor a Végponthoz készült Defender értéke Allow, de Microsoft Defender víruskereső értéke , a szabályzat alapértelmezés szerint értékre Allowvan állítvaBlock.

Több aktív szabályzat elsőbbségi sorrendje

Ha több különböző webes tartalomszűrési házirendet alkalmaz ugyanarra az eszközre, akkor az egyes kategóriákra szigorúbb házirendek vonatkoznak. Gondolja át a következő forgatókönyvet:

• Az 1. szabályzat blokkolja az 1. és a 2. kategóriát, a többit pedig naplóz
• A Policy 2 letiltja a 3. és a 4. kategóriát, a többit pedig naplóz

Az eredmény az, hogy az 1–4. kategóriák mindegyike le van tiltva. Ez a forgatókönyv az alábbi képen látható.

Jelző létrehozása IP-címekhez, URL-címekhez vagy tartományokhoz a beállítások lapról

1. A navigációs panelen válassza a Beállítások>Végpontok mutatói> elemet (a Szabályok területen).

2. Válassza az IP-címek vagy URL-címek/tartományok lapot.

3. Válassza az Elem hozzáadása lehetőséget.

4. Adja meg a következő adatokat:

   • Mutató: Adja meg az entitás részleteit, és határozza meg a mutató lejáratát.
   • Művelet: Adja meg a végrehajtandó műveletet, és adjon meg egy leírást.
   • Hatókör: Határozza meg a gépcsoport hatókörét.

5. Tekintse át a részleteket az Összefoglalás lapon, majd válassza a Mentés lehetőséget.

Kapcsolódó cikkek

• Jelzők létrehozása
• Jelzők létrehozása fájlokhoz
• Mutatók létrehozása tanúsítványok alapján
• Jelzők kezelése
• A Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső kizárásai