Forward proxy’lerin arkasında oluşan bağlantı olaylarını araştırın
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Uç Nokta için Defender, ağ yığınının farklı düzeylerinden ağ bağlantısı izlemeyi destekler. Zor bir durum, ağın İnternet'e ağ geçidi olarak ileriye doğru ara sunucu kullanmasıdır.
Proxy, hedef uç noktaymış gibi davranır. Bu gibi durumlarda, basit ağ bağlantısı izleyicileri doğru olan ancak araştırma değeri daha düşük olan proxy ile bağlantıları denetler.
Uç Nokta için Defender, ağ koruması aracılığıyla gelişmiş HTTP düzeyinde izlemeyi destekler. Açıldığında, gerçek hedef etki alanı adlarını kullanıma sunan yeni bir olay türü ortaya çıkar.
Güvenlik duvarının arkasındaki ağ bağlantısını izlemek için ağ korumasını kullanma
Ağ korumasından kaynaklanan diğer ağ olaylarından dolayı ileriye doğru ara sunucu arkasındaki ağ bağlantısını izlemek mümkündür. Bunları bir cihaz zaman çizelgesinde görmek için ağ korumasını açın (denetim modunda en azından).
Ağ koruması aşağıdaki modlar kullanılarak denetlenebilir:
- Engelle: Kullanıcıların veya uygulamaların tehlikeli etki alanlarına bağlanması engellenir. Bu etkinliği Microsoft Defender XDR görebilirsiniz.
- Denetim: Kullanıcıların veya uygulamaların tehlikeli etki alanlarına bağlanması engellenmez. Ancak bu etkinliği Microsoft Defender XDR görmeye devam edersiniz.
Ağ korumasını kapatırsanız, kullanıcıların veya uygulamaların tehlikeli etki alanlarına bağlanması engellenmez. Microsoft Defender XDR'da herhangi bir ağ etkinliği görmezsiniz.
Yapılandırmazsanız, ağ engelleme varsayılan olarak kapalıdır.
Daha fazla bilgi için bkz . Ağ korumasını etkinleştirme.
Araştırma etkisi
Ağ koruması açık olduğunda, gerçek hedef adres görünürken cihazın zaman çizelgesinde IP adresinin proxy'yi temsil ettiğini görürsünüz.
Ağ koruma katmanı tarafından tetiklenen diğer olaylar artık bir ara sunucu arkasında bile gerçek etki alanı adlarını ortaya sürebilmek için kullanılabilir.
Olayın bilgileri:
Gelişmiş avcılığı kullanarak bağlantı olaylarını avlama
Tüm yeni bağlantı etkinlikleri, gelişmiş avcılık yoluyla da avlanabilirsiniz. Bu olaylar bağlantı olayları olduğundan, bunları eylem türünün altındaki DeviceNetworkEvents tablosunun ConnecionSuccess
altında bulabilirsiniz.
Bu basit sorguyu kullandığınızda tüm ilgili olaylar gösterilir:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Ayrıca, proxy'nin kendisiyle bağlantıyla ilgili olayları filtreleyebilirsiniz.
Ara sunucu bağlantılarını filtrelemek için aşağıdaki sorguyu kullanın:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
İlgili makaleler
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.