Esaminare gli eventi di connessione che si verificano dietro i proxy di inoltro
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Defender per endpoint supporta il monitoraggio della connessione di rete da livelli diversi dello stack di rete. Un caso complesso è quando la rete usa un proxy di inoltro come gateway a Internet.
Il proxy funziona come se fosse l'endpoint di destinazione. In questi casi, i monitoraggi delle connessioni di rete semplici controllano le connessioni con il proxy corrette, ma con un valore di indagine inferiore.
Defender per endpoint supporta il monitoraggio avanzato a livello HTTP tramite la protezione di rete. Quando è attivato, viene visualizzato un nuovo tipo di evento che espone i nomi di dominio di destinazione reali.
Usare la protezione di rete per monitorare la connessione di rete dietro un firewall
Il monitoraggio della connessione di rete dietro un proxy di inoltro è possibile a causa di altri eventi di rete che hanno origine dalla protezione di rete. Per visualizzarli in una sequenza temporale del dispositivo, attivare la protezione di rete (al minimo in modalità di controllo).
La protezione di rete può essere controllata usando le modalità seguenti:
- Blocca: agli utenti o alle app viene impedito di connettersi a domini pericolosi. Sarà possibile visualizzare questa attività in Microsoft Defender XDR.
- Controllo: agli utenti o alle app non verrà impedito di connettersi a domini pericolosi. Tuttavia, questa attività verrà comunque visualizzata in Microsoft Defender XDR.
Se si disattiva la protezione di rete, agli utenti o alle app non verrà impedito di connettersi a domini pericolosi. Non verrà visualizzata alcuna attività di rete in Microsoft Defender XDR.
Se non viene configurato, il blocco della rete viene disattivato per impostazione predefinita.
Per altre informazioni, vedere Abilitare la protezione di rete.
Impatto dell'indagine
Quando la protezione di rete è attivata, si noterà che nella sequenza temporale di un dispositivo l'indirizzo IP continua a rappresentare il proxy, mentre viene visualizzato l'indirizzo di destinazione reale.
Altri eventi attivati dal livello di protezione di rete sono ora disponibili per visualizzare i nomi di dominio reali anche dietro un proxy.
Informazioni sull'evento:
Cercare gli eventi di connessione usando la ricerca avanzata
Tutti i nuovi eventi di connessione sono disponibili anche per la ricerca avanzata. Poiché questi eventi sono eventi di connessione, è possibile trovarli nella tabella DeviceNetworkEvents sotto il ConnecionSuccess
tipo di azione.
L'uso di questa semplice query mostra tutti gli eventi rilevanti:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
È anche possibile filtrare gli eventi correlati alla connessione al proxy stesso.
Usare la query seguente per filtrare le connessioni al proxy:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Articoli correlati
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.