検出の使用と管理
Microsoft Defender 外部攻撃面管理 (Defender EASM) は、独占権のある検出技術を利用することで、組織の中でインターネットにさらされ、攻撃される部分 (組織に固有の攻撃面) を継続的に明示するものです。 検出により、インターネットがスキャンされて組織が所有する資産が検出され、以前は不明で監視されていなかった資産が見つかります。
検出された資産にはインベントリでインデックスが付けられ、Web アプリケーション、サードパーティの依存関係、Web インフラストラクチャからなる動的なレコード システムが提供されます。このシステムを、組織は 1 つの画面で管理できます。
カスタム検出を実行する前に、「検出とは?」を参照し、ここで説明されている主要な概念を理解してください。
自動化された攻撃面にアクセスする
Microsoft は、既知の資産に関係するインフラストラクチャを検出することで、多くの組織の攻撃対象領域を事前に構成しており、最初の攻撃対象領域のマップを作成しています。
カスタムの攻撃対象領域を作成し、その他の検出を実行する前に、組織の攻撃対象領域を検索することをお勧めします。 このプロセスにより、Defender EASM がデータを更新し、資産と最新のコンテキストを攻撃対象領域に追加したときに、インベントリにすばやくアクセスできます。
Defender EASM インスタンスに初めてアクセスする場合は、[全般] セクションの [作業の開始] を選択して、自動攻撃対象領域の一覧で自分の組織を検索します。 次に、一覧から自分の組織を選択し、[攻撃対象領域の作成] を選択します。
この時点で、検出はバックグラウンドで実行されます。 使用可能な組織の一覧から構成済みの攻撃対象領域を選択した場合、ダッシュボードの [概要] 画面にリダイレクトされます。ここで、プレビュー モードで組織のインフラストラクチャに関する分析情報を表示できます。
追加の資産が検出され、インベントリに取り込まれるのを待つ間、これらのダッシュボードの分析情報を確認して、攻撃対象領域について理解を深めてください。 これらのダッシュボードから分析情報を引き出す方法について詳しくは、「ダッシュボードについて」を参照してください。
カスタマイズした検出を実行し、外れ値の資産を検出できます。 たとえば、資産が足りないことがあります。 あるいは、組織に明確にリンクされているインフラストラクチャからでは検出されない可能性があるエンティティを他に管理することがあります。
検出をカスタマイズする
組織で、プライマリ シード資産にすぐには関連付けられない可能性のあるインフラストラクチャを詳細に可視化する必要がある場合、カスタム検出が最適です。 検出シードとして動作する既知の資産のより大きい一覧を送信すると、検出エンジンは、より大きい資産プールを返します。 カスタム検出を使用すると、組織は、独立した部署や買収された企業に関連する可能性のあるさまざまなインフラストラクチャも検出できます。
検出グループ
カスタム検出は、検出グループに編成されます。 これらは、1 回の検出実行で構成され、独自の繰り返しスケジュールで動作する独立したシード クラスターです。 会社やワークフローに最適な方法で資産を表すよう、検出グループを編成します。 一般的には、担当チーム/部署、ブランド、または子会社別に編成します。
検出グループを作成する
左端のウィンドウの [管理] で、[検出] を選択します。
この [検出] ページには、既定で検出グループの一覧が表示されます。 この一覧は、プラットフォームに初めてアクセスするときは空です。 最初の検出を実行するには、[検出グループの追加] を選択します。
新しい検出グループに名前を付け、説明を追加します。 [繰り返し頻度] フィールドを使用すると、指定のシードに関連する新しい資産がないか継続的にスキャンすることで、このグループの検出実行をスケジュールできます。 繰り返しには既定で [週単位] が選択されています。 Microsoft では、組織の資産が定期的に監視および更新されるように、この頻度を推奨しています。
1 回限りの検出実行の場合は、[なし] を選択します。 検出は既知のインフラストラクチャに関連する 新しい資産を継続的に検出するように設計されているため、週単位 の既定の周期を保持することをお勧めします。 [探索グループの詳細] ページで [編集] オプションを選択すると、後で繰り返し頻度を編集できます。
[次へ: シード] を選択します。
