Web 保護
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
關於 Web 保護
適用於端點的 Microsoft Defender 中的 Web 保護是由 Web 威脅防護、Web 內容篩選和自定義指標所組成的功能。 Web 保護可讓您保護裝置免於遭受 Web 威脅,並協助您規範不必要的內容。 您可以移至 [報告 Web 保護],在 Microsoft Defender 入口網站中找到 Web 保護報告>。
網頁威脅防護
組成 Web 威脅防護的卡片是 一段時間的 Web 威脅偵測 和 Web 威脅摘要。
Web 威脅防護包括:
- 全面了解會影響貴組織的 Web 威脅。
- 透過警示和 URL 的完整配置檔,以及存取這些 URL 的裝置,調查 Web 相關威脅活動的功能。
- 一組完整的安全性功能,可追蹤惡意和垃圾網站的一般存取趨勢。
注意事項
針對 Microsoft Edge 和 Internet Explorer 以外的程式,Web 保護案例會利用網路保護進行檢查和強制執行:
- TCP、HTTP 和 HTTPS ( (TLS) ) 這三種通訊協定都支援 IP。
- (自定義指標中不) 任何 CIDR 區塊或 IP 範圍,則僅支援單一 IP 位址。
- 加密的 URL (完整路徑) 只能在第一方瀏覽器上封鎖, (Internet Explorer、Edge) 。
- 只有) (FQDN 加密的 URL 可以在第三方瀏覽器中封鎖, (也就是 Internet Explorer、Edge) 。
- 除非 CDN URL 本身新增至指標清單,否則透過 HTTP 連線聯合載入的 URL,例如新式 CDN 載入的內容,只會在 Internet Explorer (Internet Explorer Microsoft瀏覽器上封鎖,Microsoft Edge) 。
- 網路保護會封鎖標準和非標準埠上的連線。
- 完整 URL 路徑區塊可以套用至未加密的 URL。
在採取動作與封鎖 URL 和 IP 之間,最多可能會有兩小時的延遲 (通常較少) 。 如需詳細資訊,請參閱 Web 威脅防護。
自訂指標
自定義指標偵測也會在您的組織 Web 威脅報告中,於 一段時間內的 Web 威脅偵測 和 Web 威脅摘要下進行摘要。
自訂指標包括:
- 能夠建立IP和URL型入侵指標,以保護您的組織免於遭受威脅。
- 與自定義IP/URL配置檔和存取這些URL之裝置相關的活動調查功能。
- 能夠建立IP和URL的允許、封鎖和警告原則。
如需詳細資訊,請 參閱建立IP和URL/網域的指標
Web 內容篩選
Web 內容篩選包括 依類別分類的 Web 活動、 Web 內容篩選摘要和 Web 活動摘要。
Web 內容篩選包括:
- 無論使用者是在內部部署或離開時流覽,都無法存取封鎖類別中的網站。
- 您可以使用 適用於端點的 Microsoft Defender 角色型訪問控制設定中定義的裝置群組,方便地將各種原則部署到各種使用者集合。
注意事項
適用於端點的Defender方案1和方案2支援裝置群組建立。
- 您可以在相同的中央位置存取 Web 報表,並可檢視實際區塊和 Web 使用量。
如需詳細資訊,請參閱 Web 內容篩選。
優先順序的順序
Web 保護是由下列元件所組成,並依優先順序列出。 Microsoft Edge 中的 SmartScreen 用戶端和所有其他瀏覽器和程式中的網路保護用戶端都會強制執行這些元件。
自定義指標 (IP/URL、Microsoft Defender for Cloud Apps 原則)
- 允許
- 警告
- 封鎖
Web 威脅 (惡意代碼、網路釣魚)
- SmartScreen Intel,包括 Exchange Online Protection (EOP)
- 升級
Web 內容篩選 (WCF)
注意事項
Microsoft Defender for Cloud Apps 目前只會針對封鎖的URL產生指標。
優先順序的順序與評估 URL 或 IP 的作業順序有關。 例如,如果您有 Web 內容篩選原則,您可以透過自定義 IP/URL 指標建立排除專案。 IoC) (的自定義入侵指標優先順序高於 WCF 區塊。
同樣地,在指標之間的衝突期間, 允許一律優先於區塊, (覆寫邏輯) 。 這表示允許指標的優先順序高於任何存在的區塊指標。
下表摘要說明一些常見的組態,這些組態會在 Web 保護堆疊內呈現衝突。 它也會根據本文稍早所述的優先順序來識別產生的決定。
自定義指標原則 | Web 威脅原則 | WCF 原則 | Defender for Cloud Apps 原則 | 結果 |
---|---|---|---|---|
允許 | 封鎖 | 封鎖 | 封鎖 | 允許 (Web 保護覆寫) |
允許 | 允許 | 封鎖 | 封鎖 | 允許 (WCF 例外狀況) |
