調查正向 Proxy 背後發生的連線事件

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的Defender支援來自不同網路堆疊層級的網路連線監視。 一個具挑戰性的案例是網路使用正向 Proxy 作為因特網的閘道。

Proxy 的作用就像是目標端點一樣。 在這些情況下，簡單的網路連線監視器會稽核 Proxy 的連線是否正確，但調查值較低。

適用於端點的Defender支援透過網路保護進行進階 HTTP 層級監視。 開啟時，會顯示會公開實際目標功能變數名稱的新事件類型。

使用網路保護來監視防火牆後方的網路連線

由於來自網路保護的其他網路事件，因此可以監視正向 Proxy 背後的網路連線。 若要在裝置時間軸上查看它們，請在稽核模式下至少開啟網路保護 () 。

您可以使用下列模式來控制網路保護：

• 封鎖：使用者或應用程式無法連線到危險的網域。 您將能夠在 Microsoft Defender 全面偵測回應 中看到此活動。
• 稽核：不會封鎖使用者或應用程式連線到危險的網域。 不過，您仍會在 Microsoft Defender 全面偵測回應 中看到此活動。

如果您關閉網路保護，將不會封鎖使用者或應用程式連線到危險的網域。 您不會在 Microsoft Defender 全面偵測回應 中看到任何網路活動。

如果您未進行設定，預設會關閉網路封鎖。

如需詳細資訊，請 參閱啟用網路保護。

調查影響

當網路保護開啟時，您會看到在裝置的時間軸上，IP 位址會持續代表 Proxy，而實際的目標地址會顯示。

網路保護層所觸發的其他事件現在可以呈現真實功能變數名稱，甚至是在 Proxy 後方。

事件的資訊：

使用進階搜捕來搜捕連線事件

所有新的連線事件都可供您透過進階搜捕進行搜捕。 由於這些事件是連線事件，因此您可以在動作類型下的 DeviceNetworkEvents 數據表下 ConnecionSuccess 找到它們。

使用此簡單查詢會顯示所有相關事件：

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

您也可以篩選出與 Proxy 本身連線相關的事件。

使用下列查詢來篩選出 Proxy 的連線：

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

相關文章

• 使用 GP 套用網路保護 - 原則 CSP

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。