Verbindingsgebeurtenissen achter forward-proxies onderzoeken
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Defender voor Eindpunt ondersteunt bewaking van netwerkverbindingen vanaf verschillende niveaus van de netwerkstack. Een lastig geval is wanneer het netwerk een doorstuurproxy gebruikt als gateway naar internet.
De proxy werkt alsof het het doeleindpunt is. In deze gevallen controleren eenvoudige netwerkverbindingsmonitors de verbindingen met de proxy die juist is, maar een lagere onderzoekswaarde heeft.
Defender voor Eindpunt ondersteunt geavanceerde bewaking op HTTP-niveau via netwerkbeveiliging. Wanneer deze optie is ingeschakeld, wordt er een nieuw type gebeurtenis weergegeven dat de echte doeldomeinnamen zichtbaar maakt.
Netwerkbeveiliging gebruiken om de netwerkverbinding achter een firewall te bewaken
Het bewaken van de netwerkverbinding achter een doorstuurproxy is mogelijk vanwege andere netwerk gebeurtenissen die afkomstig zijn van netwerkbeveiliging. Als u deze wilt zien op een tijdlijn van een apparaat, schakelt u netwerkbeveiliging in (minimaal in de controlemodus).
Netwerkbeveiliging kan worden beheerd met behulp van de volgende modi:
- Blokkeren: gebruikers of apps kunnen geen verbinding maken met gevaarlijke domeinen. U kunt deze activiteit zien in Microsoft Defender XDR.
- Controle: gebruikers of apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. U ziet deze activiteit echter nog steeds in Microsoft Defender XDR.
Als u netwerkbeveiliging uitschakelt, worden gebruikers of apps niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. U ziet geen netwerkactiviteit in Microsoft Defender XDR.
Als u deze niet configureert, is netwerkblokkering standaard uitgeschakeld.
Zie Netwerkbeveiliging inschakelen voor meer informatie.
Impact van onderzoek
Wanneer netwerkbeveiliging is ingeschakeld, ziet u dat op de tijdlijn van een apparaat het IP-adres de proxy blijft vertegenwoordigen, terwijl het echte doeladres wordt weergegeven.
Andere gebeurtenissen die door de netwerkbeveiligingslaag worden geactiveerd, zijn nu beschikbaar om de echte domeinnamen zelfs achter een proxy weer te geven.
Informatie over gebeurtenis:
Zoeken naar verbindingsevenementen met behulp van geavanceerde opsporing
Alle nieuwe verbindingsevenementen zijn ook beschikbaar om op te sporen via geavanceerde opsporing. Omdat deze gebeurtenissen verbindingsevenementen zijn, kunt u ze vinden in de tabel DeviceNetworkEvents onder het ConnecionSuccess actietype.
Met deze eenvoudige query ziet u alle relevante gebeurtenissen:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
U kunt ook gebeurtenissen filteren die betrekking hebben op de verbinding met de proxy zelf.
Gebruik de volgende query om de verbindingen met de proxy uit te filteren:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Verwante artikelen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor