調查正向 Proxy 背後發生的連線事件

適用於:

想要體驗 Defender for Endpoint? 注册免費試用版。

Defender for Endpoint 支援來自不同網路堆疊層級的網路連線監視。 一個挑戰性的案例是,網路使用轉寄 proxy 做為網際網路的閘道。

Proxy 的運作方式就如同目標端點。 在這些情況下,「簡易網路連線監視器」會審核與正確但是具有較低調查值之 proxy 的連線。

Endpoint for Endpoint 支援透過網路保護進行的高級 HTTP 層級監視。 開啟時,會呈現出公開實際目標功能變數名稱的新事件種類。

使用網路防護來監視防火牆後的網路連線

因為來自網路保護的其他網路事件,所以可以監視正向 proxy 背後的網路連線。 若要在裝置時程表上查看它們,請在 (中至少以「審計模式」) 中開啟 [網路保護]。

您可以使用下列模式來控制網路保護:

  • 封鎖:系統會封鎖使用者或應用程式,使其無法連線到危險網域。 您將可以在 Microsoft Defender 資訊安全中心中看到此活動。
  • Audit:使用者或應用程式不會遭到封鎖,無法連線到危險網域。 不過,您在 Microsoft Defender 資訊安全中心仍會看到這項活動。

如果關閉網路保護,將不會封鎖使用者或應用程式連線到危險網域。 您不會在 Microsoft Defender 資訊安全中心中看到任何網路活動。

如果您未設定它,預設會關閉網路封鎖功能。

如需詳細資訊,請參閱 Enable network protection

調查影響

當網路保護開啟時,您會在裝置的時程表上看到 IP 位址會保留 proxy,而實際的目標位址會顯示。

裝置時程表上之網路事件的影像。

網路保護層所觸發的其他事件現在可用於呈現真實的功能變數名稱,甚至是在 proxy 之後。

事件資訊:

單一網路事件的圖像。

使用高級搜尋來尋找連接事件

您也可以透過高級搜尋來尋找所有新的線上活動。 因為這些事件是線上活動,所以您可以在 [動作類型] 底下的 [DeviceNetworkEvents] 表格底下找到這些事件 ConnecionSuccess

使用此簡單查詢會顯示所有相關的事件:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

高級搜尋查詢的影像。

您也可以篩選出與 proxy 本身連線相關的事件。

使用下列查詢篩選出 proxy 的連線:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10