Panoramica dei filtri di inventario di Defender EASM
Questo articolo descrive le funzionalità di filtro disponibili in Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM). Il filtro consente di trovare sottoinsieme specifici degli asset di inventario in base ai parametri selezionati. Questo articolo descrive ogni filtro e operatore e fornisce indicazioni sulle opzioni di input che producono i risultati migliori. Spiega anche come salvare le query per semplificare l'accessibilità ai risultati filtrati.
Funzionamento
I filtri di inventario consentono di accedere a un subset specifico di dati che soddisfa i parametri di ricerca. È possibile applicare tutti i filtri necessari per ottenere i risultati desiderati.
Per impostazione predefinita, la schermata Inventario visualizza solo asset di inventario approvati . Gli asset in uno stato alternativo sono nascosti. Questo filtro può essere rimosso se si desidera visualizzare gli asset in uno stato diverso. Altri stati sono candidati, dipendenze e richiede l'indagine.
La rimozione del filtro di inventario approvato è utile quando è necessario:
- Esaminare potenziali nuovi asset.
- Analizzare un problema di dipendenza di terze parti.
- Vedere una visualizzazione completa di tutti i potenziali asset di proprietà quando si esegue una ricerca.
Defender EASM offre vari filtri per ottenere risultati di granularità diversi. Con alcuni filtri è possibile selezionare le opzioni di valore da un elenco a discesa. Altri richiedono di immettere manualmente il valore desiderato.
Query salvate
È possibile salvare le query di interesse per accedere rapidamente all'elenco di asset risultanti. Questa funzionalità è utile se è necessario cercare un determinato subset di asset in base alla routine. È utile anche se è necessario fare facilmente riferimento a una configurazione di filtro specifica in un secondo momento. I filtri salvati consentono di accedere facilmente agli asset che si preoccupano di più in base a parametri altamente personalizzabili.
Per salvare una query:
Prima di tutto, selezionare attentamente i filtri per produrre i risultati desiderati. Per altre informazioni sui filtri applicabili per ogni tipo di asset, vedere la sezione "Passaggi successivi". In questo esempio si sta cercando domini che scadono entro 30 giorni che richiedono il rinnovo. Selezionare Cerca.
Esaminare gli asset risultanti. Se si è soddisfatti dei filtri selezionati e si vuole salvare la query, selezionare Salva query.
Assegnare un nome alla query e specificare una descrizione. I nomi delle query non possono essere modificati dopo l'installazione iniziale, ma le descrizioni possono essere modificate in un secondo momento. Selezionare Salva. Viene visualizzato un banner che conferma che la query è stata salvata.
Per visualizzare i filtri salvati, selezionare la scheda Query salvate nella parte superiore della pagina elenco di inventario. Tutte le query salvate sono visibili nella sezione superiore. Selezionando Apri query filtra l'inventario dai parametri designati. Da questa pagina è anche possibile modificare o eliminare query salvate.
Operatori
I filtri di inventario possono essere usati con gli operatori seguenti. Alcuni operatori non sono disponibili per ogni filtro. Alcuni operatori sono nascosti se non sono logicamente applicabili al filtro specifico.
| Operatore | Descrizione |
|---|---|
Equals |
Restituisce i risultati che corrispondono esattamente al valore di ricerca. Questo filtro restituisce solo i risultati per un valore alla volta. Per i filtri che popolano un elenco a discesa di opzioni, è possibile selezionare una sola opzione alla volta. Per selezionare più valori, vedere l'operatore In . |
Not Equals |
Restituisce i risultati in cui il campo non corrisponde esattamente al valore di ricerca. |
Starts with |
Restituisce i risultati in cui il campo inizia con il valore di ricerca. |
Does not start with |
Restituisce i risultati in cui il campo non inizia con il valore di ricerca. |
Matches |
Restituisce i risultati in cui un termine tokenizzato nel campo corrisponde esattamente al valore di ricerca. |
Does not match |
Restituisce i risultati in cui un termine tokenizzato nel campo non corrisponde esattamente al valore di ricerca. |
In |
Restituisce i risultati in cui il campo corrisponde esattamente a uno dei valori di ricerca. Per gli elenchi a discesa, è possibile selezionare più opzioni. |
Not In |
Restituisce i risultati in cui il campo non corrisponde esattamente a nessuno dei valori di ricerca. È possibile selezionare più opzioni. I campi di input manuali escludino i risultati che corrispondono a un valore esatto. |
Starts with in |
Restituisce i risultati in cui il campo inizia con uno dei valori di ricerca. |
Does not start with in |
Restituisce i risultati in cui il campo non inizia con nessuno dei valori di ricerca. |
Matches in |
Restituisce i risultati in cui un termine tokenizzato nel campo corrisponde esattamente a uno dei valori di ricerca. |
Does not match in |
Restituisce i risultati in cui un termine tokenizzato nel campo non corrisponde esattamente a nessuno dei valori di ricerca. |
Contains |
Restituisce i risultati in cui il contenuto del campo contiene il valore di ricerca. |
Does Not Contain |
Restituisce i risultati in cui il contenuto del campo non contiene il valore di ricerca. |
Contains in |
Restituisce i risultati in cui il contenuto del campo contiene uno dei valori di ricerca. |
Does Not Contain In |
Restituisce i risultati in cui un termine tokenizzato nel contenuto del campo non contiene alcun valore di ricerca. |
Empty |
Restituisce gli asset che non restituiscono alcun valore per il filtro specificato. |
Not Empty |
Restituisce tutti gli asset che restituiscono un valore per il filtro specificato, indipendentemente dal valore. |
Greater Than or Equal To |
Restituisce i risultati maggiori o uguali a un valore numerico. Include date. |
Between |
Restituisce i risultati all'interno di un intervallo numerico. Include intervalli di date. |
Filtri comuni
Questi filtri si applicano a tutti i tipi di asset all'interno di un inventario. È possibile usare questi filtri quando si cerca un'ampia gamma di asset. Per un elenco di filtri per tipi specifici di asset, vedere la sezione "Passaggi successivi".
