التحقق من أحداث الاتصال التي تحدث خلف نيات إعادة توجيه

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

يدعم Defender لنقطة النهاية مراقبة اتصال الشبكة من مستويات مختلفة من مكدس الشبكة. الحالة الصعبة هي عندما تستخدم الشبكة وكيلا للأمام كبوابة إلى الإنترنت.

يعمل الوكيل كما لو كان نقطة النهاية الهدف. في هذه الحالات، يراقب اتصال الشبكة البسيط تدقيق الاتصالات مع الوكيل الصحيح ولكن له قيمة تحقيق أقل.

يدعم Defender لنقطة النهاية المراقبة المتقدمة على مستوى HTTP من خلال حماية الشبكة. عند التشغيل، يتم عرض نوع جديد من الأحداث الذي يعرض أسماء المجالات الهدف الحقيقية.

استخدام حماية الشبكة لمراقبة اتصال الشبكة خلف جدار حماية

يمكن مراقبة اتصال الشبكة خلف وكيل إعادة توجيه بسبب أحداث الشبكة الأخرى التي تنشأ من حماية الشبكة. لمشاهدتها على مخطط زمني للجهاز، قم بتشغيل حماية الشبكة (كحد أدنى في وضع التدقيق).

يمكن التحكم في حماية الشبكة باستخدام الأوضاع التالية:

• الحظر: يتم حظر المستخدمين أو التطبيقات من الاتصال بالمجالات الخطرة. ستتمكن من رؤية هذا النشاط في Microsoft Defender XDR.
• التدقيق: لن يتم حظر المستخدمين أو التطبيقات من الاتصال بالمجالات الخطرة. ومع ذلك، ستظل ترى هذا النشاط في Microsoft Defender XDR.

إذا أوقفت تشغيل حماية الشبكة، فلن يتم حظر المستخدمين أو التطبيقات من الاتصال بالمجالات الخطرة. لن ترى أي نشاط شبكة في Microsoft Defender XDR.

إذا لم تقم بتكوينه، فسيتم إيقاف تشغيل حظر الشبكة بشكل افتراضي.

لمزيد من المعلومات، راجع تمكين حماية الشبكة.

تأثير التحقيق

عند تشغيل حماية الشبكة، سترى أنه في المخطط الزمني للجهاز، يستمر عنوان IP في تمثيل الوكيل، بينما يظهر العنوان الهدف الحقيقي.

تتوفر الآن الأحداث الأخرى التي تم تشغيلها بواسطة طبقة حماية الشبكة لعرض أسماء المجالات الحقيقية حتى خلف وكيل.

معلومات الحدث:

البحث عن أحداث الاتصال باستخدام التتبع المتقدم

جميع أحداث الاتصال الجديدة متاحة لك للتتبع من خلال التتبع المتقدم أيضا. نظرا لأن هذه الأحداث هي أحداث اتصال، يمكنك العثور عليها ضمن جدول DeviceNetworkEvents ضمن ConnecionSuccess نوع الإجراء.

يوضح لك استخدام هذا الاستعلام البسيط جميع الأحداث ذات الصلة:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

يمكنك أيضا تصفية الأحداث المتعلقة بالاتصال بالوكيل نفسه.

استخدم الاستعلام التالي لتصفية الاتصالات بالوكيل:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

المقالات ذات الصلة

• تطبيق حماية الشبكة باستخدام GP - نهج CSP

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.