הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
Defender for Endpoint תומך בניטור חיבור רשת מרמות שונות של ערימת הרשת. מקרה מאתגר הוא כאשר הרשת משתמשת ב- Proxy העברה כשער לאינטרנט.
ה- Proxy פועל כאילו זו הייתה נקודת הקצה של היעד. במקרים אלה, צגי חיבור רשת פשוטים מבקרים את החיבורים עם ה- Proxy הנכון אך בעלי ערך חקירה נמוך יותר.
Defender for Endpoint תומך בניטור ברמת HTTP מתקדמת באמצעות הגנת רשת. כאשר הוא מופעל, מופיע סוג חדש של אירוע אשר חושף את שמות תחומי היעד האמיתיים.
שימוש בהגנה על רשת כדי לנטר חיבור רשת מאחורי חומת אש
ניטור חיבור רשת מאחורי Proxy העברה אפשרי עקב אירועי רשת אחרים שמקורם בהגנת רשת. כדי לראות אותן בציר זמן של מכשיר, הפעל הגנת רשת (לכל הפחות במצב ביקורת).
ניתן לשלוט בהגנת רשת באמצעות המצבים הבאים:
- חסימה: המשתמשים או היישומים חסומים בהתחברות לתחום מסוכן. תוכל לראות פעילות זו ב- Microsoft Defender XDR.
- ביקורת: המשתמשים או היישומים לא ייחסמו מהתחברות לתחום מסוכן. עם זאת, עדיין תראה פעילות זו ב- Microsoft Defender XDR.
אם תכבה את ההגנה על הרשת, המשתמשים או האפליקציות לא ייחסמו מההתחברות לתחום מסוכן. לא תראה פעילות רשת ב- Microsoft Defender XDR.
אם לא תקבע את תצורתה, חסימת הרשת מבוטלת כברירת מחדל.
לקבלת מידע נוסף, ראה הפיכת הגנת רשת לזמינה.
השפעת חקירה
כאשר הגנת רשת מופעלת, תראה שבציר זמן של מכשיר כתובת ה- IP ממשיכה לייצג את ה- Proxy, בעוד שכתובת היעד האמיתית מופיעה.
אירועים אחרים שהופעלו על-ידי שכבת הגנת הרשת זמינים כעת למשטח שמות התחומים האמיתיים גם מאחורי Proxy.
פרטי האירוע:
חפש אירועי חיבור באמצעות ציד מתקדם
כל אירועי החיבור החדשים זמינים עבורך לרדוף לאורך ציד מתקדם גם כן. מאחר שאירועים אלה הם אירועי חיבור, תוכל למצוא אותם תחת הטבלה DeviceNetworkEvents תחת סוג ConnecionSuccess הפעולה.
שימוש בשאילתה פשוטה זו מציג את כל האירועים הרלוונטיים:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
באפשרותך גם לסנן אירועים הקשורים לחיבור ל- Proxy עצמו.
השתמש בשאילתה הבאה כדי לסנן את החיבורים ל- Proxy:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10