Web 保護

關於網路防護

適用於端點的 Microsoft Defender 中的網路防護功能，包含網路威脅防護、網頁內容過濾及自訂指標。 網路保護能讓你的裝置免受網路威脅，並協助你規範不受歡迎的內容。 你可以在 Microsoft Defender 入口網站的「網路防護報告>」中找到網路防護報告。

網頁威脅防護

構成網路威脅防護的卡片包括隨 時間的網路威脅偵測 與 網路威脅摘要。

網路威脅防護包括：

• 全面掌握影響您組織的網路威脅。
• 透過警示與完整的 URL 檔案及存取這些 URL 的裝置，調查與網路相關的威脅活動。
• 完整的安全功能，追蹤惡意及不受歡迎網站的一般存取趨勢。

在非 Microsoft Edge 流程中，網路保護會透過檢查 TCP/IP 握手後發生的 TLS 握手內容，判定每個 HTTPS 連線的完整資格網域名稱。 這需要 HTTPS 連線使用 TCP/IP (而非 UDP/QUIC) ，且 ClientHello 訊息不得加密。 要在 Google Chrome 中停用 QUIC 和 Encrypted Client Hello，請參見 QuicAllowed 和 EncryptedClientHelloEnabled。 關於 Mozilla Firefox，請參見 Disable EncryptedClientHello 和 network.http.http3.enable。

從指示器加入到用戶端強制執行之間，通常會有長達兩小時的延遲 (且) 較短。 欲了解更多資訊，請參閱 網路威脅防護。

自訂指示器

自訂指標偵測會在網路威脅報告中彙整，分類為「 網路威脅偵測隨時間 」及「 網路威脅摘要」。

自訂指示器提供：

• 能夠建立基於 IP 和 URL 的入侵指標，以保護你的組織免受威脅。
• 能夠指定允許、封鎖或警告行為。
• 調查與您自訂 IP/URL 指標及存取這些 URL 的裝置相關的活動。

欲了解更多資訊，請參閱 「建立 IP 及 URL/網域指標」

Web 內容篩選

網頁內容過濾區塊會依類別整理為 網頁活動、 網頁內容過濾摘要及 網頁活動摘要。

網頁內容過濾提供：

• 能夠阻擋用戶存取被封鎖類別的網站，無論是在本地瀏覽還是離線瀏覽。
• 支援針對不同裝置群組針對不同裝置群組，針對適用於端點的 Microsoft Defender 角色基礎存取控制設定。

  注意事項

  裝置群組建立在 Defender for Endpoint Plan 1 和 Plan 2 中也支援。

• 網頁報告集中在同一個中心地點，並能看到區塊和網路使用情況。

欲了解更多資訊，請參閱網頁內容過濾。

優先順序

網路防護由以下幾個組成部分組成，依優先順序排列。 這些元件由 Microsoft Edge 的 SmartScreen 用戶端以及其他瀏覽器和程序中的 Network Protection 用戶端強制執行。

• 自訂指標 (IP/URL，Microsoft Defender for Cloud Apps政策)

  • 允許
  • 警告
  • 封鎖

• 網路威脅 (惡意軟體、釣魚)

  • 智慧螢幕英特爾

• WCF (網頁內容過濾)

優先順序與評估 URL 或 IP 的操作順序有關。 例如，如果你有網頁內容過濾政策，可以透過自訂的 IP/URL 指示器來建立排除項目。 IoC) (自訂入侵指標的優先順序高於 WCF 區塊。

同樣地，在指示器衝突時，允許總是優先於區塊 (覆蓋邏輯) 。 這表示允許指示器優先於任何存在的區塊指示器。

下表總結了一些常見的配置，這些配置可能會在網路保護堆疊中產生衝突。 同時根據本文前述的先例，還會根據所產生的判定結果。

自訂指示器不支援內部 IP 位址。 當最終使用者繞過警告政策時，該用戶的網站預設會解封 24 小時。 這個時間範圍可由管理員修改，並由 SmartScreen 雲端服務傳遞。 在 Microsoft Edge 中，也可以使用 CSP 來停用繞過警告的功能，以阻擋惡意軟體/釣魚) 的網路威脅阻擋 (。 欲了解更多資訊，請參閱 Microsoft Edge 智慧螢幕設定。

