Prověřování událostí připojení, ke kterým dochází za dopřednými proxy
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Defender for Endpoint podporuje monitorování připojení k síti z různých úrovní zásobníku sítě. Náročným případem je, když síť používá dopředný proxy server jako bránu k internetu.
Proxy se chová, jako by to byl cílový koncový bod. V těchto případech jednoduchá monitorování připojení k síti auditují připojení pomocí proxy serveru, který je správný, ale má nižší hodnotu šetření.
Defender for Endpoint podporuje pokročilé monitorování úrovně HTTP prostřednictvím ochrany sítě. Když je zapnutá, zobrazí se nový typ události, která zveřejňuje skutečné názvy cílových domén.
Monitorování síťového připojení za bránou firewall pomocí ochrany sítě
Monitorování síťového připojení za dopředným proxy serverem je možné kvůli jiným síťovým událostem, které pocházejí z ochrany sítě. Pokud je chcete zobrazit na časové ose zařízení, zapněte ochranu sítě (minimálně v režimu auditování).
Ochranu sítě je možné řídit pomocí následujících režimů:
- Blokovat: Uživatelům nebo aplikacím se zablokuje připojení k nebezpečným doménám. Tuto aktivitu uvidíte v Microsoft Defender XDR.
- Audit: Uživatelům ani aplikacím se nebude blokovat připojení k nebezpečným doménám. Tato aktivita se ale bude dál zobrazovat v Microsoft Defender XDR.
Pokud vypnete ochranu sítě, uživatelům nebo aplikacím se nebude blokovat připojení k nebezpečným doménám. V Microsoft Defender XDR neuvidíte žádnou síťovou aktivitu.
Pokud ho nenakonfigurujete, je blokování sítě ve výchozím nastavení vypnuté.
Další informace najdete v tématu Povolení ochrany sítě.
Dopad šetření
Když je zapnutá ochrana sítě, uvidíte, že na časové ose zařízení IP adresa stále představuje proxy server, zatímco se zobrazí skutečná cílová adresa.
Další události aktivované vrstvou ochrany sítě jsou teď k dispozici pro zobrazení skutečných názvů domén i za proxy serverem.
Informace o události:
Vyhledávání událostí připojení pomocí rozšířeného proaktivního vyhledávání
Všechny nové události připojení jsou k dispozici také k proaktivnímu vyhledávání prostřednictvím rozšířeného proaktivního vyhledávání. Vzhledem k tomu, že tyto události jsou události připojení, najdete je v tabulce DeviceNetworkEvents pod typem ConnecionSuccess akce.
Pomocí tohoto jednoduchého dotazu se zobrazí všechny relevantní události:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Můžete také odfiltrovat události, které souvisejí s připojením k samotnému proxy serveru.
Pomocí následujícího dotazu vyfiltrujte připojení k proxy serveru:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Související články
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.