Principy inventarizačních prostředků
Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) používá proprietární technologii zjišťování Microsoftu k rekurzivnímu vyhledávání infrastruktury prostřednictvím pozorovaných připojení ke známým legitimním prostředkům (semen zjišťování). Odvozuje vztah infrastruktury k organizaci, aby odhalil dříve neznámé a nesledované vlastnosti.
Zjišťování EASM v programu Defender zahrnuje následující druhy prostředků:
- Domény
- Bloky IP adres
- Hostitelé
- E-mailové kontakty
- Čísla autonomního systému (ASN)
- Organizace Whois
Tyto typy prostředků tvoří inventář prostoru pro útoky v programu Defender EASM. Řešení zjistí externě přístupné prostředky, které jsou vystaveny otevřenému internetu mimo tradiční ochranu brány firewall. Externí prostředky je potřeba monitorovat a udržovat, aby se minimalizovalo riziko a zlepšilo stav zabezpečení organizace. Defender EASM aktivně zjišťuje a monitoruje prostředky a pak poskytuje klíčové přehledy, které vám pomůžou efektivně řešit všechna ohrožení zabezpečení ve vaší organizaci.
Stavy prostředků
Všechny prostředky jsou označeny jedním z následujících stavů:
| State name | Popis |
|---|---|
| Schválený inventář | Položka, která je součástí vašeho prostoru útoku. Je to položka, za kterou jste přímo zodpovědní. |
| Závislost | Infrastruktura vlastněná třetí stranou, ale je součástí vašeho útoku, protože přímo podporuje provoz vašich vlastněných prostředků. Můžete například záviset na poskytovateli IT, který hostuje váš webový obsah. Doména, název hostitele a stránky by byly součástí schváleného inventáře, takže můžete chtít zacházet s IP adresou, která hostitele spouští jako závislost. |
| Pouze monitorování | Prostředek, který je relevantní pro váš prostor útoku, ale není přímo řízený ani technická závislost. Například nezávislé franšízy nebo aktiva, která patří souvisejícím společnostem, mohou být označeny pouze monitorovat pouze místo schváleného inventáře k oddělení skupin pro účely vytváření sestav. |
| Kandidát | Prostředek, který má nějaký vztah ke známým počátečním prostředkům vaší organizace, ale nemá dostatečně silné připojení k okamžitému označení schváleného inventáře. Abyste mohli určit vlastnictví, musíte tyto kandidátské prostředky zkontrolovat ručně. |
| Vyžaduje šetření. | Stav podobný kandidátovi, ale tato hodnota se použije u prostředků, které vyžadují ruční šetření k ověření. Stav se určuje na základě interně vygenerovaných skóre spolehlivosti, které vyhodnocují sílu zjištěných připojení mezi prostředky. Neznačí přesný vztah infrastruktury k organizaci, ale označí prostředek příznakem pro další kontrolu a určí, jak se má zařadit do kategorií. |
Zpracování různých stavů prostředků
Tyto stavy prostředků jsou jedinečně zpracovány a monitorovány, abyste měli jasný přehled o nejdůležitějších prostředcích ve výchozím nastavení. Například prostředky ve stavu schváleného inventáře jsou vždy reprezentovány v grafech řídicích panelů a kontrolují se každý den, aby se zajistila aktuálnost dat. Všechny ostatní typy prostředků nejsou ve výchozím nastavení zahrnuty do grafů řídicích panelů. Filtry inventáře ale můžete podle potřeby upravit tak, aby zobrazovaly prostředky v různých stavech. Podobně se prostředky stavu kandidáta prohledávají pouze během procesu zjišťování. Pokud tyto typy prostředků vlastní vaše organizace, je důležité tyto prostředky zkontrolovat a změnit jejich stav na Schválený inventář.
Sledování změn inventáře
Váš útok se neustále mění. EaSM v programu Defender průběžně analyzuje a aktualizuje inventář, aby se zajistila přesnost. Prostředky se často přidávají a odebírají z inventáře, takže je důležité tyto změny sledovat, abyste pochopili prostor pro útoky a identifikovali klíčové trendy. Řídicí panel změn inventáře poskytuje přehled těchto změn. Počet přidaných a odebraných položek můžete snadno zobrazit pro každý typ prostředku. Řídicí panel můžete filtrovat podle dvou rozsahů kalendářních dat: posledních 7 dnů nebo posledních 30 dnů. Podrobnější zobrazení změn inventáře najdete v části Změny podle data na řídicím panelu.
