Näytä yhteystapahtumat, jotka tapahtuvat välityspalvelimien takana

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Defender for Endpoint tukee verkkoyhteyksien seurantaa verkkopinon eri tasoilta. Haastavaa on, kun verkko käyttää välityspalvelinta yhdyskäytävänä Internetiin.

Välityspalvelin toimii ikään kuin se olisi kohdepäätepiste. Näissä tapauksissa yksinkertainen verkkoyhteys valvoo yhteyksiä välityspalvelimeen, joka on oikea, mutta jolla on pienempi tutkimusarvo.

Defender for Endpoint tukee edistynyttä HTTP-tason valvontaa verkon suojauksen kautta. Kun se on käytössä, esiin tulee uudenlainen tapahtumatyyppi, joka paljastaa todelliset kohdetoimialuenimet.

Verkon suojauksen avulla voit valvoa palomuurin takana olevan verkkoyhteyden käyttöä

Välityspalvelimen takana olevan verkkoyhteyden valvonta on mahdollista muiden verkkotapahtumien vuoksi, jotka ovat peräisin verkon suojauksesta. Jos haluat nähdä ne laitteen aikajanalla, ota verkon suojaus käyttöön (vähintään valvontatilassa).

Verkon suojausta voidaan hallita seuraavien tilojen avulla:

• Estä: Käyttäjiä tai sovelluksia estetään muodostamasta yhteyttä vaarallisiin toimialueisiin. Näet tämän toiminnon Microsoft Defender XDR.
• Valvonta: Käyttäjiä tai sovelluksia ei estetä muodostamasta yhteyttä vaarallisiin toimialueisiin. Näet kuitenkin tämän toiminnan Microsoft Defender XDR.

Jos poistat verkon suojauksen käytöstä, käyttäjiä tai sovelluksia ei estetä muodostamasta yhteyttä vaarallisiin toimialueisiin. Et näe verkkotoimintaa Microsoft Defender XDR.

Jos et määritä sitä, verkkoesto on oletusarvoisesti poissa käytöstä.

Lisätietoja on artikkelissa Verkon suojauksen ottaminen käyttöön.

Tutkimuksen vaikutus

Kun verkkosuojaus on käytössä, näet laitteen aikajanalla, että IP-osoite edustaa edelleen välityspalvelinta, kun taas todellinen kohdeosoite näkyy.

Muut verkon suojauskerroksen käynnistämät tapahtumat ovat nyt käytettävissä todellisten toimialuenimien näyttämiseksi jopa välityspalvelimen takana.

Tapahtuman tiedot:

Metsästys yhteystapahtumia käyttäen kehittynyttä metsästystä

Kaikki uudet yhteystapahtumat ovat saatavilla metsästämään myös kehittyneen metsästyksen kautta. Koska nämä tapahtumat ovat yhteystapahtumia, ne löytyvät DeviceNetworkEvents-taulukosta ConnecionSuccess toimintotyypin alta.

Tämän yksinkertaisen kyselyn avulla näet kaikki olennaiset tapahtumat:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

Voit myös suodattaa pois tapahtumat, jotka liittyvät yhteyteen itse välityspalvelimeen.

Suodata välityspalvelimen yhteydet pois seuraavan kyselyn avulla:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Aiheeseen liittyviä artikkeleita

• Verkon suojauksen käyttäminen GP:n kanssa – käytännön CSP

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.