Näytä yhteystapahtumat, jotka tapahtuvat välityspalvelimien takana
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Defender for Endpoint tukee verkkoyhteyksien seurantaa verkkopinon eri tasoilta. Haastavaa on, kun verkko käyttää välityspalvelinta yhdyskäytävänä Internetiin.
Välityspalvelin toimii ikään kuin se olisi kohdepäätepiste. Näissä tapauksissa yksinkertainen verkkoyhteys valvoo yhteyksiä välityspalvelimeen, joka on oikea, mutta jolla on pienempi tutkimusarvo.
Defender for Endpoint tukee edistynyttä HTTP-tason valvontaa verkon suojauksen kautta. Kun se on käytössä, esiin tulee uudenlainen tapahtumatyyppi, joka paljastaa todelliset kohdetoimialuenimet.
Verkon suojauksen avulla voit valvoa palomuurin takana olevan verkkoyhteyden käyttöä
Välityspalvelimen takana olevan verkkoyhteyden valvonta on mahdollista muiden verkkotapahtumien vuoksi, jotka ovat peräisin verkon suojauksesta. Jos haluat nähdä ne laitteen aikajanalla, ota verkon suojaus käyttöön (vähintään valvontatilassa).
Verkon suojausta voidaan hallita seuraavien tilojen avulla:
- Estä: Käyttäjiä tai sovelluksia estetään muodostamasta yhteyttä vaarallisiin toimialueisiin. Näet tämän toiminnon Microsoft Defender XDR.
- Valvonta: Käyttäjiä tai sovelluksia ei estetä muodostamasta yhteyttä vaarallisiin toimialueisiin. Näet kuitenkin tämän toiminnan Microsoft Defender XDR.
Jos poistat verkon suojauksen käytöstä, käyttäjiä tai sovelluksia ei estetä muodostamasta yhteyttä vaarallisiin toimialueisiin. Et näe verkkotoimintaa Microsoft Defender XDR.
Jos et määritä sitä, verkkoesto on oletusarvoisesti poissa käytöstä.
Lisätietoja on artikkelissa Verkon suojauksen ottaminen käyttöön.
Tutkimuksen vaikutus
Kun verkkosuojaus on käytössä, näet laitteen aikajanalla, että IP-osoite edustaa edelleen välityspalvelinta, kun taas todellinen kohdeosoite näkyy.
Muut verkon suojauskerroksen käynnistämät tapahtumat ovat nyt käytettävissä todellisten toimialuenimien näyttämiseksi jopa välityspalvelimen takana.
Tapahtuman tiedot:
Metsästys yhteystapahtumia käyttäen kehittynyttä metsästystä
Kaikki uudet yhteystapahtumat ovat saatavilla metsästämään myös kehittyneen metsästyksen kautta. Koska nämä tapahtumat ovat yhteystapahtumia, ne löytyvät DeviceNetworkEvents-taulukosta ConnecionSuccess toimintotyypin alta.
Tämän yksinkertaisen kyselyn avulla näet kaikki olennaiset tapahtumat:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Voit myös suodattaa pois tapahtumat, jotka liittyvät yhteyteen itse välityspalvelimeen.
Suodata välityspalvelimen yhteydet pois seuraavan kyselyn avulla:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Aiheeseen liittyviä artikkeleita
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle