Investigar eventos de ligação que ocorrem por detrás de proxies de encaminhamento
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O Defender para Endpoint suporta a monitorização da ligação de rede a partir de diferentes níveis da pilha de rede. Um caso desafiante é quando a rede utiliza um proxy de reencaminhamento como um gateway para a Internet.
O proxy age como se fosse o ponto final de destino. Nestes casos, os monitores de ligação de rede simples auditam as ligações com o proxy que estão corretas, mas têm um valor de investigação mais baixo.
O Defender para Endpoint suporta monitorização avançada ao nível de HTTP através da proteção de rede. Quando ativado, é apresentado um novo tipo de evento que expõe os nomes de domínio de destino reais.
Utilizar a proteção de rede para monitorizar a ligação de rede protegida por uma firewall
A monitorização da ligação de rede por trás de um proxy de reencaminhamento é possível devido a outros eventos de rede provenientes da proteção de rede. Para vê-los numa linha cronológica do dispositivo, ative a proteção de rede (no mínimo, no modo de auditoria).
A proteção de rede pode ser controlada através dos seguintes modos:
- Bloco: os utilizadores ou aplicações estão impedidos de ligar a domínios perigosos. Poderá ver esta atividade no Microsoft Defender XDR.
- Auditoria: os utilizadores ou aplicações não serão impedidos de ligar a domínios perigosos. No entanto, continuará a ver esta atividade no Microsoft Defender XDR.
Se desativar a proteção de rede, os utilizadores ou aplicações não serão impedidos de ligar a domínios perigosos. Não verá nenhuma atividade de rede no Microsoft Defender XDR.
Se não o configurar, o bloqueio de rede está desativado por predefinição.
Para obter mais informações, veja Ativar a proteção de rede.
Impacto na investigação
Quando a proteção de rede estiver ativada, verá que, na linha cronológica de um dispositivo, o endereço IP continua a representar o proxy, enquanto o endereço de destino real é apresentado.
Outros eventos acionados pela camada de proteção de rede estão agora disponíveis para apresentar os nomes de domínio reais mesmo atrás de um proxy.
Informações do evento:
Investigar eventos de ligação com investigação avançada
Todos os novos eventos de ligação estão disponíveis para que possa investigar também através da investigação avançada. Uma vez que estes eventos são eventos de ligação, pode encontrá-los na tabela DeviceNetworkEvents no tipo de ação ConnecionSuccess .
A utilização desta consulta simples mostra-lhe todos os eventos relevantes:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Também pode filtrar eventos relacionados com a ligação ao próprio proxy.
Utilize a seguinte consulta para filtrar as ligações ao proxy:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Artigos relacionados
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários