Forward proxy’lerin arkasında oluşan bağlantı olaylarını araştırın

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Uç Nokta için Defender, ağ yığınının farklı düzeylerinden ağ bağlantısı izlemeyi destekler. Zor bir durum, ağın İnternet'e ağ geçidi olarak ileriye doğru ara sunucu kullanmasıdır.

Proxy, hedef uç noktaymış gibi davranır. Bu gibi durumlarda, basit ağ bağlantısı izleyicileri doğru olan ancak araştırma değeri daha düşük olan proxy ile bağlantıları denetler.

Uç Nokta için Defender, ağ koruması aracılığıyla gelişmiş HTTP düzeyinde izlemeyi destekler. Açıldığında, gerçek hedef etki alanı adlarını kullanıma sunan yeni bir olay türü ortaya çıkar.

Güvenlik duvarının arkasındaki ağ bağlantısını izlemek için ağ korumasını kullanma

Ağ korumasından kaynaklanan diğer ağ olaylarından dolayı ileriye doğru ara sunucu arkasındaki ağ bağlantısını izlemek mümkündür. Bunları bir cihaz zaman çizelgesinde görmek için ağ korumasını açın (denetim modunda en azından).

Ağ koruması aşağıdaki modlar kullanılarak denetlenebilir:

  • Engelle: Kullanıcıların veya uygulamaların tehlikeli etki alanlarına bağlanması engellenir. Bu etkinliği Microsoft Defender XDR görebilirsiniz.
  • Denetim: Kullanıcıların veya uygulamaların tehlikeli etki alanlarına bağlanması engellenmez. Ancak bu etkinliği Microsoft Defender XDR görmeye devam edersiniz.

Ağ korumasını kapatırsanız, kullanıcıların veya uygulamaların tehlikeli etki alanlarına bağlanması engellenmez. Microsoft Defender XDR'da herhangi bir ağ etkinliği görmezsiniz.

Yapılandırmazsanız, ağ engelleme varsayılan olarak kapalıdır.

Daha fazla bilgi için bkz . Ağ korumasını etkinleştirme.

Araştırma etkisi

Ağ koruması açık olduğunda, gerçek hedef adres görünürken cihazın zaman çizelgesinde IP adresinin proxy'yi temsil ettiğini görürsünüz.

Cihazın zaman çizelgesindeki ağ olayları

Ağ koruma katmanı tarafından tetiklenen diğer olaylar artık bir ara sunucu arkasında bile gerçek etki alanı adlarını ortaya sürebilmek için kullanılabilir.

Olayın bilgileri:

Tek bir ağ olayının URL'leri

Gelişmiş avcılığı kullanarak bağlantı olaylarını avlama

Tüm yeni bağlantı etkinlikleri, gelişmiş avcılık yoluyla da avlanabilirsiniz. Bu olaylar bağlantı olayları olduğundan, bunları eylem türünün altındaki DeviceNetworkEvents tablosunun ConnecionSuccess altında bulabilirsiniz.

Bu basit sorguyu kullandığınızda tüm ilgili olaylar gösterilir:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10

Gelişmiş tehdit avcılığı sorgusu

Ayrıca, proxy'nin kendisiyle bağlantıyla ilgili olayları filtreleyebilirsiniz.

Ara sunucu bağlantılarını filtrelemek için aşağıdaki sorguyu kullanın:

DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.