Web 保護

關於網頁保護

適用於端點的 Microsoft Defender中的 Web 保護是由 Web 威脅防護、Web 內容過濾和自定義指標組成的功能。 Web 保護可讓您保護裝置免受 Web 威脅，並協助您管理不需要的內容。 您可以移至 [報表 > Web 保護] ，在 Microsoft Defender 入口網站中找到 Web 保護報告。

網頁威脅防護

構成 Web 威脅防護的卡片是 一段時間內的 Web 威脅偵測 和 Web 威脅摘要。

Web 威脅防護包括：

• 全面了解影響您組織的 Web 威脅。
• 透過 URL 和存取這些 URL 的裝置的警示和完整設定檔來調查與 Web 相關的威脅活動。
• 一整套安全功能，可追蹤惡意和不需要的網站的一般存取趨勢。

在非 Microsoft Edge 程式中，網路保護會檢查 TCP/IP 交握之後發生的 TLS 交握內容，以判斷每個 HTTPS 連線的完整網域名稱。 這需要HTTPS連線使用TCP/IP (而不是UDP/QUIC) ，並且ClientHello訊息未加密。 若要在 Google Chrome 中停用 QUIC 和加密用戶端 Hello，請參閱 QuicAllowed 和 EncryptedClientHelloEnabled。 對於 Mozilla Firefox，請參閱 停用 EncryptedClientHello 和 network.http.http3.enable。

在新增指標與在用戶端上強制執行指標之間，最多可能有兩個小時的延遲 (通常) 較短。 如需詳細資訊，請參閱 Web 威脅防護。

自訂指標

自訂指標偵測會摘要在 Web 威脅報告中，在 一段時間內的 Web 威脅偵測 和 Web 威脅摘要下。

自訂指標提供：

• 能夠建立 IP 和 URL 型入侵指標，以保護您的組織免受威脅。
• 指定允許、封鎖或警告行為的能力。
• 與自訂 IP/URL 指標相關的活動以及存取這些 URL 的裝置的調查功能。

如需詳細資訊，請參閱 建立 IP 和 URL/網域的指標

Web 內容篩選

網頁內容篩選區塊摘要如下： 依類別的網頁活動、 網頁內容篩選摘要和 網頁活動摘要。

Web 內容過濾提供：

• 能夠阻止用戶訪問被阻止類別中的網站，無論他們是在本地還是外地瀏覽。
• 支援將不同的原則鎖定適用於端點的 Microsoft Defender 角色型存取控制設定中定義的不同裝置群組。

  注意事項

  適用於端點的 Defender 方案 1 和方案 2 支援裝置群組建立。

• 在同一個中央位置進行 Web 報告，可查看區塊和 Web 使用情況。

如需詳細資訊，請參閱 Web 內容篩選。

優先順序

Web 保護由下列元件組成，依優先順序列出。 每個元件都會由 Microsoft Edge 中的 SmartScreen 用戶端，以及所有其他瀏覽器和進程中的網路保護用戶端強制執行。

• 自訂指標 (IP/URL、Microsoft Defender for Cloud Apps原則)

  • 允許
  • 誡
  • 封鎖

• 惡意軟體、網路釣魚) (網路威脅

  • SmartScreen 英特爾

• WCF) (Web 內容篩選

優先順序與評估 URL 或 IP 的作業順序有關。 例如，如果您有 Web 內容過濾原則，則可以透過自訂 IP/URL 指標建立排除項目。 IoC) (入侵的自訂指標的優先順序高於 WCF 區塊。

同樣地，在指標之間的衝突期間，允許一律優先於區塊 (覆寫邏輯) 。 這表示允許指示器優先於任何存在的區塊指示器。

下表摘要說明一些常見設定，這些設定會在 Web 保護堆疊內呈現衝突。 它也會根據本文稍早所述的優先順序來識別產生的決定。

自訂指標不支援內部 IP 位址。 對於使用者略過的警告原則，預設情況下，該使用者的網站會解除封鎖 24 小時。 此時間範圍可由管理員修改，並由 SmartScreen 雲端服務傳遞。 也可以在 Microsoft Edge 中使用 CSP 來停用繞過警告的功能，以封鎖 Web 威脅封鎖， (惡意軟體/網路釣魚) 。 如需詳細資訊，請參閱 Microsoft Edge SmartScreen 設定。

