Creare indicatori per IP e URL/domini
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Consiglio
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Panoramica
Creando indicatori per INDIRIZZI IP e URL o domini, è ora possibile consentire o bloccare indirizzi IP, URL o domini in base alle proprie intelligence sulle minacce. È anche possibile avvisare gli utenti con una richiesta se aprono un'app rischiosa. La richiesta non impedisce loro di usare l'app, ma è possibile fornire un messaggio personalizzato e collegamenti a una pagina aziendale che descrive l'utilizzo appropriato dell'app. Gli utenti possono comunque ignorare l'avviso e continuare a usare l'app, se necessario.
Per bloccare indirizzi IP/URL dannosi (come determinato da Microsoft), Defender per endpoint può usare:
- Windows Defender SmartScreen per browser Microsoft
- Protezione di rete per browser non Microsoft o chiamate effettuate all'esterno di un browser
Il set di dati di intelligence sulle minacce per bloccare indirizzi IP/URL dannosi è gestito da Microsoft.
È possibile bloccare indirizzi IP/URL dannosi tramite la pagina delle impostazioni o per gruppi di computer, se si ritiene che determinati gruppi siano più o meno a rischio rispetto ad altri.
Nota
La notazione CIDR (Classless Inter-Domain Routing) per gli indirizzi IP non è supportata.
Sistemi operativi supportati
- Windows 11
- Windows 10 versione 1709 o successiva
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 che esegue la soluzione unificata moderna di Defender per endpoint (richiede l'installazione tramite MSI)
- Windows Server 2012 R2 che esegue la soluzione unificata moderna di Defender per endpoint (richiede l'installazione tramite msi)
- macOS
- Linux
- iOS
- Android
Prima di iniziare
È importante comprendere i prerequisiti seguenti prima di creare indicatori per indirizzi IP, URL o domini.
Microsoft Defender requisiti della versione antivirus
L'organizzazione usa Microsoft Defender Antivirus. Microsoft Defender Antivirus deve essere in modalità attiva per i browser non Microsoft. Con i browser Microsoft, ad esempio Edge, Microsoft Defender Antivirus può essere in modalità attiva o passiva.
Il monitoraggio del comportamento è abilitato.
La protezione basata sul cloud è attivata.
La connettività di rete di Cloud Protection è attivata.
La versione del client antimalware deve essere
4.18.1906.x
o successiva. Vedere Versioni mensili della piattaforma e del motore.
Requisiti di protezione di rete
Per consentire e bloccare URL/IP è necessario che la protezione di rete del componente Microsoft Defender per endpoint sia abilitata in modalità blocco. Per altre informazioni su Protezione rete e istruzioni di configurazione, vedere Abilitare la protezione di rete.
Requisiti degli indicatori di rete personalizzati
Per iniziare a bloccare gli indirizzi IP e/o gli URL, attivare la funzionalità "Indicatori di rete personalizzati" nel portale di Microsoft Defender, passare a Impostazioni>Endpoint> Funzionalitàgenerali>avanzate. Per altre informazioni, vedere Funzionalità avanzate.
Per il supporto degli indicatori in iOS, vedere Microsoft Defender per endpoint in iOS.
Per il supporto degli indicatori in Android, vedere Microsoft Defender per endpoint in Android.
Limitazioni dell'elenco degli indicatori IoC
È possibile aggiungere solo indirizzi IP esterni all'elenco di indicatori. Non è possibile creare indicatori per gli indirizzi IP interni. Per gli scenari di protezione Web, è consigliabile usare le funzionalità predefinite in Microsoft Edge. Microsoft Edge sfrutta Protezione rete per controllare il traffico di rete e consente blocchi per TCP, HTTP e HTTPS (TLS).
Processi non Microsoft Edge e Internet Explorer
Per i processi diversi da Microsoft Edge e Internet Explorer, gli scenari di protezione Web sfruttano Protezione di rete per l'ispezione e l'imposizione:
- IP è supportato per tutti e tre i protocolli (TCP, HTTP e HTTPS (TLS))
- Sono supportati solo indirizzi IP singoli (nessun blocco CIDR o intervalli IP) negli indicatori personalizzati
- Gli URL crittografati (percorso completo) possono essere bloccati solo nei browser di prima parte (Internet Explorer, Edge)
- Gli URL crittografati (solo FQDN) possono essere bloccati nei browser di terze parti (ad eccezione di Internet Explorer, Edge)
- Gli URL caricati tramite la combinazione di connessioni HTTP, ad esempio il contenuto caricato dalla rete CDN moderna, possono essere bloccati solo nei browser di prima parte (Internet Explorer, Edge), a meno che l'URL della rete CDN stessa non venga aggiunto all'elenco degli indicatori.
- I blocchi di percorso URL completi possono essere applicati per gli URL non crittografati
- Se sono presenti criteri di indicatore URL in conflitto, viene applicato il percorso più lungo. Ad esempio, i criteri
https://support.microsoft.com/office
dell'indicatore URL hanno la precedenza sui criterihttps://support.microsoft.com
dell'indicatore URL. - In caso di conflitti di criteri degli indicatori URL, il percorso più lungo potrebbe non essere applicato a causa del reindirizzamento. In questi casi, registrare un URL non reindirizzato.
Nota
Gli indicatori personalizzati delle funzionalità di compromissione e filtro contenuto Web non sono attualmente supportati nelle sessioni Application Guard di Microsoft Edge. Queste sessioni del browser in contenitori possono applicare blocchi di minacce Web solo tramite la protezione SmartScreen predefinita. Non possono applicare criteri di protezione Web aziendali.
