الأجهزة التي تواجه الإنترنت
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender XDR
- Microsoft Defender for Business
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
نظرا لأن ممثلي التهديد يفحصون الويب باستمرار للكشف عن الأجهزة المكشوفة التي يمكنهم استغلالها للحصول على موطئ قدم في شبكات الشركات الداخلية، فإن تعيين سطح الهجوم الخارجي لمؤسستك هو جزء أساسي من إدارة وضع الأمان. تشكل الأجهزة التي يمكن الاتصال بها أو التي يمكن الاتصال بها من الخارج تهديدا لمؤسستك.
Microsoft Defender لنقطة النهاية تلقائيا تحديد الأجهزة المإلحاقة والمكشوفة والمواجهة للإنترنت ووضع علامات عليها في مدخل Microsoft Defender. توفر هذه المعلومات الهامة رؤية متزايدة لسطح الهجوم الخارجي للمؤسسة ونتائج تحليلات حول إمكانية استغلال الأصول.
ملاحظة
حاليا، يمكن تعريف أجهزة Windows التي تم إلحاقها Microsoft Defender لنقطة النهاية فقط على أنها تواجه الإنترنت. سيتوفر دعم الأنظمة الأساسية الأخرى في الإصدارات القادمة.
الأجهزة التي تم وضع علامة عليها على أنها مواجهة للإنترنت
سيتم وضع علامة على الأجهزة التي يتم توصيلها بنجاح من خلال TCP أو التي تم تعريفها كمضيف يمكن الوصول إليها من خلال UDP على أنها مواجهة للإنترنت في مدخل Microsoft Defender. يستخدم Defender لنقطة النهاية مصادر بيانات مختلفة لتحديد الأجهزة التي يجب وضع علامة عليها:
- تستخدم عمليات الفحص الخارجية لتحديد الأجهزة التي يمكن الاتصال بها من الخارج.
- تساعد اتصالات شبكة الجهاز، التي تم التقاطها كجزء من إشارات Defender لنقطة النهاية، على تحديد الاتصالات الخارجية الواردة التي تصل إلى الأجهزة الداخلية.
يمكن وضع علامة على الأجهزة على أنها مواجهة للإنترنت عندما يسمح نهج جدار الحماية المكون (قاعدة جدار حماية المضيف أو قاعدة جدار حماية المؤسسة) بالاتصال بالإنترنت الوارد.
يوفر فهم نهج جدار الحماية وأجهزتك التي تواجه الإنترنت عن قصد بدلا من تلك التي قد تعرض مؤسستك للخطر، معلومات هامة عندما يتعلق الأمر بتعيين سطح الهجوم الخارجي.
عرض الأجهزة التي تواجه الإنترنت
لكل جهاز تم تعريفه على أنه مواجه للإنترنت، تظهر علامة مواجهة الإنترنت في عمود Tags في مخزون الجهاز في مدخل Microsoft Defender. لعرض الأجهزة التي تواجه الإنترنت:
انتقل إلى Assets>Device في مدخل Microsoft Defender.
مرر مؤشر الماوس فوق العلامة المواجهة للإنترنت لمعرفة سبب تطبيقها، والأسباب المحتملة هي:
- تم الكشف عن هذا الجهاز بواسطة فحص خارجي
- تلقى هذا الجهاز اتصالا خارجيا واردا
في أعلى الصفحة، يمكنك عرض عداد يعرض عدد الأجهزة التي تم تحديدها على أنها مواجهة للإنترنت ومن المحتمل أن تكون أقل أمانا.
يمكنك استخدام عوامل التصفية للتركيز على الأجهزة التي تواجه الإنترنت والتحقيق في المخاطر التي قد تعرضها لمؤسستك.
ملاحظة
إذا لم تحدث أحداث جديدة لجهاز لمدة 48 ساعة، تتم إزالة العلامة التي تواجه الإنترنت ولن تكون مرئية في مدخل Microsoft Defender.
