Vysvětlení podrobností o prostředku
Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) často kontroluje všechny inventarizační prostředky a shromažďuje robustní kontextová metadata, která využívají nástroj Attack Surface Insights. Tato data se také dají zobrazit podrobněji na stránce s podrobnostmi o prostředku. Poskytnutá data se mění v závislosti na typu assetu. Platforma například poskytuje jedinečná data Whois pro domény, hostitele a IP adresy. Poskytuje data algoritmu podpisu pro certifikáty SSL (Secure Sockets Layer).
Tento článek popisuje, jak zobrazit a interpretovat expansivní data shromážděná Microsoftem pro každý z vašich inventářových prostředků. Tato metadata definuje pro každý typ prostředku a vysvětluje, jak vám můžou přehledy odvozené z něj pomoct při správě stavu zabezpečení online infrastruktury.
Další informace najdete v tématu Vysvětlení prostředků inventáře, abyste se seznámili s klíčovými koncepty uvedenými v tomto článku.
Souhrnné zobrazení podrobností o aktivech
Stránku s podrobnostmi o aktivu pro libovolný prostředek můžete zobrazit tak, že v seznamu inventáře vyberete její název. V levém podokně této stránky můžete zobrazit souhrn aktiv, který poskytuje klíčové informace o daném prostředku. Tato část primárně obsahuje data, která platí pro všechny typy prostředků, i když jsou v některých případech k dispozici více polí. Další informace o metadatech zadaných pro každý typ prostředku v souhrnné části najdete v následujícím grafu.
Obecné informace
Tato část obsahuje základní informace, které jsou klíčové pro pochopení vašich prostředků na první pohled. Většina těchto polí se vztahuje na všechny prostředky. Tato část může obsahovat také informace specifické pro jeden nebo více typů prostředků.
| Název | definice | Typy majetku |
|---|---|---|
| Název prostředku | Název aktiva. | Všechny |
| UUID | Tento 128bitový popisek představuje univerzální jedinečný identifikátor (UUID) prostředku. | Všechny |
| Přidáno do inventáře | Datum, kdy byl prostředek přidán do inventáře, ať už byl automaticky přidán do schváleného stavu inventáře nebo v jiném stavu, jako je Kandidát. | Všechny |
| Naposledy aktualizované | Datum, kdy ruční uživatel naposledy aktualizoval prostředek (například provedením změny stavu nebo odebrání majetku). | Všechny |
| Externí ID | Hodnota externího ID byla přidána ručně. | Všechny |
| Stav | Stav aktiva v rámci systému RiskIQ. Mezi možnosti patří Schválené inventáře, Kandidát, Závislosti nebo Vyžaduje šetření. | Všechny |
| První zobrazení (Global Security Graph) | Datum, kdy Microsoft aktivum poprvé naskenuje a přidal do komplexního globálního grafu zabezpečení. | Všechny |
| Naposledy vidět (Global Security Graph) | Datum, kdy Společnost Microsoft aktivum naposledy naskenuje. | Všechny |
| Zjištěno dne | Označuje datum vytvoření skupiny zjišťování, která detekovala prostředek. | Všechny |
| Země | Země/oblast původu zjistila pro tento prostředek. | Všechny |
| Stát/kraj | Pro tento majetek byl zjištěn stát nebo provincie původu. | Všechny |
| City | Město původu zjistila pro tento majetek. | Všechny |
| Jméno whois | Název přidružený k záznamu Whois. | Hostitelský počítač |
| E-mail whois | Primární kontaktní e-mail v záznamu Whois. | Hostitelský počítač |
| Organizace Whois | Uvedená organizace v záznamu Whois. | Hostitelský počítač |
| Whois Registrar | Uvedený registrátor v záznamu Whois. | Hostitelský počítač |
| Názvové servery Whois | Uvedené názvové servery v záznamu Whois. | Hostitelský počítač |
| Vystavený certifikát | Datum vydání certifikátu. | Certifikát SSL |
| Platnost certifikátu vyprší. | Datum vypršení platnosti certifikátu. | Certifikát SSL |
| Sériové číslo | Sériové číslo přidružené k certifikátu SSL. | Certifikát SSL |
| Verze PROTOKOLU SSL | Verze protokolu SSL, kterou certifikát zaregistroval. | Certifikát SSL |
| Algoritmus klíče certifikátu | Algoritmus klíče použitý k šifrování certifikátu SSL. | Certifikát SSL |
| Velikost klíče certifikátu | Počet bitů v klíči certifikátu SSL. | Certifikát SSL |
| Identifikátor algoritmu podpisu | Identifikátor identifikátoru, který identifikuje algoritmus hash použitý k podepsání žádosti o certifikát. | Certifikát SSL |
| Podepsaný svým držitelem | Určuje, jestli byl certifikát SSL podepsaný svým držitelem. | Certifikát SSL |
Síť
Následující informace o IP adrese poskytují další kontext týkající se použití IP adresy.
