Internet-käyttölaitteet
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender for Business
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Kun uhkatoimijat jatkuvasti skannaavat verkkoa tunnistaakseen altistuneet laitteet, joita he voivat hyödyntää saadakseen jalansijaa sisäisissä yritysverkoissa, organisaatiosi ulkoisen hyökkäyspinnan yhdistäminen on keskeinen osa suojausasentoasi. Laitteet, jotka voidaan yhdistää organisaatioosi tai jotka ovat lähestyttävissä ulkopuolelta, ovat uhka organisaatiollesi.
Microsoft Defender for Endpoint tunnistaa ja merkitsee automaattisesti Microsoft Defender portaalissa olevat käyttöön otetut, paljastetut, Internetiin suunnatut laitteet. Nämä tärkeät tiedot tarjoavat entistä paremman näkyvyyden organisaation ulkoiseen hyökkäyspintaan sekä tietoja resurssien hyödyntämisestä.
Huomautus
Tällä hetkellä vain Microsoft Defender for Endpoint käyttöönotetut Windows-laitteet voidaan tunnistaa Internet-laitteiksi. Tuki muille alustoille on saatavilla tulevissa versioissa.
Internetiin suunnatuksi merkityt laitteet
Laitteet, jotka on yhdistetty TCP:n kautta tai jotka on tunnistettu isännäksi, johon pääsee UDP:n kautta, merkitään Internet-yhteydeksi Microsoft Defender portaalissa. Defender for Endpoint tunnistaa eri tietolähteiden avulla laitteet, jotka merkitään:
- Ulkoisia skannauksia käytetään tunnistamaan, mitkä laitteet ovat lähestyttävissä ulkopuolelta.
- Laiteverkkoyhteydet, jotka tallennetaan osana Defender for Endpoint -signaaleja, auttavat tunnistamaan ulkoisia saapuvia yhteyksiä, jotka tavoittavat sisäisiä laitteita.
Laitteet voidaan merkitä Internetiin suunnatuiksi, kun määritetty palomuurikäytäntö (isännän palomuurisääntö tai yrityksen palomuurisääntö) sallii saapuvan Internet-yhteyden.
Palomuurikäytännön ja niiden laitteiden ymmärtäminen, jotka on tarkoituksellisesti internetiin päin kuin ne, jotka saattavat vaarantaa organisaatiosi, antaa tärkeitä tietoja ulkoisen hyökkäyspinnan yhdistämisessä.
Internet-laitteiden tarkasteleminen
Jokaisen internetiin yhteydessä olevaksi tunnisteeksi tunnistetun laitteen Internet-yhteyden tunniste näkyy laitevaraston Tunnisteet-sarakkeessa Microsoft Defender portaalissa. Internetiin päin olevien laitteiden tarkasteleminen:
Siirryassets-laitteeseen>Microsoft Defender-portaalissa.
Pidä hiiren osoitinta Internetiin päin olevan tunnisteen päällä, jotta näet, miksi se otettiin käyttöön. Mahdollisia syitä ovat seuraavat:
- Ulkoinen tarkistus havaitsi tämän laitteen
- Tämä laite vastaanotti ulkoisen saapuvan tietoliikenteen
Sivun yläreunassa on laskuri, joka näyttää Internetiin suunnatuiksi ja mahdollisesti vähemmän turvallisiksi tunnistettujen laitteiden määrän.
Suodattimien avulla voit keskittyä Internetiin suunnattuihin laitteisiin ja tutkia riskejä, joita ne saattavat aiheuttaa organisaatiollesi.
Internetiin suunnattu laitetunniste näkyy myös Microsoft Defenderin haavoittuvuuksien hallinta. Näin voit suodattaa Internetiin suunnatut laitteet Microsoft Defender portaalin heikkouksista ja suojaussuositusten sivuista.
Huomautus
Jos laitteelle ei tapahdu uusia tapahtumia 48 tuntiin, Internet-tunniste poistetaan eikä se enää näy Microsoft Defender portaalissa.