التحقيق في أجهزتك التي تواجه الإنترنت
لمعرفة المزيد حول جهاز مواجه للإنترنت، حدد الجهاز في مخزون الجهاز لفتح جزء القائمة المنبثقة الخاص به:
يتضمن هذا الجزء تفاصيل حول ما إذا كان الجهاز قد تم اكتشافه بواسطة فحص خارجي من Microsoft أو تلقى اتصالا خارجيا واردا. يوفر عنوان واجهة الشبكة الخارجية وحقول المنفذ تفاصيل حول عنوان IP والمنفذ الخارجيين اللذين تم مسحهما ضوئيا في وقت تحديد هذا الجهاز على أنه مواجه للإنترنت.
يتم أيضا عرض عنوان واجهة الشبكة المحلية ومنفذ هذا الجهاز، إلى جانب آخر مرة تم فيها تحديد الجهاز على أنه مواجه للإنترنت.
استخدام التتبع المتقدم
استخدم استعلامات التتبع المتقدمة للحصول على رؤية ورؤى حول الأجهزة التي تواجه الإنترنت في مؤسستك، على سبيل المثال:
الحصول على جميع الأجهزة التي تواجه الإنترنت
استخدم هذا الاستعلام للعثور على جميع الأجهزة التي تواجه الإنترنت.
// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)), InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId
يقوم هذا الاستعلام بإرجاع الحقول التالية لكل جهاز مواجه للإنترنت مع الأدلة المجمعة الخاصة به في العمود "AdditionalFields".
- InternetFacingReason: ما إذا تم الكشف عن الجهاز بواسطة فحص خارجي أو تلقي اتصال وارد من الإنترنت
- InternetFacingLocalIp: عنوان IP المحلي للواجهة التي تواجه الإنترنت
- InternetFacingLocalPort: المنفذ المحلي حيث تمت ملاحظة الاتصال الذي يواجه الإنترنت
- InternetFacingPublicScannedIp: عنوان IP العام الذي تم مسحه ضوئيا خارجيا
- InternetFacingPublicScannedPort: المنفذ المواجه للإنترنت الذي تم مسحه ضوئيا خارجيا
- InternetFacingTransportProtocol: بروتوكول النقل المستخدم (TCP/UDP)
الحصول على معلومات حول الاتصالات الواردة
بالنسبة لاتصالات TCP، يمكنك الحصول على مزيد من الرؤى حول التطبيقات أو الخدمات المحددة على أنها الاستماع على جهاز عن طريق الاستعلام عن DeviceNetworkEvents.
استخدم الاستعلام التالي للأجهزة التي تم وضع علامة عليها لسبب تلقي هذا الجهاز اتصالا خارجيا واردا:
// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")
ملاحظة
تتوفر المعلومات المتعلقة بالعملية فقط لاتصالات TCP.
استخدم الاستعلام التالي للأجهزة التي تم وضع علامة عليها لسبب اكتشاف هذا الجهاز بواسطة فحص خارجي:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"
بالنسبة لاتصالات UDP، احصل على رؤى حول الأجهزة التي تم تحديدها على أنها مضيف يمكن الوصول إليها ولكن قد لا تكون قد أنشأت اتصالا (على سبيل المثال، نتيجة لنهج جدار حماية المضيف) باستخدام الاستعلام التالي:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"
إذا فشلت الاستعلامات أعلاه في توفير الاتصالات ذات الصلة، يمكنك استخدام أساليب مجموعة مأخذ التوصيل لاسترداد عملية المصدر. لمعرفة المزيد حول الأدوات والقدرات المختلفة المتاحة للقيام بذلك، راجع:
الإبلاغ عن عدم الدقة
يمكنك الإبلاغ عن عدم دقة لجهاز يحتوي على معلومات غير صحيحة تواجه الإنترنت. للجهاز المواجه للإنترنت:
- فتح القائمة المنبثقة للجهاز من صفحة مخزون الجهاز
- حدد الإبلاغ عن عدم دقة الجهاز
- في القائمة المنسدلة ما هو الجزء غير الدقيق ، حدد معلومات الجهاز
- بالنسبة إلى المعلومات غير الدقيقة ، حدد خانة الاختيار تصنيف مواجهة الإنترنت من القائمة المنسدلة
- املأ التفاصيل المطلوبة حول ما يجب أن تكون عليه المعلومات الصحيحة
- توفير عنوان بريد إلكتروني (اختياري)
- حدد إرسال تقرير
راجع أيضًا
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