Исследование событий подключения, происходящих за прокси-серверами переадресации

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Defender для конечной точки поддерживает мониторинг сетевых подключений с разных уровней сетевого стека. Сложный случай заключается в том, что сеть использует прокси-сервер пересылки в качестве шлюза к Интернету.

Прокси-сервер действует так, как если бы он был целевой конечной точкой. В таких случаях простой мониторинг сетевых подключений выполняет аудит подключений с помощью правильного прокси-сервера, но имеет меньшее значение для исследования.

Defender для конечной точки поддерживает расширенный мониторинг на уровне HTTP с помощью защиты сети. Если этот параметр включен, возникает событие нового типа, которое предоставляет реальные целевые доменные имена.

Использование защиты сети для мониторинга сетевого подключения за брандмауэром

Мониторинг сетевого подключения за прокси-сервером пересылки возможен из-за других сетевых событий, возникающих в результате защиты сети. Чтобы увидеть их на временная шкала устройства, включите защиту сети (как минимум в режиме аудита).

Защита сети может управляться с помощью следующих режимов:

  • Блокировать. Пользователи или приложения не могут подключаться к опасным доменам. Вы увидите это действие в Microsoft Defender XDR.
  • Аудит. Пользователям или приложениям не будет запрещено подключаться к опасным доменам. Однако вы по-прежнему будете видеть это действие в Microsoft Defender XDR.

Если отключить защиту сети, пользователи или приложения не будут заблокированы для подключения к опасным доменам. Вы не увидите никаких сетевых действий в Microsoft Defender XDR.

Если его не настроить, блокировка сети будет отключена по умолчанию.

Дополнительные сведения см. в разделе Включение защиты сети.

Влияние на исследование

Если защита сети включена, вы увидите, что на временная шкала устройства IP-адрес по-прежнему представляет прокси-сервер, в то время как отображается реальный целевой адрес.

Сетевые события на временная шкала устройства

Другие события, вызванные уровнем защиты сети, теперь доступны для отображения реальных доменных имен даже за прокси-сервером.

Сведения о событии:

URL-адреса одного сетевого события

Поиск событий подключения с помощью расширенной охоты

Все новые события подключения также доступны для охоты через расширенную охоту. Так как эти события являются событиями подключения, их можно найти в таблице DeviceNetworkEvents под типом ConnecionSuccess действия.

При использовании этого простого запроса отображаются все соответствующие события:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

Расширенный запрос охоты

Вы также можете отфильтровать события, связанные с подключением к самому прокси-серверу.

Используйте следующий запрос, чтобы отфильтровать подключения к прокси-серверу:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.