検出とは
Microsoft Defender 外部攻撃面管理 (Defender EASM) は、Microsoft 独自の検出テクノロジを使用して、インターネットに公開される組織固有の攻撃面を継続的に定義します。 Defender EASM の検出機能では、組織が所有する既知の資産をスキャンして、以前は不明で監視されていなかった資産を検出します。 検出された資産は、組織のインベントリでインデックスが付けられます。 Defender EASM を使用すると、組織の管理下にある Web アプリケーション、サードパーティの依存関係、Web インフラストラクチャの動的な記録システムが単一のビューで提供されます。
![[検出グループの追加] ペインのスクリーンショット。](media/discovery-configuration.png)
Defender EASM の検出プロセスを通じて、組織は、絶えず変化するデジタル攻撃面をプロアクティブに監視できます。 リスクやポリシー違反が新たに発生したときにそれを特定できます。
多くの脆弱性プログラムでは、ファイアウォールの外側は可視化されず、 データ侵害の主な原因である外部のリスクや脅威は認識されません。
同時に、デジタル上の成長は、エンタープライズ セキュリティ チームの保護能力を上回り続けています。 デジタル イニシアチブと、当たり前になりすぎた "シャドー IT" は、ファイアウォールの外側への攻撃面の拡大につながります。 このペースでは、制御、保護、コンプライアンス要件を検証することはほとんど不可能です。
Defender EASM がなければ、脆弱性を特定して削除することはほとんど不可能であり、スキャナはファイアウォールを越えて攻撃面全体を評価することはできません。
しくみ
組織の攻撃面の包括的なマッピングを作成するために、Defender EASM はまず、既知の資産 ("シード") を取り込みます。 検出シードは再帰的にスキャンされ、シードとの関連性を通じてより多くのエンティティが検出されます。
初期シードは、次のいずれかの種類の Web インフラストラクチャであり、Microsoft によってインデックスが付けられます。
- Domains
- IP アドレス ブロック
- Hosts
- メールの連絡先
- 自律システム名 (ASN)
- Whois 組織
システムはシードから始めて、他のオンライン インフラストラクチャ項目との関連付けを検出して、組織が所有する他の資産を検出します。 このプロセスにより、最終的に攻撃面インベントリ全体が作成されます。 検出プロセスでは、検出シードが中央ノードとして使用されます。 次に、攻撃面の周辺に向かって外側に分岐し、 シードに直接関連するすべてのインフラストラクチャ項目を識別し、最初の関連性セット内の各項目に関連するすべての項目を識別します。 このプロセスは繰り返され、組織の管理責任の境界に達するまで拡張されます。
たとえば、Contoso のインフラストラクチャ内のすべての項目を検出するには、最初のキーストーン シードとしてドメイン contoso.com を使用できます。 このシードから始めて、次に示すソースを参照し、次のような関係を導き出すことができます。
| データ ソース | Contoso と関係がある可能性のある項目 |
|---|---|
| Whois レコード | contoso.com の登録に使用されたものと同じ連絡先メールまたは登録者組織に登録された他のドメイン名 |
| Whois レコード | 任意の @contoso.com メール アドレスに登録されているすべてのドメイン名 |
| Whois レコード | contoso.com と同じネーム サーバーに関連付けられている他のドメイン |
| DNS レコード | Contoso が所有するドメイン上のすべての監視対象ホストと、それらのホストに関連付けられているすべての Web サイト |
| DNS レコード | ホストは異なるが、同じ IP ブロックに解決されるドメイン |
| DNS レコード | Contoso が所有するドメイン名に関連付けられているメール サーバー |
| SSL 証明書 | 各ホストに接続されているすべての Secure Sockets Layer (SSL) 証明書、および同じ SSL 証明書を使用する他のホスト |
| ASN レコード | Contoso のドメイン名上のホストに接続されている IP ブロックと同じ ASN に関連付けられている他の IP ブロック (それらに解決されるすべてのホストとドメインを含む) |
