Untersuchen von Verbindungsereignissen hinter Weiterleitungsproxys
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Defender für Endpunkt unterstützt die Netzwerkverbindungsüberwachung von verschiedenen Ebenen des Netzwerkstapels. Ein schwieriger Fall ist, wenn das Netzwerk einen Weiterleitungsproxy als Gateway zum Internet verwendet.
Der Proxy verhält sich so, als wäre er der Zielendpunkt. In diesen Fällen überwachen einfache Netzwerkverbindungen die Verbindungen mit dem Proxy, der korrekt ist, aber einen niedrigeren Untersuchungswert aufweist.
Defender für Endpunkt unterstützt erweiterte Überwachung auf HTTP-Ebene durch Netzwerkschutz. Wenn diese Option aktiviert ist, wird ein neuer Ereignistyp angezeigt, der die tatsächlichen Zieldomänennamen verfügbar macht.
Verwenden des Netzwerkschutzes zum Überwachen der Netzwerkverbindung hinter einer Firewall
Die Überwachung der Netzwerkverbindung hinter einem Vorwärtsproxy ist aufgrund anderer Netzwerkereignisse möglich, die aus dem Netzwerkschutz stammen. Um sie auf einem Gerät Zeitleiste anzuzeigen, aktivieren Sie den Netzwerkschutz (mindestens im Überwachungsmodus).
Der Netzwerkschutz kann mit den folgenden Modi gesteuert werden:
- Blockieren: Benutzer oder Apps können keine Verbindung mit gefährlichen Domänen herstellen. Diese Aktivität wird in Microsoft Defender XDR angezeigt.
- Überwachung: Benutzer oder Apps werden nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. Diese Aktivität wird jedoch weiterhin in Microsoft Defender XDR angezeigt.
Wenn Sie den Netzwerkschutz deaktivieren, werden Benutzer oder Apps nicht daran gehindert, eine Verbindung mit gefährlichen Domänen herzustellen. In Microsoft Defender XDR werden keine Netzwerkaktivitäten angezeigt.
Wenn Sie dies nicht konfigurieren, ist die Netzwerkblockierung standardmäßig deaktiviert.
Weitere Informationen finden Sie unter Aktivieren des Netzwerkschutzes.
Auswirkungen der Untersuchung
Wenn der Netzwerkschutz aktiviert ist, sehen Sie, dass auf dem Zeitleiste eines Geräts die IP-Adresse weiterhin den Proxy darstellt, während die tatsächliche Zieladresse angezeigt wird.
Andere Ereignisse, die von der Netzwerkschutzebene ausgelöst werden, sind jetzt verfügbar, um die tatsächlichen Domänennamen auch hinter einem Proxy anzuzeigen.
Ereignisinformationen:
Suchen nach Verbindungsereignissen mithilfe der erweiterten Suche
Alle neuen Verbindungsereignisse können Sie auch über die erweiterte Suche verfolgen. Da es sich bei diesen Ereignissen um Verbindungsereignisse handelt, finden Sie sie unter dem Aktionstyp in der ConnecionSuccess
Tabelle DeviceNetworkEvents.
Mithilfe dieser einfachen Abfrage werden alle relevanten Ereignisse angezeigt:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Sie können auch Ereignisse herausfiltern, die sich auf die Verbindung mit dem Proxy selbst beziehen.
Verwenden Sie die folgende Abfrage, um die Verbindungen mit dem Proxy herauszufiltern:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Verwandte Artikel
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.