Protezione di rete e handshake a tre vie TCP
Con la protezione di rete, la determinazione se consentire o bloccare l'accesso a un sito viene effettuata dopo il completamento dell'handshake a tre vie tramite TCP/IP. Pertanto, quando un sito è bloccato dalla protezione di rete, è possibile che venga visualizzato un tipo di azione di in nel portale di ConnectionSuccess
NetworkConnectionEvents
Microsoft Defender, anche se il sito è stato bloccato.
NetworkConnectionEvents
vengono segnalati dal livello TCP e non dalla protezione di rete. Al termine dell'handshake a tre vie, l'accesso al sito è consentito o bloccato dalla protezione di rete.
Ecco un esempio di come funziona:
Si supponga che un utente tenti di accedere a un sito Web nel proprio dispositivo. Il sito è ospitato in un dominio pericoloso e deve essere bloccato dalla protezione di rete.
Inizia l'handshake a tre vie tramite TCP/IP. Prima del completamento, viene registrata un'azione
NetworkConnectionEvents
e la relativaActionType
azione viene elencata comeConnectionSuccess
. Tuttavia, non appena il processo di handshake a tre vie viene completato, la protezione di rete blocca l'accesso al sito. Tutto questo accade rapidamente. Un processo simile si verifica con Microsoft Defender SmartScreen; è quando l'handshake a tre vie viene completato che viene effettuata una determinazione e l'accesso a un sito è bloccato o consentito.Nel portale Microsoft Defender viene elencato un avviso nella coda degli avvisi. I dettagli dell'avviso includono sia che
NetworkConnectionEvents
AlertEvents
. È possibile notare che il sito è stato bloccato, anche se si dispone anche di unNetworkConnectionEvents
elemento con ActionType diConnectionSuccess
.
Controlli della modalità di avviso
Quando si usa la modalità di avviso, è possibile configurare i controlli seguenti:
Capacità di bypass
- Pulsante Consenti in Edge
- Pulsante Consenti per l'avviso popup (browser non Microsoft)
- Ignorare il parametro di durata nell'indicatore
- Ignorare l'imposizione nei browser Microsoft e non Microsoft
URL di reindirizzamento
- Parametro URL di reindirizzamento nell'indicatore
- URL di reindirizzamento in Edge
- URL di reindirizzamento nell'avviso popup (browser non Microsoft)
Per altre informazioni, vedere Gestire le app individuate da Microsoft Defender per endpoint.
Url IP IoC e ordine di gestione dei conflitti dei criteri di dominio
La gestione dei conflitti dei criteri per domini/URL/indirizzi IP differisce dalla gestione dei conflitti dei criteri per i certificati.
Nel caso in cui più tipi di azione diversi siano impostati sullo stesso indicatore (ad esempio, blocchi, avvisi e consenti, tipi di azione impostati per Microsoft.com), l'ordine in cui questi tipi di azione avrebbero effetto è:
Consenti
Avvertire
Blocca
"Allow" esegue l'override di "warn", che esegue l'override di "block", come indicato di seguito: Allow
Block
>Warn
>. Pertanto, nell'esempio precedente, Microsoft.com
sarebbe consentito.
Indicatori Defender for Cloud Apps
Se l'organizzazione ha abilitato l'integrazione tra Defender per endpoint e Defender for Cloud Apps, gli indicatori di blocco verranno creati in Defender per endpoint per tutte le applicazioni cloud non approvate. Se un'applicazione viene messa in modalità di monitoraggio, verranno creati indicatori di avviso (blocco ignorabile) per gli URL associati all'applicazione. Al momento non è possibile creare indicatori consentiti per le applicazioni approvate. Gli indicatori creati da Defender for Cloud Apps seguono la stessa gestione dei conflitti di criteri descritta nella sezione precedente.
Precedenza dei criteri
Microsoft Defender per endpoint criterio ha la precedenza sui criteri antivirus Microsoft Defender. Nei casi in cui Defender per endpoint è impostato su Allow
, ma Microsoft Defender Antivirus è impostato su Block
, per impostazione predefinita Allow
il criterio è .
Precedenza per più criteri attivi
L'applicazione di più criteri di filtro del contenuto Web diversi allo stesso dispositivo comporterà l'applicazione di criteri più restrittivi per ogni categoria. Considerare lo scenario descritto di seguito:
- Criteri 1 blocca le categorie 1 e 2 e controlla il resto
- Criteri 2 blocca le categorie 3 e 4 e controlla il resto
Il risultato è che le categorie da 1 a 4 sono tutte bloccate. Questo è illustrato nell'immagine seguente.
Creare un indicatore per indirizzi IP, URL o domini dalla pagina delle impostazioni
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare la scheda URL o INDIRIZZI IP/Domini .
Selezionare Aggiungi elemento.
Specificare i dettagli seguenti:
- Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
- Azione: specificare l'azione da eseguire e specificare una descrizione.
- Ambito: definire l'ambito del gruppo di computer.
Esaminare i dettagli nella scheda Riepilogo e quindi selezionare Salva.
Importante
Il blocco di un URL o di un indirizzo IP in un dispositivo può richiedere fino a 48 ore dopo la creazione di un criterio.
Articoli correlati
- Creare indicatori
- Creare indicatori per file
- Creare indicatori in base ai certificati
- Gestire indicatori
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.