חקירת אירועי חיבור שמתרחשים מאחורי העברת proxies
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
Defender for Endpoint תומך בניטור חיבור רשת מרמות שונות של ערימת הרשת. מקרה מאתגר הוא כאשר הרשת משתמשת ב- Proxy העברה כשער לאינטרנט.
ה- Proxy פועל כאילו זו הייתה נקודת הקצה של היעד. במקרים אלה, צגי חיבור רשת פשוטים מבקרים את החיבורים עם ה- Proxy הנכון אך בעלי ערך חקירה נמוך יותר.
Defender for Endpoint תומך בניטור ברמת HTTP מתקדמת באמצעות הגנת רשת. כאשר הוא מופעל, מופיע סוג חדש של אירוע אשר חושף את שמות תחומי היעד האמיתיים.
שימוש בהגנה על רשת כדי לנטר חיבור רשת מאחורי חומת אש
ניטור חיבור רשת מאחורי Proxy העברה אפשרי עקב אירועי רשת אחרים שמקורם בהגנת רשת. כדי לראות אותן בציר זמן של מכשיר, הפעל הגנת רשת (לכל הפחות במצב ביקורת).
ניתן לשלוט בהגנת רשת באמצעות המצבים הבאים:
- חסימה: המשתמשים או היישומים חסומים בהתחברות לתחום מסוכן. תוכל לראות פעילות זו ב- Microsoft Defender XDR.
- ביקורת: המשתמשים או היישומים לא ייחסמו מהתחברות לתחום מסוכן. עם זאת, עדיין תראה פעילות זו ב- Microsoft Defender XDR.
אם תכבה את ההגנה על הרשת, המשתמשים או האפליקציות לא ייחסמו מההתחברות לתחום מסוכן. לא תראה פעילות רשת ב- Microsoft Defender XDR.
אם לא תקבע את תצורתה, חסימת הרשת מבוטלת כברירת מחדל.
לקבלת מידע נוסף, ראה הפיכת הגנת רשת לזמינה.
השפעת חקירה
כאשר הגנת רשת מופעלת, תראה שבציר זמן של מכשיר כתובת ה- IP ממשיכה לייצג את ה- Proxy, בעוד שכתובת היעד האמיתית מופיעה.
אירועים אחרים שהופעלו על-ידי שכבת הגנת הרשת זמינים כעת למשטח שמות התחומים האמיתיים גם מאחורי Proxy.
פרטי האירוע:
חפש אירועי חיבור באמצעות ציד מתקדם
כל אירועי החיבור החדשים זמינים עבורך לרדוף לאורך ציד מתקדם גם כן. מאחר שאירועים אלה הם אירועי חיבור, תוכל למצוא אותם תחת הטבלה DeviceNetworkEvents תחת סוג ConnecionSuccess הפעולה.
שימוש בשאילתה פשוטה זו מציג את כל האירועים הרלוונטיים:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
באפשרותך גם לסנן אירועים הקשורים לחיבור ל- Proxy עצמו.
השתמש בשאילתה הבאה כדי לסנן את החיבורים ל- Proxy:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
מאמרים קשורים
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור