インベントリ資産について
概要
Microsoft 独自の検出テクノロジにより、既知の正当な資産 (検出 "シード" など) への関連性が確認されたインフラストラクチャが繰り返し検索されます。これにより、組織に対するそのインフラストラクチャの関係が推論され、以前は不明で監視されていなかった資産が検出されます。
Defender EASM には、次の種類の資産の検出が含まれています。
- ドメイン
- IP ブロック
- Hosts
- メールの連絡先
- ASN
- Whois 組織
これらの種類の資産は、Defender EASM の攻撃面インベントリで構成されます。 このソリューションは、従来のファイアウォール保護の外側にある、開かれたインターネットに公開されている外部接続資産を検出します。これらの資産は、リスクを最小限に抑え、組織のセキュリティ体制を向上させるために、監視してメンテナンスする必要があります。 Microsoft Defender External Attack Surface Management (Defender EASM) は、これらの資産をアクティブに検出して監視し、お客様が組織の脆弱性に効率的に対処するのに役立つ重要な分析情報を提供します。
資産の状態
すべての資産に、次のいずれかの状態がラベルとして付加されます。
状態名 | 説明 |
---|---|
承認済みインベントリ | 所有する攻撃面の一部。お客様が直接責任を負うアイテム。 |
依存関係 | サード パーティが所有しているが、所有している資産の運用を直接サポートするため、攻撃面の一部であるインフラストラクチャ。 たとえば、Web コンテンツをホストするために IT プロバイダーに依存している場合があります。 ドメイン、ホスト名、ページは「承認済みインベントリ」の一部になりますが、ホストを実行している IP アドレスは「依存関係」として扱うことができます。 |
監視のみ | 攻撃面に関連するが、直接制御されておらず、技術的な依存関係もない資産。 たとえば、独立したフランチャイズまたは関連企業に属する資産は、レポートの目的でこのグループを分離するために、「承認済みインベントリ」ではなく「監視のみ」というラベルを付けることができます。 |
候補者 | 組織の既知のシード資産と何らかの関係があるが、「承認済みインベントリ」としてただちにラベル付けするには十分に強固な関連性がない資産。 これらの候補資産は、所有権を決定するために手動で確認する必要があります。 |
調査が必要 | この状態は「候補」状態に似ていますが、この値は、検証のために手動調査が必要な資産に適用されます。 これは、検出された資産間の関連性の強さを評価する、内部生成の信頼度スコアに基づき決定されます。 インフラストラクチャと組織との正確な関係を示すものではなく、この資産が分類方法を決定するために追加のレビューが必要であるというフラグが立てられていることを示しています。 |
資産のさまざまな状態への対処
これらの資産の状態は、既定では、お客様が最も重要な資産を明確に把握できるように固有に処理され、監視されます。 たとえば、"承認済みインベントリ" 資産は常にダッシュボード グラフで表され、データが最新となるように毎日スキャンされます。 他のすべての種類の資産は、既定ではダッシュボード グラフで表されません。ただし、ユーザーは、必要に応じてインベントリ フィルターを調整して各状態の資産を表示できます。 同様に、"候補" 資産は検出プロセス中にのみスキャンされます。重要なのは、これらの資産を確認し、組織がその資産を所有している場合は、その資産の状態を "承認済みインベントリ" に変更することです。
インベントリの変更の追跡
攻撃面は絶えず変化しているため、Defender EASM はインベントリを継続的に分析および更新して正確さを確保します。 インベントリでは資産が頻繁に追加および削除されるため、それらの変更を追跡して攻撃面を把握し、主要な傾向を特定することが重要です。 インベントリの変更ダッシュボードには、これらの変更の概要が表示され、それぞれの資産の種類について "追加済み" と "削除済み" の数が表示されます。 ダッシュボードは、過去 7 または 30 日間の 2 つの日付範囲でフィルター処理できます。 これらのインベントリ変更の詳細なビューについては、[日付別の変更] セクションを参照してください。