保護瀏覽器

在所有網頁保護情境中，SmartScreen 與網路保護可同時使用，以確保 Microsoft 及非 Microsoft 瀏覽器與程序間的保護。 SmartScreen 直接內建於 Microsoft Edge，而網路保護則監控非 Microsoft 瀏覽器與程序的流量。 下圖說明了這個概念。 這張圖表顯示兩個客戶端協同合作，提供多重瀏覽器/應用程式覆蓋，適用於網路防護 (指標、網路威脅、內容過濾) 的所有功能。

端點區塊故障排除

SmartScreen 雲端的回應是標準化的。 像 Telerik Fiddler 這類工具可以用來檢查雲端服務的回應，幫助判斷區塊的來源。

當 SmartScreen 雲端服務回應允許、封鎖或警告時，回應類別與伺服器上下文會被中繼回傳給用戶端。 在 Microsoft Edge 中，回應類別用來判斷適當的封鎖頁面，以顯示惡意、釣魚或組織政策) (。

下表顯示回應及其相關特徵。

進階搜尋網路防護

進階搜尋中的 Kusto 查詢可用於總結您組織內長達 30 天的網路防護封鎖。 這些查詢利用上述資訊區分各種區塊來源，並以使用者友善的方式進行摘要。 例如，以下查詢列出所有來自 Microsoft Edge 的 WCF 區塊。

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

同樣地，您可以使用以下查詢列出所有來自網路保護 (的 WCF 區塊，例如非Microsoft瀏覽器) 中的 WCF 區塊。 該 ActionType 已更新並 Experience 改為 ResponseCategory。

DeviceEvents
| where ActionType == "ExploitGuardNetworkProtectionBlocked"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory)
| where ResponseCategory == "CustomPolicy"

若要列出因其他功能 (如自訂指示器) 而產生的區塊，請參考本文前述的表格。 表格概述了每個特徵及其相應的回應類別。 這些查詢可以被修改，以搜尋與組織中特定機器相關的遙測數據。 每個查詢中顯示的 ActionType 只顯示被 Web Protection 功能阻擋的連線，而非所有網路流量。

使用者體驗

如果使用者造訪一個存在惡意軟體、釣魚或其他網路威脅風險的網頁，Microsoft Edge 會顯示一個類似以下圖片的封鎖頁面：

從 Microsoft Edge 124 開始，以下封鎖頁面顯示所有網頁內容過濾分類封鎖。

無論如何，非 Microsoft 瀏覽器中不會顯示封鎖頁面，使用者會看到「安全連線失敗」頁面及 Windows 吐司通知。 根據負責封鎖的政策，使用者會在吐司通知中看到不同的訊息。 例如，網頁內容過濾會顯示「此內容已被封鎖」的訊息。

報告誤報

若要對 SmartScreen 判定為危險的網站報告誤報，請使用本文前述) (Microsoft 封鎖頁面上的連結。

對於 WCF，你可以使用允許指示器覆寫封鎖，並可選擇性地爭議網域的類別。 請前往 WCF 報告的 「網域」 分頁。 你會看到每個領域旁邊都有省略號。 將滑鼠移至此省略號上，選擇 爭議類別。 飛球開啟。 設定事件的優先順序，並提供其他細節，例如建議的類別。 欲了解更多如何開啟 WCF 及如何爭議分類的資訊，請參閱網頁內容過濾。

欲了解更多如何提交誤判/誤報的資訊，請參閱「處理 適用於端點的 Microsoft Defender 中的假陽性/假陰性」。

相關文章