Defender EASM 인벤토리 필터 개요
이 문서에서는 Microsoft Defender EASM(Defender 외부 공격 표면 관리)에서 사용할 수 있는 필터 기능을 간략하게 설명합니다. 필터링을 사용하면 선택한 매개 변수를 기반으로 인벤토리 자산의 특정 하위 집합을 찾을 수 있습니다. 이 문서에서는 각 필터와 연산자에 대해 간략하게 설명하고 최상의 결과를 얻을 수 있는 입력 옵션에 대한 지침을 제공합니다. 또한 필터링된 결과에 쉽게 액세스할 수 있도록 쿼리를 저장하는 방법도 설명합니다.
작동 방식
인벤토리 필터를 사용하면 검색 매개 변수를 충족하는 특정 데이터 하위 집합에 액세스할 수 있습니다. 원하는 결과를 가져오는 데 필요한 만큼 필터를 적용할 수 있습니다.
기본적으로 인벤토리 화면에는 승인됨 인벤토리 자산만 표시됩니다. 대체 상태의 자산은 숨겨집니다. 다른 상태의 자산을 보려면 이 필터를 제거할 수 있습니다. 다른 상태로는 후보, 종속성 및 조사 필요가 있습니다.
승인됨 인벤토리 필터를 제거하면 다음과 같은 경우에 유용합니다.
- 잠재적인 새 자산을 검토합니다.
- 타사 종속성 문제를 조사합니다.
- 검색을 수행할 때 잠재적으로 소유한 모든 자산의 전체 보기를 확인합니다.
Defender EASM은 다양한 수준의 세분성 결과를 가져오기 위해 다양한 필터를 제공합니다. 일부 필터를 사용하면 드롭다운 목록에서 값 옵션을 선택할 수 있습니다. 다른 경우에는 원하는 값을 수동으로 입력해야 합니다.
저장된 쿼리
관심 있는 쿼리를 저장하여 결과 자산 목록에 빠르게 액세스할 수 있습니다. 이 기능은 정기적으로 자산의 특정 하위 집합을 검색해야 하는 경우 유용합니다. 나중에 특정 필터 구성을 쉽게 참조해야 하는 경우에도 유용합니다. 저장된 필터를 사용하면 고도로 사용자 지정 가능한 매개 변수를 기반으로 가장 관심 있는 자산에 쉽게 액세스할 수 있습니다.
쿼리를 저장하려면 다음을 수행합니다.
먼저 원하는 결과를 얻을 수 있는 필터를 신중하게 선택합니다. 각 자산 종류에 적용 가능한 필터에 대한 자세한 내용은 "다음 단계" 섹션을 참조하세요. 이 예에서는 갱신이 필요한 30일 이내에 만료되는 도메인을 검색하고 있습니다. 검색을 선택합니다.
결과 자산을 검토합니다. 선택한 필터가 만족스럽고 쿼리를 저장하려면 쿼리 저장을 선택합니다.
쿼리 이름을 지정하고 설명을 제공합니다. 초기 설정 후에는 쿼리 이름을 편집할 수 없지만 설명은 나중에 변경할 수 있습니다. 저장을 선택합니다. 쿼리가 저장되었음을 확인하는 배너가 나타납니다.
저장된 필터를 보려면 인벤토리 목록 페이지 상단에 있는 저장된 쿼리 탭을 선택합니다. 저장된 쿼리는 상단 섹션에 표시됩니다. 쿼리 열기를 선택하면 지정된 매개 변수를 기준으로 인벤토리를 필터링합니다. 이 페이지에서는 저장된 쿼리를 편집하거나 삭제할 수도 있습니다.
연산자
인벤토리 필터는 다음 연산자와 함께 사용할 수 있습니다. 일부 연산자는 모든 필터에 사용할 수 없습니다. 일부 연산자는 특정 필터에 논리적으로 적용할 수 없는 경우 숨겨집니다.
| Operator | 설명 |
|---|---|
Equals |
검색 값과 정확히 일치하는 결과를 반환합니다. 이 필터는 한 번에 하나의 값에 대한 결과만 반환합니다. 옵션의 드롭다운 목록을 채우는 필터의 경우 한 번에 하나의 옵션만 선택할 수 있습니다. 여러 값을 선택하려면 In 연산자를 참조하세요. |
Not Equals |
필드가 검색 값과 정확히 일치하지 않는 결과를 반환합니다. |
Starts with |
필드가 검색 값으로 시작하는 결과를 반환합니다. |
Does not start with |
필드가 검색 값으로 시작하지 않는 결과를 반환합니다. |
Matches |
필드의 토큰화된 용어가 검색 값과 정확히 일치하는 결과를 반환합니다. |
Does not match |
필드의 토큰화된 용어가 검색 값과 정확히 일치하지 않는 결과를 반환합니다. |
In |
필드가 검색 값 중 하나와 정확히 일치하는 결과를 반환합니다. 드롭다운 목록의 경우 여러 옵션을 선택할 수 있습니다. |
Not In |
필드가 검색 값과 정확히 일치하지 않는 결과를 반환합니다. 여러 옵션을 선택할 수 있습니다. 수동으로 입력한 필드는 정확한 값과 일치하는 결과를 제외합니다. |
Starts with in |
필드가 검색 값 중 하나로 시작하는 결과를 반환합니다. |
Does not start with in |
필드가 검색 값으로 시작하지 않는 결과를 반환합니다. |
Matches in |
필드의 토큰화된 용어가 검색 값 중 하나와 정확히 일치하는 결과를 반환합니다. |
Does not match in |
필드의 토큰화된 용어가 검색 값과 정확히 일치하지 않는 결과를 반환합니다. |
Contains |
필드 콘텐츠에 검색 값이 포함된 결과를 반환합니다. |
Does Not Contain |
필드 콘텐츠에 검색 값이 포함되지 않은 결과를 반환합니다. |
Contains in |
필드 콘텐츠에 검색 값 중 하나가 포함된 결과를 반환합니다. |
Does Not Contain In |
필드 콘텐츠의 토큰화된 용어에 검색 값이 포함되지 않은 결과를 반환합니다. |
Empty |
지정된 필터에 대해 어떤 값도 반환하지 않는 자산을 반환합니다. |
Not Empty |
값에 관계없이 지정된 필터의 값을 반환하는 모든 자산을 반환합니다. |
Greater Than or Equal To |
숫자 값보다 크거나 같은 결과를 반환합니다. 날짜가 포함됩니다. |
Between |
숫자 범위 내의 결과를 반환합니다. 날짜 범위가 포함됩니다. |
일반 필터
이러한 필터는 인벤토리 내의 모든 종류의 자산에 적용됩니다. 더 넓은 범위의 자산을 검색할 때 이 필터를 사용할 수 있습니다. 특정 유형의 자산에 대한 필터 목록은 "다음 단계" 섹션을 참조하세요.
