適用於端點的 Defender 支援從不同層級的網路堆疊進行網路連線監視。 一個具有挑戰性的情況是網路使用轉發代理作為網際網路的網關。
Proxy 的動作就像它是目標端點一樣。 在這些情況下,簡式網路連線監視器會稽核與正確但調查值較低的 Proxy 的連線。
適用於端點的 Defender 透過網路保護支援進階 HTTP 層級監視。 開啟時,會出現一種新型事件,該事件會公開真實的目標網域名稱。
使用網路保護來監控防火牆後方的網路連線
由於源自網路保護的其他網路事件,可能會監視正向 Proxy 後方的網路連線。 若要在裝置時間軸上查看它們,請在稽核模式) 中至少開啟網路保護 (。
網路保護可以使用以下模式進行控制:
- 封鎖:封鎖使用者或應用程式無法連線到危險網域。 您將能夠在 Microsoft Defender 全面偵測回應中看到此活動。
- 稽核:系統不會封鎖使用者或應用程式連線到危險網域。 不過,您仍會在 Microsoft Defender 全面偵測回應 中看到此活動。
如果您關閉網路保護,系統不會封鎖使用者或應用程式連線到危險網域。 您不會在 Microsoft Defender 全面偵測回應中看到任何網路活動。
如果您未設定它,網路封鎖預設會關閉。
如需詳細資訊,請參閱 啟用網路保護。
調查影響
開啟網路保護後,您會看到在裝置的時間軸上,IP 位址繼續代表代理,而真實目標位址則顯示。
網路保護層觸發的其他事件現在可用於顯示真實網域名稱,甚至在代理後面也是如此。
活動資訊:
使用進階搜捕搜尋連線事件
所有新的連接事件也可供您通過高級狩獵進行狩獵。 由於這些事件是連線事件,因此您可以在動作型別下的 ConnecionSuccess DeviceNetworkEvents 資料表下找到它們。
使用這個簡單的查詢會顯示所有相關事件:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
您也可以過濾掉與 Proxy 本身連線相關的事件。
使用下列查詢來篩選出 Proxy 的連線:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
相關文章
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。