| Název | definice | Typy majetku |
|---|---|---|
| Záznam názvového serveru | Všechny názvové servery zjištěné v prostředku. | IP adresa |
| Záznam poštovního serveru | Všechny poštovní servery detekované v prostředku. | IP adresa |
| Bloky IP adres | Blok IP, který obsahuje prostředek IP adresy. | IP adresa |
| ASN | ASN přidružené k prostředku. | IP adresa |
Informace o blokování
Následující data jsou specifická pro bloky IP adres a poskytují kontextové informace o jejich použití.
| Název | definice | Typy majetku |
|---|---|---|
| CIDR | CiDR (Classless Inter-Domain Routing) pro blok IP adres. | Blok IP adres |
| Název sítě | Název sítě přidružený k bloku PROTOKOLU IP. | Blok IP adres |
| Název organizace | Název organizace nalezený v registračních informacích bloku IP. | Blok IP adres |
| Kód organizace | ID organizace, které se nachází v registračních informacích pro blok IP. | Blok IP adres |
| ASN | ASN přidružený k bloku IP. | Blok IP adres |
| Země | Země/oblast původu zjištěná v informacích o registraci whois pro blok IP. | Blok IP adres |
Předmět
Následující data jsou specifická pro subjekt (tj. chráněnou entitu) přidruženou k certifikátu SSL.
| Název | definice | Typy majetku |
|---|---|---|
| Běžný název | Běžný název vystavitele předmětu certifikátu SSL. | Certifikát SSL |
| Alternativní názvy | Jakékoli alternativní běžné názvy pro předmět certifikátu SSL. | Certifikát SSL |
| Název organizace | Organizace propojená s předmětem certifikátu SSL. | Certifikát SSL |
| Organizační jednotka | Volitelná metadata označující oddělení v organizaci, která je zodpovědná za certifikát. | Certifikát SSL |
| Lokalita | Označuje město, ve kterém se organizace nachází. | Certifikát SSL |
| Země | Označuje zemi nebo oblast, ve které se organizace nachází. | Certifikát SSL |
| Stát/kraj | Označuje stát nebo provincii, kde se organizace nachází. | Certifikát SSL |
Issuer
Následující data jsou specifická pro vystavitele certifikátu SSL.
| Název | definice | Typy majetku |
|---|---|---|
| Běžný název | Běžný název vystavitele certifikátu. | Certifikát SSL |
| Alternativní názvy | Jakékoli jiné názvy vystavitele. | Certifikát SSL |
| Název organizace | Název organizace, která orchestrovala vydání certifikátu. | Certifikát SSL |
| Organizační jednotka | Další informace o organizaci, která certifikát vydala. | Certifikát SSL |
Datové karty
V pravém podokně stránky podrobností o prostředku mají uživatelé přístup k rozsáhlejším datům souvisejícím s vybraným assetem. Tato data jsou uspořádaná do řady karet zařazených do kategorií. Dostupné karty metadat se mění v závislosti na typu prostředku, který si prohlížíte.
