Partager via


Comprendre les détails de la ressource

Microsoft Defender External Attack Surface Management (Defender EASM) analyse fréquemment toutes les ressources d’inventaire et collecte des métadonnées contextuelles robustes qui alimentent Attack Surface Insights. Ces données peuvent également être consultées de manière plus granulaire sur la page de détails de la ressource. Les données fournies varient en fonction du type de ressource. Par exemple, la plateforme fournit des données Whois uniques pour les domaines, les hôtes et les adresses IP. Elle fournit des données d’algorithme de signature pour les certificats SSL (Secure Sockets Layer).

Cet article décrit la manière d’afficher et d’interpréter les données étendues collectées par Microsoft pour chacune de vos ressources d’inventaire. Il définit ces métadonnées pour chaque type de ressource et explique comment les insights dérivés de celui-ci peuvent vous aider à gérer la posture de sécurité de votre infrastructure en ligne.

Pour plus d’informations, consultez Présentation des ressources d’inventaire pour vous familiariser avec les concepts clés mentionnés dans cet article.

Vue récapitulative des détails de la ressource

Vous pouvez afficher la page de détails de la ressource pour n’importe quelle ressource en sélectionnant sur son nom dans votre liste d’inventaire. Dans le volet gauche de cette page, vous pouvez afficher un résumé des ressources qui fournit des informations clés sur cette ressource en particulier. Cette section inclut principalement les données qui s’appliquent à tous les types de ressources, bien que d’autres champs soient disponibles dans certains cas. Consultez le graphique ci-dessous pour plus d’informations sur les métadonnées fournies pour chaque type de ressource dans la section de résumé.

Capture d’écran montrant la page de détails d’une ressource avec le volet de résumé mis en surbrillance.

Informations générales

Cette section comprend des informations générales qui sont essentielles pour comprendre vos ressources en un coup d’œil. La plupart de ces champs s’appliquent à toutes les ressources. Cette section peut également inclure des informations spécifiques à un ou plusieurs types de ressources.

Nom Définition Types d’actif
Nom de l’actif Nom d’une ressource. Tous
UUID Cette étiquette 128 bits représente l’identificateur unique universel (GUID) pour la ressource. Tous
Ajouté à l’inventaire La date à laquelle une ressource a été ajoutée à l’inventaire, qu’elle ait été automatiquement ajoutée à l’état Inventaire approuvé ou qu’elle se trouve dans un autre état comme Candidat. Tous
Dernière mise à jour La dernière date à laquelle un utilisateur manuel a mis à jour la ressource (par exemple, en effectuant une modification d’état ou une suppression de ressource). Tous
ID externe Une valeur d’ID externe ajoutée manuellement. Tous
État État de la ressource dans le système RiskIQ. Les options incluent Inventaire approuvé, Candidat, Dépendances ou Investigation requise. Tous
Première vue (Global Security Graph) La date à laquelle Microsoft a analysé la ressource pour la première fois et l’a ajoutée au graphique de sécurité globale complet. Tous
Dernière vue (Global Security Graph) Date à laquelle Microsoft a récemment analysé la ressource. Tous
Date de découverte Indique la date de création du groupe de découverte qui a détecté la ressource. Tous
Pays ou région Pays/région d’origine détecté pour cette ressource. Tous
Département/Province État ou province d’origine détecté pour cette ressource. Tous
City Ville d’origine détectée pour cette ressource. Tous
Nom Whois Nom associé à un enregistrement Whois. Hôte
E-mail Whois E-mail de contact principal dans un enregistrement Whois. Hôte
Organisation Whois Organisation répertoriée dans un enregistrement Whois. Hôte
Bureau d’enregistrement Whois Bureau d’enregistrement répertorié dans un enregistrement Whois. Hôte
Serveurs de noms Whois Serveurs de noms répertoriés dans un enregistrement Whois. Hôte
Certificat émis Date d’émission d’un certificat. Certificat SSL
Expiration du certificat La date d’expiration d’un certificat. Certificat SSL
Numéro de série Numéro de série associé à un certificat SSL. Certificat SSL
Version SSL La version SSL dans laquelle le certificat a été enregistré. Certificat SSL
Algorithme de clé de certificat Algorithme de clé utilisé pour chiffrer le certificat SSL. Certificat SSL
Taille de clé de certificat Le nombre de bits dans une clé de certificat SSL. Certificat SSL
OID de l’algorithme de signature L’OID qui identifie l’algorithme de hachage utilisé pour signer la demande de certificat. Certificat SSL
Auto-signé Indique si le certificat SSL a été auto-signé. Certificat SSL

