Delen via


Verbindingsgebeurtenissen achter forward-proxies onderzoeken

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Defender voor Eindpunt ondersteunt bewaking van netwerkverbindingen vanaf verschillende niveaus van de netwerkstack. Een lastig geval is wanneer het netwerk een doorstuurproxy gebruikt als gateway naar internet.

De proxy werkt alsof het het doeleindpunt is. In deze gevallen controleren eenvoudige netwerkverbindingsmonitors de verbindingen met de proxy die juist is, maar een lagere onderzoekswaarde heeft.

Defender voor Eindpunt ondersteunt geavanceerde bewaking op HTTP-niveau via netwerkbeveiliging. Wanneer deze optie is ingeschakeld, wordt er een nieuw type gebeurtenis weergegeven dat de echte doeldomeinnamen zichtbaar maakt.

Netwerkbeveiliging gebruiken om de netwerkverbinding achter een firewall te bewaken

Het bewaken van de netwerkverbinding achter een doorstuurproxy is mogelijk vanwege andere netwerk gebeurtenissen die afkomstig zijn van netwerkbeveiliging. Als u deze wilt zien op een tijdlijn van een apparaat, schakelt u netwerkbeveiliging in (minimaal in de controlemodus).

Netwerkbeveiliging kan worden beheerd met behulp van de volgende modi:

  • Blokkeren: gebruikers of apps kunnen geen verbinding maken met gevaarlijke domeinen. U kunt deze activiteit zien in Microsoft Defender XDR.
  • Controle: gebruikers of apps worden niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. U ziet deze activiteit echter nog steeds in Microsoft Defender XDR.

Als u netwerkbeveiliging uitschakelt, worden gebruikers of apps niet geblokkeerd om verbinding te maken met gevaarlijke domeinen. U ziet geen netwerkactiviteit in Microsoft Defender XDR.

Als u deze niet configureert, is netwerkblokkering standaard uitgeschakeld.

Zie Netwerkbeveiliging inschakelen voor meer informatie.

Impact van onderzoek

Wanneer netwerkbeveiliging is ingeschakeld, ziet u dat op de tijdlijn van een apparaat het IP-adres de proxy blijft vertegenwoordigen, terwijl het echte doeladres wordt weergegeven.

De netwerk gebeurtenissen op de tijdlijn van het apparaat

Andere gebeurtenissen die door de netwerkbeveiligingslaag worden geactiveerd, zijn nu beschikbaar om de echte domeinnamen zelfs achter een proxy weer te geven.

Informatie over gebeurtenis:

De URL's van één netwerkgebeurtenis

Zoeken naar verbindingsevenementen met behulp van geavanceerde opsporing

Alle nieuwe verbindingsevenementen zijn ook beschikbaar om op te sporen via geavanceerde opsporing. Omdat deze gebeurtenissen verbindingsevenementen zijn, kunt u ze vinden in de tabel DeviceNetworkEvents onder het ConnecionSuccess actietype.

Met deze eenvoudige query ziet u alle relevante gebeurtenissen:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

De geavanceerde opsporingsquery

U kunt ook gebeurtenissen filteren die betrekking hebben op de verbinding met de proxy zelf.

Gebruik de volgende query om de verbindingen met de proxy uit te filteren:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.