Share via


İnternet'e yönelik cihazlar

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Tehdit aktörleri, kullanıma sunulan cihazları algılamak için web'i sürekli olarak tararken, iç şirket ağlarında bir yer kazanmak için yararlanabilecekleri cihazlar, kuruluşunuzun dış saldırı yüzeyini eşlemek, güvenlik duruşu yönetiminizin önemli bir parçasıdır. Dışarıdan bağlanabilen veya bu cihazlara yaklaşılabilir cihazlar kuruluşunuz için bir tehdit oluşturur.

Uç Nokta için Microsoft Defender, Microsoft Defender portalında eklenen, kullanıma sunulan, İnternet'e yönelik cihazları otomatik olarak tanımlar ve bayrak ekler. Bu kritik bilgiler, bir kuruluşun dış saldırı yüzeyi için daha fazla görünürlük ve varlık kötüye kullanılabilirliğiyle ilgili içgörüler sağlar.

Not

Şu anda yalnızca Uç Nokta için Microsoft Defender eklenen Windows cihazları İnternet'e yönelik olarak tanımlanabilir. Gelecek sürümlerde diğer platformlar için destek sağlanacaktır.

İnternet'e yönelik olarak işaretlenmiş cihazlar

TCP üzerinden başarıyla bağlanan veya UDP aracılığıyla erişilebilen konak olarak tanımlanan cihazlar, Microsoft Defender portalında İnternet'e yönelik olarak işaretlenir. Uç Nokta için Defender, bayrak eklemek istediğiniz cihazları tanımlamak için farklı veri kaynakları kullanır:

  • Dış taramalar, dışarıdan hangi cihazlara yaklaşılabileceğini belirlemek için kullanılır.
  • Uç Nokta için Defender sinyallerinin bir parçası olarak yakalanan cihaz ağ bağlantıları, iç cihazlara ulaşan dış gelen bağlantıların belirlenmesine yardımcı olur.

Yapılandırılmış bir güvenlik duvarı ilkesi (konak güvenlik duvarı kuralı veya kurumsal güvenlik duvarı kuralı) gelen internet iletişimlerine izin verdiğinde cihazlar İnternet'e yönelik olarak işaretlenebilir.

Güvenlik duvarı ilkenizi ve kuruluşunuzu tehlikeye atabileceklerin aksine kasıtlı olarak İnternet'e yönelik cihazlarınızı anlamak, dış saldırı yüzeyinizi eşleme konusunda kritik bilgiler sağlar.

İnternet'e yönelik cihazları görüntüleme

İnternet'e yönelik olarak tanımlanan her eklenen cihaz için İnternet'e yönelik etiket, Microsoft Defender portalındaki cihaz envanterindeki Etiketler sütununda görünür. İnternet'e yönelik cihazları görüntülemek için:

  1. Microsoft Defender portalındaVarlıklar>Cihazı'na gidin.

    İnternet'e yönelik etiketin ekran görüntüsü

Bunun neden uygulandığını görmek için İnternet'e yönelik etiketin üzerine gelin, olası nedenler şunlardır:

  • Bu cihaz bir dış tarama tarafından algılandı
  • Bu cihaz dışarıdan gelen iletişim aldı

Sayfanın üst kısmında, İnternet'e yönelik olarak tanımlanan ve daha az güvenli olabilecek cihaz sayısını gösteren bir sayaç görüntüleyebilirsiniz.

İnternet'e yönelik cihazlara odaklanmak ve kuruluşunuza ne gibi riskler getirebileceğini araştırmak için filtreleri kullanabilirsiniz.

İnternet'e yönelik filtrenin ekran görüntüsü

Not

Bir cihaz için 48 saat boyunca yeni olay gerçekleşmezse İnternet'e yönelik etiket kaldırılır ve artık Microsoft Defender portalında görünmez.

