Internet-käyttölaitteet

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defender for Business

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Kun uhkatoimijat jatkuvasti skannaavat verkkoa tunnistaakseen altistuneet laitteet, joita he voivat hyödyntää saadakseen jalansijaa sisäisissä yritysverkoissa, organisaatiosi ulkoisen hyökkäyspinnan yhdistäminen on keskeinen osa suojausasentoasi. Laitteet, jotka voidaan yhdistää organisaatioosi tai jotka ovat lähestyttävissä ulkopuolelta, ovat uhka organisaatiollesi.

Microsoft Defender for Endpoint tunnistaa ja merkitsee automaattisesti Microsoft Defender portaalissa olevat käyttöön otetut, paljastetut, Internetiin suunnatut laitteet. Nämä tärkeät tiedot tarjoavat entistä paremman näkyvyyden organisaation ulkoiseen hyökkäyspintaan sekä tietoja resurssien hyödyntämisestä.

Huomautus

Tällä hetkellä vain Microsoft Defender for Endpoint käyttöönotetut Windows-laitteet voidaan tunnistaa Internet-laitteiksi. Tuki muille alustoille on saatavilla tulevissa versioissa.

Internetiin suunnatuksi merkityt laitteet

Laitteet, jotka on yhdistetty TCP:n kautta tai jotka on tunnistettu isännäksi, johon pääsee UDP:n kautta, merkitään Internet-yhteydeksi Microsoft Defender portaalissa. Defender for Endpoint tunnistaa eri tietolähteiden avulla laitteet, jotka merkitään:

• Ulkoisia skannauksia käytetään tunnistamaan, mitkä laitteet ovat lähestyttävissä ulkopuolelta.
• Laiteverkkoyhteydet, jotka tallennetaan osana Defender for Endpoint -signaaleja, auttavat tunnistamaan ulkoisia saapuvia yhteyksiä, jotka tavoittavat sisäisiä laitteita.

Laitteet voidaan merkitä Internetiin suunnatuiksi, kun määritetty palomuurikäytäntö (isännän palomuurisääntö tai yrityksen palomuurisääntö) sallii saapuvan Internet-yhteyden.

Palomuurikäytännön ja niiden laitteiden ymmärtäminen, jotka on tarkoituksellisesti internetiin päin kuin ne, jotka saattavat vaarantaa organisaatiosi, antaa tärkeitä tietoja ulkoisen hyökkäyspinnan yhdistämisessä.

Internet-laitteiden tarkasteleminen

Jokaisen internetiin yhteydessä olevaksi tunnisteeksi tunnistetun laitteen Internet-yhteyden tunniste näkyy laitevaraston Tunnisteet-sarakkeessa Microsoft Defender portaalissa. Internetiin päin olevien laitteiden tarkasteleminen:

1. Siirryassets-laitteeseen>Microsoft Defender-portaalissa.

   

Pidä hiiren osoitinta Internetiin päin olevan tunnisteen päällä, jotta näet, miksi se otettiin käyttöön. Mahdollisia syitä ovat seuraavat:

• Ulkoinen tarkistus havaitsi tämän laitteen
• Tämä laite vastaanotti ulkoisen saapuvan tietoliikenteen

Sivun yläreunassa on laskuri, joka näyttää Internetiin suunnatuiksi ja mahdollisesti vähemmän turvallisiksi tunnistettujen laitteiden määrän.

Suodattimien avulla voit keskittyä Internetiin suunnattuihin laitteisiin ja tutkia riskejä, joita ne saattavat aiheuttaa organisaatiollesi.

Huomautus

Jos laitteelle ei tapahdu uusia tapahtumia 48 tuntiin, Internet-tunniste poistetaan eikä se enää näy Microsoft Defender portaalissa.