Network (Réseau)

Les informations d’adresse IP suivantes fournissent plus de contexte sur l’utilisation de l’adresse IP.

Nom Définition Types d’actif
Enregistrement de serveur de noms Tous les serveurs de noms détectés sur la ressource. Adresse IP
Enregistrement de serveur de messagerie Tous les serveurs de messagerie détectés sur la ressource. Adresse IP
Blocs IP Bloc d’adresse IP qui contient la ressource d’adresse IP. Adresse IP
ASN ASN associé à une ressource. Adresse IP

Informations de bloc

Les données suivantes sont spécifiques aux blocs d’adresses IP et fournissent des informations contextuelles sur leur utilisation.

Nom Définition Types d’actif
CIDR Le CIDR (Classless Inter-Domain Routing) pour un bloc d’adresses IP. Bloc d'adresses IP
Nom du réseau Nom réseau associé au bloc d’adresses IP. Bloc d'adresses IP
Nom de l’organisation Nom de l’organisation trouvé dans les informations d’inscription du bloc d’adresses IP. Bloc d'adresses IP
Org ID ID de l’organisation trouvé dans les informations d’inscription du bloc d’adresses IP. Bloc d'adresses IP
ASN ASN associé au bloc d’adresses IP. Bloc d'adresses IP
Pays ou région Le pays/la région d'origine tel que détecté dans les informations d'enregistrement Whois pour le bloc IP. Bloc d'adresses IP

Objet

Les données suivantes sont spécifiques à l’objet (autrement dit, l’entité protégée) associé à un certificat SSL.

Nom Définition Types d’actif
Nom courant Nom commun de l’émetteur de l’objet du certificat SSL. Certificat SSL
Autres noms Tout autre nom commun pour l’objet du certificat SSL. Certificat SSL
Nom de l’organisation Organisation liée à l’objet du certificat SSL. Certificat SSL
Unité d’organisation Métadonnées facultatives qui indiquent le service responsable du certificat au sein d’une organisation. Certificat SSL
Localité Indique la ville où se trouve l’organisation. Certificat SSL
Pays ou région Indique le pays/la région où l’organisation est située. Certificat SSL
Département/Province Indique l’état ou la province où se trouve l’organisation. Certificat SSL

Émetteur

Les données suivantes sont spécifiques à l’émetteur d’un certificat SSL.

Nom Définition Types d’actif
Nom courant Nom commun de l’émetteur du certificat. Certificat SSL
Autres noms Tous autres noms de l’émetteur. Certificat SSL
Nom de l’organisation Nom de l’organisation qui a orchestré l’émission d’un certificat. Certificat SSL
Unité d’organisation Autres informations sur l’organisation qui a émis le certificat. Certificat SSL

Onglets Données

Dans le volet le plus à droite de la page de détails de la ressource, les utilisateurs peuvent accéder à des données plus complètes sur la ressource sélectionnée. Ces données sont organisées selon une série d’onglets classés. Les onglets de métadonnées disponibles varient en fonction du type de ressource que vous consultez.

Certains onglets affichent un bouton bascule « Récent uniquement » dans le coin supérieur droit. Par défaut, Defender EASM affiche toutes les données que nous avons collectées pour chaque ressource, y compris les observations historiques qui peuvent ne pas s’exécuter activement sur votre surface d’attaque actuelle. Bien que ce contexte historique soit très utile pour certains cas d’usage, le bouton bascule « Récent uniquement » limite tous les résultats de la page de détails de la ressource à ceux observés récemment sur la ressource. Il est recommandé d’utiliser le bouton bascule « Récent uniquement » lorsque vous souhaitez uniquement afficher les données qui représentent l’état actuel de la ressource à des fins de correction.