Některé karty zobrazují přepínač Poslední jenom v pravém horním rohu. Ve výchozím nastavení defender EASM zobrazí všechna data, která jsme pro každý prostředek shromáždili, včetně historických pozorování, která nemusí být na vašem aktuálním prostoru útoku aktivně spuštěná. I když je tento historický kontext velmi cenný pro určité případy použití, přepínač "Poslední pouze" omezí všechny výsledky na stránce Podrobnosti o aktivech na ty, které byly u prostředku naposledy pozorovány. Pokud chcete zobrazit pouze data, která představují aktuální stav prostředku pro účely nápravy, doporučujeme použít přepínač Poslední.
Přehled
Karta Přehled poskytuje další kontext, abyste měli jistotu, že při zobrazení podrobností o prostředku jsou důležité přehledy rychle identifikovatelné. Tato část obsahuje klíčová data zjišťování pro všechny typy prostředků. Poskytuje přehled o tom, jak Microsoft mapuje prostředek na vaši známou infrastrukturu.
Tato část může obsahovat také widgety řídicího panelu, které vizualizují přehledy relevantní pro daný typ prostředku.
Řetěz zjišťování
Řetěz zjišťování popisuje pozorovaná připojení mezi počátečním obdobím zjišťování a assetem. Tyto informace pomáhají uživatelům vizualizovat tato připojení a lépe pochopit, proč se zjistilo, že prostředek patří do organizace.
V tomto příkladu vidíte, že počáteční doména je svázaná s tímto aktivem prostřednictvím kontaktního e-mailu v záznamu Whois. Stejný kontaktní e-mail se použil k registraci bloku IP adres, který obsahuje tento konkrétní prostředek IP adresy.
Informace o zjišťování
Tato část obsahuje informace o procesu, který se používá k detekci prostředku. Obsahuje informace o počátečním stavu zjišťování, které se připojí k prostředku a procesu schválení.
K dispozici jsou následující možnosti:
- Schválený inventář: Tato možnost označuje, že vztah mezi počátečním a zjištěným assetem byl dostatečně silný, aby mohl systém EASM defenderu automaticky schválit.
- Kandidát: Tato možnost označuje, že prostředek, který má být začleněn do inventáře, vyžaduje ruční schválení.
- Poslední spuštění zjišťování: Toto datum označuje, kdy se skupina zjišťování, která původně zjistila prostředek, naposledy využila ke kontrole zjišťování.
Reputace IP
Na kartě Reputace IP se zobrazí seznam potenciálních hrozeb souvisejících s danou IP adresou. Tato část popisuje všechny zjištěné škodlivé nebo podezřelé aktivity, které souvisejí s IP adresou. Tyto informace jsou klíčem k pochopení důvěryhodnosti vašeho vlastního prostoru útoku. Tyto hrozby můžou organizacím pomoct odhalit ohrožení zabezpečení v jejich infrastruktuře nebo odhalit ohrožení zabezpečení.
Data reputace IP adresy DEFENDER EASM zobrazují instance, když byla IP adresa zjištěna v seznamu hrozeb. Například nedávná detekce v následujícím příkladu ukazuje, že IP adresa se vztahuje k hostiteli, kterému se říká, že běží miner kryptografie. Tato data byla odvozena z podezřelého seznamu hostitelů, který poskytl CoinBlockers. Výsledky jsou uspořádané podle data posledního zobrazení , aby se jako první zobrazily nejrelevavantnější detekce.
V tomto příkladu se IP adresa nachází na neobvykle vysokém počtu informačních kanálů hrozeb. Tyto informace značí, že by měl být prostředek důkladně prošetřen, aby se zabránilo škodlivé aktivitě v budoucnu.
