Introducción a los filtros de inventario de EASM de Defender
En este artículo se describe la funcionalidad de filtro disponible en Administración de superficie expuesta a ataques externos de Microsoft Defender (EASM de Defender). El filtrado le ayuda a encontrar subconjuntos específicos de recursos de inventario en función de los parámetros seleccionados. En este artículo se describen cada filtro y operador y se proporcionan instrucciones sobre las opciones de entrada que producen los mejores resultados. También se explica cómo guardar consultas para facilitar la accesibilidad a los resultados filtrados.
Funcionamiento
Los filtros de inventario permiten acceder a un subconjunto específico de datos que cumple los parámetros de búsqueda. Puede aplicar tantos filtros como necesite para obtener los resultados que desee.
De forma predeterminada, la pantalla Inventario muestra solo los recursos de inventario aprobados . Los recursos en un estado alternativo están ocultos. Este filtro se puede quitar si desea ver los recursos en un estado diferente. Otros estados son Candidato, Dependencia y Requiere investigación.
La eliminación del filtro de inventario aprobado es útil cuando es necesario:
- Revise los posibles recursos nuevos.
- Investigue un problema de dependencia de terceros.
- Vea una vista completa de todos los activos de propiedad potencial al realizar una búsqueda.
EASM de Defender ofrece varios filtros para obtener resultados de distintos niveles de granularidad. Con algunos filtros, puede seleccionar opciones de valor en una lista desplegable. Otros requieren que especifique manualmente el valor que desee.
Consultas guardadas
Puede guardar consultas de interés para acceder rápidamente a la lista de recursos resultante. Esta característica es beneficiosa si necesita buscar un subconjunto determinado de recursos de forma rutinaria. También es útil si necesita hacer referencia fácilmente a una configuración de filtro específica más adelante. Los filtros guardados le ayudan a acceder fácilmente a los recursos que le interesan en la mayoría de los parámetros altamente personalizables.
Para guardar una consulta:
En primer lugar, seleccione cuidadosamente los filtros para generar los resultados que desee. Para obtener más información sobre los filtros aplicables para cada tipo de recurso, consulte la sección "Pasos siguientes". En este ejemplo, busca dominios que expiren en un plazo de 30 días que requieran renovación. Seleccione Search.
Revise los recursos resultantes. Si está satisfecho con los filtros seleccionados y desea guardar la consulta, seleccione Guardar consulta.
Asigne un nombre a la consulta y proporcione una descripción. Los nombres de consulta no se pueden editar después de la configuración inicial, pero las descripciones se pueden cambiar más adelante. Seleccione Guardar. Aparece un banner que confirma que se guardó la consulta.
Para ver los filtros guardados, seleccione la pestaña Consultas guardadas en la parte superior de la página de lista de inventario. Las consultas guardadas están visibles en la sección superior. Al seleccionar Abrir consulta , se filtra el inventario por los parámetros designados. Desde esta página, también puede editar o eliminar consultas guardadas.
Operadores
Los filtros de inventario se pueden usar con los operadores siguientes. Algunos operadores no están disponibles para cada filtro. Algunos operadores están ocultos si no son aplicables lógicamente al filtro específico.
| Operador | Descripción |
|---|---|
Equals |
Devuelve resultados que coinciden exactamente con el valor de búsqueda. Este filtro solo devuelve resultados de un valor a la vez. En el caso de los filtros que rellenan una lista desplegable de opciones, solo se puede seleccionar una opción a la vez. Para seleccionar varios valores, consulte el In operador . |
Not Equals |
Devuelve resultados en los que el campo no coincide exactamente con el valor de búsqueda. |
Starts with |
Devuelve los resultados en los que el campo comienza con el valor de búsqueda. |
Does not start with |
Devuelve resultados en los que el campo no comienza con el valor de búsqueda. |
Matches |
Devuelve resultados en los que un término tokenizado en el campo coincide exactamente con el valor de búsqueda. |
Does not match |
Devuelve resultados en los que un término tokenizado en el campo no coincide exactamente con el valor de búsqueda. |
In |
Devuelve resultados en los que el campo coincide exactamente con uno de los valores de búsqueda. Para las listas desplegables, se pueden seleccionar varias opciones. |
Not In |
Devuelve resultados en los que el campo no coincide exactamente con ninguno de los valores de búsqueda. Se pueden seleccionar varias opciones. Los campos de entrada manualmente excluyen los resultados que coinciden con un valor exacto. |
Starts with in |
Devuelve resultados donde el campo comienza con uno de los valores de búsqueda. |
Does not start with in |
Devuelve resultados en los que el campo no comienza con ninguno de los valores de búsqueda. |
Matches in |
Devuelve resultados en los que un término tokenizado en el campo coincide exactamente con uno de los valores de búsqueda. |
Does not match in |
Devuelve resultados en los que un término tokenizado en el campo no coincide exactamente con ninguno de los valores de búsqueda. |
Contains |
Devuelve resultados donde el contenido del campo contiene el valor de búsqueda. |
Does Not Contain |
Devuelve resultados en los que el contenido del campo no contiene el valor de búsqueda. |
Contains in |
Devuelve resultados donde el contenido del campo contiene uno de los valores de búsqueda. |
Does Not Contain In |
Devuelve resultados en los que un término tokenizado en el contenido del campo no contiene ninguno de los valores de búsqueda. |
Empty |
Devuelve los recursos que no devuelven ningún valor para el filtro especificado. |
Not Empty |
Devuelve todos los recursos que devuelven un valor para el filtro especificado, independientemente del valor. |
Greater Than or Equal To |
Devuelve resultados que son mayores o iguales que un valor numérico. Incluye fechas. |
Between |
Devuelve resultados dentro de un intervalo numérico. Incluye intervalos de fechas. |
Filtros comunes
Estos filtros se aplican a todo tipo de recursos dentro de un inventario. Puede usar estos filtros al buscar una gama más amplia de recursos. Para obtener una lista de filtros para determinados tipos de recursos, consulte la sección "Pasos siguientes".