警告 | 封鎖 | 封鎖 | 封鎖 | 警告 (覆寫) |
自訂指標不支持內部IP位址。 針對終端使用者略過時的警告原則,該用戶的網站預設會解除封鎖 24 小時。 此時間範圍可由 管理員 修改,並由SmartScreen雲端服務傳遞。 在 Microsoft Edge 中,針對 Web 威脅區塊使用 CSP (惡意代碼/網路釣魚) ,也可以停用略過警告的功能。 如需詳細資訊,請參閱Microsoft Edge SmartScreen 設定。
保護瀏覽器
在所有 Web 保護案例中,SmartScreen 和網路保護可以一起使用,以確保跨Microsoft和非Microsoft瀏覽器和程序的保護。 SmartScreen 直接內建在 Microsoft Edge 中,而網路保護則會監視非Microsoft瀏覽器和進程中的流量。 下圖說明此概念。 這兩個用戶端共同運作以提供多個瀏覽器/應用程式涵蓋範圍的圖表,適用於 Web 保護 (指標、Web 威脅、內容篩選) 的所有功能。
注意事項
Microsoft Edge 的 應用程式防護 工作階段目前不支援自定義入侵指標和 Web 內容篩選功能。 這些容器化瀏覽器會話只能透過內建的SmartScreen保護來強制執行Web威脅區塊。 它們無法強制執行任何企業 Web 保護原則。
針對端點區塊進行疑難解答
來自 SmartScreen 雲端的回應已標準化。 Fiddler 之類的工具可用來檢查來自雲端服務的回應,這有助於判斷區塊的來源。
當 SmartScreen 雲端服務回應允許、封鎖或警告回應時,回應類別和伺服器內容會轉送回用戶端。 在 Microsoft Edge 中,回應類別是用來判斷適當的封鎖頁面,以顯示 (惡意、網路釣魚、組織原則) 。
下表顯示回應及其相互關聯的功能。
ResponseCategory | 負責區塊的功能 |
---|---|
CustomPolicy | WCF |
CustomBlockList | 自訂指標 |
CasbPolicy | Defender for Cloud Apps |
惡意 | Web 威脅 |
網路釣魚 | Web 威脅 |
Web 保護的進階搜捕
進階搜捕中的 Kusto 查詢可用來摘要組織中的 Web 保護區塊,最多 30 天。 這些查詢會使用上述資訊來區分區塊的各種來源,並以用戶易記的方式加以摘要。 例如,下列查詢會列出源自 Microsoft Edge 的所有 WCF 區塊。
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"
同樣地,您可以使用下列查詢來列出源自網路保護 (的所有 WCF 區塊,例如,非Microsoft瀏覽器中的 WCF 區塊) 。 已 ActionType
更新,並 Experience
變更為 ResponseCategory
。
DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"
若要列出其他功能所造成的區塊, (例如自定義指標) ,請參閱本文稍早所列的數據表。 下表概述每個功能及其各自的響應類別。 您可以修改這些查詢,以搜尋與組織中特定電腦相關的遙測。 每個查詢中顯示的 ActionType 只會顯示 Web 保護功能封鎖的連線,而不會顯示所有網路流量。
使用者體驗
如果使用者造訪有惡意代碼、網路釣魚或其他 Web 威脅風險的網頁,Microsoft Edge 會觸發類似下圖的封鎖頁面:
從 Microsoft Edge 124 開始,會針對所有 Web 內容篩選類別區塊顯示下列區塊頁面。
在任何情況下,非Microsoft瀏覽器中不會顯示任何區塊頁面,而且使用者會看到「安全連線失敗」頁面以及快顯通知。 根據負責封鎖的原則,使用者會在快顯通知中看到不同的訊息。 例如,Web 內容篩選會顯示「此內容遭到封鎖」訊息。
報告誤判
若要針對SmartScreen認為危險的網站回報誤判,請使用Microsoft Edge (區塊頁面上顯示的連結,如本文稍早所示) 。
針對 WCF,您可以對網域的類別進行爭議。 流覽至 WCF 報表的 [ 網域 ] 索引標籤。 您會在每個網域旁邊看到省略號。 將滑鼠停留在此省略號上方,然後選取 [ 爭議類別]。 飛出視窗隨即開啟。 設定事件的優先順序,並提供一些其他詳細數據,例如建議的類別。 如需如何開啟 WCF 以及如何對類別進行爭議的詳細資訊,請參閱 Web 內容篩選。
如需如何提交誤判/負面的詳細資訊,請參閱解決 適用於端點的 Microsoft Defender 中的誤判/負面。
相關文章
文章 | 描述 |
---|---|
網頁威脅防護 | 防止存取網路釣魚網站、惡意代碼向量、惡意探索網站、不受信任或低信譽的網站,以及遭到封鎖的網站。 |
Web 內容篩選 | 根據網站的內容類別來追蹤及規範網站的存取。 |
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。