保護瀏覽器

在所有 Web 保護案例中，SmartScreen 和網路保護可以一起使用，以確保跨 Microsoft 和非 Microsoft 瀏覽器和進程提供保護。 SmartScreen 直接內建於 Microsoft Edge 中，而網路保護則監控非 Microsoft 瀏覽器和進程中的流量。 下圖說明此概念。 此兩個用戶端共同作業以提供多個瀏覽器/應用程式涵蓋範圍的圖表，對於 Web 保護 (指標、Web 威脅、內容篩選) 的所有功能都是準確的。

疑難排解端點區塊

來自 SmartScreen 雲端的回應是標準化的。 Telerik Fiddler 等工具可用於檢查來自雲端服務的回應，這有助於確定區塊的來源。

當 SmartScreen 雲端服務以允許、封鎖或警告回應回應回應時，回應類別和伺服器內容會轉送回用戶端。 在 Microsoft Edge 中，回應類別是用來判斷適當的封鎖頁面，以顯示惡意、網路釣魚、組織原則) (。

下表顯示回應及其相關特徵。

Web 保護的進階搜捕

進階搜捕中的 Kusto 查詢可用來摘要組織中的 Web 保護區塊，最多 30 天。 這些查詢使用上面列出的資訊來區分區塊的各種來源，並以使用者友好的方式對它們進行總結。 例如，下列查詢會列出源自 Microsoft Edge 的所有 WCF 區塊。

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

同樣地，您可以使用下列查詢來列出源自網路保護的所有 WCF 區塊，例如，非Microsoft瀏覽器) 中的 WCF 區塊 (。 已 ActionType 更新並 Experience 變更為 ResponseCategory。

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

若要列出由於其他功能（例如自訂指標) ）而產生的區塊 (，請參閱本文稍早列出的表格。 下表概述了每個功能及其各自的回應類別。 您可以修改這些查詢，以搜尋與組織中特定機器相關的遙測。 每個查詢中顯示的 ActionType 只會顯示 Web 保護功能封鎖的連線，而不是所有網路流量。

使用者體驗

如果使用者流覽有惡意代碼、網路釣魚或其他網路威脅風險的網頁，Microsoft Edge 會顯示類似下圖的封鎖頁面：

從 Microsoft Edge 124 開始，所有 Web 內容篩選類別區塊都會顯示下列封鎖頁面。

在任何情況下，非 Microsoft 瀏覽器中都不會顯示任何封鎖頁面，使用者會改為看到「安全連線失敗」頁面以及 Windows 快顯通知。 視負責封鎖的原則而定，使用者會在快顯通知中看到不同的訊息。 例如，Web 內容篩選會顯示訊息「此內容已封鎖」。

報告誤報

若要報告 SmartScreen 視為危險網站的誤判，請使用 Microsoft Edge (中封鎖頁面上顯示的連結，如本文前面所示) 。

針對 WCF，您可以使用 [允許] 指示器覆寫區塊，並選擇性地對網域的類別提出爭議。 流覽至 WCF 報表的 [網域] 索引標籤。 您會在每個網域旁邊看到一個省略號。 將滑鼠停留在此省略號上，然後選取 [爭議類別]。 飛出視窗隨即開啟。 設定事件的優先順序並提供一些其他詳細資訊，例如建議的類別。 如需如何開啟 WCF 以及如何對類別提出爭議的詳細資訊，請參閱 Web 內容篩選。

如需如何提交誤判/負面的詳細資訊，請參閱 解決適用於端點的 Microsoft Defender 中的誤判/負面適用於端點的 Microsoft Defender。

相關文章