Filtros de valores definidos
Los filtros siguientes proporcionan una lista desplegable de opciones que puede seleccionar. Los valores disponibles están predefinidos.
| Nombre de filtro | Descripción | Valores seleccionables | Operadores disponibles |
|---|---|---|---|
| Tipo | Filtra por tipos de propiedad web específicos que componen el inventario. | ASN, Contact, Domain, Host, IP Address, IP Block, Page, SSL Cert |
Equals, Not Equals, In, Not In, Empty, Not Empty |
| State | El estado asignado a los recursos para distinguir su relevancia para su organización y cómo defender EASM los supervisa. | Aprobado, candidato, dependencia, solo supervisión, requiere investigación | |
| Se ha quitado del inventario | Método por el que se quitó un recurso del inventario. | Archivado, descartado | |
| Creado en | Filtra por la fecha en que se creó un recurso en el inventario. | Intervalo de fechas a través de la lista desplegable calendario |
Greater Than or Equal To, Less Than or Equal To, Between |
| Primera vista | Filtra por la fecha en que el sistema de detección de EASM de Defender observó por primera vez un recurso. | Intervalo de fechas a través de la lista desplegable calendario | |
| Última vista | Filtra por la fecha en que el sistema de detección de EASM de Defender observó por última vez un recurso. | Intervalo de fechas a través de la lista desplegable calendario | |
| Etiquetas | Filtra las etiquetas aplicadas manualmente a los recursos de inventario. | Acepta respuestas de forma libre, pero también ofrece una lista desplegable de etiquetas disponibles en el recurso de EASM de Defender. | |
| Actualizado en | Filtra por la fecha en que los datos de recursos se actualizaron por última vez en el inventario. | Intervalo de fechas a través de la lista desplegable calendario | |
| Wildcard (Carácter comodín) | Un registro DNS con caracteres comodín responde a las solicitudes DNS de subdominios que aún no se han definido. Un ejemplo es *.contoso.com. | True, False |
Equals, Not Equals |
Filtros de forma libre
Los siguientes filtros requieren que especifique manualmente el valor que desea usar para la búsqueda. Muchos de estos valores distinguen mayúsculas de minúsculas.
| Nombre de filtro | Descripción | Formato del valor | Operadores aplicables |
|---|---|---|---|
| UUID | Identificador universalmente único asignado a un recurso determinado. | acabe677-f0c6-4807-ab4e-3a59d9e66b22 |
Equals, Not Equals, In, Not In |
| Nombre | Nombre de un recurso. | Debe alinearse con el formato del nombre del recurso como se muestra en el inventario. Por ejemplo, un host aparecería como mail.contoso.com o una dirección IP como 192.168.92.73. |
Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| Id. externo | Identificador proporcionado por un tercero. | Normalmente, un valor numérico. |
Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
Filtrar los recursos fuera del inventario aprobado
En el panel izquierdo, seleccione Inventario para ver el inventario.
Para quitar el filtro De inventario aprobado , seleccione la X junto al filtro State = Approved . La lista de inventario se expande para incluir activos en otros estados, como Descartado.
Use los filtros de inventario para identificar los recursos que desea encontrar. Es posible que quiera revisar todos los recursos en el estado Candidato . También puede agregar cualquier recurso que sea importante para su organización al inventario aprobado .
O bien, es posible que tenga que encontrar un único recurso específico que quiera agregar al inventario aprobado . Para detectar un recurso específico, aplique un filtro para buscar el nombre.
Cuando la lista de inventario muestra los recursos no aprobados que estaba buscando, puede modificar los recursos. Para obtener más información sobre cómo actualizar los recursos, consulte Modificación de los recursos de inventario.