Megosztás a következőn keresztül:


A továbbítási proxyk mögött előforduló kapcsolati események vizsgálata

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

A Végponthoz készült Defender támogatja a hálózati kapcsolat figyelését a hálózati verem különböző szintjeiről. Kihívást jelent, ha a hálózat továbbítási proxyt használ átjáróként az internethez.

A proxy úgy viselkedik, mintha a célvégpont lenne. Ezekben az esetekben az egyszerű hálózati kapcsolatfigyelők a helyes, de alacsonyabb vizsgálati értékkel rendelkező proxyval ellenőrzik a kapcsolatokat.

A Végponthoz készült Defender támogatja a speciális HTTP-szintű monitorozást hálózati védelemmel. Ha be van kapcsolva, egy új típusú esemény jelenik meg, amely elérhetővé teszi a valódi céltartományneveket.

Hálózati védelem használata tűzfal mögötti hálózati kapcsolat figyeléséhez

A hálózati kapcsolat továbbítási proxy mögötti figyelése a hálózatvédelemből származó egyéb hálózati események miatt lehetséges. Ha látni szeretné őket az eszköz idővonalán, kapcsolja be a hálózatvédelmet (naplózási módban legalább).

A hálózatvédelem a következő módokon szabályozható:

  • Letiltás: A felhasználók vagy alkalmazások nem csatlakozhatnak veszélyes tartományokhoz. Ezt a tevékenységet a Microsoft Defender XDR fogja látni.
  • Naplózás: A felhasználók és alkalmazások nem lesznek blokkolva a veszélyes tartományokhoz való csatlakozásban. Ez a tevékenység azonban továbbra is megjelenik Microsoft Defender XDR.

Ha kikapcsolja a hálózatvédelmet, a felhasználók és alkalmazások nem lesznek blokkolva a veszélyes tartományokhoz való csatlakozásban. A Microsoft Defender XDR nem fog hálózati tevékenységet látni.

Ha nem konfigurálja, a hálózat blokkolása alapértelmezés szerint ki van kapcsolva.

További információ: Hálózatvédelem engedélyezése.

Vizsgálat hatása

Ha a hálózatvédelem be van kapcsolva, látni fogja, hogy az eszköz idővonalán az IP-cím továbbra is a proxyt jelöli, míg a valódi célcím megjelenik.

A hálózati események az eszköz idővonalán

A hálózatvédelmi réteg által aktivált egyéb események már elérhetők a valódi tartományneveknek a proxy mögött is való felszínre hozásához.

Az esemény adatai:

Egyetlen hálózati esemény URL-címei

Kapcsolati események keresése speciális veszélyforrás-kereséssel

Az összes új kapcsolati esemény speciális veszélyforrás-kereséssel is használható. Mivel ezek az események kapcsolati események, a DeviceNetworkEvents tábla művelettípusa alatt ConnecionSuccess találja őket.

Ezzel az egyszerű lekérdezéssel az összes kapcsolódó eseményt láthatja:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

A speciális veszélyforrás-keresési lekérdezés

Kiszűrheti azokat az eseményeket is, amelyek a proxyval való kapcsolathoz kapcsolódnak.

Az alábbi lekérdezéssel kiszűrheti a proxyval létesített kapcsolatokat:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.