Implémenter et utiliser microsoft Defender External Attack Surface Management

  • 7 minutes

Microsoft Defender External Attack Surface Management (Defender EASM) découvre et mappe continuellement votre surface d’attaque numérique pour fournir une vue externe de votre infrastructure en ligne. Cette visibilité permet aux équipes informatiques et de sécurité d’identifier les inconnus, de hiérarchiser les risques, d’éliminer les menaces et d’étendre le contrôle des vulnérabilités et de l’exposition au-delà du pare-feu. "Les insights de la surface d'attaque sont générés en utilisant les données de vulnérabilité et d'infrastructure afin de présenter les principaux domaines de préoccupation pour votre organisation."

Capture d’écran montrant le tableau de bord Microsoft Defender External Attack Surface Management.

Découverte et inventaire

La technologie de découverte propriétaire de Microsoft recherche de manière récursive l’infrastructure avec des connexions observées à des ressources légitimes connues pour établir des inférences sur la relation de cette infrastructure à l’organisation et découvrir des propriétés précédemment inconnues et non surveillées. Ces actifs légitimes connus sont appelés « graines » de découverte ; Defender EASM découvre d’abord des connexions fortes à ces entités sélectionnées, en effectuant une récursion pour dévoiler davantage de connexions et finit par compiler votre surface d’attaque.

Defender EASM inclut la découverte des types de ressources suivants :

  • Domaines
  • Noms d’hôte
  • Web Pages
  • Blocs IP
  • Adresses IP
  • ASN
  • Certificats SSL
  • WHOIS Contacts

Capture d’écran montrant la page Ajouter un groupe de découverte à Defender EASM.

Tableaux de bord

Defender EASM fournit une série de tableaux de bord qui aident les utilisateurs à comprendre rapidement leur infrastructure en ligne et les risques clés pour leur organisation. Ces tableaux de bord sont conçus pour fournir des informations sur des domaines spécifiques du risque, notamment les vulnérabilités, la conformité et l’hygiène de sécurité. Ces insights aident les clients à traiter rapidement les composants de leur surface d’attaque qui présentent le plus grand risque pour leur organisation.

Capture d’écran montrant la page de sécurité de Microsoft Defender External Attack Surface Management.

Gestion des ressources

Les clients peuvent filtrer leur inventaire pour mettre en évidence les insights spécifiques qui les intéressent le plus. Le filtrage offre un niveau de flexibilité et de personnalisation qui permet aux utilisateurs d’accéder à un sous-ensemble spécifique de ressources. Cela vous permet de tirer parti des données EASM Defender en fonction de votre cas d’usage spécifique, que vous recherchiez des ressources qui se connectent à l’infrastructure déconseillée ou identifiez de nouvelles ressources cloud.

Capture d’écran montrant la page d’inventaire Microsoft Defender External Attack Surface Management.

Autorisations utilisateur

Les utilisateurs auxquels des rôles Propriétaire ou Contributeur ont été attribués peuvent créer, supprimer et modifier des ressources EASM Defender et les ressources d’inventaire qu’il contient. Ces rôles peuvent utiliser toutes les fonctionnalités offertes dans la plateforme. Les utilisateurs auxquels le rôle Lecteur a été attribué sont en mesure d’afficher les données Defender EASM, mais ne peuvent pas créer, supprimer ou modifier des ressources d’inventaire ou de la ressource elle-même.

Résidence des données, disponibilité et confidentialité

Microsoft Defender External Attack Surface Management contient des données globales et des données spécifiques au client. Les données Internet sous-jacentes sont des données Microsoft globales ; les étiquettes appliquées par les clients sont considérées comme des données client. Toutes les données client sont stockées dans la région du choix du client.

À des fins de sécurité, Microsoft collecte les adresses IP des utilisateurs lorsqu’ils se connectent. Ces données sont stockées pendant jusqu’à 30 jours, mais peuvent être stockées plus longtemps si nécessaire pour examiner l’utilisation frauduleuse ou malveillante potentielle du produit.

Dans le cas d’un scénario de panne de région, seuls les clients de la région concernée subissent un temps d’arrêt.

L’infrastructure de conformité Microsoft exige que toutes les données client soient supprimées dans les 180 jours suivant l’absence de client de Microsoft. Cela inclut également le stockage des données client dans des emplacements hors connexion, tels que les sauvegardes de base de données. Une fois qu’une ressource est supprimée, elle ne peut pas être restaurée par nos équipes. Les données client seront conservées dans nos magasins de données pendant 75 jours, mais la ressource réelle ne peut pas être restaurée. Après la période de 75 jours, les données client seront définitivement supprimées.