Sdílet prostřednictvím

Přehled úprav aktiv

  • Článek

Tento článek popisuje, jak upravit inventarizační prostředky. Můžete změnit stav prostředku, přiřadit externí ID nebo použít popisky, které vám pomůžou poskytnout kontextová data a používat data inventáře. Můžete také označit CVE a další pozorování jako nepoužitelné, abyste je odebrali z hlášených počtů. Prostředky můžete také hromadně odebrat z jejich inventáře na základě metody, se kterou se zjistí. Uživatelé můžou například odebrat počáteční hodnoty ze skupiny zjišťování a rozhodnout se odebrat všechny prostředky, které jsou zjištěny prostřednictvím připojení k tomuto počátečnímu intervalu. Tento článek popisuje všechny možnosti úprav, které jsou k dispozici v programu Defender EASM, a popisuje, jak aktualizovat prostředky a sledovat všechny aktualizace pomocí Správce úloh.

Popisky prostředků

Popisky vám pomůžou uspořádat prostor pro útoky a použít obchodní kontext přizpůsobitelným způsobem. Jakýkoli textový popisek můžete použít na podmnožinu prostředků, abyste seskupily prostředky a mohli lépe využívat inventář. Zákazníci obvykle kategorizují prostředky, které:

  • Nedávno přišli pod vlastnictví vaší organizace prostřednictvím fúze nebo akvizice.
  • Vyžadovat monitorování dodržování předpisů.
  • Vlastní konkrétní organizační jednotka ve své organizaci.
  • Jsou ovlivněny konkrétním ohrožením zabezpečení, které vyžaduje zmírnění rizik.
  • Souvisí s konkrétní značkou vlastněnou organizací.
  • Byly přidány do inventáře v určitém časovém rozsahu.

Popisky jsou bezplatná textová pole formuláře, takže můžete vytvořit popisek pro případ použití, který platí pro vaši organizaci.

Snímek obrazovky znázorňující zobrazení seznamu inventáře s filtrovaným sloupcem Popisky

Změna stavu prostředku

Uživatelé můžou také změnit stav prostředku. Státy pomáhají kategorizovat inventář na základě jejich role ve vaší organizaci. Uživatelé můžou přepínat mezi následujícími stavy:

  • Schválený inventář: Část vašeho vlastněného prostoru útoku; položka, za kterou jste přímo zodpovědní.
  • Závislost: Infrastruktura vlastněná třetí stranou, ale je součástí vašeho prostoru pro útoky, protože přímo podporuje provoz vašich vlastněných prostředků. Můžete například záviset na poskytovateli IT, který hostuje váš webový obsah. Zatímco doména, název hostitele a stránky by byly součástí vašeho schváleného inventáře, můžete chtít zacházet s IP adresou spuštěnou hostitele jako se závislostí.
  • Pouze monitorování: Prostředek, který je relevantní pro váš prostor útoku, ale není přímo řízen vaší organizací ani technickou závislostí. Například nezávislé franšízy nebo aktiva patřící souvisejícím společnostem mohou být označeny jako "Pouze monitorování" místo "Schválené inventáře" k oddělení skupin pro účely vytváření sestav.
  • Kandidát: Prostředek, který má nějaký vztah ke známým počátečním prostředkům vaší organizace, ale nemá dostatečně silné připojení, aby ho okamžitě označil jako "Schválený inventář". Tyto kandidátské prostředky je potřeba zkontrolovat ručně, aby bylo možné určit vlastnictví.
  • Vyžaduje šetření: Stav podobný stavům Kandidát, ale tato hodnota se použije u prostředků, které vyžadují ruční šetření k ověření. To se určuje na základě interně vygenerovaných skóre spolehlivosti, které vyhodnocují sílu zjištěných připojení mezi prostředky. Neznačí přesný vztah infrastruktury k organizaci tak, jak označuje, že tento prostředek byl označen příznakem jako vyžadování další kontroly, aby bylo možné určit, jak se má zařadit do kategorií.

