다음을 통해 공유

공격 표면 발견하기

  • 아티클

필수 조건

이 자습서를 완료하기 전에 검색이란?검색 사용 및 관리 문서를 참조하여 이 문서에 언급된 주요 개념을 이해합니다.

자동화된 공격 노출 영역 액세스

Microsoft는 알려진 자산에 연결된 인프라를 검색하고 초기 공격 표면을 매핑하여 많은 조직의 공격 표면을 선제적으로 구성했습니다. 모든 사용자는 사용자 지정 공격 표면을 만들고 다른 검색을 실행하기 전에 조직의 공격 표면을 검색하는 것이 좋습니다. 이 프로세스를 통해 Defender EASM이 데이터를 새로 고치고 공격 표면에 더 많은 자산과 최신 컨텍스트를 추가하므로 사용자는 인벤토리에 빠르게 액세스할 수 있습니다.

  1. Defender EASM 인스턴스에 처음 액세스할 때 "일반" 섹션에서 "시작"을 선택하여 자동화된 공격 표면 목록에서 조직을 검색합니다.

  2. 그런 다음 목록에서 조직을 선택하고 "내 공격 표면 빌드"를 클릭합니다.

Screenshot of pre-configured attack surface option

이 시점에서 검색은 백그라운드에서 실행됩니다. 사용 가능한 조직 목록에서 미리 구성된 공격 표면을 선택한 경우 미리 보기 모드에서 조직의 인프라에 대한 인사이트를 볼 수 있는 대시보드 개요 화면으로 리디렉션됩니다. 추가 자산이 검색되고 인벤토리에 채워질 때까지 기다리는 동안 이러한 대시보드 인사이트를 검토하여 공격 표면에 익숙해지도록 합니다. 이러한 대시보드에서 인사이트를 파생하는 방법에 대한 자세한 내용은 대시보드 이해 문서를 참조하세요.

누락된 자산을 발견하거나 조직에 명확하게 연결된 인프라를 통해 검색되지 않을 수 있는 다른 엔터티가 있는 경우 사용자 지정된 검색을 실행하여 이러한 이상값 자산을 검색하도록 선택할 수 있습니다.

검색 사용자 지정

사용자 지정 검색은 기본 시드 자산에 즉시 연결되지 않을 수 있는 인프라에 대한 심층적인 가시성이 필요한 조직에 적합합니다. 검색 시드로 작동하기 위해 알려진 자산의 더 큰 목록을 제출하면 검색 엔진은 더 넓은 자산 풀을 반환합니다. 또한 사용자 지정 검색은 조직이 독립적인 사업부 및 인수한 회사와 관련될 수 있는 서로 다른 인프라를 찾는 데 도움이 될 수 있습니다.

검색 그룹

사용자 지정 검색은 검색 그룹으로 구성됩니다. 단일 검색 실행을 구성하고 자체 되풀이 일정에 따라 작동하는 독립적인 시드 클러스터입니다. 사용자는 검색 그룹을 구성하여 회사와 워크플로에 가장 적합한 방식으로 자산을 설명하도록 선택할 수 있습니다. 일반적인 옵션으로는 책임 있는 팀/사업부, 브랜드 또는 자회사별 구성이 포함됩니다.

검색 그룹 만들기

  1. 왼쪽 탐색 열의 관리 섹션에서 검색 패널을 선택합니다.

    Screenshot of EASM instance from overview page with manage section highlighted

  2. 이 검색 페이지에는 기본적으로 검색 그룹 목록이 표시됩니다. 이 목록은 플랫폼에 처음 액세스할 때 비어 있습니다. 첫 번째 검색을 실행하려면 검색 그룹 추가를 클릭합니다.

    Screenshot of Discovery screen with “add disco group” highlighted

  3. 먼저 새 검색 그룹의 이름을 지정하고 설명을 추가합니다. 되풀이 빈도 필드를 사용하면 이 그룹에 대한 검색 실행을 예약하여 지정된 시드와 관련된 새 자산을 지속적으로 검색할 수 있습니다. 기본 되풀이 선택은 매주입니다. 조직의 자산이 정기적으로 모니터링 및 업데이트되도록 하려면 이 주기를 권장합니다. 일회성 검색 실행의 경우 하지 않음을 선택합니다. 그러나 사용자는 주간 기본 주기를 유지하고 나중에 되풀이 검색 실행을 중단하기로 결정한 경우 검색 그룹 설정 내에서 기록 모니터링을 해제하는 것이 좋습니다.

    다음: 시드>를 선택합니다.

    Screenshot of first page of disco group setup

  4. 다음으로, 이 검색 그룹에 사용할 시드를 선택합니다. 시드는 조직에 속한 알려진 자산입니다. Defender EASM 플랫폼은 이러한 엔터티를 검사하여 다른 온라인 인프라에 연결을 매핑하여 공격 표면을 만듭니다.

    Screenshot of seed selection page of disco group setup

    빠른 시작 옵션을 사용하면 미리 채워진 공격 표면 목록에서 조직을 검색할 수 있습니다. 조직에 속한 알려진 자산을 기반으로 검색 그룹을 빠르게 만들 수 있습니다.

    Screenshot of pre-baked attack surface selection page, then output in seed list

    또는 사용자가 시드를 수동으로 입력할 수 있습니다. Defender EASM은 도메인, IP 블록, 호스트, 이메일 연락처, ASN 및 WhoIs 조직을 시드 값으로 허용합니다. 또한 자산 검색에서 제외할 엔터티를 지정하여 검색된 경우 인벤토리에 추가되지 않도록 할 수도 있습니다. 예를 들어 중앙 인프라에 연결될 가능성이 높지만 조직에 속하지 않는 자회사가 있는 조직에 유용합니다.

    시드가 선택되면 검토 + 만들기를 선택합니다.

  5. 그룹 정보 및 시드 목록을 검토한 다음 만들기 및 실행을 선택합니다.

    Screenshot of review + create screen

그런 다음 검색 그룹을 표시하는 기본 검색 페이지로 돌아갑니다. 검색 실행이 완료되면 승인됨 인벤토리에 추가된 새 자산을 볼 수 있습니다.

다음 단계