Dela via

Internetuppkopplade enheter

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

När hotaktörer kontinuerligt söker igenom webben för att identifiera exponerade enheter som de kan utnyttja för att få fotfäste i interna företagsnätverk, är mappning av organisationens externa attackyta en viktig del av din hantering av säkerhetsstatus. Enheter som kan anslutas till eller kan nås utifrån utgör ett hot mot din organisation.

Microsoft Defender för Endpoint identifierar och flaggar automatiskt registrerade, exponerade, Internetuppkopplade enheter i Microsoft Defender-portalen. Den här viktiga informationen ger bättre insyn i en organisations externa attackyta och insikter om tillgångsexploatering.

Obs!

För närvarande kan endast Windows-enheter som är registrerade på Microsoft Defender för Endpoint identifieras som Internetuppkopplade. Stöd för andra plattformar kommer att finnas i kommande versioner.

Enheter som har flaggats som Internetuppkopplade

Enheter som har anslutits via TCP eller identifierats som värdar som kan nås via UDP flaggas som internetuppkopplade i Microsoft Defender-portalen. Defender för Endpoint använder olika datakällor för att identifiera enheterna som ska flaggas:

  • Externa genomsökningar används för att identifiera vilka enheter som kan nås utifrån.
  • Enhetsnätverksanslutningar, som samlas in som en del av Defender för Endpoint-signaler, hjälper till att identifiera externa inkommande anslutningar som når interna enheter.

Enheter kan flaggas som Internetuppkopplade när en konfigurerad brandväggsprincip (värdbrandväggsregel eller företagsbrandväggsregel) tillåter inkommande Internetkommunikation.

Att förstå din brandväggsprincip och dina enheter som avsiktligt är internetriktade i stället för de som kan äventyra din organisation, ger viktig information när det gäller att mappa din externa attackyta.

Visa internetuppkopplade enheter

För varje registrerad enhet som identifieras som Internetuppkopplad visas den Internetuppkopplade taggen i kolumnen Taggar i enhetsinventeringen i Microsoft Defender-portalen. Så här visar du internetuppkopplade enheter:

  1. Gå till Tillgångar>Enhet i Microsoft Defender-portalen.

    Skärmbild av den Internetuppkopplade taggen

Hovra över den Internetuppkopplade taggen för att se varför den har tillämpats. Möjliga orsaker är:

  • Den här enheten upptäcktes av en extern genomsökning
  • Den här enheten tog emot extern inkommande kommunikation

Överst på sidan kan du visa en räknare som visar antalet enheter som har identifierats som Internetuppkopplade och potentiellt mindre säkra.

Du kan använda filter för att fokusera på Internetuppkopplade enheter och undersöka den risk som de kan medföra i din organisation.

Skärmbild av det Internetuppkopplade filtret

Obs!

Om inga nya händelser för en enhet inträffar under 48 timmar tas taggen internetuppkopplad bort och den visas inte längre i Microsoft Defender-portalen.

Undersök dina Internetuppkopplade enheter

Om du vill veta mer om en Internetuppkopplad enhet väljer du enheten i enhetsinventeringen för att öppna den utfällbara rutan:

Skärmbild av sidan med internetuppkopplad enhetsinformation

Det här fönstret innehåller information om huruvida enheten har identifierats av en extern Microsoft-genomsökning eller tagit emot en extern inkommande kommunikation. Adress- och portfälten för det externa nätverksgränssnittet innehåller information om den externa IP-adress och port som genomsöktes när enheten identifierades som internetuppkopplad.

Den lokala nätverksgränssnittsadressen och porten för den här enheten, tillsammans med den senaste gången enheten identifierades som Internetuppkopplad, visas också.

Använda avancerad jakt

Använd avancerade jaktfrågor för att få insyn och insikter om internetuppkopplade enheter i din organisation, till exempel:

Hämta alla Internetuppkopplade enheter

Använd den här frågan för att hitta alla enheter som är internetuppkopplade.

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

Den här frågan returnerar följande fält för varje internetuppkopplad enhet med sina aggregerade bevis i kolumnen "AdditionalFields".

  • InternetFacingReason: Om enheten har identifierats av en extern genomsökning eller tagit emot inkommande kommunikation från Internet
  • InternetFacingLocalIp: Den lokala IP-adressen för det Internetuppkopplade gränssnittet
  • InternetFacingLocalPort: Den lokala port där internetriktad kommunikation observerades
  • InternetFacingPublicScannedIp: Den offentliga IP-adress som genomsökts externt
  • InternetFacingPublicScannedPort: Den Internetuppkopplade porten som genomsökts externt
  • InternetFacingTransportProtocol: Transportprotokollet som används (TCP/UDP)

Hämta information om inkommande anslutningar

För TCP-anslutningar kan du få ytterligare insikter om program eller tjänster som identifieras som lyssnar på en enhet genom att fråga DeviceNetworkEvents.

Använd följande fråga för enheter som taggats med orsaken Den här enheten tog emot extern inkommande kommunikation:

// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")

Obs!

Processrelaterad information är endast tillgänglig för TCP-anslutningar.

Använd följande fråga för enheter som taggats med orsaken Den här enheten identifierades av en extern genomsökning:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"

För UDP-anslutningar får du insikter om enheter som har identifierats som tillgängliga för värden men som kanske inte har upprättat en anslutning (till exempel som ett resultat av värdbrandväggsprincipen) med hjälp av följande fråga:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"

Om ovanstående frågor inte kan tillhandahålla relevanta anslutningar kan du använda socketsamlingsmetoder för att hämta källprocessen. Mer information om olika verktyg och funktioner som är tillgängliga för detta finns i:

Rapportaccuracy

Du kan rapportera en felaktighet för en enhet med felaktig internetuppkopplad information. För den Internetuppkopplade enheten:

  1. Öppna den utfällbara menyn för enheten från sidan Enhetsinventering
  2. Välj Felaktig rapportenhet
  3. I listrutan Vilken del är felaktig väljer du Enhetsinformation
  4. För Vilken information är felaktig markerar du kryssrutan Internetuppkopplad klassificering i listrutan
  5. Fyll i den begärda informationen om vilken rätt information som ska vara
  6. Ange en e-postadress (valfritt)
  7. Välj Skicka rapport

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.