Dispositivos voltados para a Internet
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender para Empresas
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
À medida que os atores de ameaças verificam continuamente a Web para detectar dispositivos expostos que podem explorar para obter uma base em redes corporativas internas, mapear a superfície de ataque externa da sua organização é uma parte fundamental do gerenciamento de postura de segurança. Dispositivos que podem ser conectados ou podem ser acessíveis de fora representam uma ameaça para sua organização.
Microsoft Defender para Ponto de Extremidade identifica automaticamente e sinaliza dispositivos integrados, expostos e voltados para a Internet no portal do Microsoft Defender. Essas informações críticas fornecem maior visibilidade sobre a superfície de ataque externa de uma organização e insights sobre a exploração de ativos.
Observação
Atualmente, apenas dispositivos Windows integrados a Microsoft Defender para Ponto de Extremidade podem ser identificados como voltados para a Internet. O suporte para outras plataformas estará disponível nas próximas versões.
Dispositivos sinalizados como voltados para a Internet
Os dispositivos conectados com êxito por meio do TCP ou identificados como host acessíveis por meio do UDP serão sinalizados como voltados para a Internet no portal Microsoft Defender. O Defender para Ponto de Extremidade usa diferentes fontes de dados para identificar os dispositivos para sinalizar:
- As verificações externas são usadas para identificar quais dispositivos são acessíveis de fora.
- As conexões de rede do dispositivo, capturadas como parte dos sinais do Defender para Ponto de Extremidade, ajudam a identificar conexões externas de entrada que chegam a dispositivos internos.
Os dispositivos podem ser sinalizados como voltados para a Internet quando uma política de firewall configurada (regra de firewall do host ou regra de firewall empresarial) permite comunicação de entrada na Internet.
Entender sua política de firewall e seus dispositivos que são intencionalmente voltados para a Internet em oposição àqueles que podem comprometer sua organização, fornece informações críticas quando se trata de mapear sua superfície de ataque externa.
Exibir dispositivos voltados para a Internet
Para cada dispositivo integrado identificado como voltado para a Internet, a marca voltada para a Internet aparece na coluna Marcas no inventário do dispositivo no portal Microsoft Defender. Para exibir dispositivos voltados para a Internet:
Acesse Dispositivo de Ativos> no portal Microsoft Defender.
Passe o mouse sobre a marca voltada para a Internet para ver por que ela foi aplicada, possíveis razões são:
- Esse dispositivo foi detectado por uma verificação externa
- Este dispositivo recebeu comunicação externa de entrada
Na parte superior da página, você pode exibir um contador que mostra o número de dispositivos que foram identificados como voltados para a Internet e são potencialmente menos seguros.
Você pode usar filtros para se concentrar em dispositivos voltados para a Internet e investigar o risco que eles podem apresentar à sua organização.
Observação
Se nenhum evento novo para um dispositivo ocorrer por 48 horas, a marca voltada para a Internet será removida e ela não estará mais visível no portal Microsoft Defender.
Investigar seus dispositivos voltados para a Internet
Para saber mais sobre um dispositivo voltado para a Internet, selecione o dispositivo no inventário do dispositivo para abrir seu painel de sobrevoo:
Este painel inclui detalhes sobre se o dispositivo foi detectado por uma verificação externa da Microsoft ou recebeu uma comunicação externa de entrada. Os campos de porta e endereço de interface de rede externa fornecem detalhes sobre o IP externo e a porta que foram verificados no momento em que esse dispositivo foi identificado como voltado para a Internet.
O endereço e a porta da interface de rede local para este dispositivo, juntamente com a última vez que o dispositivo foi identificado como voltado para a Internet também são mostrados.
Usar a caça avançada
Use consultas de caça avançadas para obter visibilidade e insights sobre os dispositivos voltados para a Internet em sua organização, por exemplo:
Obter todos os dispositivos voltados para a Internet
Use essa consulta para localizar todos os dispositivos voltados para a Internet.
// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)), InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId
Essa consulta retorna os campos a seguir para cada dispositivo voltado para a Internet com suas evidências agregadas na coluna "AdditionalFields".
- InternetFacingReason: se o dispositivo foi detectado por uma verificação externa ou se recebeu comunicação de entrada da Internet
- InternetFacingLocalIp: o endereço IP local da interface voltada para a Internet
- InternetFacingLocalPort: a porta local em que a comunicação voltada para a Internet foi observada
- InternetFacingPublicScannedIp: o endereço IP público que foi verificado externamente
- InternetFacingPublicScannedPort: a porta voltada para a Internet que foi digitalizada externamente
- InternetFacingTransportProtocol: O protocolo de transporte usado (TCP/UDP)
Obter informações sobre conexões de entrada
Para conexões TCP, você pode obter mais informações sobre aplicativos ou serviços identificados como escuta em um dispositivo consultando DeviceNetworkEvents.
Use a consulta a seguir para dispositivos marcados com o motivo pelo qual este dispositivo recebeu comunicação externa de entrada:
// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")
Observação
As informações relacionadas ao processo só estão disponíveis para conexões TCP.
Use a consulta a seguir para dispositivos marcados com o motivo pelo qual este dispositivo foi detectado por uma verificação externa:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"
Para conexões UDP, obtenha insights sobre dispositivos que foram identificados como acessíveis ao host, mas podem não ter estabelecido uma conexão (por exemplo, como resultado da política de firewall do host) usando a seguinte consulta:
DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"
Se as consultas acima não fornecerem as conexões relevantes, você poderá usar métodos de coleção de soquetes para recuperar o processo de origem. Para saber mais sobre diferentes ferramentas e recursos disponíveis para fazer isso, confira:
- Resposta dinâmica do Defender para Ponto de Extremidade
- Microsoft Network Monitor
- Netstat para Windows
Imprecisão de relatório
Você pode relatar uma imprecisão para um dispositivo com informações incorretas voltadas para a Internet. Para o dispositivo voltado para a Internet:
- Abra o flyout do dispositivo na página Inventário de dispositivos
- Selecionar Imprecisão do dispositivo de relatório
- Na lista suspensa Qual parte é imprecisa , selecione Informações do dispositivo
- Para Quais informações são imprecisas , selecione a caixa de seleção de classificação voltada para a Internet na lista suspensa
- Preencha os detalhes solicitados sobre quais informações corretas devem ser
- Fornecer um endereço de email (opcional)
- Selecione Enviar Relatório
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de