Použití externího ID

Uživatelé můžou na prostředek použít také externí ID. Tato akce je užitečná v situacích, kdy používáte více řešení pro sledování aktiv, nápravné aktivity nebo monitorování vlastnictví; zobrazení všech externích ID v rámci EASM v programu Defender vám pomůže sladit tyto různorodé informace o prostředcích. Hodnoty externího ID můžou být číselné nebo alfanumerické a musí být zadané v textovém formátu. Externí ID se také zobrazují v části Podrobnosti o prostředku.

Označení pozorování jako nepoužitelné

Mnoho řídicích panelů EASM v programu Defender obsahuje data CVE a upozorňuje vás na potenciální ohrožení zabezpečení na základě infrastruktury webových komponent, která využívá prostor pro útoky. Například cves jsou uvedeny na řídicím panelu souhrnu prostoru útoku, který je zařazený do kategorií podle jejich potenciální závažnosti. Při zkoumání těchto CVE můžete zjistit, že některé nejsou pro vaši organizaci relevantní. Důvodem může být to, že používáte nepřístupnou verzi webové komponenty nebo má vaše organizace různá technická řešení, která vás chrání před tímto konkrétním ohrožením zabezpečení.

V zobrazení podrobností libovolného grafu souvisejícího s CVE vedle tlačítka Stáhnout sestavu CSV teď máte možnost nastavit pozorování jako nepoužitelné. Kliknutím na tuto hodnotu přejdete do seznamu skladových zásob všech prostředků přidružených k tomuto pozorování a pak se můžete rozhodnout označit všechna pozorování jako nepoužitelná z této stránky. Skutečná změna se provádí buď ze zobrazení seznamu inventáře, nebo ze stránky s podrobnostmi o aktivech pro konkrétní prostředek.

Snímek obrazovky se zobrazením přechodu k podrobnostem řídicího panelu se zvýrazněným tlačítkem Označit pozorování jako nepoužitelné

Úprava prostředků

Prostředky můžete upravit ze stránek se seznamem inventáře i podrobnostmi o aktivech. Změny jednoho prostředku můžete provést na stránce s podrobnostmi o prostředku. Na stránce seznamu inventáře můžete provádět změny jednoho nebo více prostředků. Následující části popisují, jak použít změny ze dvou zobrazení inventáře v závislosti na vašem případu použití.

Stránka se seznamem inventáře

Pokud chcete aktualizovat množství prostředků najednou, měli byste změnit prostředky ze stránky seznamu inventáře. Seznam prostředků můžete upřesnit na základě parametrů filtru. Tento proces vám pomůže identifikovat prostředky, které by měly být zařazeny do kategorií s popiskem, externím ID nebo změnou stavu, kterou chcete použít. Úprava prostředků z této stránky:

  1. V levém podokně prostředku Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) vyberte Inventář.

  2. Použijte filtry k vytvoření zamýšlených výsledků. V tomto příkladu hledáme domény, jejichž platnost vyprší do 30 dnů, které vyžadují prodloužení. Použitý popisek vám pomůže rychleji získat přístup k jakýmkoli doménám s vypršenou platností, aby se zjednodušil proces nápravy. K získání potřebných konkrétních výsledků můžete použít libovolný počet filtrů. Další informace o filtrech najdete v tématu Přehled filtrů inventáře. Například v případech, kdy chcete označit cves jako nepoužitelné, poskytuje příslušný přehled grafu řídicího panelu odkaz, který vás přímo směruje na tuto stránku inventáře se správnými použitými filtry.