Filtri dei valori definiti
I filtri seguenti forniscono un elenco a discesa delle opzioni che è possibile selezionare. I valori disponibili sono predefiniti.
| Nome filtro | Descrizione | Valori selezionabili | Operatori disponibili |
|---|---|---|---|
| Tipo | Filtra in base a tipi di proprietà Web specifici che comprendono l'inventario. | ASN, Contact, Domain, Host, IP Address, IP Block, Page, SSL Cert |
Equals, Not Equals, In, Not In, Empty, Not Empty |
| State | Lo stato assegnato agli asset per distinguere la pertinenza dell'organizzazione e il modo in cui Defender EASM li monitora. | Approvato, Candidato, Dipendenza, Monitoraggio solo, Richiede l'indagine | |
| Rimosso dall'inventario | Metodo in base al quale un asset è stato rimosso dall'inventario. | Archiviato, Ignorato | |
| Creato in | Filtra in base alla data di creazione di un asset nell'inventario. | Intervallo di date tramite elenco a discesa calendario |
Greater Than or Equal To, Less Than or Equal To, Between |
| Primo visto | Filtra in base alla data in cui è stato osservato un asset dal sistema di rilevamento di Defender EASM. | Intervallo di date tramite elenco a discesa calendario | |
| Ultimo visto | Filtra in base alla data in cui è stato osservato un asset dal sistema di rilevamento di Defender EASM. | Intervallo di date tramite elenco a discesa calendario | |
| Etichette | Filtri per le etichette applicate manualmente agli asset di inventario. | Accetta risposte freeform, ma offre anche un elenco a discesa delle etichette disponibili nella risorsa Defender EASM | |
| Aggiornato all'indirizzo | Filtri in base alla data dell'ultimo aggiornamento dei dati dell'asset nell'inventario. | Intervallo di date tramite elenco a discesa calendario | |
| Wildcard (Carattere jolly) | Un record DNS con caratteri jolly risponde alle richieste DNS per i sottodomini che non sono già stati definiti. Un esempio è *.contoso.com. | True, False |
Equals, Not Equals |
Filtri freeform
I filtri seguenti richiedono di immettere manualmente il valore che si vuole usare per la ricerca. Molti di questi valori sono distinzione tra maiuscole e minuscole.
| Nome filtro | Descrizione | Formato del valore | Operatori applicabili |
|---|---|---|---|
| UUID | Identificatore univoco universale assegnato a un determinato asset. | acabe677-f0c6-4807-ab4e-3a59d9e66b22 |
Equals, Not Equals, In, Not In |
| Nome | Nome di un asset. | Deve essere allineato al formato del nome dell'asset come elencato nell'inventario. Ad esempio, un host viene visualizzato come mail.contoso.com o un INDIRIZZO IP come 192.168.92.73. |
Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| ID esterno | Identificatore fornito da terze parti. | In genere un valore numerico. |
Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
Filtrare gli asset all'esterno dell'inventario approvato
Nel riquadro più a sinistra selezionare Inventario per visualizzare l'inventario.
Per rimuovere il filtro inventario approvato , selezionare X accanto al filtro State = Approvato . L'elenco di inventario si espande per includere asset in altri stati, ad esempio Ignorato.
Usare i filtri di inventario per identificare gli asset che si desidera trovare. È possibile esaminare tutti gli asset nello stato candidato . È anche possibile aggiungere tutti gli asset importanti per l'organizzazione all'inventario approvato .
In alternativa, potrebbe essere necessario trovare un singolo asset specifico che si vuole aggiungere all'inventario approvato . Per individuare un asset specifico, applicare un filtro per cercare il nome.
Quando l'elenco di inventario mostra gli asset non approvati da cercare, è possibile modificare gli asset. Per altre informazioni su come aggiornare gli asset, vedere Modifica degli asset di inventario.