정의된 값 필터
다음 필터는 선택할 수 있는 옵션의 드롭다운 목록을 제공합니다. 사용 가능한 값은 미리 정의되어 있습니다.
| 필터 이름 | 설명 | 선택 가능한 값 | 사용 가능한 연산자 |
|---|---|---|---|
| 종류 | 인벤토리를 구성하는 특정 웹 속성 유형별로 필터링합니다. | ASN, 연락처, 도메인, 호스트, IP 주소, IP 블록, 페이지, SSL 인증서 | Equals, Not Equals, In, Not In, Empty, Not Empty |
| State(상태) | 조직과의 관련성과 Defender EASM이 자산을 모니터링하는 방식을 구분하기 위해 자산에 할당된 상태입니다. | 승인됨, 후보, 종속성, 모니터만, 조사 필요 | |
| 인벤토리에서 제거됨 | 자산이 인벤토리에서 제거되는 방법입니다. | 보관됨, 해제됨 | |
| 만든 날짜 | 인벤토리에서 자산이 생성된 날짜를 기준으로 필터링합니다. | 일정 드롭다운을 통한 날짜 범위 | Greater Than or Equal To, Less Than or Equal To, Between |
| 처음 확인한 날짜 | Defender EASM 검색 시스템에서 자산을 처음 관찰한 날짜를 기준으로 필터링합니다. | 일정 드롭다운을 통한 날짜 범위 | |
| 마지막 확인 날짜 | Defender EASM 검색 시스템에서 자산을 마지막으로 관찰한 날짜를 기준으로 필터링합니다. | 일정 드롭다운을 통한 날짜 범위 | |
| 레이블 | 인벤토리 자산에 수동으로 적용된 레이블에 대한 필터입니다. | 자유 형식 응답을 수락하지만 Defender EASM 리소스에서 사용할 수 있는 레이블의 드롭다운도 제공합니다. | |
| 업데이트 날짜 | 자산 데이터가 인벤토리에서 마지막으로 업데이트된 날짜를 기준으로 필터링합니다. | 일정 드롭다운을 통한 날짜 범위 | |
| 와일드카드 | 와일드카드 DNS 레코드는 아직 정의되지 않은 하위 도메인에 대한 DNS 요청에 응답합니다. 예를 들어 *.contoso.com이 있습니다. | True, False | Equals, Not Equals |
자유 형식 필터
다음 필터를 사용하려면 검색에 사용하려는 값을 수동으로 입력해야 합니다. 이러한 값의 대부분은 대/소문자를 구분합니다.
| 필터 이름 | 설명 | 값 형식 | 적용 가능한 연산자 |
|---|---|---|---|
| UUID | 특정 자산에 할당된 범용 고유 식별자입니다. | acabe677-f0c6-4807-ab4e-3a59d9e66b22 | Equals, Not Equals, In, Not In |
| 이름 | 자산의 이름입니다. | 인벤토리에 나열된 자산 이름의 형식에 맞춰야 합니다. 예를 들어 호스트는 mail.contoso.com 또는 IP를 192.168.92.73으로 표시합니다. | Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| 외부 ID | 타사에서 제공하는 식별자입니다. | 일반적으로 숫자 값입니다. | Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
승인된 인벤토리 외부 자산 필터링
가장 왼쪽 창에서 인벤토리를 선택하여 인벤토리를 확인합니다.
승인됨 인벤토리 필터를 삭제하려면 상태 = 승인됨 필터 옆에 있는 X를 선택합니다. 인벤토리 목록이 확장되어 해제됨과 같은 다른 상태의 자산을 포함합니다.
인벤토리 필터를 사용하여 찾으려는 자산을 식별합니다. 후보 상태의 모든 자산을 검토할 수 있습니다. 조직에 중요한 자산을 승인됨 인벤토리에 추가할 수도 있습니다.
또는 승인됨 인벤토리에 추가하려는 단일 특정 자산을 찾아야 할 수도 있습니다. 특정 자산을 찾으려면 필터를 적용하여 이름을 발견합니다.
인벤토리 목록에 검색 중이던 승인되지 않은 자산이 표시되면 해당 자산을 수정할 수 있습니다. 자산 업데이트 방법에 대한 자세한 내용은 인벤토리 자산 수정을 참조하세요.