面向 Internet 的设备

项目
04/26/2024

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

由于威胁参与者持续扫描 Web 以检测他们可以利用这些设备在内部公司网络中站稳脚跟，因此映射组织的外部攻击面是安全态势管理的关键部分。可连接到或可从外部接近的设备对组织构成威胁。

Microsoft Defender for Endpoint在Microsoft Defender门户中自动标识和标记已载入、公开的、面向 Internet 的设备。此关键信息可提高对组织外部攻击面的可见性，并深入了解资产可利用性。

注意

目前，只有载入到Microsoft Defender for Endpoint的 Windows 设备可以标识为面向 Internet。即将发布的版本中将提供对其他平台的支持。

标记为面向 Internet 的设备

通过 TCP 成功连接或标识为可通过 UDP 访问的主机的设备将在Microsoft Defender门户中标记为面向 Internet 的设备。 Defender for Endpoint 使用不同的数据源来标识要标记的设备：

外部扫描用于识别哪些设备可从外部接近。
作为 Defender for Endpoint 信号的一部分捕获的设备网络连接有助于识别到达内部设备的外部传入连接。

当配置的防火墙策略 (主机防火墙规则或企业防火墙规则) 允许入站 Internet 通信时，可以将设备标记为面向 Internet。

了解防火墙策略以及有意面向 Internet（而不是可能危害组织的设备）在映射外部攻击面时提供重要信息。

查看面向 Internet 的设备

对于标识为面向 Internet 的每台已载入设备，面向 Internet 的标记将显示在Microsoft Defender门户设备清单的“标记”列中。查看面向 Internet 的设备：

在Microsoft Defender门户中转到“资产>设备”。

将鼠标悬停在面向 Internet 的标记上以查看应用它的原因，可能的原因如下：

外部扫描检测到此设备
此设备接收了外部传入通信

在页面顶部，可以查看一个计数器，该计数器显示已标识为面向 Internet 且可能不太安全的设备数。

可以使用筛选器专注于面向 Internet 的设备，并调查它们可能给组织带来的风险。

注意

如果设备在 48 小时内未发生新事件，则会删除面向 Internet 的标记，并且该标记将不再在Microsoft Defender门户中可见。

调查面向 Internet 的设备

若要了解有关面向 Internet 的设备的详细信息，请在设备清单中选择设备以打开其浮出控件窗格：

此窗格包含有关设备是被 Microsoft 外部扫描检测到还是接收了外部传入通信的详细信息。外部网络接口地址和端口字段提供有关此设备被标识为面向 Internet 时扫描的外部 IP 和端口的详细信息。

还会显示此设备的本地网络接口地址和端口，以及上次将设备标识为面向 Internet 的时间。

使用高级搜寻

使用高级搜寻查询获取组织中面向 Internet 的设备的可见性和见解，例如：

获取所有面向 Internet 的设备

使用此查询可查找面向 Internet 的所有设备。

// Find all devices that are internet-facing
DeviceInfo
| where Timestamp > ago(7d)
| where IsInternetFacing
| extend InternetFacingInfo = AdditionalFields
| extend InternetFacingReason = extractjson("$.InternetFacingReason", InternetFacingInfo, typeof(string)), InternetFacingLocalPort = extractjson("$.InternetFacingLocalPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicPort = extractjson("$.InternetFacingPublicScannedPort", InternetFacingInfo, typeof(int)), InternetFacingScannedPublicIp = extractjson("$.InternetFacingPublicScannedIp", InternetFacingInfo, typeof(string)), InternetFacingLocalIp = extractjson("$.InternetFacingLocalIp", InternetFacingInfo, typeof(string)),   InternetFacingTransportProtocol=extractjson("$.InternetFacingTransportProtocol", InternetFacingInfo, typeof(string)), InternetFacingLastSeen = extractjson("$.InternetFacingLastSeen", InternetFacingInfo, typeof(datetime))
| summarize arg_max(Timestamp, *) by DeviceId

此查询返回每个面向 Internet 的设备的以下字段，其聚合证据位于“AdditionalFields”列中。

InternetFacingReason：设备是被外部扫描检测到还是从 Internet 接收了传入通信
InternetFacingLocalIp：面向 Internet 的接口的本地 IP 地址
InternetFacingLocalPort：观察到面向 Internet 的通信的本地端口
InternetFacingPublicScannedIp：外部扫描的公共 IP 地址
InternetFacingPublicScannedPort：外部扫描的面向 Internet 的端口
InternetFacingTransportProtocol：TCP/UDP) (使用的传输协议

获取有关入站连接的信息

对于 TCP 连接，可以通过查询 DeviceNetworkEvents 来进一步了解标识为在设备上侦听的应用程序或服务。

对标记了此 设备接收外部传入通信的原因的设备使用以下查询：

// Use this function to obtain the device incoming communication from public IP addresses
// Input:
// DeviceId - the device ID that you want to investigate.
// The function will return the last 7 days of data.
InboundExternalNetworkEvents("<DeviceId>")

注意

进程相关信息仅适用于 TCP 连接。

对标记为 外部扫描此设备的原因的设备使用以下查询：

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Tcp"
| where ActionType == "InboundInternetScanInspected"

对于 UDP 连接，请深入了解已标识为主机可访问的设备，但可能尚未 (建立连接，例如，由于主机防火墙策略) 使用以下查询：

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where DeviceId == ""
| where Protocol == "Udp"
| where ActionType == "InboundInternetScanInspected"

如果上述查询未能提供相关连接，可以使用套接字收集方法来检索源进程。若要详细了解可用于执行此操作的不同工具和功能，请参阅：

报表不准确

可以报告具有不正确的面向 Internet 的信息的设备不准确。对于面向 Internet 的设备：

从“设备清单”页打开设备浮出控件
选择 “报告设备不准确”
在“哪些部分不准确”下拉列表中，选择“设备信息”
对于 哪些信息不准确 ，请从下拉列表中选择 面向 Internet 的分类 复选框
填写所请求的详细信息，了解正确的信息应是什么
提供电子邮件地址 (可选)
选择 “提交报告”

另请参阅

设备清单

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。

通过