この第 1 レベルの関連性セットを使用すると、調査するまったく新しい資産セットをすばやく導き出すことができます。 Defender EASM は、さらに再帰を実行する前に、検出されたエンティティを確認済みインベントリとして自動的に追加するのに十分強固な関連性があるかどうかを判断します。 これらの資産ごとに、検出システムは、使用可能なすべての属性に基づいて自動化された再帰的検索を実行し、第 2 レベルおよび第 3 レベルの接続を見つけます。 この反復プロセスにより、組織のオンライン インフラストラクチャに関する詳細情報が提供されるため、他の方法では検出されず、監視されない可能性のあるさまざまな資産も検出されます。
自動化された攻撃面とカスタマイズされた攻撃面
Defender EASM を初めて使用する場合、組織の事前構築済みインベントリにアクセスすると、ワークフローをすばやく開始できます。 ユーザーは、[概要] ページで自分の組織を検索して、Defender EASM によって既に識別されている資産の関連性に基づいてインベントリをすばやく設定できます。 すべてのユーザーは、カスタム インベントリを作成する前に、組織の事前構築済み攻撃面インベントリを検索することをお勧めします。
カスタマイズされたインベントリを構築するために、ユーザーは検出グループを作成して、検出の実行時に使用するシードを整理および管理できます。 ユーザーは、個別の検出グループを使用して、検出プロセスの自動化、シード リストの構成、繰り返し実行のスケジュール設定を行うことができます。
![自動検出を設定するための [組織からのシードのインポート] ペインのスクリーンショット。](media/discovery-add-group.png)
確認済在庫と候補資産
検索エンジンによって、潜在的な資産と初期シードの間に強固な関連性が検出されると、その資産には、システムによって、確認済みインベントリ状態のラベルが自動的に付けられます。 このシードとの関連性は繰り返しスキャンされ、第 3 レベルまたは第 4 レベルの関連性が検出されると、新しく検出された資産の所有権に対するシステムの信頼度が低下します。 同様に、組織に関係はあるが、ユーザーが直接所有していない資産がシステムによって検出される場合もあります。
これらの理由から、新しく検出された資産には、次のいずれかの状態のラベルが付けられます。
| 状態名 | 説明 |
|---|---|
| 承認済みインベントリ | ユーザーが所有する攻撃面の一部となっている項目。 これは、ユーザーが直接責任を負う項目です。 |
| 依存関係 | サード パーティが所有しているが、ユーザーが所有している資産の運用を直接サポートするため、ユーザーの攻撃面の一部となっているインフラストラクチャ。 たとえば、Web コンテンツをホストするために IT プロバイダーに依存している場合があります。 ドメイン、ホスト名、ページは承認済みインベントリの一部であるため、ホストを実行する IP アドレスは、依存関係として扱う必要があります。 |
| 監視のみ | ユーザーの攻撃面に関連があるが、直接制御されておらず、技術的な依存関係もない資産。 たとえば、独立したフランチャイズ、または関連企業に属する資産は、レポートの目的でこのグループを分離するために、承認済みインベントリではなく監視のみのラベルが付けられることがあります。 |
| 候補 | 組織の既知のシード資産と何らかの関係があるが、承認済みインベントリとしてただちにラベル付けするには、十分に強固な関連性がない資産。 所有権を決定するには、これらの候補資産を手動で確認する必要があります。 |
| 要調査 | 候補に似た状態ですが、この値は、検証のために手動による調査が必要な資産に適用されます。 この状態は、検出された資産間の関連性の強さを評価するために内部で生成される信頼度スコアに基づいて決定されます。 組織に対するインフラストラクチャの正確な関係は示されませんが、資産に、どのように分類するかを決定するために追加の確認が必要であることを示すフラグが設定されます。 |
資産を確認する場合、要調査ラベルが付けられた資産から始めることをお勧めします。 資産の詳細は常に最新の情報に更新され、資産の状態と関係の正確なマップを維持し、新しく作成された資産が出現すると、それを発見できるように、時間の経過と共に更新されます。 検出プロセスは、シードを検出グループに配置することによって管理され、繰り返し再実行するようにスケジュールできます。 インベントリが設定されると、Defender EASM システムは、Microsoft の仮想ユーザー テクノロジを使用して資産を継続的にスキャンし、各資産に関する最新の詳細なデータを明らかにします。 このプロセスでは、該当するサイト内の各ページのコンテンツとビヘイビアーを調べて、脆弱性、コンプライアンスの問題、組織に対するその他の潜在的なリスクを特定するために使用できる堅牢な情報を提供します。