Undersöka anslutningshändelser som inträffar bakom vidarebefordrade proxy
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för Endpoint har stöd för övervakning av nätverksanslutningen från olika nivåer av nätverksstacken. Ett svårt fall är när nätverket använder en framåtproxy som en gateway till Internet.
Proxyn fungerar som om den var målslutpunkten. I dessa fall granskar enkla nätverksanslutningsskärmar anslutningarna med proxyn som är korrekta men har lägre undersökningsvärde.
Defender för Endpoint har stöd för avancerad HTTP-nivåövervakning via nätverksskydd. När den är aktiverad visas en ny typ av händelse där de verkliga domännamnen visas.
Använda nätverksskydd för att övervaka nätverksanslutningen bakom en brandvägg
Att övervaka nätverksanslutningen bakom en proxy är möjlig på grund av andra nätverkshändelser som kommer från nätverksskyddet. Om du vill visa dem på en tidslinje på en enhet aktiverar du nätverksskydd (minst i granskningsläge).
Nätverksskyddet kan styras med hjälp av följande lägen:
- Blockera: Användare eller appar kommer att blockeras från att ansluta till skadliga domäner. Du kan se den här aktiviteten i Microsoft 365 Defender.
- Granskning: Användare eller appar kommer inte att blockeras från att ansluta till skadliga domäner. Du ser dock fortfarande den här aktiviteten i Microsoft 365 Defender.
Om du stänger av nätverksskyddet blockeras inte användare eller appar från att ansluta till skadliga domäner. Du ser ingen nätverksaktivitet i Microsoft 365 Defender.
Om du inte konfigurerar den inaktiveras nätverksblockering som standard.
Mer information finns i Aktivera nätverksskydd.
Undersöknings påverkan
När nätverksskyddet är aktiverat ser du att IP-adressen fortsätter representera proxyn på en enhets tidslinje, medan den verkliga måladressen visas.

Andra händelser som utlöses av nätverkets skyddslager är nu tillgängliga för att ta fram de verkliga domännamnen även bakom en proxy.
Händelsens information:

Sök efter anslutningshändelser med avancerad sökning
Alla nya anslutningshändelser är också tillgängliga så att du kan leta efter avancerad sökning. Eftersom dessa händelser är anslutningshändelser kan du hitta dem under tabellen DeviceNetworkEvents under ConnecionSuccess åtgärdstyp.
Med den här enkla frågan visas alla relevanta händelser:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

Du kan också filtrera bort händelser som är relaterade till anslutningen till själva proxyn.
Använd följande fråga för att filtrera ut anslutningarna till proxyn:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10