この検出グループに使用するシードを選択します。 シードは、組織に属する既知の資産です。 Defender EASM プラットフォームは、攻撃対象領域を作成するために、これらのエンティティをスキャンし、その関連性を他のオンライン インフラストラクチャにマップします。 Defender EASM は外部の観点から攻撃対象領域を監視することを目的としているため、プライベート IP アドレスを検出シードとして含めることはできません。
[クイック スタート] オプションを使用すると、設定済みの攻撃対象領域の一覧で自分の組織を検索できます。 組織に属する既知の資産に基づいて検出グループをすばやく作成できます。
あるいは、シードを手動で入力できます。 Defender EASM では、シード値として、組織名、ドメイン、IP ブロック、ホスト、メールの連絡先、ASN、WhoIs 組織を指定できます。
また、資産検出から除外するエンティティも指定できます。これにより、それらの資産が検出されても、インベントリには追加されません。 たとえば、除外は、組織に子会社があり、その子会社が中央インフラストラクチャに関連している可能性が高い一方で、組織には属していない場合に便利です。
シードの選択後、[確認と作成] を選択します。
グループ情報とシードリストを確認し、[作成] と [実行] を選択します。
メインの [検出] ページに戻り、検出グループが表示されます。 検出の実行が完了すると、承認済みインベントリに新しい資産が追加されます。
探索グループを表示し、編集する
メインの [検出] ページから検出グループを管理できます。 既定のビューには、すべての検出グループの一覧と、各グループに関するいくつかの重要なデータが表示されます。 リスト ビューで、各グループのシード数、繰り返しスケジュール、最終実行日、作成日を確認できます。
検出グループを選択すると、詳細情報を表示すること、グループを編集すること、または新しい検出プロセスを開始することができます。
実行履歴
検出グループの詳細ページには、グループの実行履歴が含まれます。 このセクションには、特定のシード グループに対して実行された各検出実行に関する重要な情報が表示されます。 [状態] 列は、実行が [進行中]、[完了]、[失敗] のいずれであるかを示します。 このセクションには、開始タイムスタンプ、完了タイムスタンプ、その特定の検出実行後にインベントリに追加されたすべての新しい資産の数も含まれます。 この数には、状態 (課金可能状態) に関係なく、インベントリに取り込まれたすべての資産が含まれます。
実行履歴は、検出実行中にスキャンされたシード資産によって編成されます。 該当するシードの一覧を表示するには、[詳細] を選択します。 画面右にウィンドウが開き、すべてのシードと除外が種類別および名前別に一覧表示されます。
シードと除外を表示する
[検出] ページには、既定では検出グループの一覧が表示されますが、このページから、すべてのシードと除外されたエンティティの一覧も表示できます。 いずれかのタブを選択すると、検出グループに対応するすべてのシードと除外されたものの一覧が表示されます。
種
[シード] リスト ビューには、3 つの列 ([種類]、[ソース名]、[検出グループ]) とシードの値が表示されます。 [種類] フィールドには、シード資産のカテゴリが表示されます。 最も一般的なシードは、ドメイン、ホスト、IP ブロックです。 メールの連絡先、ASN、WhoIs 組織を使用することもできます。
ソース名は、検出グループの作成時に該当する種類ボックスに入力した値です。 最後の列には、シードを使用する検出グループの一覧が表示されます。 各値はクリック可能であり、その検出グループの詳細ページに移動します。
シードを入力するときは、各エントリに適した書式を必ず確認してください。 検出グループを保存すると、プラットフォームによって一連の検証チェックが実行され、正しく構成されていないシードがあると警告が表示されます。 たとえば、IP ブロックはネットワーク アドレス (IP 範囲の始まりなど) で入力する必要があります。
除外
同様に、[除外] タブを選択すると、検出グループから除外されたエンティティの一覧を表示できます。 これらの資産は検出シードとして使用されず、インベントリに追加されません。 除外は、個々の検出グループの今後の検出実行にのみ影響します。
[種類] フィールドには、除外されたエンティティのカテゴリが表示されます。 ソース名は、検出グループの作成時に該当する種類ボックスに入力した値です。 最後の列には、この除外が存在する探索グループの一覧が表示されます。 各値はクリック可能であり、その検出グループの詳細ページに移動します。