インベントリ資産について
Microsoft Defender 外部攻撃面管理 (Defender EASM) は、Microsoft 独自の検出テクノロジを使用して、既知の正当な資産 (discovery シード) に対し観察された接続を通じ、インフラストラクチャを再帰的に検索します。 これにより、そのインフラストラクチャと組織の関係に関する推論が行われ、以前は不明であり監視されていなかったプロパティを、明らかにすることができます。
Defender EASM の検出結果には、次の種類の資産が含まれます。
- Domains
- IP アドレス ブロック
- Hosts
- メールの連絡先
- 自律システム番号 (ASN)
- Whois 組織
これらの種類の資産は、Defender EASM の攻撃面インベントリを構成します。 このソリューションは、従来型のファイアウォール保護の外部でオープンなインターネットに露出している、外部向きの資産を検出します。 リスクを最小限に抑え、組織のセキュリティ体制を改善するには、外部の資産を監視し保守する必要があります。 Defender EASM は資産を積極的に検出および監視し、組織のあらゆる脆弱性に効率的に対処するのに役立つ、重要な分析情報を明らかにします。
資産の状態
すべての資産は、次のいずれかの状態でラベル付けされます。
| 状態名 | 説明 |
|---|---|
| 承認済みインベントリ | 自分が所有している攻撃面の一部をなしているアイテム。 これは、ユーザーが直接責任を担う対象のアイテムです。 |
| 依存関係 | サード パーティ所有であるものの、ユーザー所有資産の運用を直接サポートしているために、攻撃面の一部となっているインフラストラクチャ。 たとえば、Web コンテンツをホストするために IT プロバイダーに依存している場合があります。 ドメイン、ホスト名、ページは承認済みインベントリの一部であるため、ホストを実行する IP アドレスは、依存関係として扱われる必要があります。 |
| 監視のみ | 自分の攻撃面に関連があるものの、直接制御されておらず、技術的な依存関係もない資産。 たとえば、独立したフランチャイズまたは関連企業に属する資産は、レポートの目的でこのグループを分離するために、承認済みインベントリではなく監視のみのラベルが付けられることがあります。 |
| 候補 | 組織の既知のシード資産と何らかの関係があるものの、承認済みインベントリとしてただちにラベル付けするには、十分に強固な関連性がない資産。 所有権を決定するには、これら候補の資産を、手動で確認する必要があります。 |
| 要調査 | 候補に似た状態ですが、この値は、検証のために手動調査が必要な資産に適用されます。 この状態は、資産間で検出された接続の強さを評価する、内部生成の信頼度スコアに基づき決定されます。 これが、組織に対するインフラストラクチャの正確な関係性を示すわけではありませんが、分類方法を決定するためにより多くのレビューの対象であるというフラグを、その資産に対し設定します。 |
資産のさまざまな状態の処理
既定では、これらの資産の状態には固有の処理および監視が行なわれ、最も重要な資産を明確に把握できるようにしています。 たとえば、承認済みインベントリの状態にある資産は、常にダッシュボード グラフで表され、データの最新性を保証するために毎日スキャンされます。 他のすべての種類の資産は、既定でダッシュボード グラフに含まれていません。 ただし、必要に応じインベントリ フィルターを調整すれば、異なる状態の資産を表示できます。 同様に、候補の状態の資産は、検出プロセス中にのみスキャンされます。 所属組織が所有するもののなかに、これらの種類の資産がある場合は、その資産をレビューし、状態を承認済みインベントリに変更することが重要です。
インベントリの変更の追跡
攻撃面は常に変化します。 Defender EASM は、インベントリを継続的に分析および更新することで精度を保証しています。 インベントリでは資産が頻繁に追加および削除されるため、それらの変更を追跡して攻撃面を把握し、主要な傾向を特定することが重要です。 インベントリの変化ダッシュボードには、これらの変化の概要が表示されます。 資産の種類ごとに、"追加済み" と "削除済み" の数を簡単に表示できます。 このダッシュボードは、過去 7 日間または 30 日間の 2 種類の日付範囲で、フィルター処理できます。 インベントリの変化をより詳細に表示するには、ダッシュボードの [日付別の変化] セクションを見ます。
