Freigeben über

Ermitteln Ihrer Angriffsfläche

  • Artikel

Voraussetzungen

Machen Sie sich anhand der Artikel Was ist die Ermittlung? und Verwenden und Verwalten der Ermittlung mit zentralen Konzepten dieses Artikels vertraut, bevor Sie dieses Tutorial absolvieren.

Zugreifen auf Ihre automatisierte Angriffsfläche

Microsoft hat die Angriffsfläche vieler Organisationen vorab konfiguriert. Hierzu wurde nach Infrastruktur gesucht, die mit bekannten Ressourcen verbunden ist, um die anfängliche Angriffsfläche abzubilden. Alle Benutzer*innen sollten nach der Angriffsfläche ihrer Organisation suchen, bevor sie eine benutzerdefinierte Angriffsfläche erstellen und weitere Ermittlungen ausführen. Dieser Prozess ermöglicht Benutzer*innen, schnell auf ihren Bestand zuzugreifen, während Defender EASM die Daten aktualisiert und Ihrer Angriffsfläche weitere Ressourcen und aktuellen Kontext hinzufügt.

  1. Wählen Sie beim erstmaligen Zugriff auf Ihre Defender EASM-Instanz im Abschnitt „Allgemein“ die Option „Erste Schritte“ aus, um in der Liste der automatisierten Angriffsflächen nach Ihrer Organisation zu suchen.

  2. Wählen Sie anschließend Ihre Organisation in der Liste aus, und klicken Sie auf „Meine Angriffsfläche erstellen“.

Screenshot of pre-configured attack surface option

An diesem Punkt wird die Ermittlung im Hintergrund ausgeführt. Wenn Sie in der Liste der verfügbaren Organisationen eine vorkonfigurierte Angriffsfläche ausgewählt haben, werden Sie zum Bildschirm mit der Dashboardübersicht umgeleitet. Dort werden Erkenntnisse zur Infrastruktur Ihrer Organisation im Vorschaumodus angezeigt. Machen Sie sich anhand dieser Dashboarderkenntnisse mit Ihrer Angriffsfläche vertraut, während Sie warten, bis zusätzliche Ressourcen ermittelt und in Ihrem Bestand aufgefüllt werden. Lesen Sie den Artikel Grundlegendes zu Dashboards, um weitere Informationen zur Ableitung von Erkenntnissen aus diesen Dashboards zu erhalten.

Falls Ressourcen fehlen oder Sie andere Entitäten verwalten müssen, die möglicherweise nicht über eindeutig mit Ihrer Organisation verknüpfte Infrastruktur gefunden werden, können Sie angepasste Ermittlungen ausführen, um diese Sonderfälle zu erkennen.

Anpassen der Ermittlung

Benutzerdefinierte Ermittlungen sind ideal für Organisationen, die detailliertere Einblicke in Infrastruktur benötigen, die möglicherweise nicht unmittelbar mit ihren primären Seedressourcen verknüpft ist. Wenn Sie eine umfangreichere Liste bekannter Ressourcen als Seeds für die Ermittlung übermitteln, gibt die Ermittlungs-Engine einen größeren Pool von Ressourcen zurück. Die benutzerdefinierte Ermittlung kann Organisationen auch dabei helfen, verschiedene Infrastruktur zu finden, die ggf. zu unabhängigen Geschäftseinheiten und übernommenen Unternehmen gehört.

Ermittlungsgruppen

Benutzerdefinierte Ermittlungen werden in Ermittlungsgruppen strukturiert. Hierbei handelt es sich um unabhängige Seedcluster, die eine einzelne Ermittlungsausführung umfassen und auf eigenen Wiederholungszeitplänen basieren. Benutzer können ihre Ermittlungsgruppen strukturieren, um Ressourcen auf eine Weise abzugrenzen, die für ihr Unternehmen und ihre Workflows am besten geeignet ist. Gängige Optionen umfassen die Strukturierung nach zuständigem Team bzw. nach zuständiger Unternehmenseinheit, nach Marken oder nach Tochtergesellschaften.

