Undersøg forbindelseshændelser, der opstår bag fremadrettet proxyer

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Defender for Endpoint understøtter overvågning af netværksforbindelser fra forskellige niveauer af netværksstakken. En udfordrende sag er, når netværket bruger en videresendelsesproxy som gateway til internettet.

Proxyen fungerer, som om det var destinationsslutpunktet. I disse tilfælde overvåger simple netværksforbindelser forbindelserne med den korrekte proxy, men har en lavere undersøgelsesværdi.

Defender for Endpoint understøtter avanceret overvågning på HTTP-niveau via netværksbeskyttelse. Når den er slået til, vises der en ny type hændelse, som viser de rigtige destinationsdomænenavne.

Brug netværksbeskyttelse til at overvåge netværksforbindelsen bag en firewall

Det er muligt at overvåge netværksforbindelsen bag en fremadrettet proxy på grund af andre netværkshændelser, der stammer fra netværksbeskyttelse. Hvis du vil se dem på en enheds tidslinje, skal du slå netværksbeskyttelse til (som minimum i overvågningstilstand).

Netværksbeskyttelse kan styres ved hjælp af følgende tilstande:

• Blok: Brugere eller apps er blokeret fra at oprette forbindelse til farlige domæner. Du kan se denne aktivitet i Microsoft Defender XDR.
• Overvågning: Brugere eller apps blokeres ikke fra at oprette forbindelse til farlige domæner. Du kan dog stadig se denne aktivitet i Microsoft Defender XDR.

Hvis du slår netværksbeskyttelse fra, blokeres brugere eller apps ikke fra at oprette forbindelse til farlige domæner. Du kan ikke se nogen netværksaktivitet i Microsoft Defender XDR.

Hvis du ikke konfigurerer den, er netværksblokering som standard slået fra.

Du kan få flere oplysninger under Aktivér netværksbeskyttelse.

Undersøgelsesvirkning

Når netværksbeskyttelse er slået til, kan du se, at IP-adressen fortsat repræsenterer proxyen på en enheds tidslinje, mens den rigtige destinationsadresse vises.

Andre hændelser, der udløses af netværksbeskyttelseslaget, er nu tilgængelige til at vise de rigtige domænenavne, selv bag en proxy.

Oplysninger om begivenheden:

Jagt efter forbindelseshændelser ved hjælp af avanceret jagt

Alle nye forbindelsesarrangementer er også tilgængelige for dig at jage på gennem avanceret jagt. Da disse hændelser er forbindelseshændelser, kan du finde dem under tabellen DeviceNetworkEvents under ConnecionSuccess handlingstypen.

Ved hjælp af denne enkle forespørgsel kan du se alle de relevante hændelser:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

Du kan også filtrere hændelser, der er relateret til forbindelsen til selve proxyen, fra.

Brug følgende forespørgsel til at filtrere forbindelserne til proxyen fra:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Relaterede artikler

• Anvendelse af netværksbeskyttelse med GP – politik-CSP

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.