Partilhar via


Investigar eventos de ligação que ocorrem por detrás de proxies de encaminhamento

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Defender para Endpoint suporta a monitorização da ligação de rede a partir de diferentes níveis da pilha de rede. Um caso desafiante é quando a rede utiliza um proxy de reencaminhamento como um gateway para a Internet.

O proxy age como se fosse o ponto final de destino. Nestes casos, os monitores de ligação de rede simples auditam as ligações com o proxy que estão corretas, mas têm um valor de investigação mais baixo.

O Defender para Endpoint suporta monitorização avançada ao nível de HTTP através da proteção de rede. Quando ativado, é apresentado um novo tipo de evento que expõe os nomes de domínio de destino reais.

Utilizar a proteção de rede para monitorizar a ligação de rede protegida por uma firewall

A monitorização da ligação de rede por trás de um proxy de reencaminhamento é possível devido a outros eventos de rede provenientes da proteção de rede. Para vê-los numa linha cronológica do dispositivo, ative a proteção de rede (no mínimo, no modo de auditoria).

A proteção de rede pode ser controlada através dos seguintes modos:

  • Bloco: os utilizadores ou aplicações estão impedidos de ligar a domínios perigosos. Poderá ver esta atividade no Microsoft Defender XDR.
  • Auditoria: os utilizadores ou aplicações não serão impedidos de ligar a domínios perigosos. No entanto, continuará a ver esta atividade no Microsoft Defender XDR.

Se desativar a proteção de rede, os utilizadores ou aplicações não serão impedidos de ligar a domínios perigosos. Não verá nenhuma atividade de rede no Microsoft Defender XDR.

Se não o configurar, o bloqueio de rede está desativado por predefinição.

Para obter mais informações, veja Ativar a proteção de rede.

Impacto na investigação

Quando a proteção de rede estiver ativada, verá que, na linha cronológica de um dispositivo, o endereço IP continua a representar o proxy, enquanto o endereço de destino real é apresentado.

Os eventos de rede na linha cronológica do dispositivo

Outros eventos acionados pela camada de proteção de rede estão agora disponíveis para apresentar os nomes de domínio reais mesmo atrás de um proxy.

Informações do evento:

Os URLs de um único evento de rede

Investigar eventos de ligação com investigação avançada

Todos os novos eventos de ligação estão disponíveis para que possa investigar também através da investigação avançada. Uma vez que estes eventos são eventos de ligação, pode encontrá-los na tabela DeviceNetworkEvents no tipo de ação ConnecionSuccess .

A utilização desta consulta simples mostra-lhe todos os eventos relevantes:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

A consulta de investigação avançada

Também pode filtrar eventos relacionados com a ligação ao próprio proxy.

Utilize a seguinte consulta para filtrar as ligações ao proxy:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.