Služby
Karta Služby je k dispozici pro PROSTŘEDKY IP adresy, domény a hostitele. Tato část obsahuje informace o službách, u kterých se zjistilo, že na prostředku běží. Zahrnuje IP adresy, názvy a poštovní servery a otevřené porty, které odpovídají jiným typům infrastruktury (například službám vzdáleného přístupu).
Data služeb EASM defenderu jsou klíčem k pochopení infrastruktury, která využívá váš prostředek. Může vás také upozornit na prostředky, které jsou vystaveny na otevřeném internetu, které by měly být chráněny.
Adresy IP
Tato část poskytuje přehled o všech IP adresách spuštěných v infrastruktuře prostředku. Na kartě Služby poskytuje Defender EASM název IP adresy a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byla BĚHEM poslední kontroly prostředku zjištěna IP adresa. Pokud v tomto sloupci není žádné zaškrtávací políčko, IP adresa se zobrazila v předchozích kontrolách, ale aktuálně na prostředku neběží.
Poštovní servery
Tato část obsahuje seznam všech poštovních serverů, které běží na prostředku. Tyto informace značí, že prostředek může odesílat e-maily. V této části poskytuje EASM Defenderu název poštovního serveru a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byl poštovní server zjištěn během poslední kontroly prostředku.
Názvové servery
V této části se zobrazí všechny názvové servery spuštěné na prostředku, které poskytují překlad hostitele. V této části poskytuje EASM Defenderu název poštovního serveru a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byl názvový server zjištěn během poslední kontroly prostředku.
Otevřené porty
V této části jsou uvedeny všechny otevřené porty zjištěné u prostředku. Microsoft pravidelně kontroluje přibližně 230 různých portů. Tato data jsou užitečná k identifikaci nezabezpečených služeb, které by neměly být přístupné z otevřeného internetu. Mezi tyto služby patří databáze, zařízení IoT a síťové služby, jako jsou směrovače a přepínače. Je také užitečné identifikovat stínovou infrastrukturu IT nebo nezabezpečené služby vzdáleného přístupu.
V této části poskytuje EASM v programu Defender číslo otevřeného portu, popis portu, poslední stav, ve které byl zjištěn, a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byl port během poslední kontroly zjištěn jako otevřený. EaSM v programu Defender považuje port "otevřený", když náš systém dokáže úspěšně dokončit metodu handshake syn-ack, která vede k atributům bannerů. Když můžeme navázat připojení TCP, ale nemůžeme dokončit otisk prstu služby, označíme port jako filtrovaný. "Uzavřený" port je stále přístupný, ale na portu nenaslouchá žádná služba, takže připojení odepře.
Snímače
Sledování jsou jedinečné kódy nebo hodnoty nalezené na webových stránkách a často se používají ke sledování interakce uživatelů. Tyto kódy lze použít ke korelaci různorodé skupiny webů s centrální entitou. Datová sada sledování Microsoftu zahrnuje ID od poskytovatelů, jako je Google, Yandex, Mixpanel, New Relic a Clicky, a pokračuje v růstu.
V této části poskytuje Defender EASM typ sledování (například GoogleAnalyticsID), jedinečnou hodnotu identifikátoru a data Prvního zobrazení a Data posledního zobrazení.
Webové komponenty
Webové komponenty jsou podrobnosti, které popisují infrastrukturu prostředku, jak je pozorováno při kontrole Microsoftu. Tyto komponenty poskytují základní znalosti o technologiích používaných na prostředku. Společnost Microsoft kategorizuje konkrétní součásti a pokud je to možné, zahrne čísla verzí.
Část Webové komponenty obsahuje kategorii, název a verzi komponenty a seznam všech použitelných CVE, které by se měly napravit. EaSM v programu Defender také poskytuje sloupce s prvními zobrazenými a naposledy zobrazenými kalendářními daty a nedávným sloupcem. Zaškrtávací políčko označuje, že tato infrastruktura byla zjištěna během poslední kontroly prostředku.