    Snímek obrazovky zobrazující zobrazení seznamu inventáře s rozevíracím seznamem Přidat filtr otevřený pro zobrazení editoru dotazů

  3. Po vyfiltrování seznamu zásob zaškrtněte rozevírací seznam podle zaškrtávacího políčka vedle záhlaví tabulky Asset . V tomto rozevíracím seznamu můžete vybrat všechny výsledky, které odpovídají vašemu dotazu nebo výsledkům na konkrétní stránce (až 25). Možnost Žádné vymaže všechny prostředky. Můžete také vybrat pouze konkrétní výsledky na stránce tak, že vyberete jednotlivé značky zaškrtnutí vedle každého prostředku.

    Snímek obrazovky znázorňující zobrazení seznamu inventáře s otevřeným rozevíracím seznamem hromadného výběru

  4. Vyberte Upravit prostředky.

    Snímek obrazovky znázorňující dostupné možnosti úprav

  5. V podokně Upravit prostředky , které se otevře na pravé straně obrazovky, můžete rychle změnit různá pole pro vybrané prostředky. V tomto příkladu vytvoříte nový popisek. Vyberte Vytvořit nový popisek.

  6. Určete název popisku a zobrazované textové hodnoty. Název popisku nelze po počátečním vytvoření popisku změnit, ale zobrazovaný text můžete později upravit. Název popisku se používá k dotazování na popisek v rozhraní produktu nebo prostřednictvím rozhraní API, takže úpravy jsou zakázané, aby tyto dotazy fungovaly správně. Pokud chcete upravit název popisku, musíte odstranit původní popisek a vytvořit nový.

    Vyberte barvu nového štítku a vyberte Přidat. Tato akce vás vrátí zpět na obrazovku Upravit prostředky .

    Snímek obrazovky znázorňující podokno Přidat popisek zobrazující pole konfigurace

  7. Použijte nový popisek na prostředky. Kliknutím do textového pole Přidat popisky zobrazíte úplný seznam dostupných popisků. Nebo můžete do pole zadat hledaný podle klíčového slova. Po výběru popisků, které chcete použít, vyberte Aktualizovat.

    Snímek obrazovky znázorňující podokno Upravit prostředek s nově vytvořeným popiskem

  8. Počkejte chvíli, než se popisky použijí. Po dokončení procesu se zobrazí oznámení Dokončeno. Stránka se automaticky aktualizuje a zobrazí seznam prostředků se zobrazenými popisky. Nápis v horní části obrazovky potvrzuje, že se štítky použily.

    Snímek obrazovky zobrazující zobrazení seznamu inventáře s vybranými prostředky, které teď zobrazují nový popisek

Stránka s podrobnostmi o aktivech

Jeden prostředek můžete také upravit ze stránky s podrobnostmi o aktivu. Tato možnost je ideální pro situace, kdy je potřeba důkladně zkontrolovat prostředky před provedením změny popisku nebo stavu.

  1. V levém podokně prostředku EASM defenderu vyberte Inventář.

  2. Výběrem konkrétního prostředku, který chcete upravit, otevřete stránku s podrobnostmi o prostředku.

  3. Na této stránce vyberte Upravit asset.

    Snímek obrazovky znázorňující stránku s podrobnostmi o prostředku se zvýrazněným tlačítkem Upravit asset

  4. Postupujte podle kroků 5 až 7 v části Stránka seznam zásob.

  5. Stránka s podrobnostmi o prostředku se aktualizuje a zobrazí nově použitý popisek nebo změnu stavu. Banner indikuje, že se asset úspěšně aktualizoval.

Úprava, odebrání nebo odstranění popisků

Uživatelé můžou z prostředku odebrat popisek tak, že z zobrazení podrobností o inventáři nebo v zobrazení podrobností o prostředku přistupují ke stejnému podoknu Upravit prostředek. V zobrazení seznamu zásob můžete vybrat více prostředků najednou a potom přidat nebo odebrat požadovaný popisek v jedné akci.

