Investigar eventos de conexión que ocurren tras los servidores proxy de reenvío
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Defender for Endpoint admite la supervisión de conexiones de red desde distintos niveles de la pila de red. Un caso difícil es cuando la red usa un proxy de reenvío como puerta de enlace a Internet.
El proxy actúa como si fuera el punto de conexión de destino. En estos casos, los monitores de conexión de red simples auditan las conexiones con el proxy que son correctas pero tienen un valor de investigación inferior.
Defender for Endpoint admite la supervisión avanzada de nivel HTTP a través de la protección de red. Cuando está activado, aparece un nuevo tipo de evento que expone los nombres de dominio de destino reales.
Uso de la protección de red para supervisar la conexión de red detrás de un firewall
La supervisión de la conexión de red detrás de un proxy de reenvío es posible debido a otros eventos de red que se originan en la protección de red. Para verlos en una escala de tiempo del dispositivo, active la protección de red (como mínimo en modo de auditoría).
La protección de red se puede controlar mediante los modos siguientes:
- Bloquear: se impide que los usuarios o las aplicaciones se conecten a dominios peligrosos. Podrá ver esta actividad en Microsoft Defender XDR.
- Auditoría: no se bloqueará la conexión de usuarios o aplicaciones a dominios peligrosos. Sin embargo, seguirá viendo esta actividad en Microsoft Defender XDR.
Si desactiva la protección de red, no se bloqueará la conexión de usuarios o aplicaciones a dominios peligrosos. No verá ninguna actividad de red en Microsoft Defender XDR.
Si no lo configura, el bloqueo de red se desactiva de forma predeterminada.
Para obtener más información, consulte Habilitación de la protección de red.
Impacto en la investigación
Cuando se activa la protección de red, verá que, en la escala de tiempo de un dispositivo, la dirección IP sigue representando el proxy, mientras que la dirección de destino real aparece.
Otros eventos desencadenados por la capa de protección de red ahora están disponibles para exponer los nombres de dominio reales incluso detrás de un proxy.
Información del evento:
Búsqueda de eventos de conexión mediante la búsqueda avanzada
Todos los nuevos eventos de conexión están disponibles para que usted pueda buscar a través de la búsqueda avanzada también. Dado que estos eventos son eventos de conexión, puede encontrarlos en la tabla DeviceNetworkEvents en el ConnecionSuccess
tipo de acción.
Con esta consulta sencilla se muestran todos los eventos pertinentes:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
También puede filtrar los eventos relacionados con la conexión con el propio proxy.
Use la consulta siguiente para filtrar las conexiones al proxy:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Artículos relacionados
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.