Übersicht über Defender EASM-Bestandsfilter
In diesem Artikel werden die Filterfunktionen beschrieben, die in Microsoft Defender External Attack Surface Management (Defender EASM) verfügbar sind. Mithilfe des Filterns können Sie bestimmte Teilmengen von Bestandsressourcen basierend auf ausgewählten Parametern finden. In diesem Artikel werden die einzelnen Filter und Operatoren beschrieben und Anleitungen zu Eingabeoptionen bereitgestellt, die die besten Ergebnisse liefern. Außerdem wird erläutert, wie Sie Abfragen speichern, um die gefilterten Ergebnisse leicht zugänglich zu machen.
Funktionsweise
Mit Bestandsfiltern können Sie auf eine bestimmte Teilmenge von Daten zugreifen, die Ihren Suchparametern entspricht. Sie können so viele Filter anwenden, wie Sie benötigen, um die gewünschten Ergebnisse zu erhalten.
Standardmäßig werden auf dem Bildschirm Bestand nur genehmigte Bestandsobjekte angezeigt. Ressourcen in einem alternativen Zustand werden ausgeblendet. Dieser Filter kann entfernt werden, wenn Sie Ressourcen in einem anderen Zustand anzeigen möchten. Andere Zustände sind Kandidat, Abhängigkeit und Erfordert Untersuchung.
Das Entfernen des Filters "Genehmigter Bestand" ist nützlich, wenn Sie Folgendes benötigen:
- Überprüfen Sie potenzielle neue Ressourcen.
- Untersuchen Sie ein Abhängigkeitsproblem von Drittanbietern.
- Sehen Sie sich eine vollständige Ansicht aller potenziellen Vermögenswerte an, wenn Sie eine Suche durchführen.
Defender EASM bietet verschiedene Filter, um Ergebnisse mit unterschiedlichen Granularitätsgraden zu erhalten. Mit einigen Filtern können Sie Wertoptionen aus einer Dropdownliste auswählen. Andere erfordern, dass Sie den gewünschten Wert manuell eingeben.
Gespeicherte Abfragen
Sie können interessante Abfragen speichern, um schnell auf die resultierende Ressourcenliste zuzugreifen. Dieses Feature ist von Vorteil, wenn Sie routinemäßig nach einer bestimmten Teilmenge von Ressourcen suchen müssen. Es ist auch hilfreich, wenn Sie zu einem späteren Zeitpunkt problemlos auf eine bestimmte Filterkonfiguration verweisen müssen. Gespeicherte Filter helfen Ihnen beim einfachen Zugriff auf die Ressourcen, die Ihnen am wichtigsten sind, basierend auf stark anpassbaren Parametern.
So speichern Sie eine Abfrage:
Wählen Sie zunächst sorgfältig die Filter aus, um die gewünschten Ergebnisse zu erzielen. Weitere Informationen zu den anwendbaren Filtern für jede Art von Medienobjekt finden Sie im Abschnitt "Nächste Schritte". In diesem Beispiel suchen Sie nach Domänen, die innerhalb von 30 Tagen ablaufen und eine Verlängerung erfordern. Klicken Sie auf Suchen.
Überprüfen Sie die resultierenden Ressourcen. Wenn Sie mit den ausgewählten Filtern zufrieden sind und die Abfrage speichern möchten, wählen Sie Abfrage speichern aus.
Benennen Sie Ihre Abfrage, und geben Sie eine Beschreibung an. Abfragenamen können nach der ersteinrichtung nicht bearbeitet werden, Beschreibungen können jedoch zu einem späteren Zeitpunkt geändert werden. Wählen Sie Speichern aus. Ein Banner wird angezeigt, das bestätigt, dass die Abfrage gespeichert wurde.
Um Ihre gespeicherten Filter anzuzeigen, wählen Sie oben auf der Seite "Bestandsliste" die Registerkarte Gespeicherte Abfragen aus. Alle gespeicherten Abfragen sind im oberen Abschnitt sichtbar. Wenn Sie Abfrage öffnen auswählen, wird Ihr Bestand nach den angegebenen Parametern gefiltert. Auf dieser Seite können Sie auch gespeicherte Abfragen bearbeiten oder löschen.