Tutki Internetiin päin olevien laitteiden käyttöä

Saat lisätietoja Internetiin suunnattavasta laitteesta valitsemalla laitteen laitteen varastosta avataksesi sen pikaikkunaruudun:

Tässä ruudussa on tietoja siitä, onko Microsoftin ulkoinen tarkistus havainnut laitteen vai vastaanottanut ulkoisen saapuvan tietoliikenteen. Ulkoisen verkkoliittymän osoite- ja porttikentät antavat tietoja ulkoisesta IP-osoitteesta ja portista, jotka skannattiin, kun tämä laite tunnistettiin Internet-osoitteeksi.

Tässä laitteessa näytetään myös paikallisen verkkoliittymän osoite ja portti sekä edellinen kerta, kun laite tunnistettiin Internet-osoitteeksi.

Käytä kehittynyttä metsästystä

Kehittyneiden metsästyskyselyiden avulla voit saada näkyvyyttä ja merkityksellisiä tietoja organisaatiosi Internetiin suunnatuissa laitteissa, esimerkiksi:

Hanki kaikki Internet-käyttölaitteet

Tämän kyselyn avulla voit etsiä kaikki laitteet, jotka ovat Internetiin päin.

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

Tämä kysely palauttaa seuraavat kentät kullekin Internetiin suunnatulle laitteelle ja niiden koostetut todisteet "AdditionalFields"-sarakkeessa.

• InternetFacingReason: Havaittiinko laite ulkoisessa tarkistuksessa vai vastaanotettiinko internetistä saapuva tietoliikenne
• InternetFacingLocalIp: Internet-yhteyden käyttöliittymän paikallinen IP-osoite
• InternetFacingLocalPort: Paikallinen portti, jossa internet-yhteyttä havaittiin
• InternetFacingPublicScannedIp: Ulkoisesti skannattu julkinen IP-osoite
• InternetFacingPublicScannedPort: Ulkoisesti skannattu Internet-portti
• InternetFacingTransportProtocol: Käytetty siirtoprotokolla (TCP/UDP)

Hanki tietoja saapuvista yhteyksistä

TCP-yhteyksissä voit saada lisätietoja sovelluksista tai palveluista, jotka on tunnistettu laitteen kuunteluksi, tekemällä kyselyjä DeviceNetworkEvents-kyselyillä.

Käytä seuraavaa kyselyä laitteille, joihin on merkitty syy , miksi tämä laite vastaanotti ulkoisen saapuvan tietoliikenteen:

// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")

Huomautus

Prosessiin liittyviä tietoja voi käyttää vain TCP-yhteyksissä.

Käytä seuraavaa kyselyä laitteille, joissa on syy, miksi ulkoinen tarkistus havaitsi tämän laitteen:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"

Saat UDP-yhteyksissä tietoja laitteista, jotka on tunnistettu isännän ulottuville mutta jotka eivät ehkä ole muodostaneet yhteyttä (esimerkiksi isännän palomuurikäytännön vuoksi) seuraavan kyselyn avulla:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"

Jos yllä olevat kyselyt eivät tarjoa asianmukaisia yhteyksiä, voit noutaa lähdeprosessin käyttämällä vastakkeiden keräämisen menetelmiä. Lisätietoja eri työkaluista ja ominaisuuksista, jotka ovat käytettävissä, on seuraavissa aiheissa:

• Defender for Endpoint live response
• Microsoft Network Monitor
• Netstat for Windows

Raportin epätarkkuus

Voit ilmoittaa laitteen epätarkkuudesta virheellisillä Internet-yhteyden tiedoilla. Internetiin suunnatussa laitteessa:

1. Avaa laitteen pikaikkuna Laitteen varasto -sivulta
2. Valitse raporttilaitteen epätarkkuus
3. Valitse avattavasta Mikä osa on epätarkka -valikosta Laitetiedot
4. Mitkä tiedot ovat epätarkkoja valitse Internet-luokituksen valintaruutu avattavasta valikosta
5. Täytä pyydetyt tiedot siitä, mitä oikeita tietoja tulisi olla
6. Anna sähköpostiosoite (valinnainen)
7. Valitse Lähetä raportti

Tutustu myös seuraaviin ohjeartikkeleihin:

• Laiteluettelo

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.