Grundlegendes zu Bestandsressourcen
Microsoft Defender External Attack Surface Management (Defender EASM) nutzt proprietäre Erkennungstechnologie von Microsoft, um rekursiv nach Infrastrukturen über beobachtete Verbindungen zu bekannten legitimen Ressourcen (Ermittlungsseeds) zu suchen. Die Lösung zieht Rückschlüsse auf die Beziehung dieser Infrastruktur mit der Organisation, um zuvor unbekannte und nicht überwachte Eigenschaften aufzudecken.
Die Defender EASM-Ermittlung umfasst die folgenden Ressourcenarten:
- Domänen
- IP-Adressblöcke
- Hosts
- E-Mail-Kontakte
- Autonome Systemnummern (ASNs)
- WhoIs-Organisationen
Diese Arten von Ressourcen bilden den Angriffsflächenbestand in Defender EASM. Die Lösung ermittelt extern zugängliche Ressourcen, die außerhalb des herkömmlichen Firewallschutzes dem offenen Internet ausgesetzt sind. Die externen Ressourcen müssen überwacht und gewartet werden, um das Risiko zu minimieren und den Sicherheitsstatus der Organisation zu verbessern. Defender EASM erkennt und überwacht die Ressourcen aktiv und zeigt dann wichtige Erkenntnisse an, die Ihnen helfen, Sicherheitsrisiken für Ihre Organisation effizient zu behandeln.
Ressourcenzustände
Alle Ressourcen sind mit einem der folgenden Zustände gekennzeichnet:
Name des Zustands | Beschreibung |
---|---|
Genehmigter Bestand | Ein Element, das Teil der Angriffsfläche in Ihrem Besitz ist. Es handelt sich um ein Element, für das Sie direkt verantwortlich sind. |
Abhängigkeit | Infrastruktur, die im Besitz eines Drittanbieters ist, aber Teil Ihrer Angriffsfläche ist, da sie den Betrieb Ihrer eigenen Ressourcen direkt unterstützt. Sie können z. B. von einem IT-Anbieter abhängig sein, um Ihre Webinhalte zu hosten. Da die Domäne, der Hostname und Seiten Teil Ihres genehmigten Bestands sind, sollte die IP-Adresse für den Host als Abhängigkeit behandelt werden. |
Nur überwachen | Eine Ressource, die für Ihre Angriffsfläche relevant ist, aber weder direkt kontrolliert wird noch eine technische Abhängigkeit ist. Beispielsweise können unabhängige Franchises oder Ressourcen, die zu verbundenen Unternehmen gehören, mit Nur überwachen anstatt mit Genehmigter Bestand bezeichnet werden, um diese beiden Gruppen zu Berichtszwecken zu trennen. |
Kandidat | Eine Ressource, die in Beziehung zu den bekannten Seedressourcen Ihrer Organisation steht, aber deren Verbindung nicht stark genug für die sofortige Bezeichnung Genehmigter Bestand ist. Sie müssen diese Ressourcenkandidaten manuell überprüfen, um den Besitz zu ermitteln. |
Untersuchung erforderlich | Dieser Status ähnelt dem Status Kandidat, wird jedoch auf Ressourcen angewendet, für deren Validierung eine manuelle Untersuchung erforderlich ist. Dieser Status wird basierend auf unseren intern generierten Konfidenzbewertungen bestimmt, die die Stärke der erkannten Verbindungen zwischen Ressourcen beurteilen. Diese geben nicht die genaue Beziehung der Infrastruktur zu der Organisation an, sondern kennzeichnen die Ressource für eine zusätzliche Überprüfung, um zu bestimmen, wie sie kategorisiert werden soll. |
Behandeln von verschiedenen Ressourcenzuständen
Diese Ressourcenzustände werden in einzigartiger Weise verarbeitet und überwacht, um sicherzustellen, dass Sie standardmäßig einen klaren Überblick über die wichtigsten Ressourcen haben. Beispielsweise werden Ressourcen mit dem Status Genehmigter Bestand immer in Dashboarddiagrammen dargestellt und täglich überprüft, um die Aktualität der Daten sicherzustellen. Alle anderen Arten von Ressourcen sind in Dashboarddiagrammen standardmäßig nicht enthalten. Sie können jedoch Ihre Bestandsfilter anpassen, um bei Bedarf Ressourcen in verschiedenen Zuständen anzuzeigen. Ebenso werden Ressourcen im Status Kandidat nur während des Ermittlungsprozesses gescannt. Wenn sich diese Ressourcentypen im Besitz Ihrer Organisation befinden, ist es wichtig, diese Ressourcen zu überprüfen und ihren Status in Genehmigter Bestand zu ändern.
Verfolgung von Bestandsänderungen
Ihre Angriffsfläche ändert sich ständig. Defender EASM analysiert und aktualisiert Ihren Bestand kontinuierlich, um die Genauigkeit zu gewährleisten. Ressourcen werden häufig hinzugefügt und aus dem Bestand entfernt, daher ist es wichtig, diese Änderungen nachzuverfolgen, um Ihre Angriffsfläche zu verstehen und wichtige Trends zu identifizieren. Das Dashboard für Bestandsänderungen bietet eine Übersicht über diese Änderungen. Sie können ganz einfach die hinzugefügte und entfernte Anzahl für jeden Ressourcentyp anzeigen. Sie können das Dashboard nach zwei Datumsbereichen filtern: entweder die letzten 7 Tage oder die letzten 30 Tage. Eine genauere Ansicht der Bestandsänderungen finden Sie im Abschnitt Änderungen nach Datum des Dashboards.