Delen via

Internetgerichte apparaten

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Omdat bedreigingsactoren voortdurend het web scannen om blootgestelde apparaten te detecteren die ze kunnen misbruiken om voet aan de grond te krijgen in interne bedrijfsnetwerken, is het toewijzen van het externe aanvalsoppervlak van uw organisatie een belangrijk onderdeel van uw beveiligingspostuurbeheer. Apparaten die kunnen worden verbonden met of van buitenaf benaderbaar zijn, vormen een bedreiging voor uw organisatie.

Microsoft Defender voor Eindpunt identificeert en markeert automatisch onboarding, blootgestelde, internetgerichte apparaten in de Microsoft Defender portal. Deze essentiële informatie biedt meer inzicht in het externe aanvalsoppervlak van een organisatie en inzicht in de exploiteerbaarheid van assets.

Opmerking

Op dit moment kunnen alleen Windows-apparaten die zijn onboarden voor Microsoft Defender voor Eindpunt worden geïdentificeerd als internetgerichte apparaten. Ondersteuning voor andere platforms is beschikbaar in toekomstige releases.

Apparaten die zijn gemarkeerd als internetgericht

Apparaten die zijn verbonden via TCP of die zijn geïdentificeerd als host die bereikbaar is via UDP, worden gemarkeerd als internetgericht in de Microsoft Defender portal. Defender voor Eindpunt maakt gebruik van verschillende gegevensbronnen om de apparaten te identificeren die moeten worden gevlagd:

  • Externe scans worden gebruikt om te bepalen welke apparaten van buitenaf benaderbaar zijn.
  • Apparaatnetwerkverbindingen, vastgelegd als onderdeel van Defender for Endpoint-signalen, helpen bij het identificeren van externe binnenkomende verbindingen die interne apparaten bereiken.

Apparaten kunnen worden gemarkeerd als internetgericht wanneer een geconfigureerd firewallbeleid (hostfirewallregel of bedrijfsfirewallregel) binnenkomende internetcommunicatie toestaat.

Inzicht in uw firewallbeleid en uw apparaten die opzettelijk op internet zijn gericht in tegenstelling tot apparaten die uw organisatie in gevaar kunnen brengen, biedt essentiële informatie als het gaat om het toewijzen van uw externe kwetsbaarheid voor aanvallen.

Internetgerichte apparaten weergeven

Voor elk onboarded apparaat dat wordt geïdentificeerd als internetgericht, wordt de internetgerichte tag weergegeven in de kolom Tags in de apparaatinventaris in de Microsoft Defender-portal. Internetgerichte apparaten weergeven:

  1. Ga naar Assets>Device in de Microsoft Defender portal.

    Schermopname van de internetgerichte tag

Beweeg de muisaanwijzer over de internetgerichte tag om te zien waarom deze is toegepast. Mogelijke redenen zijn:

  • Dit apparaat is gedetecteerd door een externe scan
  • Dit apparaat heeft externe binnenkomende communicatie ontvangen

Boven aan de pagina ziet u een teller met het aantal apparaten dat is geïdentificeerd als internetgericht en mogelijk minder veilig is.

U kunt filters gebruiken om u te richten op internetgerichte apparaten en het risico te onderzoeken dat ze in uw organisatie met zich meebrengen.

Schermopname van het internetgerichte filter

Opmerking

Als er 48 uur geen nieuwe gebeurtenissen voor een apparaat plaatsvinden, wordt de internetgerichte tag verwijderd en is deze niet meer zichtbaar in de Microsoft Defender portal.

Uw internetgerichte apparaten onderzoeken

Voor meer informatie over een internetgericht apparaat selecteert u het apparaat in de apparaatinventaris om het flyoutvenster te openen:

Schermopname van de pagina met details van het internetgerichte apparaat

Dit deelvenster bevat informatie over of het apparaat is gedetecteerd door een externe scan van Microsoft of een externe inkomende communicatie heeft ontvangen. Het adres en de poortvelden van de externe netwerkinterface bevatten details over het externe IP-adres en de poort die zijn gescand op het moment dat dit apparaat werd geïdentificeerd als internetgericht.

Het adres en de poort van de lokale netwerkinterface voor dit apparaat, samen met de laatste keer dat het apparaat is geïdentificeerd als internetgericht, worden ook weergegeven.

Geavanceerde opsporing gebruiken

Gebruik geavanceerde opsporingsquery's om inzicht te krijgen in de internetgerichte apparaten in uw organisatie, bijvoorbeeld:

Alle internetgerichte apparaten ophalen

Gebruik deze query om alle apparaten te vinden die op internet zijn gericht.

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

Deze query retourneert de volgende velden voor elk internetgericht apparaat met het geaggregeerde bewijsmateriaal in de kolom 'AdditionalFields'.

  • InternetFacingReason: of het apparaat is gedetecteerd door een externe scan of binnenkomende communicatie van internet heeft ontvangen
  • InternetFacingLocalIp: het lokale IP-adres van de internetgerichte interface
  • InternetFacingLocalPort: de lokale poort waar internetgerichte communicatie werd waargenomen
  • InternetFacingPublicScannedIp: het openbare IP-adres dat extern is gescand
  • InternetFacingPublicScannedPort: de internetgerichte poort die extern is gescand
  • InternetFacingTransportProtocol: het gebruikte transportprotocol (TCP/UDP)

Informatie over binnenkomende verbindingen ophalen

Voor TCP-verbindingen kunt u meer inzicht krijgen in toepassingen of services die zijn geïdentificeerd als luisteren op een apparaat door een query uit te voeren op DeviceNetworkEvents.

Gebruik de volgende query voor apparaten die zijn getagd met de reden dat Dit apparaat externe binnenkomende communicatie heeft ontvangen:

// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")

Opmerking

Procesgerelateerde informatie is alleen beschikbaar voor TCP-verbindingen.

Gebruik de volgende query voor apparaten die zijn getagd met de reden dat Dit apparaat is gedetecteerd door een externe scan:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"

Voor UDP-verbindingen krijgt u inzicht in apparaten die zijn geïdentificeerd als host bereikbaar, maar mogelijk geen verbinding hebben gemaakt (bijvoorbeeld als gevolg van het firewallbeleid van de host) met behulp van de volgende query:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"

Als de bovenstaande query's niet de relevante verbindingen bieden, kunt u socketverzamelingsmethoden gebruiken om het bronproces op te halen. Zie voor meer informatie over de verschillende hulpprogramma's en mogelijkheden die hiervoor beschikbaar zijn:

Onnauwkeurigheid rapporteren

U kunt een onnauwkeurigheid melden voor een apparaat met onjuiste internetgerichte informatie. Voor het internetgerichte apparaat:

  1. Open de flyout van het apparaat vanaf de pagina Apparaatinventaris
  2. Selecteer Onnauwkeurigheid van apparaat rapporteren
  3. Selecteer in de vervolgkeuzelijst Welk onderdeel is onjuistde optie Apparaatgegevens
  4. Voor Welke gegevens onjuist zijn , schakelt u het selectievakje internetgerichte classificatie in de vervolgkeuzelijst in
  5. Vul de gevraagde details in over wat de juiste informatie moet zijn
  6. Geef een e-mailadres op (optioneel)
  7. Selecteer Rapport verzenden

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.