Dispositivos accesibles desde Internet

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR
• Microsoft Defender para Empresas

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

A medida que los actores de amenazas examinan continuamente la web para detectar los dispositivos expuestos que pueden aprovechar para obtener un punto de apoyo en las redes corporativas internas, la asignación de la superficie expuesta a ataques externos de la organización es una parte clave de la administración de la posición de seguridad. Los dispositivos a los que se puede conectar o que se pueden abordar desde fuera suponen una amenaza para la organización.

Microsoft Defender para punto de conexión identifica y marca automáticamente los dispositivos incorporados, expuestos y accesibles desde Internet en el portal de Microsoft Defender. Esta información crítica proporciona una mayor visibilidad sobre la superficie expuesta a ataques externos de una organización e información sobre la vulnerabilidad de recursos.

Nota:

Actualmente, solo los dispositivos Windows incorporados a Microsoft Defender para punto de conexión se pueden identificar como accesibles desde Internet. La compatibilidad con otras plataformas estará disponible en próximas versiones.

Dispositivos marcados como accesibles desde Internet

Los dispositivos que se conectan correctamente a través de TCP o que se identifican como host accesibles a través de UDP se marcarán como accesibles desde Internet en el portal de Microsoft Defender. Defender para punto de conexión usa diferentes orígenes de datos para identificar los dispositivos que se marcan:

• Los exámenes externos se usan para identificar qué dispositivos son accesibles desde el exterior.
• Las conexiones de red de dispositivo, capturadas como parte de las señales de Defender para punto de conexión, ayudan a identificar las conexiones entrantes externas que llegan a los dispositivos internos.

Los dispositivos se pueden marcar como accesibles desde Internet cuando una directiva de firewall configurada (regla de firewall de host o regla de firewall empresarial) permite la comunicación entrante de Internet.

Comprender la directiva de firewall y los dispositivos que están orientados intencionadamente a Internet en lugar de los que pueden poner en peligro su organización, proporcionan información crítica a la hora de asignar la superficie expuesta a ataques externos.

Visualización de dispositivos accesibles desde Internet

Para cada dispositivo incorporado identificado como accesible desde Internet, la etiqueta accesible desde Internet aparece en la columna Etiquetas del inventario de dispositivos del portal de Microsoft Defender. Para ver dispositivos accesibles desde Internet:

1. Vaya a Dispositivo de recursos> en el portal de Microsoft Defender.

   

Mantenga el puntero sobre la etiqueta accesible desde Internet para ver por qué se aplicó, las posibles razones son:

• Este dispositivo se detectó mediante un examen externo
• Este dispositivo recibió comunicación entrante externa

En la parte superior de la página, puede ver un contador que muestra el número de dispositivos que se han identificado como accesibles desde Internet y que son potencialmente menos seguros.

Puede usar filtros para centrarse en dispositivos accesibles desde Internet e investigar el riesgo que pueden presentar en su organización.

Nota:

Si no se produce ningún evento nuevo para un dispositivo durante 48 horas, se quita la etiqueta accesible desde Internet y ya no estará visible en el portal de Microsoft Defender.

Investigación de los dispositivos accesibles desde Internet

Para obtener más información sobre un dispositivo accesible desde Internet, seleccione el dispositivo en el inventario de dispositivos para abrir su panel flotante:

En este panel se incluyen detalles sobre si un examen externo de Microsoft detectó el dispositivo o si recibió una comunicación entrante externa. Los campos de puerto y dirección de la interfaz de red externa proporcionan detalles sobre la dirección IP externa y el puerto que se examinaron en el momento en que este dispositivo se identificó como accesible desde Internet.

También se muestran la dirección y el puerto de la interfaz de red local para este dispositivo, junto con la última vez que el dispositivo se identificó como accesible desde Internet.

Uso de la búsqueda avanzada

Use consultas de búsqueda avanzadas para obtener visibilidad e información sobre los dispositivos accesibles desde Internet de su organización, por ejemplo:

Obtener todos los dispositivos accesibles desde Internet

Use esta consulta para buscar todos los dispositivos accesibles desde Internet.

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

Esta consulta devuelve los siguientes campos para cada dispositivo accesible desde Internet con su evidencia agregada en la columna "AdditionalFields".

• InternetFacingReason: si el dispositivo se detectó mediante un examen externo o si recibió comunicación entrante desde Internet
• InternetFacingLocalIp: la dirección IP local de la interfaz accesible desde Internet
• InternetFacingLocalPort: el puerto local donde se observó la comunicación accesible desde Internet
• InternetFacingPublicScannedIp: la dirección IP pública que se ha examinado externamente
• InternetFacingPublicScannedPort: puerto accesible desde Internet que se ha examinado externamente
• InternetFacingTransportProtocol: protocolo de transporte usado (TCP/UDP)

Obtener información sobre las conexiones entrantes

En el caso de las conexiones TCP, puede obtener más información sobre las aplicaciones o los servicios identificados como escucha en un dispositivo consultando DeviceNetworkEvents.

Use la siguiente consulta para los dispositivos etiquetados con el motivo por el que este dispositivo recibió comunicación entrante externa:

// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")

Nota:

La información relacionada con el proceso solo está disponible para las conexiones TCP.

Use la siguiente consulta para los dispositivos etiquetados con el motivo por el que un examen externo detectó este dispositivo:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"

En el caso de las conexiones UDP, obtenga información sobre los dispositivos que se identificaron como accesibles para el host, pero que pueden no haber establecido una conexión (por ejemplo, como resultado de la directiva de firewall de host) mediante la consulta siguiente:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"

Si las consultas anteriores no proporcionan las conexiones pertinentes, puede usar métodos de colección de socket para recuperar el proceso de origen. Para obtener más información sobre las distintas herramientas y funcionalidades disponibles para ello, consulte:

• Respuesta dinámica de Defender para punto de conexión
• Microsoft Network Monitor
• Netstat para Windows

Imprecisión del informe

Puede notificar una imprecisión de un dispositivo con información incorrecta orientada a Internet. Para el dispositivo accesible desde Internet:

1. Abra el control flotante del dispositivo desde la página Inventario de dispositivos.
2. Seleccione Notificar imprecisión del dispositivo
3. En la lista desplegable ¿Qué parte es inexacta?, seleccione Información del dispositivo.
4. En Qué información es inexacta , seleccione la casilla de clasificación accesible desde Internet en la lista desplegable.
5. Rellene los detalles solicitados sobre cuál debe ser la información correcta.
6. Proporcionar una dirección de correo electrónico (opcional)
7. Seleccione Enviar informe

Consulte también

• Inventario de dispositivos

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.