Investigar eventos de conexão que ocorrem por meio de proxies de encaminhamento
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
O Defender para Ponto de Extremidade dá suporte ao monitoramento de conexão de rede de diferentes níveis da pilha de rede. Um caso desafiador é quando a rede usa um proxy avançado como um gateway para a Internet.
O proxy atua como se fosse o ponto de extremidade de destino. Nesses casos, monitores de conexão de rede simples auditam as conexões com o proxy correto, mas tem um valor de investigação menor.
O Defender para Ponto de Extremidade dá suporte ao monitoramento avançado de nível HTTP por meio da proteção de rede. Quando ativado, um novo tipo de evento é exibido que expõe os nomes de domínio de destino reais.
Usar a proteção de rede para monitorar a conexão de rede por trás de um firewall
O monitoramento da conexão de rede por trás de um proxy de encaminhamento é possível devido a outros eventos de rede originados da proteção de rede. Para vê-los em um dispositivo linha do tempo, ative a proteção de rede (no mínimo, no modo de auditoria).
A proteção de rede pode ser controlada usando os seguintes modos:
- Bloquear: usuários ou aplicativos estão impedidos de se conectar a domínios perigosos. Você poderá ver essa atividade em Microsoft Defender XDR.
- Auditoria: usuários ou aplicativos não serão impedidos de se conectar a domínios perigosos. No entanto, você ainda verá essa atividade no Microsoft Defender XDR.
Se você desativar a proteção de rede, usuários ou aplicativos não serão impedidos de se conectar a domínios perigosos. Você não verá nenhuma atividade de rede no Microsoft Defender XDR.
Se você não configurá-lo, o bloqueio de rede será desativado por padrão.
Para obter mais informações, confira Habilitar a proteção de rede.
Impacto da investigação
Quando a proteção de rede estiver ativada, você verá que no linha do tempo um dispositivo o endereço IP continua representando o proxy, enquanto o endereço de destino real aparece.
Outros eventos disparados pela camada de proteção de rede agora estão disponíveis para exibir os nomes de domínio reais mesmo atrás de um proxy.
Informações do evento:
Caçar eventos de conexão usando a caça avançada
Todos os novos eventos de conexão também estão disponíveis para você caçar através da caça avançada. Como esses eventos são eventos de conexão, você pode encontrá-los na tabela DeviceNetworkEvents no tipo de ação ConnecionSuccess
.
O uso dessa consulta simples mostra todos os eventos relevantes:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Você também pode filtrar eventos relacionados à conexão com o proxy em si.
Use a consulta a seguir para filtrar as conexões com o proxy:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Artigos relacionados
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.