Webové komponenty jsou kategorizovány na základě jejich funkce.
| Webová komponenta | Příklady |
|---|---|
| Poskytovatel hostingu | hostingprovider.com |
| Server | Apache |
| Server DNS | ISC BIND |
| Úložiště dat | MySQL, ElasticSearch, MongoDB |
| Vzdálený přístup | OpenSSH, Microsoft Admin Center, Netscaler Gateway |
| Výměnu dat. | Pure-FTPd |
| Internet věcí (IoT) | HP Deskjet, Linksys Kamera, Sonos |
| E-mailový server | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Síťové zařízení | Směrovač Cisco, Motorola WAP, ZyXEL Modem |
| Ovládací prvek budovy | Lineární eMerge, ASI Controls Weblink, Optergy |
Postřehy
Na kartě Pozorování se zobrazí všechny přehledy z řídicího panelu Priority prostoru útoku, který se týká prostředku. Mezi tyto priority patří:
- Kritické cve.
- Známá přidružení k ohrožené infrastruktuře.
- Použití zastaralé technologie
- Porušení osvědčených postupů infrastruktury
- Problémy s dodržováním předpisů
Další informace opozorováních Pro každé pozorování poskytuje Defender EASM název pozorování, kategorizuje ho podle typu, přiřadí prioritu a uvádí skóre CVSS v2 i v3, pokud je to možné.
Karta Pozorování obsahuje dvě tabulky: Pozorování a nespolehlivé pozorování. Všechna aktivní pozorování určená jako "nedávná" v rámci vaší oblasti útoku budou v tabulce Pozorování, zatímco tabulka nespoužitelné pozorování uvádí všechny pozorování, která byla buď ručně označena jako nepoužitelná, nebo byla určena systémem, aby již nebyla použitelná. Pokud chcete označit pozorování jako nepoužitelné a vyloučit z počtu řídicích panelů konkrétní pozorování, jednoduše vyberte požadované pozorování a klikněte na Nastavit jako nepoužitelné. Pozorování okamžitě zmizí z aktivní tabulky Pozorování a místo toho se zobrazí v tabulce Nepoužitelné pozorování. Tuto změnu můžete kdykoli vrátit výběrem relevantních pozorování z této tabulky a výběrem možnosti Nastavit podle potřeby.
Připojené prostředky
Propojené prostředky umožňují uživatelům graficky propojit a shromažďovat informace o prostředcích pro účely šetření analýzy. Prostředí a jeho složité vztahy můžete prozkoumat prostřednictvím mapování relací, které nabízejí jasná a stručná zobrazení. To vám pomůže identifikovat skrytá připojení a potenciální cesty útoku. Vizuálním mapováním vztahů mezi prostředky a ohroženími zabezpečení můžete pochopit složitost vašeho prostředí a učinit dobře informovaná rozhodnutí, abyste zlepšili stav zabezpečení a efektivně nasadili body zatužování.
Na této stránce jsou všechny prostředky, které jsou připojeny k zadanému majetku, identifikovány v seznamu. Seznam obsahuje klíčové informace o jednotlivých zásadách, mezi které patří:
- Asset: identifikovaný připojený prostředek.
- Druh: typ aktiva.
- Stav: stav aktiva.
- Popisky: všechny popisky přidružené k prostředku.
- První vidět: kdy se aktivum poprvé zjistilo.
- Naposledy vidět: kdy byl aktivum naposledy identifikováno.
Na této stránce můžete upravit nebo odebrat připojené prostředky. Seznam aktiv můžete také seřadit nebo filtrovat, abyste mohli seznam připojených prostředků dále zařadit do kategorií. Můžete si také stáhnout sestavu CSV s uvedenými prostředky. Všechny použité filtry se projeví v exportu sdíleného svazku clusteru.