Úprava samotného popisku nebo odstranění popisku ze systému:

  1. V levém podokně prostředku EASM v programu Defender vyberte Popisky (Preview).

    Snímek obrazovky se stránkou Popisky (Preview), která umožňuje správu popisků

    Na této stránce se zobrazí všechny popisky v inventáři EASM Defenderu. Popisky na této stránce můžou existovat v systému, ale aktivně se neaplikují na žádné prostředky. Na této stránce můžete také přidat nové popisky.

  2. Pokud chcete upravit popisek, vyberte ikonu tužky ve sloupci Akce popisku, který chcete upravit. Otevře se podokno na pravé straně obrazovky, kde můžete změnit název nebo barvu popisku. Vyberte Aktualizovat.

  3. Pokud chcete odebrat popisek, vyberte ikonu koše ve sloupci Akce popisku, který chcete odstranit. Vyberte Odebrat popisek.

    Snímek obrazovky znázorňující možnost Potvrdit odebrání na stránce pro správu popisků

Stránka Popisky se automaticky aktualizuje. Popisek se odebere ze seznamu a odebere se také ze všech prostředků, které měly použitý popisek. Nápis potvrdí odebrání.

Označení pozorování jako nepoužitelné

Pozorování je sice možné označit jako nepoužitelné ze stejných obrazovek Upravit prostředky u jiných ručních změn, ale tyto aktualizace můžete provést také na kartě Pozorování v podrobnostech o aktivech. Karta Pozorování obsahuje dvě tabulky: Pozorování a nespolehlivé pozorování. Všechna aktivní pozorování určená jako "nedávná" v oblasti útoku jsou v tabulce Pozorování, zatímco tabulka pozorování, která nelze použít, uvádí všechny pozorování, která byla ručně označena jako nepoužitelná nebo byla určena systémem, aby již nebyla použitelná. Pokud chcete označit pozorování jako nepoužitelné a vyloučit z počtu řídicích panelů konkrétní pozorování, jednoduše vyberte požadované pozorování a klikněte na Nastavit jako nepoužitelné. Tato pozorování okamžitě zmizí z aktivní tabulky Pozorování a místo toho se zobrazí v tabulce Nepoužitelné pozorování. Tuto změnu můžete kdykoli vrátit výběrem relevantních pozorování z této tabulky a výběrem možnosti Nastavit podle potřeby.

Snímek obrazovky znázorňující kartu Pozorování s několika vybranými snímky CVE, které se mají označit jako nepoužitelné

Správce úloh a oznámení

Po odeslání úkolu oznámení potvrdí, že aktualizace probíhá. Na libovolné stránce v Azure vyberte ikonu oznámení (zvonek) a zobrazte další informace o nedávných úkolech.

Snímek obrazovky znázorňující oznámení odeslané úlohy Snímek obrazovky s podoknem Oznámení, které zobrazuje poslední stav úlohy

Aktualizace tisíců může trvat několik sekund, než systém EASM v programu Defender aktualizuje několik prostředků nebo minut. Pomocí Správce úloh můžete zkontrolovat stav probíhajících úkolů úprav. Tato část popisuje, jak získat přístup ke Správci úloh a jak ho používat k lepšímu pochopení dokončení odeslaných aktualizací.

  1. V levém podokně prostředku EASM defenderu vyberte Správce úloh.

    Snímek obrazovky znázorňující stránku Správce úloh se zvýrazněnou příslušnou částí v navigačním podokně

  2. Na této stránce se zobrazí všechny vaše poslední úkoly a jejich stav. Úkoly jsou uvedené jako Dokončené, Neúspěšné nebo Probíhající. Zobrazí se také procento dokončení a indikátor průběhu. Pokud chcete zobrazit další podrobnosti o konkrétním úkolu, vyberte název úkolu. Otevře se podokno na pravé straně obrazovky s dalšími informacemi.

  3. Výběrem možnosti Aktualizovat zobrazíte nejnovější stav všech položek ve Správci úloh.

Filtrování popisků

Po označení prostředků v inventáři můžete pomocí filtrů inventáře načíst seznam všech prostředků s použitým konkrétním popiskem.

