전달 프록시 뒤에 발생하는 연결 이벤트 조사

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender는 네트워크 스택의 다양한 수준에서 네트워크 연결 모니터링을 지원합니다. 어려운 경우는 네트워크에서 앞으로 프록시를 인터넷의 게이트웨이로 사용하는 경우입니다.

프록시는 대상 엔드포인트인 것처럼 작동합니다. 이러한 경우 간단한 네트워크 연결 모니터는 정확하지만 조사 값이 낮은 프록시와의 연결을 감사합니다.

엔드포인트용 Defender는 네트워크 보호를 통해 고급 HTTP 수준 모니터링을 지원합니다. 이 옵션을 켜면 실제 대상 도메인 이름을 노출하는 새 유형의 이벤트가 표시됩니다.

네트워크 보호를 사용하여 방화벽 뒤의 네트워크 연결 모니터링

네트워크 보호에서 발생하는 다른 네트워크 이벤트로 인해 앞으로 프록시 뒤에서 네트워크 연결을 모니터링할 수 있습니다. 디바이스 타임라인 확인하려면 네트워크 보호를 켭니다(감사 모드에서 최소한).

네트워크 보호는 다음 모드를 사용하여 제어할 수 있습니다.

• 차단: 사용자 또는 앱이 위험한 도메인에 연결할 수 없습니다. Microsoft Defender XDR 이 활동을 볼 수 있습니다.
• 감사: 사용자 또는 앱은 위험한 도메인에 대한 연결이 차단되지 않습니다. 그러나 Microsoft Defender XDR 이 활동이 계속 표시됩니다.

네트워크 보호를 끄면 사용자 또는 앱이 위험한 도메인에 연결하는 것이 차단되지 않습니다. Microsoft Defender XDR 네트워크 활동이 표시되지 않습니다.

구성하지 않으면 기본적으로 네트워크 차단이 꺼집니다.

자세한 내용은 네트워크 보호 사용을 참조하세요.

조사 영향

네트워크 보호가 켜져 있으면 디바이스의 타임라인 IP 주소가 프록시를 계속 나타내는 반면 실제 대상 주소는 표시되는 것을 볼 수 있습니다.

이제 네트워크 보호 계층에 의해 트리거된 다른 이벤트를 사용하여 프록시 뒤에도 실제 도메인 이름을 표시할 수 있습니다.

이벤트의 정보:

고급 헌팅을 사용하여 연결 이벤트 헌팅

모든 새 연결 이벤트는 고급 헌팅을 통해 헌팅할 수 있습니다. 이러한 이벤트는 연결 이벤트이므로 작업 유형 아래의 DeviceNetworkEvents 테이블 아래에서 ConnecionSuccess 찾을 수 있습니다.

이 간단한 쿼리를 사용하면 모든 관련 이벤트가 표시됩니다.

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

프록시 자체에 대한 연결과 관련된 이벤트를 필터링할 수도 있습니다.

다음 쿼리를 사용하여 프록시에 대한 연결을 필터링합니다.

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

관련 문서

• GP를 사용하여 네트워크 보호 적용 - 정책 CSP

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.