İnternet'e yönelik cihazlarınızı araştırma

İnternet'e yönelik bir cihaz hakkında daha fazla bilgi edinmek için cihaz envanterindeki cihazı seçerek açılır pencere bölmesini açın:

İnternet'e yönelik cihaz ayrıntıları sayfasının ekran görüntüsü

Bu bölmede, cihazın Microsoft dış taraması tarafından algılanıp algılandığına veya dışarıdan gelen bir iletişim alıp almadığına ilişkin ayrıntılar yer alır. Dış ağ arabirimi adresi ve bağlantı noktası alanları, bu cihazın İnternet'e yönelik olarak tanımlandığı sırada taranan dış IP ve bağlantı noktasıyla ilgili ayrıntıları sağlar.

Bu cihazın yerel ağ arabirimi adresi ve bağlantı noktası ile birlikte cihazın İnternet'e yönelik olarak en son ne zaman tanımlandığı da gösterilir.

Gelişmiş avcılığı kullanma

Kuruluşunuzdaki İnternet'e yönelik cihazlar hakkında görünürlük ve içgörü elde etmek için gelişmiş tehdit avcılığı sorgularını kullanın, örneğin:

İnternet'e yönelik tüm cihazları edinin

İnternet'e yönelik tüm cihazları bulmak için bu sorguyu kullanın.

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

Bu sorgu, İnternet'e yönelik her cihaz için aşağıdaki alanları ve "AdditionalFields" sütununda toplanmış kanıtlarını döndürür.

  • InternetFacingReason: Cihazın bir dış tarama tarafından algılanıp algılanmadığı veya İnternet'ten gelen iletişimin alınıp alınmadığı
  • InternetFacingLocalIp: İnternet'e yönelik arabirimin yerel IP adresi
  • InternetFacingLocalPort: İnternet'e yönelik iletişimin gözlemlendiği yerel bağlantı noktası
  • InternetFacingPublicScannedIp: Dışarıdan taranan genel IP adresi
  • InternetFacingPublicScannedPort: Dışarıdan taranan İnternet'e yönelik bağlantı noktası
  • InternetFacingTransportProtocol: Kullanılan aktarım protokolü (TCP/UDP)

Gelen bağlantılar hakkında bilgi alma

TCP bağlantıları için DeviceNetworkEvents'i sorgulayarak bir cihazda dinleme olarak tanımlanan uygulamalar veya hizmetler hakkında daha fazla içgörü elde edebilirsiniz.

Bu cihazın dışarıdan gelen iletişim alma nedeni ile etiketlenmiş cihazlar için aşağıdaki sorguyu kullanın:

// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")

Not

İşlemle ilgili bilgiler yalnızca TCP bağlantıları için kullanılabilir.

Bu cihaz bir dış tarama tarafından algılandı nedeni ile etiketlenmiş cihazlar için aşağıdaki sorguyu kullanın:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"

UDP bağlantıları için, aşağıdaki sorguyu kullanarak ana bilgisayara ulaşılabilir olarak tanımlanan ancak bağlantı kurmamış (örneğin, konak güvenlik duvarı ilkesinin bir sonucu olarak) cihazlar hakkında içgörüler elde edin:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"

Yukarıdaki sorgular ilgili bağlantıları sağlayamazsa, kaynak işlemi almak için yuva toplama yöntemlerini kullanabilirsiniz. Bunu yapmak için kullanılabilecek farklı araçlar ve özellikler hakkında daha fazla bilgi edinmek için bkz:

Rapor yanlışlığı

İnternet'e yönelik yanlış bilgilere sahip bir cihaz için bir yanlışlık bildirebilirsiniz. İnternet'e yönelik cihaz için:

  1. Cihaz envanteri sayfasından cihaz açılır penceresini açma
  2. Cihaz yanlışlığını bildir'i seçin
  3. Hangi bölüm yanlış açılır listesinde Cihaz bilgileri'ni seçin
  4. Hangi bilgiler yanlışsa açılan listeden İnternet'e yönelik sınıflandırma onay kutusunu seçin
  5. Doğru bilgilerin ne olması gerektiğiyle ilgili istenen ayrıntıları doldurun
  6. E-posta adresi sağlayın (isteğe bağlı)
  7. Raporu Gönder'i seçin

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.