  1. V levém podokně prostředku EASM defenderu vyberte Inventář.

  2. Vyberte Přidat filtr.

  3. V rozevíracím seznamu Filtr vyberte Popisky. Vyberte operátor a v rozevíracím seznamu možností vyberte popisek. Následující příklad ukazuje, jak vyhledat jeden popisek. Pomocí operátoru In můžete vyhledat více popisků. Další informace o filtrech najdete v přehledu filtrů inventáře.

    Snímek obrazovky s editorem dotazů použitým k použití filtrů a zobrazením filtru Popisky s možnými hodnotami popisků v rozevíracím seznamu

  4. Vyberte Použít. Stránka seznamu inventáře se znovu načte a zobrazí všechny prostředky, které odpovídají vašim kritériím.

Správa založená na řetězech prostředků

V některých případech můžete chtít odebrat více prostředků najednou na základě prostředků, se kterými byly zjištěny. Můžete například určit, že konkrétní počáteční hodnota v rámci skupiny zjišťování byla stažena do prostředků, které nejsou relevantní pro vaši organizaci, nebo možná budete muset odebrat prostředky, které se týkají dceřiné společnosti, která už není v rámci vašeho purview. Z tohoto důvodu nabízí Defender EASM možnost odebrat zdrojovou entitu a všechny prostředky "podřízené" v řetězci zjišťování. Propojené prostředky můžete odstranit pomocí následujících tří metod:

  • Počáteční správa: Uživatelé mohou odstranit počáteční hodnoty, které byly jednou zahrnuty do skupiny zjišťování, a odebrat tak všechny prostředky, které byly zavedeny do inventáře prostřednictvím pozorovaného připojení k zadané počáteční sadě. Tato metoda je užitečná, když zjistíte, že konkrétní ručně zadané počáteční hodnoty způsobily přidání nežádoucích prostředků do inventáře.
  • Správa řetězu zjišťování: Uživatelé můžou identifikovat prostředek v rámci řetězu zjišťování a odstranit ho a současně odebrat všechny prostředky zjištěné danou entitou. Zjišťování je rekurzivní proces; skenuje semena k identifikaci nových prostředků přímo přidružených k těmto určeným semenům a pak pokračuje ve skenování nově zjištěných entit, aby odhalila více spojení. Tento přístup k odstranění je užitečný, když je vaše skupina zjišťování správně nakonfigurovaná, ale potřebujete odebrat nově zjištěný prostředek a všechny prostředky, které jsou do inventáře přeneseny přidružením k dané entitě. Zvažte nastavení skupiny zjišťování a určená semena jako "horní" vašeho řetězce zjišťování; tento přístup odstranění umožňuje odebrat prostředky ze středu.
  • Správa skupin zjišťování: Uživatelé můžou odebrat celé skupiny zjišťování a všechny prostředky, které byly zavedeny do inventáře prostřednictvím této skupiny zjišťování. To je užitečné, když se už celá skupina zjišťování nevztahuje na vaši organizaci. Můžete mít například skupinu zjišťování, která konkrétně hledá prostředky související s dceřinou společností. Pokud už tato pobočka není pro vaši organizaci relevantní, můžete využít správu na základě řetězu prostředků k odstranění všech prostředků přenesených do inventáře prostřednictvím této skupiny zjišťování.

V programu Defender EASM můžete stále zobrazit odebrané prostředky; jednoduše vyfiltrujte seznam inventáře pro prostředky ve stavu Archivované.

Odstranění založené na počátečních edech

Můžete se rozhodnout, že některá z původně určených semen zjišťování by již neměla být zahrnuta do skupiny zjišťování. Počáteční hodnota již nemusí být pro vaši organizaci relevantní nebo může přinést více falešně pozitivních než legitimní vlastněné prostředky. V této situaci můžete ze skupiny zjišťování odebrat počáteční hodnoty, abyste zabránili jeho použití v budoucích spuštěních zjišťování a současně odebrali všechny prostředky, které byly přeneseny do inventáře prostřednictvím určeného počátečního stavu v minulosti.