Tutki Internetiin päin olevien laitteiden käyttöä
Saat lisätietoja Internetiin suunnattavasta laitteesta valitsemalla laitteen laitteen varastosta avataksesi sen pikaikkunaruudun:
Tässä ruudussa on tietoja siitä, onko Microsoftin ulkoinen tarkistus havainnut laitteen vai vastaanottanut ulkoisen saapuvan tietoliikenteen. Ulkoisen verkkoliittymän osoite- ja porttikentät antavat tietoja ulkoisesta IP-osoitteesta ja portista, jotka skannattiin, kun tämä laite tunnistettiin Internet-osoitteeksi.
Tässä laitteessa näytetään myös paikallisen verkkoliittymän osoite ja portti sekä edellinen kerta, kun laite tunnistettiin Internet-osoitteeksi.
Käytä kehittynyttä metsästystä
Kehittyneiden metsästyskyselyiden avulla voit saada näkyvyyttä ja merkityksellisiä tietoja organisaatiosi Internetiin suunnatuissa laitteissa, esimerkiksi:
Hanki kaikki Internet-käyttölaitteet
Tämän kyselyn avulla voit etsiä kaikki laitteet, jotka ovat Internetiin päin.
// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)), InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId
Tämä kysely palauttaa seuraavat kentät kullekin Internetiin suunnatulle laitteelle ja niiden koostetut todisteet "AdditionalFields"-sarakkeessa.
- InternetFacingReason: Havaittiinko laite ulkoisessa tarkistuksessa vai vastaanotettiinko internetistä saapuva tietoliikenne
- InternetFacingLocalIp: Internet-yhteyden käyttöliittymän paikallinen IP-osoite
- InternetFacingLocalPort: Paikallinen portti, jossa internet-yhteyttä havaittiin
- InternetFacingPublicScannedIp: Ulkoisesti skannattu julkinen IP-osoite
- InternetFacingPublicScannedPort: Ulkoisesti skannattu Internet-portti
- InternetFacingTransportProtocol: Käytetty siirtoprotokolla (TCP/UDP)
Hanki tietoja saapuvista yhteyksistä
TCP-yhteyksissä voit saada lisätietoja sovelluksista tai palveluista, jotka on tunnistettu laitteen kuunteluksi, tekemällä kyselyjä DeviceNetworkEvents-kyselyillä.
Käytä seuraavaa kyselyä laitteille, joihin on merkitty syy , miksi tämä laite vastaanotti ulkoisen saapuvan tietoliikenteen:
// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")
Huomautus
Prosessiin liittyviä tietoja voi käyttää vain TCP-yhteyksissä.
Käytä seuraavaa kyselyä laitteille, joissa on syy, miksi ulkoinen tarkistus havaitsi tämän laitteen:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"
Saat UDP-yhteyksissä tietoja laitteista, jotka on tunnistettu isännän ulottuville mutta jotka eivät ehkä ole muodostaneet yhteyttä (esimerkiksi isännän palomuurikäytännön vuoksi) seuraavan kyselyn avulla:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"
Jos yllä olevat kyselyt eivät tarjoa asianmukaisia yhteyksiä, voit noutaa lähdeprosessin käyttämällä vastakkeiden keräämisen menetelmiä. Lisätietoja eri työkaluista ja ominaisuuksista, jotka ovat käytettävissä, on seuraavissa aiheissa:
Raportin epätarkkuus
Voit ilmoittaa laitteen epätarkkuudesta virheellisillä Internet-yhteyden tiedoilla. Internetiin suunnatussa laitteessa:
- Avaa laitteen pikaikkuna Laitteen varasto -sivulta
- Valitse raporttilaitteen epätarkkuus
- Valitse avattavasta Mikä osa on epätarkka -valikosta Laitetiedot
- Mitkä tiedot ovat epätarkkoja valitse Internet-luokituksen valintaruutu avattavasta valikosta
- Täytä pyydetyt tiedot siitä, mitä oikeita tietoja tulisi olla
- Anna sähköpostiosoite (valinnainen)
- Valitse Lähetä raportti
Tutustu myös seuraaviin ohjeartikkeleihin:
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.