調查正向 Proxy 背後發生的連線事件
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
適用於端點的Defender支援來自不同網路堆疊層級的網路連線監視。 一個具挑戰性的案例是網路使用正向 Proxy 作為因特網的閘道。
Proxy 的作用就像是目標端點一樣。 在這些情況下,簡單的網路連線監視器會稽核 Proxy 的連線是否正確,但調查值較低。
適用於端點的Defender支援透過網路保護進行進階 HTTP 層級監視。 開啟時,會顯示會公開實際目標功能變數名稱的新事件類型。
使用網路保護來監視防火牆後方的網路連線
由於來自網路保護的其他網路事件,因此可以監視正向 Proxy 背後的網路連線。 若要在裝置時間軸上查看它們,請在稽核模式下至少開啟網路保護 () 。
您可以使用下列模式來控制網路保護:
- 封鎖:使用者或應用程式無法連線到危險的網域。 您將能夠在 Microsoft Defender 全面偵測回應 中看到此活動。
- 稽核:不會封鎖使用者或應用程式連線到危險的網域。 不過,您仍會在 Microsoft Defender 全面偵測回應 中看到此活動。
如果您關閉網路保護,將不會封鎖使用者或應用程式連線到危險的網域。 您不會在 Microsoft Defender 全面偵測回應 中看到任何網路活動。
如果您未進行設定,預設會關閉網路封鎖。
如需詳細資訊,請 參閱啟用網路保護。
調查影響
當網路保護開啟時,您會看到在裝置的時間軸上,IP 位址會持續代表 Proxy,而實際的目標地址會顯示。
網路保護層所觸發的其他事件現在可以呈現真實功能變數名稱,甚至是在 Proxy 後方。
事件的資訊:
使用進階搜捕來搜捕連線事件
所有新的連線事件都可供您透過進階搜捕進行搜捕。 由於這些事件是連線事件,因此您可以在動作類型下的 DeviceNetworkEvents 數據表下 ConnecionSuccess
找到它們。
使用此簡單查詢會顯示所有相關事件:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
您也可以篩選出與 Proxy 本身連線相關的事件。
使用下列查詢來篩選出 Proxy 的連線:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。