Dispositivos com acesso à Internet
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender para Empresas
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
À medida que os atores de ameaças analisam continuamente a Web para detetar dispositivos expostos que podem explorar para obter uma posição de apoio nas redes empresariais internas, mapear a superfície de ataque externa da sua organização é uma parte fundamental da gestão da postura de segurança. Os dispositivos que podem ser ligados ou acessíveis a partir do exterior representam uma ameaça para a sua organização.
Microsoft Defender para Ponto de Extremidade identifica e sinaliza automaticamente dispositivos integrados, expostos e com acesso à Internet no portal Microsoft Defender. Estas informações críticas fornecem maior visibilidade sobre a superfície de ataque externa de uma organização e informações sobre a exploração de recursos.
Observação
Atualmente, apenas os dispositivos Windows integrados no Microsoft Defender para Ponto de Extremidade podem ser identificados como com acesso à Internet. O suporte para outras plataformas estará disponível nas próximas versões.
Dispositivos sinalizados como com acesso à Internet
Os dispositivos ligados com êxito através de TCP ou identificados como anfitriões acessíveis através de UDP serão sinalizados como com acesso à Internet no portal do Microsoft Defender. O Defender para Endpoint utiliza diferentes origens de dados para identificar os dispositivos a sinalizar:
- As análises externas são utilizadas para identificar que dispositivos são acessíveis a partir do exterior.
- As ligações de rede do dispositivo, capturadas como parte dos sinais do Defender para Ponto Final, ajudam a identificar ligações de entrada externas que chegam a dispositivos internos.
Os dispositivos podem ser sinalizados como com acesso à Internet quando uma política de firewall configurada (regra de firewall do anfitrião ou regra de firewall empresarial) permite a comunicação de entrada na Internet.
Compreender a sua política de firewall e os seus dispositivos intencionalmente com acesso à Internet em oposição aos que podem comprometer a sua organização, fornece informações críticas quando se trata de mapear a superfície de ataque externa.
Ver dispositivos com acesso à Internet
Para cada dispositivo integrado identificado como com acesso à Internet, a etiqueta com acesso à Internet é apresentada na coluna Etiquetas no inventário de dispositivos no portal do Microsoft Defender. Para ver dispositivos com acesso à Internet:
Aceda aDispositivoativos> no portal Microsoft Defender.
Paire o cursor do rato sobre a etiqueta com acesso à Internet para ver por que motivo foi aplicada, possíveis motivos:
- Este dispositivo foi detetado por uma análise externa
- Este dispositivo recebeu comunicação de entrada externa
Na parte superior da página, pode ver um contador que mostra o número de dispositivos que foram identificados como com acesso à Internet e que são potencialmente menos seguros.
Pode utilizar filtros para se concentrar em dispositivos com acesso à Internet e investigar o risco que podem apresentar na sua organização.
A etiqueta do dispositivo com acesso à Internet também aparece no Gerenciamento de Vulnerabilidades do Microsoft Defender. Isto permite-lhe filtrar dispositivos com acesso à Internet a partir das fraquezas e das páginas de recomendações de segurança no portal do Microsoft Defender.
Observação
Se não ocorrerem novos eventos para um dispositivo durante 48 horas, a etiqueta com acesso à Internet será removida e deixará de estar visível no portal do Microsoft Defender.
Investigar os seus dispositivos com acesso à Internet
Para saber mais sobre um dispositivo com acesso à Internet, selecione o dispositivo no inventário de dispositivos para abrir o painel de lista de opções:
Este painel inclui detalhes sobre se o dispositivo foi detetado por uma análise externa da Microsoft ou se recebeu uma comunicação de entrada externa. Os campos de porta e endereço da interface de rede externa fornecem detalhes sobre o IP externo e a porta que foram analisados no momento em que este dispositivo foi identificado como com acesso à Internet.
O endereço e a porta da interface de rede local para este dispositivo, juntamente com a última vez que o dispositivo foi identificado como com acesso à Internet, também são apresentados.
Utilizar investigação avançada
Utilize consultas de investigação avançadas para obter visibilidade e informações sobre os dispositivos com acesso à Internet na sua organização, por exemplo:
Obter todos os dispositivos com acesso à Internet
Utilize esta consulta para localizar todos os dispositivos com acesso à Internet.
// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)), InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId
Esta consulta devolve os seguintes campos para cada dispositivo com acesso à Internet com as respetivas provas agregadas na coluna "AdditionalFields".
- InternetFacingReason: se o dispositivo foi detetado por uma análise externa ou se recebeu comunicação de entrada da Internet
- InternetFacingLocalIp: o endereço IP local da interface com acesso à Internet
- InternetFacingLocalPort: a porta local onde a comunicação com acesso à Internet foi observada
- InternetFacingPublicScannedIp: o endereço IP público que foi analisado externamente
- InternetFacingPublicScannedPort: a porta com acesso à Internet que foi digitalizada externamente
- InternetFacingTransportProtocol: o protocolo de transporte utilizado (TCP/UDP)
Obter informações sobre ligações de entrada
Para ligações TCP, pode obter mais informações sobre aplicações ou serviços identificados como escutas num dispositivo ao consultar DeviceNetworkEvents.
Utilize a seguinte consulta para dispositivos etiquetados com o motivo pelo qual Este dispositivo recebeu comunicação de entrada externa:
// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")
Observação
As informações relacionadas com o processo só estão disponíveis para ligações TCP.
Utilize a seguinte consulta para dispositivos etiquetados com o motivo pelo qual este dispositivo foi detetado por uma análise externa:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"
Para ligações UDP, obtenha informações sobre dispositivos que foram identificados como anfitriões acessíveis, mas que podem não ter estabelecido uma ligação (por exemplo, como resultado da política de firewall do anfitrião) com a seguinte consulta:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"
Se as consultas acima não fornecerem as ligações relevantes, pode utilizar métodos de recolha de sockets para obter o processo de origem. Para saber mais sobre as diferentes ferramentas e capacidades disponíveis para o fazer, consulte:
Imprecisão de relatórios
Pode comunicar uma imprecisão para um dispositivo com informações incorretas voltadas para a Internet. Para o dispositivo com acesso à Internet:
- Abrir a lista de opções do dispositivo a partir da página Inventário de dispositivos
- Selecione Comunicar a imprecisão do dispositivo
- Na lista pendente Que parte é imprecisa , selecione Informações do dispositivo
- Para Que informações são imprecisas , selecione a caixa de verificação de classificação com acesso à Internet no menu pendente
- Preencha os detalhes pedidos sobre quais devem ser as informações corretas
- Fornecer um endereço de e-mail (opcional)
- Selecione Submeter Relatório
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.