Zdroje informací
Karta Prostředky poskytuje přehled o všech javascriptových prostředcích spuštěných na libovolné stránce nebo hostitelských prostředcích. Pokud jde o hostitele, tyto prostředky se agregují tak, aby představovaly JavaScript spuštěný na všech stránkách tohoto hostitele. Tato část obsahuje inventář JavaScriptu zjištěného u každého prostředku, aby vaše organizace získala úplný přehled o těchto prostředcích a zjistila případné změny.
Defender EASM poskytuje adresu URL prostředku, hostitele prostředků, hodnotu MD5 a data prvního zobrazení a data posledního zobrazení, která organizacím pomáhají efektivně monitorovat využití javascriptových prostředků v inventáři.
Certifikáty SSL
Certifikáty slouží k zabezpečení komunikace mezi prohlížečem a webovým serverem prostřednictvím SSL. používání certifikátů zajišťuje, aby citlivá data při přenosu nebyla čtená, manipulována ani zfalšována. V této části programu Defender EASM jsou uvedeny všechny certifikáty SSL zjištěné u prostředku, včetně klíčových dat, jako jsou data problému a data vypršení platnosti.
Whois
Protokol Whois slouží k dotazování a odpovídání na databáze, které ukládají data související s registrací a vlastnictvím internetových prostředků. Whois obsahuje registrační data klíče, která se můžou v EASM v programu Defender vztahovat na domény, hostitele, IP adresy a bloky IP adres. Na kartě Whois data poskytuje Microsoft robustní množství informací přidružených k registru prostředku.
Následující pole jsou zahrnuta v tabulce v části Hodnoty na kartě Whois .
| Pole | Popis |
|---|---|
| Server Whois | Server, který nastavil registrátor ICANN akreditovaný k získání aktuálních informací o entitách, které jsou s ním zaregistrované. |
| Registrátor | Společnost, jejíž služba byla použita k registraci majetku. Mezi oblíbené registrátory patří GoDaddy, Namecheap a HostGator. |
| Stav domény | Jakýkoli stav domény nastavený registrem. Tyto stavy můžou znamenat, že doména čeká na odstranění nebo převod registrátorem nebo je aktivní na internetu. Toto pole může také znamenat omezení prostředku. Například odstranění klienta zakázáno značí, že registrátor nemůže prostředek odstranit. |
| Všechny kontaktní e-mailové adresy poskytnuté registrantem. Whois umožňuje registrantům určit typ kontaktu. Mezi možnosti patří kontakty správce, technického, registrátora a registrátora. | |
| Název | Jméno žadatele, pokud je k dispozici. |
| Organizace | Organizace odpovědná za zaregistrovanou entitu. |
| Ulice | Adresa ulice pro registranta, pokud je k dispozici. |
| City | Město uvedené na ulici pro žadatele, pokud je k dispozici. |
| State | Stav uvedený v ulici pro žadatele, pokud je k dispozici. |
| Postal code | PSČ uvedené na ulici pro registranta, pokud je k dispozici. |
| Země | Země/oblast uvedená na ulici pro žadatele, pokud je k dispozici. |
| telefonní | Telefonní číslo přidružené k kontaktu žadatele, pokud je k dispozici. |
| Názvové servery | Všechny názvové servery přidružené k registrované entitě. |
Mnoho organizací se rozhodlo obfušovat informace o registru. Někdy kontaktní e-mailové adresy končí na @anonymised.email. Tento zástupný symbol se používá místo skutečné adresy kontaktu. Mnoho polí je během konfigurace registrace volitelné, takže registrant nezahrávalo žádné pole s prázdnou hodnotou.
Historie změn
Na kartě Historie změn se zobrazí seznam změn, které byly použity u prostředku v průběhu času. Tyto informace vám pomůžou sledovat tyto změny v průběhu času a lépe porozumět životnímu cyklu prostředku. Tato karta zobrazuje různé změny, včetně stavů prostředků, popisků a externích ID, mimo jiné. Pro každou změnu uvádíme uživatele, který změnu implementoval, a časové razítko.