Pokud chcete provést hromadné odebrání na základě počátečního nastavení, nasměrujte na příslušnou stránku podrobností skupiny zjišťování a klikněte na Upravit skupinu zjišťování. Podle pokynů přejděte na stránku Semena a odeberte problematické počáteční hodnoty ze seznamu. Když vyberete "Zkontrolovat a aktualizovat", zobrazí se také upozornění, které indikuje, že všechny prostředky zjištěné prostřednictvím určeného počátečního souboru budou odebrány. Odstranění dokončíte výběrem možnosti Aktualizovat nebo Spustit.

Snímek obrazovky zobrazující stránku Upravit skupinu zjišťování s upozorněním na odebrání počátečních hodnot a všech prostředků zjištěných v tomto počátečním stavu

Odstranění založené na řetězu zjišťování

V následujícím příkladu si představte, že jste na řídicím panelu Souhrn prostoru útoku objevili nezabezpečený přihlašovací formulář. Vaše šetření vás přesměruje na hostitele, který zřejmě není vlastníkem vaší organizace. Zobrazíte stránku s podrobnostmi o aktivu, kde najdete další informace; při kontrole řetězu zjišťování zjistíte, že hostitel byl přenesen do inventáře, protože odpovídající doména byla zaregistrována pomocí podnikové e-mailové adresy zaměstnance, která byla použita také k registraci schválených obchodních entit.

Snímek obrazovky znázorňující stránku Podrobnosti o prostředku se zvýrazněnou částí Řetězec zjišťování

V této situaci je počáteční počáteční hodnota zjišťování (podniková doména) stále legitimní, takže musíme místo toho odebrat problematický prostředek z řetězce zjišťování. I když bychom mohli provést řetězové odstranění z kontaktního e-mailu, místo toho se rozhodneme odebrat všechno přidružené k osobní doméně zaregistrované tomuto zaměstnanci, aby nás Defender EASM v budoucnu upozornil na všechny ostatní domény zaregistrované na tuto e-mailovou adresu. V řetězci zjišťování vyberte tuto osobní doménu a zobrazte stránku s podrobnostmi o prostředku. V tomto zobrazení vyberte Odebrat z řetězu zjišťování a odeberte prostředek z inventáře a také všechny prostředky, které se přenesou do inventáře z důvodu pozorovaného připojení k osobní doméně. Musíte potvrdit odebrání aktiva a všech podřízených prostředků a pak se zobrazí souhrnný seznam ostatních prostředků, které jsou touto akcí odebrány. Výběrem možnosti Odebrat řetěz zjišťování potvrďte hromadné odebrání.

Snímek obrazovky znázorňující pole, které uživatele vyzve k potvrzení odebrání aktuálního prostředku a všech podřízených prostředků, se souhrnem ostatních prostředků odebraných touto akcí

Odstranění skupiny zjišťování

Možná budete muset odstranit celou skupinu zjišťování a všechny prostředky zjištěné prostřednictvím této skupiny. Vaše společnost například mohla prodat dceřinou společnost, kterou už není potřeba monitorovat. Uživatelé mohou odstranit skupiny zjišťování ze stránky správy zjišťování. Pokud chcete odebrat skupinu zjišťování a všechny související prostředky, vyberte ikonu koše vedle příslušné skupiny v seznamu. Zobrazí se upozornění, které obsahuje souhrn prostředků, které budou touto akcí odebrány. Potvrzení odstranění skupiny zjišťování; a všechny související prostředky, vyberte Odebrat skupinu zjišťování.

Snímek obrazovky zobrazující stránku správy zjišťování se zvýrazněným oknem upozornění, které se zobrazí po zvolení možnosti odstranit skupinu

Další kroky