Créer des indicateurs pour les IP et URL/domaines

Vue d’ensemble

En créant des indicateurs pour les adresses IP et les URL ou les domaines, vous pouvez désormais autoriser ou bloquer les adresses IP, les URL ou les domaines en fonction de votre propre renseignement sur les menaces. Vous pouvez également avertir les utilisateurs s’ils ouvrent une application à risque. L’invite ne les empêche pas d’utiliser l’application ; les utilisateurs peuvent ignorer l’avertissement et continuer à utiliser l’application si nécessaire.

Pour bloquer les ADRESSES IP/URL malveillantes, Defender pour point de terminaison peut utiliser :

• Windows Defender SmartScreen pour les navigateurs Microsoft
• Protection réseau pour les navigateurs non-Microsoft et les processus non-navigateurs

Le jeu de données threat-intelligence par défaut pour bloquer les ADRESSES IP/URL malveillantes est géré par Microsoft.

Vous pouvez bloquer les adresses IP/URL malveillantes supplémentaires en configurant « Indicateurs réseau personnalisés ».

Configuration requise

Il est important de comprendre les prérequis suivants avant de créer des indicateurs pour les adresses IP, les URL ou les domaines.

L’intégration aux navigateurs Microsoft est contrôlée par le paramètre SmartScreen du navigateur. Pour les autres navigateurs et applications, votre organization doit avoir :

• antivirus Microsoft Defender configuré en mode actif.

• Surveillance du comportement activée.

• Protection basée sur le cloud activée.

• Connectivité réseau Cloud Protection.

• La version du client anti-programme malveillant doit être 4.18.1906.x ou ultérieure. Consultez Versions mensuelles de la plateforme et du moteur.

Systèmes d’exploitation pris en charge

• Windows 11
• Windows 10, version 1709 ou ultérieure
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 l’exécution de la solution unifiée moderne Defender pour point de terminaison (nécessite l’installation via MSI)
• Windows Server 2012 R2 exécutant la solution unifiée moderne Defender pour point de terminaison (nécessite l’installation via MSI)
• Système d’exploitation Azure Stack HCI, version 23H2 et ultérieure
• macOS
• Linux
• iOS
• Android

Configuration requise pour la protection réseau

L’autorisation et le blocage d’URL/IP nécessitent que le composant Microsoft Defender pour point de terminaison Protection réseau soit activé en mode bloc. Pour plus d’informations sur la protection réseau et les instructions de configuration, consultez Activer la protection réseau.

Exigences relatives aux indicateurs de réseau personnalisés

Pour commencer à bloquer les adresses IP et/ou LES URL, activez la fonctionnalité « Indicateurs réseau personnalisés » dans le portail Microsoft Defender. La fonctionnalité se trouve dans Paramètres Points>de terminaisonFonctionnalités avancées>générales>. Pour plus d’informations, consultez Fonctionnalités avancées.

Pour la prise en charge des indicateurs sur iOS, consultez Microsoft Defender pour point de terminaison sur iOS.

Pour la prise en charge des indicateurs sur Android, consultez Microsoft Defender pour point de terminaison sur Android.

Limitations de la liste d’indicateurs

Seules les adresses IP externes peuvent être ajoutées à la liste des indicateurs ; Les indicateurs ne peuvent pas être créés pour les adresses IP internes.

Processus de Explorer Non Microsoft Edge et Internet

Pour les processus autres que Microsoft Edge et Internet Explorer, les scénarios de protection web utilisent la protection réseau pour l’inspection et l’application :

• Les adresses IP sont prises en charge pour les trois protocoles (TCP, HTTP et HTTPS (TLS))
• Seules les adresses IP uniques sont prises en charge (aucun bloc CIDR ou plage d’adresses IP) dans les indicateurs personnalisés
• Les URL HTTP (y compris un chemin d’URL complet) peuvent être bloquées pour n’importe quel navigateur ou processus
• Les noms de domaine complets (FQDN) HTTPS peuvent être bloqués dans les navigateurs non-Microsoft (les indicateurs spécifiant un chemin d’URL complet ne peuvent être bloqués que dans Microsoft Edge)
• Le blocage des noms de domaine complets dans les navigateurs non-Microsoft nécessite que QUIC et Encrypted Client Hello soient désactivés dans ces navigateurs
• Les noms de domaine complets chargés via la fusion de connexions HTTP2 ne peuvent être bloqués que dans Microsoft Edge
• S’il existe des stratégies d’indicateur d’URL en conflit, le chemin d’accès le plus long est appliqué. Par exemple, la stratégie d’indicateur d’URL https://support.microsoft.com/office est prioritaire sur la stratégie d’indicateur d’URL https://support.microsoft.com.

Implémentation de la protection réseau

Dans les processus non-Microsoft Edge, la Protection réseau détermine le nom de domaine complet pour chaque connexion HTTPS en examinant le contenu de l’établissement d’une liaison TLS qui se produit après une liaison TCP/IP. Cela nécessite que la connexion HTTPS utilise TCP/IP (et non UDP/QUIC) et que le message ClientHello ne soit pas chiffré. Pour désactiver QUIC et Encrypted Client Hello dans Google Chrome, consultez QuicAllowed et EncryptedClientHelloEnabled. Pour Mozilla Firefox, consultez Désactiver EncryptedClientHello et network.http.http3.enable.

