Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Defender для конечной точки поддерживает мониторинг сетевых подключений с разных уровней сетевого стека. Сложный случай заключается в том, что сеть использует прокси-сервер пересылки в качестве шлюза к Интернету.
Прокси-сервер действует так, как если бы он был целевой конечной точкой. В таких случаях простой мониторинг сетевых подключений выполняет аудит подключений с помощью правильного прокси-сервера, но имеет меньшее значение для исследования.
Defender для конечной точки поддерживает расширенный мониторинг на уровне HTTP с помощью защиты сети. Если этот параметр включен, возникает событие нового типа, которое предоставляет реальные целевые доменные имена.
Мониторинг сетевого подключения за прокси-сервером пересылки возможен из-за других сетевых событий, возникающих в результате защиты сети. Чтобы увидеть их на временная шкала устройства, включите защиту сети (как минимум в режиме аудита).
Защита сети может управляться с помощью следующих режимов:
- Блокировать. Пользователи или приложения не могут подключаться к опасным доменам. Вы увидите это действие в Microsoft Defender XDR.
- Аудит. Пользователям или приложениям не будет запрещено подключаться к опасным доменам. Однако вы по-прежнему будете видеть это действие в Microsoft Defender XDR.
Если отключить защиту сети, пользователи или приложения не будут заблокированы для подключения к опасным доменам. Вы не увидите никаких сетевых действий в Microsoft Defender XDR.
Если его не настроить, блокировка сети будет отключена по умолчанию.
Дополнительные сведения см. в разделе Включение защиты сети.
Если защита сети включена, вы увидите, что на временная шкала устройства IP-адрес по-прежнему представляет прокси-сервер, в то время как отображается реальный целевой адрес.
Другие события, вызванные уровнем защиты сети, теперь доступны для отображения реальных доменных имен даже за прокси-сервером.
Сведения о событии:
Все новые события подключения также доступны для охоты через расширенную охоту. Так как эти события являются событиями подключения, их можно найти в таблице DeviceNetworkEvents под типом ConnecionSuccess действия.
При использовании этого простого запроса отображаются все соответствующие события:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Вы также можете отфильтровать события, связанные с подключением к самому прокси-серверу.
Используйте следующий запрос, чтобы отфильтровать подключения к прокси-серверу:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.