인벤토리 자산 이해
defender EASM(Microsoft Defender 외부 공격 표면 관리)은 Microsoft 독점 검색 기술을 사용하여 알려진 합법적인 자산(검색 시드)에 대한 관찰된 연결을 통해 인프라를 재귀적으로 검색합니다. 이전에 알려지지 않았고 모니터링되지 않은 속성을 발견하기 위해 해당 인프라와 조직의 관계에 대해 유추합니다.
Defender EASM 검색에는 다음과 같은 종류의 자산이 포함됩니다.
- 도메인
- IP 주소 블록
- 호스트
- 이메일 연락처
- ASN(자치 시스템 번호)
- Whois 조직
이러한 자산 유형은 Defender EASM에서 공격 표면 인벤토리를 구성합니다. 이 솔루션은 기존 방화벽 보호 외부에서 열린 인터넷에 노출되는 외부 연결 자산을 검색합니다. 위험을 최소화하고 조직의 보안 태세를 개선하기 위해 외부 자산을 모니터링하고 유지 관리해야 합니다. Defender EASM은 자산을 적극적으로 검색 및 모니터링한 다음 조직의 취약성을 효율적으로 해결하는 데 도움이 되는 주요 인사이트를 표시합니다.
자산 상태
모든 자산은 다음 상태 중 하나로 레이블이 지정됩니다.
| State name | 설명 |
|---|---|
| 승인된 인벤토리 | 소유한 공격 노출 영역의 일부인 항목입니다. 직접 담당하는 항목입니다. |
| 종속성 | 타사에서 소유하지만 소유 자산의 운영을 직접 지원하기 때문에 공격 노출 영역의 일부인 인프라입니다. 예를 들어, 웹 콘텐츠를 호스트하기 위해 IT 공급자에 의존할 수 있습니다. 도메인, 호스트 이름 및 페이지는 승인된 인벤토리의 일부이므로 호스트를 실행하는 IP 주소를 종속성으로 처리할 수 있습니다. |
| 모니터 전용 | 공격 표면과 관련이 있지만 직접 제어되거나 기술적 종속성이 아닌 자산입니다. 예를 들어 관련 회사에 속한 독립 프랜차이즈 또는 자산에는 보고 목적으로 그룹을 구분하기 위해 승인된 인벤토리가 아닌 모니터만 레이블이 지정될 수 있습니다. |
| 후보자 | 조직의 알려진 초기 자산과 어느 정도 관계가 있지만 승인된 인벤토리에 즉시 레이블을 지정할 만큼 강력한 연결이 없는 자산입니다. 소유권을 확인하려면 이러한 후보 자산을 수동으로 검토해야 합니다. |
| 조사 필요 | 후보 상태와 유사하지만 이 값은 유효성을 검사하기 위해 수동 조사가 필요한 자산에 적용됩니다. 상태는 자산 간의 검색된 연결의 강도를 평가하는 내부적으로 생성된 신뢰도 점수에 따라 결정됩니다. 인프라와 조직의 정확한 관계를 나타내지는 않지만, 분류 방법을 결정하기 위해 더 많은 검토를 위해 자산에 플래그를 지정합니다. |
다른 자산 상태 처리
이러한 자산 상태는 기본적으로 가장 중요한 자산에 대한 명확한 가시성을 보장하기 위해 고유하게 처리되고 모니터링됩니다. 예를 들어 승인된 인벤토리 상태의 자산은 항상 대시보드 차트에 표시되며 매일 검사되어 데이터 재사용을 보장합니다. 다른 모든 유형의 자산은 기본적으로 대시보드 차트에 포함되지 않습니다. 그러나 필요에 따라 인벤토리 필터를 조정하여 다른 상태의 자산을 볼 수 있습니다. 마찬가지로 후보 상태 자산은 검색 프로세스 중에만 검사됩니다. 이러한 유형의 자산이 조직에서 소유하는 경우 이러한 자산을 검토하고 상태를 승인된 인벤토리로 변경하는 것이 중요합니다.
인벤토리 변경 내용 추적
공격 표면은 지속적으로 변경됩니다. Defender EASM은 지속적으로 인벤토리를 분석하고 업데이트하여 정확도를 보장합니다. 자산은 인벤토리에서 자주 추가되고 제거되므로 이러한 변경 내용을 추적하여 공격 표면을 이해하고 주요 추세를 식별하는 것이 중요합니다. 인벤토리 변경 대시보드는 이러한 변경 내용에 대한 개요를 제공합니다. 각 자산 유형에 대한 "추가됨" 및 "제거됨" 개수를 쉽게 볼 수 있습니다. 대시보드를 지난 7일 또는 지난 30일의 두 날짜 범위로 필터링할 수 있습니다. 인벤토리 변경 내용을 보다 세부적으로 보려면 대시보드의 날짜 별 변경 내용 섹션을 참조하세요.