Operatoren
Bestandsfilter können mit den folgenden Operatoren verwendet werden. Einige Operatoren sind nicht für jeden Filter verfügbar. Einige Operatoren werden ausgeblendet, wenn sie nicht logisch auf den spezifischen Filter anwendbar sind.
| Operator | BESCHREIBUNG |
|---|---|
Equals |
Gibt Ergebnisse zurück, die genau dem Suchwert entsprechen. Dieser Filter gibt nur Ergebnisse für jeweils einen Wert zurück. Bei Filtern, die eine Dropdownliste mit Optionen auffüllen, kann jeweils nur eine Option ausgewählt werden. Informationen zum Auswählen mehrerer Werte finden Sie im In Operator. |
Not Equals |
Gibt Ergebnisse zurück, bei denen das Feld nicht genau mit dem Suchwert übereinstimmt. |
Starts with |
Gibt Ergebnisse zurück, bei denen das Feld mit dem Suchwert beginnt. |
Does not start with |
Gibt Ergebnisse zurück, bei denen das Feld nicht mit dem Suchwert beginnt. |
Matches |
Gibt Ergebnisse zurück, bei denen ein tokenisierter Ausdruck im Feld genau mit dem Suchwert übereinstimmt. |
Does not match |
Gibt Ergebnisse zurück, bei denen ein tokenisierter Ausdruck im Feld nicht genau mit dem Suchwert übereinstimmt. |
In |
Gibt Ergebnisse zurück, bei denen das Feld genau mit einem der Suchwerte übereinstimmt. Für Dropdownlisten können mehrere Optionen ausgewählt werden. |
Not In |
Gibt Ergebnisse zurück, bei denen das Feld nicht genau mit einem der Suchwerte übereinstimmt. Es können mehrere Optionen ausgewählt werden. Manuell eingegebene Felder schließen Ergebnisse aus, die einem genauen Wert entsprechen. |
Starts with in |
Gibt Ergebnisse zurück, bei denen das Feld mit einem der Suchwerte beginnt. |
Does not start with in |
Gibt Ergebnisse zurück, bei denen das Feld nicht mit einem der Suchwerte beginnt. |
Matches in |
Gibt Ergebnisse zurück, bei denen ein tokenisierter Ausdruck im Feld genau mit einem der Suchwerte übereinstimmt. |
Does not match in |
Gibt Ergebnisse zurück, bei denen ein tokenisierter Ausdruck im Feld nicht genau mit einem der Suchwerte übereinstimmt. |
Contains |
Gibt Ergebnisse zurück, in denen der Feldinhalt den Suchwert enthält. |
Does Not Contain |
Gibt Ergebnisse zurück, bei denen der Feldinhalt den Suchwert nicht enthält. |
Contains in |
Gibt Ergebnisse zurück, bei denen der Feldinhalt einen der Suchwerte enthält. |
Does Not Contain In |
Gibt Ergebnisse zurück, bei denen ein tokenisierter Ausdruck im Feldinhalt keinen der Suchwerte enthält. |
Empty |
Gibt Ressourcen zurück, die keinen Wert für den angegebenen Filter zurückgeben. |
Not Empty |
Gibt alle Ressourcen zurück, die einen Wert für den angegebenen Filter zurückgeben, unabhängig vom Wert. |
Greater Than or Equal To |
Gibt Ergebnisse zurück, die größer oder gleich einem numerischen Wert sind. Enthält Datumsangaben. |
Between |
Gibt Ergebnisse innerhalb eines numerischen Bereichs zurück. Enthält Datumsbereiche. |
Allgemeine Filter
Diese Filter gelten für alle Arten von Ressourcen in einem Bestand. Sie können diese Filter verwenden, wenn Sie nach einer größeren Palette von Ressourcen suchen. Eine Liste der Filter für bestimmte Arten von Ressourcen finden Sie im Abschnitt "Nächste Schritte".