Capture d’écran mettant en évidence le bouton bascule « Récent uniquement » sur la page de présentation des détails de la ressource.

Vue d’ensemble

L’onglet Vue d’ensemble fournit davantage de contexte pour garantir l’identification rapide des insights significatifs lorsque vous affichez les détails d’une ressource. Cette section inclut les données de découverte clés pour tous les types de ressources. Elle fournit des informations sur la façon dont Microsoft mappe la ressource à votre infrastructure connue.

Cette section peut également inclure des widgets de tableau de bord qui visualisent des insights particulièrement pertinents au type de ressource concerné.

Capture d’écran montrant le volet Vue d’ensemble de la page de détails de la ressource.

Chaîne de découverte

La chaîne de découverte décrit les connexions observées entre une valeur initiale de découverte et la ressource. Ces informations aident les utilisateurs à visualiser ces connexions et à mieux comprendre pourquoi une ressource a été déterminée comme appartenant à leur organisation.

Dans l’exemple, vous voyez que le domaine initial est lié à cette ressource via l’e-mail de contact de son enregistrement Whois. Ce même e-mail de contact a été utilisé pour inscrire le bloc d’adresses IP qui inclut cette ressource d’adresse IP.

Capture d’écran montrant la chaîne de découverte.

Informations de la découverte

Cette section fournit des informations sur le processus utilisé pour détecter la ressource. Elle inclut des informations sur la valeur initiale de découverte qui se connecte à la ressource, ainsi que sur le processus d’approbation.

Options disponibles :

  • Inventaire approuvé : cette option indique que la relation entre la valeur initiale et la ressource découverte était suffisamment forte pour justifier une approbation automatique par le système Defender EASM.
  • Candidat : cette option indique que la ressource nécessitait une approbation manuelle pour être incorporée dans votre inventaire.
  • Dernière exécution de la découverte : la dernière date à laquelle le groupe de découverte qui a détecté initialement la ressource a été utilisé pour une analyse de découverte.

Réputation d’adresse IP

L’onglet Réputation IP affiche une liste des menaces potentielles liées à une adresse IP donnée. Cette section décrit toute activité malveillante ou suspecte détectée liée à l’adresse IP. Ces informations sont essentielles pour comprendre la fiabilité de votre propre surface d’attaque. Ces menaces peuvent aider les organisations à découvrir les vulnérabilités passées ou présentes dans leur infrastructure.

Les données de réputation IP de Defender EASM affichent les instances où l’adresse IP a été détectée dans une liste de menaces. Par exemple, la détection récente dans l’exemple suivant montre que l’adresse IP est liée à un hôte connu pour exécuter un mineur de cryptomonnaie. Ces données ont été dérivées d’une liste d’hôtes suspects fournie par CoinBlockers. Les résultats sont organisés par la date de Dernière vue et montre d’abord les détections les plus pertinentes.

Dans cet exemple, l’adresse IP est présente sur un nombre anormalement élevé de flux de menaces. Ces informations indiquent que la ressource doit être soigneusement examinée pour empêcher des activités malveillantes à l’avenir.

Capture d’écran montrant l’onglet Réputation IP de la page de détails de la ressource.

Services

L’onglet Services est disponible pour les ressources d’adresse IP, de domaine et d’hôte. Cette section fournit des informations sur les services observés comme s’exécutant sur la ressource. Ils incluent des adresses IP, des serveurs de noms et de messagerie, ainsi que des ports ouverts qui correspondent à d’autres types d’infrastructure (par exemple, les services d’accès à distance).

Les données des services de Defender EASM sont essentielles pour comprendre l’infrastructure qui alimente votre ressource. Elles peuvent également vous avertir des ressources exposées sur l’Internet ouvert et qui doivent être protégées.

Capture d’écran montrant l’onglet Services de la page de détails de la ressource.

