调查正向代理背后发生的连接事件

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

Defender for Endpoint 支持从不同级别的网络堆栈进行网络连接监视。 一个具有挑战性的情况是网络使用转发代理作为 Internet 的网关。

代理的作用就像是目标终结点一样。 在这些情况下，简单网络连接监视器使用正确但调查值较低的代理审核连接。

Defender for Endpoint 支持通过网络保护进行高级 HTTP 级别监视。 打开后，会显示一种公开真实目标域名的新型事件。

使用网络保护监视防火墙后面的网络连接

由于来自网络保护的其他网络事件，因此可以监视转发代理后面的网络连接。 若要在设备时间线上查看它们，请至少在审核模式下打开网络保护 () 。

可以使用以下模式控制网络保护：

• 阻止：阻止用户或应用连接到危险域。 你将能够在 Microsoft Defender XDR 中看到此活动。
• 审核：不会阻止用户或应用连接到危险域。 但是，仍会在 Microsoft Defender XDR 中看到此活动。

如果关闭网络保护，则不会阻止用户或应用连接到危险域。 不会在 Microsoft Defender XDR 中看到任何网络活动。

如果未配置，则默认情况下会关闭网络阻止。

有关详细信息，请参阅 启用网络保护。

调查影响

启用网络保护后，你将看到，在设备的时间线 IP 地址一直表示代理，而实际目标地址会显示。

网络保护层触发的其他事件现在可用于显示真实域名，即使在代理后面也是如此。

事件的信息：

使用高级搜寻功能搜寻连接事件

所有新的连接事件也可供你通过高级搜寻进行搜寻。 由于这些事件是连接事件，因此可以在操作类型下的 DeviceNetworkEvents 表下 ConnecionSuccess 找到它们。

使用此简单查询可显示所有相关事件：

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

还可以筛选出与代理本身的连接相关的事件。

使用以下查询筛选出与代理的连接：

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

相关文章

• 使用 GP 应用网络保护 - 策略 CSP

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。