Definierte Wertfilter
Die folgenden Filter bieten eine Dropdownliste mit Optionen, die Sie auswählen können. Die verfügbaren Werte sind vordefinierte.
| Filtername | BESCHREIBUNG | Auswählbare Werte | Verfügbare Operatoren |
|---|---|---|---|
| Art | Filtert nach bestimmten Webeigenschaftentypen, die Ihren Bestand umfassen. | ASN, Kontakt, Domäne, Host, IP-Adresse, IP-Block, Seite, SSL-Zertifikat |
Equals, Not Equals, In, Not In, Empty, Not Empty |
| State | Der Status, der Ressourcen zugewiesen ist, um ihre Relevanz für Ihre organization zu unterscheiden und wie Defender EASM sie überwacht. | Genehmigt, Kandidat, Abhängigkeit, nur Überwachen, Erfordert Untersuchung | |
| Aus Dem Bestand entfernt | Die Methode, mit der ein Asset aus dem Bestand entfernt wurde. | Archiviert, Verworfen | |
| Erstellt am | Filtert nach dem Datum, an dem ein Asset in Ihrem Bestand erstellt wurde. | Datumsbereich über Kalender-Dropdownliste |
Greater Than or Equal To, Less Than or Equal To, Between |
| First Seen | Filtert nach dem Datum, an dem eine Ressource vom Defender EASM-Erkennungssystem zum ersten Mal beobachtet wurde. | Datumsbereich über Kalender-Dropdownliste | |
| Zuletzt gesehen | Filtert nach dem Datum, an dem ein Asset zuletzt vom Defender EASM-Erkennungssystem beobachtet wurde. | Datumsbereich über Kalender-Dropdownliste | |
| Bezeichnungen | Filtert nach Bezeichnungen, die manuell auf Inventarressourcen angewendet werden. | Akzeptiert Freiformantworten, bietet aber auch eine Dropdownliste mit Bezeichnungen, die in Ihrer Defender EASM-Ressource verfügbar sind. | |
| Aktualisiert am | Filtert nach dem Datum, an dem Assetdaten zuletzt im Bestand aktualisiert wurden. | Datumsbereich über Kalender-Dropdownliste | |
| Platzhalter | Ein Platzhalter-DNS-Eintrag beantwortet DNS-Anforderungen für Unterdomänen, die noch nicht definiert wurden. Ein Beispiel ist *.contoso.com. | TRUE, FALSE |
Equals, Not Equals |
Freiformfilter
Für die folgenden Filter müssen Sie den Wert, den Sie für Ihre Suche verwenden möchten, manuell eingeben. Bei vielen dieser Werte wird die Groß-/Kleinschreibung beachtet.
| Filtername | BESCHREIBUNG | Wertformat | Anwendbare Operatoren |
|---|---|---|---|
| UUID | Der universell eindeutige Bezeichner, der einem bestimmten Objekt zugewiesen ist. | acabe677-f0c6-4807-ab4e-3a59d9e66b22 |
Equals, Not Equals, In, Not In |
| Name | Der Name eines Datenobjekts. | Muss am Format des Im Bestand aufgeführten Ressourcennamens ausgerichtet werden. Für instance würde ein Host als mail.contoso.com oder eine IP als 192.168.92.73 angezeigt. |
Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| Externe ID | Ein bezeichner, der von einem Drittanbieter bereitgestellt wird. | In der Regel ein numerischer Wert. |
Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
Filtern nach Ressourcen außerhalb Ihres genehmigten Bestands
Wählen Sie im linken Bereich Inventar aus, um Ihren Bestand anzuzeigen.
Um den Filter Genehmigter Bestand zu entfernen, wählen Sie das X neben dem Filter Status = Genehmigt aus . Ihre Bestandsliste wird erweitert, um Ressourcen in anderen Zuständen einzuschließen, z. B. Verworfen.
Verwenden Sie die Bestandsfilter, um die Objekte zu identifizieren, die Sie suchen möchten. Möglicherweise möchten Sie alle Ressourcen im Status Kandidaten überprüfen. Sie können auch alle Ressourcen hinzufügen, die für Ihre organization wichtig sind, zum Genehmigten Bestand.
Oder Sie müssen möglicherweise ein einzelnes bestimmtes Objekt finden, das Sie dem Genehmigten Bestand hinzufügen möchten. Um ein bestimmtes Objekt zu ermitteln, wenden Sie einen Filter an, um nach dem Namen zu suchen.
Wenn Ihre Bestandsliste die nicht genehmigten Ressourcen anzeigt, nach der Sie gesucht haben, können Sie die Ressourcen ändern. Weitere Informationen zum Aktualisieren von Ressourcen finden Sie unter Ändern von Bestandsressourcen.