Adresses IP

Cette section fournit des informations sur les adresses IP qui s’exécutent sur l’infrastructure de la ressource. Sous l’onglet Services, Defender EASM fournit le nom de l’adresse IP et les dates de Première vue et de Dernière vue. La colonne Récente indique si l’adresse IP a été observée lors de l’analyse la plus récente de la ressource. S’il n’y a pas de case à cocher dans cette colonne, l’adresse IP a été observée dans les analyses précédentes, mais ne s’exécute pas actuellement sur la ressource.

Capture d’écran montrant la section Adresse IP de la page de détails de la ressource, sous l’onglet Services.

Serveurs de courrier

Cette section fournit la liste des serveurs de courrier qui s’exécutent sur la ressource. Ces informations indiquent que la ressource est capable d’envoyer des e-mails. Dans cette section, Defender EASM fournit le nom du serveur de courrier et les dates de Première vue et de Dernière vue. La colonne Récente indique si le serveur de courrier a été détecté lors de l’analyse la plus récente de la ressource.

Capture d’écran montrant la section Serveur de courrier de la page de détails de la ressource, sous l’onglet Services.

Serveurs de noms

Cette section affiche tous les serveurs de noms qui s’exécutent sur la ressource pour fournir la résolution d’un hôte. Dans cette section, Defender EASM fournit le nom du serveur de courrier et les dates de Première vue et de Dernière vue. La colonne Récente indique si le serveur de noms a été détecté pendant l’analyse la plus récente de la ressource.

Capture d’écran montrant la section Serveur de noms de la page de détails de la ressource, sous l’onglet Services.

Ouvrir les ports

Cette section répertorie tous les ports ouverts détectés sur la ressource. Microsoft analyse régulièrement environ 230 ports distincts. Ces données sont utiles pour identifier les services non sécurisés qui ne doivent pas être accessibles à partir de l’Internet ouvert. Ces services incluent des bases de données, des appareils IoT et des services réseau tels que des routeurs et des commutateurs. Elles sont également utiles pour identifier l’infrastructure informatique fantôme ou les services d’accès à distance non sécurisés.

Dans cette section, Defender EASM fournit le numéro du port ouvert, une description du port, le dernier état dans lequel il a été observé et les dates de Première vue et de Dernière vue. La colonne Récente indique si le port a été observé comme ouvert pendant l’analyse la plus récente. Defender EASM considère qu’un port est « ouvert » lorsque notre système est en mesure d’effectuer avec succès une négociation syn-ack qui aboutit à l’attribution de bannières. Lorsque nous parvenons à établir une connexion TCP mais que nous ne sommes pas en mesure de compléter l’empreinte digitale du service, nous marquons le port comme étant « filtré ». Un port « fermé » reste accessible, mais aucun service n’est à l’écoute sur ce port, ce qui bloque les connexions.

Capture d’écran montrant la section Ports ouverts de la page de détails de la ressource, sous l’onglet Services.

Trackers

Les trackers sont des codes ou des valeurs uniques trouvés dans les pages web et sont souvent utilisés pour suivre l’interaction utilisateur. Ces codes peuvent être utilisés pour mettre en corrélation un groupe disparate de sites web et une entité centrale. Le jeu de données de trackers de Microsoft comprend des ID de fournisseurs tels que Google, Yandex, Mixpanel, New Relic et Clicky, et continue de s’étendre régulièrement.

Dans cette section, Defender EASM fournit le type de tracker (par exemple, GoogleAnalyticsID), la valeur d’identificateur unique et les dates de Première vue et de Dernière vue.

Composants Web

Les composants web sont des détails décrivant l’infrastructure d’une ressource tel qu’observée par le biais d’une analyse Microsoft. Ces composants fournissent une compréhension générale des technologies utilisées sur la ressource. Microsoft classe les composants spécifiques et inclut si possible les numéros de version.

Capture d’écran montrant le haut de l’onglet Composants web.

La section Composants web fournit la catégorie, le nom et la version du composant, ainsi qu’une liste de l’ensemble des vulnérabilités et risques courants (CVE) applicables qui doivent être corrigés. Defender EASM fournit également des colonnes de date de Première vue et de Dernière vue et une colonne Récente. Une case cochée indique que cette infrastructure a été observée lors de l’analyse la plus récente de la ressource.

