Undersøk tilkoblingshendelser som forekommer bak proxyer for videresending
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Defender for Endpoint støtter overvåking av nettverkstilkobling fra ulike nivåer i nettverksstakken. Et utfordrende tilfelle er når nettverket bruker en videresendingsproxy som gateway til Internett.
Proxyen fungerer som om det var målendepunktet. I slike tilfeller overvåker enkel nettverkstilkobling tilkoblingene med proxyen som er riktig, men har lavere undersøkelsesverdi.
Defender for Endpoint støtter avansert HTTP-nivåovervåking gjennom nettverksbeskyttelse. Når den er slått på, vises en ny type hendelse som viser de virkelige måldomenenavnene.
Bruke nettverksbeskyttelse til å overvåke nettverkstilkoblingen bak en brannmur
Overvåking av nettverkstilkobling bak en videresendingsproxy er mulig på grunn av andre nettverkshendelser som kommer fra nettverksbeskyttelse. Hvis du vil se dem på en tidslinje for enheten, aktiverer du nettverksbeskyttelse (som minimum i overvåkingsmodus).
Nettverksbeskyttelse kan kontrolleres ved hjelp av følgende modi:
- Blokk: Brukere eller apper er blokkert fra å koble til farlige domener. Du kan se denne aktiviteten i Microsoft Defender XDR.
- Overvåking: Brukere eller apper blokkeres ikke fra å koble til farlige domener. Du vil imidlertid fortsatt se denne aktiviteten i Microsoft Defender XDR.
Hvis du deaktiverer nettverksbeskyttelse, blokkeres ikke brukere eller apper fra å koble til farlige domener. Du ser ingen nettverksaktivitet i Microsoft Defender XDR.
Hvis du ikke konfigurerer det, deaktiveres nettverksblokkering som standard.
Hvis du vil ha mer informasjon, kan du se Aktivere nettverksbeskyttelse.
Undersøkelsesinnvirkning
Når nettverksbeskyttelse er aktivert, ser du at IP-adressen på en enhets tidslinje fortsatt representerer proxyen, mens den virkelige måladressen vises.
Andre hendelser som utløses av nettverksbeskyttelseslaget, er nå tilgjengelige for å vise de virkelige domenenavnene selv bak en proxy.
Informasjon om hendelsen:
Jakten på tilkoblingshendelser ved hjelp av avansert jakt
Alle nye tilkoblingshendelser er tilgjengelige for deg å jakte på gjennom avansert jakt også. Siden disse hendelsene er tilkoblingshendelser, kan du finne dem under DeviceNetworkEvents-tabellen under ConnecionSuccess handlingstypen.
Hvis du bruker denne enkle spørringen, vises alle relevante hendelser:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Du kan også filtrere ut hendelser som er relatert til tilkobling til selve proxyen.
Bruk følgende spørring til å filtrere ut tilkoblingene til proxyen:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Relaterte artikler
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for