Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
- Microsoft Defender pour les PME
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Comme les acteurs de menace analysent en permanence le web pour détecter les appareils exposés qu’ils peuvent exploiter pour s’implanter dans les réseaux d’entreprise internes, le mappage de la surface d’attaque externe de votre organization est un élément clé de la gestion de votre posture de sécurité. Les appareils qui peuvent être connectés ou accessibles de l’extérieur constituent une menace pour votre organization.
Microsoft Defender pour point de terminaison identifie et signale automatiquement les appareils connectés, exposés et connectés à Internet dans le portail Microsoft Defender. Ces informations critiques fournissent une visibilité accrue de la surface d’attaque externe d’un organization et des insights sur l’exploitabilité des ressources.
Remarque
Actuellement, seuls les appareils Windows intégrés à Microsoft Defender pour point de terminaison peuvent être identifiés comme étant accessibles sur Internet. La prise en charge d’autres plateformes sera disponible dans les prochaines versions.
Appareils marqués comme étant accessibles sur Internet
Les appareils qui sont correctement connectés via TCP ou identifiés comme pouvant être accessibles par l’hôte via UDP seront marqués comme étant accessibles sur Internet dans le portail Microsoft Defender. Defender pour point de terminaison utilise différentes sources de données pour identifier les appareils à signaler :
- Les analyses externes sont utilisées pour identifier les appareils accessibles de l’extérieur.
- Les connexions réseau des appareils, capturées dans le cadre des signaux Defender pour point de terminaison, permettent d’identifier les connexions entrantes externes qui atteignent les appareils internes.
Les appareils peuvent être marqués comme étant accessibles sur Internet lorsqu’une stratégie de pare-feu configurée (règle de pare-feu d’hôte ou règle de pare-feu d’entreprise) autorise la communication Internet entrante.
La compréhension de votre stratégie de pare-feu et de vos appareils qui sont intentionnellement accessibles sur Internet, par opposition à ceux qui peuvent compromettre votre organization, fournit des informations critiques lorsqu’il s’agit de mapper votre surface d’attaque externe.
Afficher les appareils accessibles sur Internet
Pour chaque appareil intégré identifié comme étant accessible sur Internet, la balise accessible sur Internet apparaît dans la colonne Étiquettes de l’inventaire des appareils dans le portail Microsoft Defender. Pour afficher les appareils accessibles sur Internet :
Accédez à Ressources>Appareil dans le portail Microsoft Defender.
Pointez sur la balise accessible sur Internet pour voir pourquoi elle a été appliquée. Les raisons possibles sont les suivantes :
- Cet appareil a été détecté par une analyse externe
- Cet appareil a reçu une communication entrante externe
En haut de la page, vous pouvez afficher un compteur qui indique le nombre d’appareils qui ont été identifiés comme étant accessibles sur Internet et qui sont potentiellement moins sécurisés.
Vous pouvez utiliser des filtres pour vous concentrer sur les appareils accessibles sur Internet et examiner le risque qu’ils peuvent introduire dans votre organization.
La balise d’appareil accessible sur Internet apparaît également dans Gestion des vulnérabilités Microsoft Defender. Cela vous permet de filtrer les appareils accessibles sur Internet à partir des faiblesses et des pages de recommandations de sécurité dans le portail Microsoft Defender.
Remarque
Si aucun nouvel événement pour un appareil ne se produit pendant 48 heures, la balise accessible sur Internet est supprimée et elle ne sera plus visible dans le portail Microsoft Defender.
Examiner vos appareils accessibles sur Internet
Pour en savoir plus sur un appareil accessible sur Internet, sélectionnez-le dans l’inventaire des appareils pour ouvrir son volet volant :
Ce volet inclut des détails indiquant si l’appareil a été détecté par une analyse externe de Microsoft ou a reçu une communication entrante externe. L’adresse de l’interface réseau externe et les champs de port fournissent des détails sur l’adresse IP externe et le port qui ont été analysés au moment où cet appareil a été identifié comme étant accessible sur Internet.
L’adresse et le port de l’interface réseau locale de cet appareil, ainsi que la dernière fois que l’appareil a été identifié comme étant accessible sur Internet sont également affichés.
Utiliser la chasse avancée
Utilisez des requêtes de repérage avancées pour obtenir une visibilité et des insights sur les appareils accessibles sur Internet dans votre organization, par exemple :
Obtenir tous les appareils accessibles sur Internet
Utilisez cette requête pour rechercher tous les appareils accessibles sur Internet.
// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)), InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId
Cette requête retourne les champs suivants pour chaque appareil accessible sur Internet avec leur preuve agrégée dans la colonne « AdditionalFields ».
- InternetFacingReason : indique si l’appareil a été détecté par une analyse externe ou a reçu une communication entrante à partir d’Internet
- InternetFacingLocalIp : adresse IP locale de l’interface accessible sur Internet
- InternetFacingLocalPort : port local où la communication internet a été observée
- InternetFacingPublicScannedIp : adresse IP publique qui a été analysée en externe
- InternetFacingPublicScannedPort : port accessible sur Internet qui a été analysé en externe
- InternetFacingTransportProtocol : protocole de transport utilisé (TCP/UDP)
Obtenir des informations sur les connexions entrantes
Pour les connexions TCP, vous pouvez obtenir des informations supplémentaires sur les applications ou services identifiés comme étant à l’écoute sur un appareil en interrogeant DeviceNetworkEvents.
Utilisez la requête suivante pour les appareils étiquetés avec la raison pour laquelle cet appareil a reçu une communication entrante externe :
// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")
Remarque
Les informations relatives au processus sont disponibles uniquement pour les connexions TCP.
Utilisez la requête suivante pour les appareils étiquetés avec la raison pour laquelle cet appareil a été détecté par une analyse externe :
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"
Pour les connexions UDP, obtenez des insights sur les appareils identifiés comme accessibles par l’hôte, mais qui n’ont peut-être pas établi de connexion (par exemple, en raison de la stratégie de pare-feu de l’hôte) à l’aide de la requête suivante :
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"
Si les requêtes ci-dessus ne parviennent pas à fournir les connexions appropriées, vous pouvez utiliser des méthodes de collecte de sockets pour récupérer le processus source. Pour en savoir plus sur les différents outils et fonctionnalités disponibles pour ce faire, consultez :
- Réponse en direct de Defender pour point de terminaison
- Moniteur réseau Microsoft
- Netstat pour Windows
Imprécision du rapport
Vous pouvez signaler une inexactitude pour un appareil avec des informations incorrectes accessibles sur Internet. Pour l’appareil accessible sur Internet :
- Ouvrir le menu volant de l’appareil à partir de la page Inventaire de l’appareil
- Sélectionnez Signaler l’inexactitude de l’appareil.
- Dans la liste déroulante Quelle partie est inexacte , sélectionnez Informations sur l’appareil
- Pour Quelles informations sont inexactes , cochez la case Classification accessible sur Internet dans la liste déroulante.
- Renseignez les détails demandés sur les informations correctes
- Fournir une adresse e-mail (facultatif)
- Sélectionnez Envoyer le rapport
Voir aussi
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.