Les composants web sont classés selon leur fonction.

Composant web Exemples
Fournisseur d'hébergement hostingprovider.com
Serveur Apache
Serveur DNS ISC BIND
Magasins de données MySQL, ElasticSearch, MongoDB
Accès à distance OpenSSH, Microsoft Administration Center, Netscaler Gateway
Échange de données Pure-FTPd
Internet des objets (IoT) HP Deskjet, Linksys Camera, Sonos
Serveur de courrier ArmorX, Lotus Domino, Symantec Messaging Gateway
Appareil réseau Cisco Router, Motorola WAP, ZyXEL Modem
Contrôle de construction Linear eMerge, ASI Controls Weblink, Optergy

Observations

L’onglet Observation affiche les insights du tableau de bord Priorités de la surface d’attaque qui se rapportent à la ressource. Ces priorités peuvent inclure :

  • Les CVE critiques.
  • Les associations connues à l’infrastructure compromise.
  • L’utilisation d’une technologie déconseillée.
  • Des violations des meilleures pratiques de l’infrastructure.
  • Des problèmes de conformité.

Pour plus d’informations sur les observations, consultez Présentation des tableaux de bord. Pour chaque observation, Defender EASM fournit le nom de l’observation, la catégorise par type, affecte une priorité et répertorie les scores CVSS v2 et v3 le cas échéant.

L’onglet Observations comprend deux tableaux : Observations et Observations non applicables. Toutes les observations actives considérées comme « récentes » dans votre surface d’attaque se trouvent dans le tableau Observations, tandis que le tableau Observations non applicable répertorie toutes les observations qui ont été marquées manuellement comme non applicables ou qui ont été déterminées par le système comme n’étant plus applicables. Pour marquer des observations comme non applicables, et donc les exclure des chiffres fournis dans les tableaux de bord, sélectionnez simplement les observations souhaitées, puis cliquez sur « Définir comme non applicable ». La ou les observations disparaîtront immédiatement du tableau Observations actives, et apparaîtront dans le tableau « Observations non applicables ». Vous pouvez annuler cette modification à tout moment en sélectionnant la ou les observations pertinentes dans ce tableau et en sélectionnant « Définir comme applicables ».

Capture d’écran montrant l’onglet Observations avec plusieurs CVE sélectionnées pour être marquées comme non applicables.

Ressources connectées

Les ressources connectées permettent aux utilisateurs de lier graphiquement et de collecter des informations sur les ressources pour l’analyse d’investigation. Vous pouvez explorer votre environnement et ses relations complexes par le biais de mappages de relations, qui offrent des vues claires et concises. Cela vous aide à identifier les connexions masquées et les chemins d’attaque potentiels. En mappant visuellement les relations entre les ressources et les vulnérabilités, vous pouvez comprendre la complexité de votre environnement et prendre des décisions bien informées pour améliorer votre posture de sécurité et appliquer efficacement des points d’étranglement.

Capture d’écran montrant l’onglet Ressources connectées.

Dans cette page, toutes les ressources connectées à la ressource spécifiée sont identifiées dans une liste. La liste fournit des informations clés sur chaque stratégie, notamment :

  • Ressource : la ressource connectée identifiée.
  • Type : le type de ressource.
  • État : l’état de la ressource.
  • Étiquettes : toutes les étiquettes associées à la ressource.
  • Première vue : lorsque l’élément multimédia a été découvert pour la première fois.
  • Dernière vue : lorsque la ressource a été identifiée pour la dernière fois.

À partir de cette page, vous pouvez modifier ou supprimer des ressources connectées. Vous pouvez également trier ou filtrer la liste des ressources pour catégoriser davantage la liste de ressources connectées. Vous pouvez également télécharger un rapport CSV des ressources répertoriées. Tous les filtres appliqués sont reflétés sur l’exportation CSV.

Ressources

L’onglet Ressources fournit des insights sur toutes les ressources JavaScript qui s’exécutent sur n’importe quelle ressource de page ou d’hôte. Si elles s’appliquent à un hôte, ces ressources sont agrégées pour représenter le code JavaScript en cours d’exécution sur toutes les pages de cet hôte. Cette section fournit un inventaire du code JavaScript détecté sur chaque ressource afin que votre organisation dispose d’une visibilité totale sur ces ressources et puisse détecter les modifications éventuelles.