La détermination de l’autorisation ou du blocage de l’accès à un site est effectuée après l’achèvement de la négociation triple via TCP/IP et toute négociation TLS. Par conséquent, lorsqu’un site est bloqué par la protection réseau, vous pouvez voir un type d’action sous ConnectionSuccessNetworkConnectionEvents dans le portail Microsoft Defender, même si le site a été bloqué. NetworkConnectionEvents sont signalés à partir de la couche TCP, et non à partir de la protection réseau. Une fois la négociation triple terminée, l’accès au site est autorisé ou bloqué par la protection réseau.

Voici un exemple de fonctionnement :

1. Supposons qu’un utilisateur tente d’accéder à un site web sur son appareil. Le site est hébergé sur un domaine dangereux et doit être bloqué par la protection réseau.

2. L’établissement d’une liaison TCP/IP commence. Avant qu’elle ne se termine, une NetworkConnectionEvents action est journalisée et son ActionType est répertorié en tant que ConnectionSuccess. Toutefois, dès que le processus d’établissement d’une liaison TCP/IP est terminé, la protection réseau bloque l’accès au site. Tout cela se produit rapidement. Un processus similaire se produit avec Microsoft Defender SmartScreen ; c’est une fois la négociation terminée qu’une détermination est effectuée et l’accès à un site est bloqué ou autorisé.

3. Dans le portail Microsoft Defender, une alerte est répertoriée dans la file d’attente des alertes. Les détails de cette alerte incluent à la fois NetworkConnectionEvents et AlertEvents. Vous pouvez voir que le site a été bloqué, même si vous avez également un NetworkConnectionEvents élément avec l’ActionType de ConnectionSuccess.

Contrôles du mode d’avertissement

Lorsque vous utilisez le mode d’avertissement, vous pouvez configurer les contrôles suivants :

• Capacité de contournement

  • Bouton Autoriser dans Microsoft Edge
  • Bouton Autoriser sur toast (navigateurs non-Microsoft)
  • Ignorer le paramètre de durée sur l’indicateur
  • Contourner l’application sur les navigateurs Microsoft et non-Microsoft

• URL de redirection

  • Paramètre URL de redirection sur l’indicateur
  • URL de redirection dans Microsoft Edge
  • URL de redirection sur toast (navigateurs non-Microsoft)

Pour plus d’informations, consultez Gouverner les applications découvertes par Microsoft Defender pour point de terminaison.

Ordre de gestion des conflits d’URL IP et de stratégie de domaine de l’indicateur

La gestion des conflits de stratégie pour les domaines/URL/adresses IP diffère de la gestion des conflits de stratégie pour les certificats.

Dans le cas où plusieurs types d’actions différents sont définis sur le même indicateur (par exemple, trois indicateurs pour Microsoft.com avec les types d’action bloquer, avertir et autoriser), l’ordre dans lequel ces types d’actions prennent effet est le suivant :

1. Autoriser

2. Avertir

3. Bloquer

« Allow » remplace « warn », qui remplace « block », comme suit : AllowBlock>Warn>. Par conséquent, dans l’exemple précédent, Microsoft.com serait autorisé.

indicateurs de Defender for Cloud Apps

Si votre organization a activé l’intégration entre Defender pour point de terminaison et Defender for Cloud Apps, des indicateurs de blocage sont créés dans Defender pour point de terminaison pour toutes les applications cloud non approuvées. Si une application est placée en mode moniteur, des indicateurs d’avertissement (bloc contournable) sont créés pour les URL associées à l’application. Les indicateurs d’autorisation ne sont pas créés automatiquement pour les applications approuvées. Les indicateurs créés par Defender for Cloud Apps suivent la même gestion des conflits de stratégie que celle décrite dans la section précédente.

Priorité des stratégies

Microsoft Defender pour point de terminaison stratégie est prioritaire sur Microsoft Defender stratégie antivirus. Dans les situations où Defender pour point de terminaison est défini sur Allow, mais Microsoft Defender Antivirus a la valeur Block, le résultat est Allow.

Priorité pour plusieurs stratégies actives

L’application de plusieurs stratégies de filtrage de contenu web différentes sur le même appareil entraîne l’application de la stratégie plus restrictive pour chaque catégorie. Prenons l’exemple du scénario suivant :

• La stratégie 1 bloque les catégories 1 et 2 et audite le reste
• La stratégie 2 bloque les catégories 3 et 4 et audite le reste

Le résultat est que les catégories 1 à 4 sont toutes bloquées. Ce scénario est illustré dans l’image suivante.

Créer un indicateur pour les adresses IP, les URL ou les domaines à partir de la page des paramètres

1. Dans le volet de navigation, sélectionnez Paramètres Indicateurs>de >points de terminaison(sous Règles).

2. Sélectionnez l’onglet Adresses IP ou URL/Domaines .

3. Sélectionnez Ajouter un élément.

4. Spécifiez les détails suivants :

   • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
   • Action : spécifiez l’action à entreprendre et fournissez une description.
   • Étendue : spécifiez le ou les groupes de machines qui doivent appliquer l’indicateur.

5. Passez en revue les détails sous l’onglet Résumé , puis sélectionnez Enregistrer.

Articles connexes

• Créer des indicateurs
• Créer des indicateurs pour les fichiers
• Créer des indicateurs basés sur des certificats
• Gérer des indicateurs
• Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender