Badaj zdarzenia połączenia, które występują za serwerami proxy przesyłania dalej

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Usługa Defender for Endpoint obsługuje monitorowanie połączeń sieciowych z różnych poziomów stosu sieciowego. Trudny przypadek dotyczy sytuacji, gdy sieć używa serwera proxy przesyłania dalej jako bramy do Internetu.

Serwer proxy działa tak, jakby był docelowym punktem końcowym. W takich przypadkach proste monitory połączeń sieciowych przeprowadzają inspekcję połączeń z serwerem proxy, który jest poprawny, ale ma niższą wartość badania.

Usługa Defender for Endpoint obsługuje zaawansowane monitorowanie na poziomie HTTP za pośrednictwem ochrony sieci. Po włączeniu pojawia się nowy typ zdarzenia, który uwidacznia prawdziwe nazwy domen docelowych.

Monitorowanie połączenia sieciowego za zaporą przy użyciu ochrony sieci

Monitorowanie połączenia sieciowego za serwerem proxy przesyłania dalej jest możliwe z powodu innych zdarzeń sieciowych pochodzących z ochrony sieci. Aby wyświetlić je na osi czasu urządzenia, włącz ochronę sieci (co najmniej w trybie inspekcji).

Ochronę sieci można kontrolować przy użyciu następujących trybów:

  • Blokuj: użytkownicy lub aplikacje nie mogą łączyć się z niebezpiecznymi domenami. To działanie będzie widoczne w Microsoft Defender XDR.
  • Inspekcja: użytkownicy lub aplikacje nie będą mogli łączyć się z niebezpiecznymi domenami. Jednak nadal będziesz widzieć to działanie w Microsoft Defender XDR.

Jeśli wyłączysz ochronę sieci, użytkownicy lub aplikacje nie będą mogli łączyć się z niebezpiecznymi domenami. W Microsoft Defender XDR nie będzie widoczna żadna aktywność sieciowa.

Jeśli go nie skonfigurujesz, blokowanie sieci jest domyślnie wyłączone.

Aby uzyskać więcej informacji, zobacz Włączanie ochrony sieci.

Wpływ badania

Po włączeniu ochrony sieci zobaczysz, że na osi czasu urządzenia adres IP nadal reprezentuje serwer proxy, a rzeczywisty adres docelowy jest wyświetlany.

Zdarzenia sieciowe na osi czasu urządzenia

Inne zdarzenia wyzwalane przez warstwę ochrony sieci są teraz dostępne, aby wyświetlić prawdziwe nazwy domen nawet za serwerem proxy.

Informacje o zdarzeniu:

Adresy URL pojedynczego zdarzenia sieciowego

Wyszukiwanie zdarzeń połączenia przy użyciu zaawansowanego wyszukiwania zagrożeń

Wszystkie nowe zdarzenia połączenia są dostępne do polowania na poprzez zaawansowane polowania, jak również. Ponieważ te zdarzenia są zdarzeniami połączenia, można je znaleźć w tabeli DeviceNetworkEvents w ConnecionSuccess obszarze typu akcji.

Za pomocą tego prostego zapytania przedstawiono wszystkie istotne zdarzenia:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

Zaawansowane zapytanie dotyczące wyszukiwania zagrożeń

Można również odfiltrować zdarzenia związane z połączeniem z samym serwerem proxy.

Użyj następującego zapytania, aby odfiltrować połączenia z serwerem proxy:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.