Erstellen einer Ermittlungsgruppe

  1. Wählen Sie im Abschnitt Verwalten der linken Navigationsspalte den Bereich Ermittlung aus.

    Screenshot of EASM instance from overview page with manage section highlighted

  2. Auf dieser Ermittlungsseite wird standardmäßig die Liste Ihrer Ermittlungsgruppen angezeigt. Beim erstmaligen Zugriff auf die Plattform ist die Liste noch leer. Klicken Sie zum Ausführen Ihrer ersten Ermittlung auf Ermittlungsgruppe hinzufügen.

    Screenshot of Discovery screen with “add disco group” highlighted

  3. Benennen Sie zunächst Ihre neue Ermittlungsgruppe, und fügen Sie eine Beschreibung hinzu. Über das Feld Wiederholungsfrequenz können Sie Ermittlungsausführungen für diese Gruppe planen, um regelmäßig nach neuen Ressourcen im Zusammenhang mit den angegebenen Seeds zu suchen. Standardmäßig ist die Option Wöchentlich ausgewählt. Microsoft empfiehlt diesen Rhythmus, um sicherzustellen, dass die Ressourcen Ihrer Organisation regelmäßig überwacht und aktualisiert werden. Wenn Sie nur eine einmalige Ermittlungsausführung benötigen, wählen Sie Nie aus. Es wird jedoch empfohlen, den Standardrhythmus Wöchentlich beizubehalten und stattdessen die historische Überwachung in den Ermittlungsgruppeneinstellungen zu deaktivieren, wenn später entschieden wird, keine wiederkehrenden Ermittlungen mehr auszuführen.

    Wählen Sie Weiter: Seeds > aus.

    Screenshot of first page of disco group setup

  4. Wählen Sie als Nächstes die Seeds aus, die Sie für diese Ermittlungsgruppe verwenden möchten. Seeds sind bekannte Ressourcen, die zu Ihrer Organisation gehören. Die Defender EASM-Plattform überprüft diese Entitäten und bildet ihre Verbindungen mit anderer Onlineinfrastruktur ab, um Ihre Angriffsfläche zu erstellen.

    Screenshot of seed selection page of disco group setup

    Mit der Option Schnellstart können Sie eine Liste vorab aufgefüllter Angriffsflächen nach Ihrer Organisation durchsuchen. Sie können schnell eine Ermittlungsgruppe basierend auf den bekannten Ressourcen erstellen, die zu Ihrer Organisation gehören.

    Screenshot of pre-baked attack surface selection page, then output in seed list

    Alternativ können Benutzer ihre Seeds manuell eingeben. Defender EASM akzeptiert Domänen, IP-Adressblöcke, Hosts, E-Mail-Kontakte, ASNs und WhoIs-Organisationen als Seedwerte. Sie können auch Entitäten angeben, die von der Ressourcenermittlung ausgeschlossen werden sollen, um sicherzustellen, dass sie Ihrem Bestand nicht hinzugefügt werden, wenn sie erkannt werden. Dies ist beispielsweise nützlich für Organisationen, die über Tochtergesellschaften verfügen, die wahrscheinlich mit ihrer zentralen Infrastruktur verbunden sind, aber nicht zu Ihrer Organisation gehören.

    Wählen Sie nach dem Auswählen Ihrer Seeds die Option Überprüfen + erstellen aus.

  5. Überprüfen Sie Ihre Gruppeninformationen und Die Startliste, und wählen Sie dann "Erstellen und Ausführen" aus.

    Screenshot of review + create screen

Anschließend wird wieder die Hauptseite der Ermittlung mit Ihren Ermittlungsgruppen angezeigt. Nach Abschluss der Ermittlungsausführung sehen Sie, dass Ihrem bestätigten Bestand neue Ressourcen hinzugefügt wurden.

Nächste Schritte