Defender EASM fournit l’URL de la ressource, l’hôte de la ressource, la valeur MD5 et les dates auxquelles elle a été vue pour la première et la dernière fois, afin d’aider les organisations à surveiller efficacement l’utilisation des ressources JavaScript dans leur inventaire.

Capture d’écran montrant l’onglet Ressources.

Certificats SSL

Les certificats sont utilisés pour sécuriser les communications entre un navigateur et un serveur web via SSL. l’utilisation de certificats garantit que les données sensibles en transit ne peuvent pas être lues, modifiées ou falsifiées. Cette section de Defender EASM répertorie tous les certificats SSL détectés sur la ressource, y compris les données clés telles que les dates d’émission et d’expiration.

Capture d’écran montrant l’onglet Certificats SSL.

Whois

Le protocole Whois est utilisé pour interroger et répondre aux bases de données qui stockent les données liées à l’inscription et à la propriété des ressources Internet. Whois contient des données d’inscription clés qui peuvent s’appliquer aux domaines, hôtes, adresses IP et blocs d’adresses IP dans Defender EASM. Dans l’onglet de données Whois, Microsoft fournit une quantité robuste d’informations associées au registre de la ressource.

Capture d’écran montrant la section Valeurs de l’onglet Whois.

Les champs suivants sont inclus dans le tableau de la section Valeurs de l’onglet Whois.

Champ Description
Serveur Whois Serveur configuré par un bureau d’enregistrement agréé par l’ICANN pour acquérir des informations à jour sur les entités inscrites.
Inscription Société dont le service a été utilisé pour inscrire une ressource. Parmi les bureaux d’enregistrement populaires figurent GoDaddy, Namecheap et HostGator.
État du domaine Tout état d’un domaine défini par le registre. Ces états peuvent indiquer qu’un domaine est en attente de suppression ou de transfert par le bureau d’enregistrement ou est actif sur Internet. Ce champ peut également indiquer les limitations d’une ressource. Par exemple, Suppression du client interdite indique que le bureau d’enregistrement ne peut pas supprimer la ressource.
Email Toutes les adresses e-mail de contact fournies par l’inscrit. Whois permet aux registrants de spécifier le type de contact. Les options incluent les contacts administratifs, techniques, du registrant et du bureau d’enregistrement.
Nom Nom d’un inscrit, le cas échéant.
Organisation Organisation responsable de l’entité inscrite.
Rue L’adresse postale du registrant, le cas échéant.
City La ville indiquée dans l’adresse postale du registrant, le cas échéant.
State L’État indiqué dans l’adresse postale du registrant, le cas échéant.
Postal code Le code postal indiqué dans l’adresse postale du registrant, le cas échéant.
Pays ou région Le pays/la région indiqué dans l'adresse postale du titulaire, si fourni.
Téléphone Le numéro de téléphone associé aux coordonnées d’un registrant, le cas échéant.
Serveurs de noms Tous les serveurs de noms associés à l’entité inscrite.

De nombreuses organisations choisissent de masquer leurs informations d’inscription Parfois, les adresses e-mail de contact se terminent par @anonymised.email. Cet espace réservé est utilisé au lieu d’une adresse de contact réelle. De nombreux champs sont facultatifs lors de la configuration de l’inscription. Par conséquent, tout champ avec une valeur vide n’a pas été rempli par le registrant.

Historique des modifications

L’onglet « Historique des modifications » affiche la liste des modifications qui ont été appliquées à une ressource au fil du temps. Ces informations vous aident à suivre ces modifications au fil du temps et à mieux comprendre le cycle de vie de la ressource. Cet onglet affiche diverses modifications, notamment les états, les étiquettes et les ID externes des ressources. Pour chaque modification, nous listons l’utilisateur qui a implémenté la modification et un timestamp.

Capture d’écran montrant l’onglet Historique des modifications.

Étapes suivantes