A továbbítási proxyk mögött előforduló kapcsolati események vizsgálata
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
A Végponthoz készült Defender támogatja a hálózati kapcsolat figyelését a hálózati verem különböző szintjeiről. Kihívást jelent, ha a hálózat továbbítási proxyt használ átjáróként az internethez.
A proxy úgy viselkedik, mintha a célvégpont lenne. Ezekben az esetekben az egyszerű hálózati kapcsolatfigyelők a helyes, de alacsonyabb vizsgálati értékkel rendelkező proxyval ellenőrzik a kapcsolatokat.
A Végponthoz készült Defender támogatja a speciális HTTP-szintű monitorozást hálózati védelemmel. Ha be van kapcsolva, egy új típusú esemény jelenik meg, amely elérhetővé teszi a valódi céltartományneveket.
Hálózati védelem használata tűzfal mögötti hálózati kapcsolat figyeléséhez
A hálózati kapcsolat továbbítási proxy mögötti figyelése a hálózatvédelemből származó egyéb hálózati események miatt lehetséges. Ha látni szeretné őket az eszköz idővonalán, kapcsolja be a hálózatvédelmet (naplózási módban legalább).
A hálózatvédelem a következő módokon szabályozható:
- Letiltás: A felhasználók vagy alkalmazások nem csatlakozhatnak veszélyes tartományokhoz. Ezt a tevékenységet a Microsoft Defender XDR fogja látni.
- Naplózás: A felhasználók és alkalmazások nem lesznek blokkolva a veszélyes tartományokhoz való csatlakozásban. Ez a tevékenység azonban továbbra is megjelenik Microsoft Defender XDR.
Ha kikapcsolja a hálózatvédelmet, a felhasználók és alkalmazások nem lesznek blokkolva a veszélyes tartományokhoz való csatlakozásban. A Microsoft Defender XDR nem fog hálózati tevékenységet látni.
Ha nem konfigurálja, a hálózat blokkolása alapértelmezés szerint ki van kapcsolva.
További információ: Hálózatvédelem engedélyezése.
Vizsgálat hatása
Ha a hálózatvédelem be van kapcsolva, látni fogja, hogy az eszköz idővonalán az IP-cím továbbra is a proxyt jelöli, míg a valódi célcím megjelenik.
A hálózatvédelmi réteg által aktivált egyéb események már elérhetők a valódi tartományneveknek a proxy mögött is való felszínre hozásához.
Az esemény adatai:
Kapcsolati események keresése speciális veszélyforrás-kereséssel
Az összes új kapcsolati esemény speciális veszélyforrás-kereséssel is használható. Mivel ezek az események kapcsolati események, a DeviceNetworkEvents tábla művelettípusa alatt ConnecionSuccess találja őket.
Ezzel az egyszerű lekérdezéssel az összes kapcsolódó eseményt láthatja:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Kiszűrheti azokat az eseményeket is, amelyek a proxyval való kapcsolathoz kapcsolódnak.
Az alábbi lekérdezéssel kiszűrheti a proxyval létesített kapcsolatokat:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Kapcsolódó cikkek
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.