Grundlegendes zu Bestandsressourcen
Übersicht
Die proprietäre Ermittlungstechnologie von Microsoft sucht rekursiv nach Infrastrukturen mit beobachteten Verbindungen mit bekannten legitimen Ressourcen (z. B. Ermittlungsseeds), um Rückschlüsse auf die Beziehung dieser Infrastrukturen zur Organisation zu ziehen und bisher unbekannte und nicht überwachte Eigenschaften aufzudecken.
Defender EASM umfasst die Ermittlung der folgenden Ressourcenarten:
- Domänen
- IP-Blöcke
- Hosts
- E-Mail-Kontakte
- ASNs
- WHOIS-Organisationen
Diese Arten von Ressourcen bilden Ihr Angriffsflächeninventar in Defender EASM. Diese Lösung entdeckt nach außen gerichtete Ressourcen, die außerhalb des traditionellen Firewallschutzes dem offenen Internet ausgesetzt sind. Sie müssen überwacht und gewartet werden, um das Risiko zu minimieren und den Sicherheitsstatus eines Unternehmens zu verbessern. Microsoft Defender External Attack Surface Management (Defender EASM) entdeckt und überwacht diese Ressourcen aktiv und liefert dann wichtige Erkenntnisse, die Kunden dabei helfen, Sicherheitsrisiken in ihrem Unternehmen effizient zu beseitigen.
Ressourcenzustände
Alle Ressourcen sind mit einem der folgenden Zustände gekennzeichnet:
Name des Zustands | Beschreibung |
---|---|
Genehmigter Bestand | Ein Teil der Angriffsfläche in Ihrem Besitz, für den Sie direkt verantwortlich sind. |
Abhängigkeit | Infrastruktur, die im Besitz eines Drittanbieters ist, aber Teil Ihrer Angriffsfläche ist, da sie den Betrieb Ihrer eigenen Ressourcen direkt unterstützt. Sie können z. B. von einem IT-Anbieter abhängig sein, um Ihre Webinhalte zu hosten. Während die Domäne, der Hostname und die Websites Teil Ihres genehmigten Bestands sind, sollte die IP-Adresse für den Host als Abhängigkeit behandelt werden. |
Nur überwachen | Eine Ressource, die für Ihre Angriffsfläche relevant ist, aber weder direkt kontrolliert wird noch eine technische Abhängigkeit ist. Beispielsweise können unabhängige Franchises oder Ressourcen, die zu verbundenen Unternehmen gehören, mit „Nur überwachen“ anstatt mit „Genehmigter Bestand“ bezeichnet werden, um diese beiden Gruppen zu Berichtszwecken zu trennen. |
Kandidat | Eine Ressource, das in Beziehung zu den bekannten Seedressourcen Ihrer Organisation steht, aber deren Verbindung nicht stark genug für die Bezeichnung „Genehmigter Bestand“ ist. Diese Ressourcenkandidaten müssen manuell überprüft werden, um den Besitz zu ermitteln. |
Untersuchung erforderlich | Dieser Status ähnelt dem Status „Kandidat“, wird jedoch auf Ressourcen angewendet, für deren Validierung eine manuelle Untersuchung erforderlich ist. Dies wird basierend auf unseren intern generierten Konfidenzbewertungen bestimmt, die die Stärke der erkannten Verbindungen zwischen Ressourcen beurteilt. Diese geben nicht die genaue Beziehung der Infrastruktur zu der Organisation an, sondern vor allem, dass diese Ressource für eine zusätzliche Überprüfung gekennzeichnet wurde, um zu bestimmen, wie sie kategorisiert werden soll. |
Behandeln von verschiedenen Ressourcenzuständen
Diese Ressourcenzustände werden in einzigartiger Weise verarbeitet und überwacht, um sicherzustellen, dass Kunden standardmäßig einen klaren Überblick über die wichtigsten Ressourcen haben. Beispielsweise werden die Ressourcen „Genehmigter Bestand“ immer in Dashboarddiagrammen dargestellt und täglich überprüft, um die Aktualität der Daten sicherzustellen. Alle anderen Arten von Ressourcen sind in den Dashboarddiagrammen standardmäßig nicht enthalten. Benutzer können jedoch ihre Bestandsfilter anpassen, um Ressourcen in verschiedenen Zuständen anzuzeigen. Ebenso werden „Kandidaten“-Ressourcen nur während des Ermittlungsprozesses überprüft. Es ist wichtig, diese Ressourcen zu überprüfen und ihren Status in „Genehmigter Bestand“ zu ändern, wenn sie sich im Besitz Ihrer Organisation befinden.
Verfolgung von Bestandsänderungen
Ihre Angriffsfläche ändert sich ständig, weshalb Defender EASM Ihren Bestand kontinuierlich analysiert und aktualisiert, um die Genauigkeit zu gewährleisten. Ressourcen werden häufig hinzugefügt und aus dem Bestand entfernt, daher ist es wichtig, diese Änderungen nachzuverfolgen, um Ihre Angriffsfläche zu verstehen und wichtige Trends zu identifizieren. Das Dashboard für Bestandsänderungen bietet eine Übersicht über diese Änderungen, wobei die hinzugefügte und entfernte Anzahl für jeden Bestandstyp angezeigt wird. Sie können das Dashboard nach zwei Datumsbereichen filtern: entweder die letzten 7 oder 30 Tage. Eine genauere Ansicht dieser Bestandsänderungen finden Sie im Abschnitt „Änderungen nach Datum“.