Delen via

Overzicht van assetaanpassing

  • Artikel

In dit artikel wordt beschreven hoe u inventarisassets kunt wijzigen. U kunt de status van een asset wijzigen, een externe id toewijzen of labels toepassen om context te bieden en inventarisgegevens te gebruiken. U kunt cv's en andere waarnemingen ook markeren als niet van toepassing om ze te verwijderen uit uw gerapporteerde aantallen. U kunt assets ook bulksgewijs uit hun inventaris verwijderen op basis van de methode waarmee ze worden gedetecteerd. Gebruikers kunnen bijvoorbeeld een seed uit een detectiegroep verwijderen en ervoor kiezen om assets te verwijderen die worden gedetecteerd via een verbinding met deze seed. In dit artikel worden alle wijzigingsopties beschreven die beschikbaar zijn in Defender EASM en wordt beschreven hoe u assets bijwerkt en eventuele updates bijhoudt met Taakbeheer.

Assets labelen

Met labels kunt u uw kwetsbaarheid voor aanvallen ordenen en bedrijfscontext op een aanpasbare manier toepassen. U kunt elk tekstlabel toepassen op een subset assets om assets te groeperen en uw inventaris beter te gebruiken. Klanten categoriseren vaak assets die:

  • Zijn onlangs eigendom van uw organisatie gekomen via een fusie of overname.
  • Nalevingsbewaking vereisen.
  • Zijn eigendom van een specifieke bedrijfseenheid in hun organisatie.
  • Worden beïnvloed door een specifiek beveiligingsprobleem waarvoor beperking is vereist.
  • Relateer aan een bepaald merk dat eigendom is van de organisatie.
  • Zijn binnen een bepaald tijdsbereik aan uw voorraad toegevoegd.

Labels zijn velden voor vrije tekst, zodat u een label kunt maken voor elke use-case die van toepassing is op uw organisatie.

Schermopname van een lijstweergave met een gefilterde kolom Labels.

De status van een asset wijzigen

Gebruikers kunnen ook de status van een asset wijzigen. Staten helpen uw inventaris te categoriseren op basis van hun rol in uw organisatie. Gebruikers kunnen schakelen tussen de volgende statussen:

  • Goedgekeurde inventaris: een deel van uw kwetsbaarheid voor aanvallen in eigendom; een item waarvoor u rechtstreeks verantwoordelijk bent.
  • Afhankelijkheid: Infrastructuur die eigendom is van een derde partij, maar deel uitmaakt van uw kwetsbaarheid voor aanvallen, omdat deze rechtstreeks ondersteuning biedt voor de werking van uw assets in eigendom. U kunt bijvoorbeeld afhankelijk zijn van een IT-provider om uw webinhoud te hosten. Hoewel het domein, de hostnaam en de pagina's deel uitmaken van uw 'goedgekeurde inventaris', kunt u het IP-adres dat op de host wordt uitgevoerd, behandelen als een 'afhankelijkheid'.
  • Alleen bewaken: een asset die relevant is voor uw aanvalsoppervlak, maar die niet rechtstreeks wordt beheerd door uw organisatie, noch een technische afhankelijkheid. Onafhankelijke franchisenemers of activa die behoren tot gerelateerde bedrijven, kunnen bijvoorbeeld worden gelabeld als 'Alleen bewaken' in plaats van 'Goedgekeurde inventaris' om de groepen te scheiden voor rapportagedoeleinden.
  • Kandidaat: Een asset die een bepaalde relatie heeft met de bekende seed-assets van uw organisatie, maar die niet sterk genoeg is om deze onmiddellijk te labelen als 'Goedgekeurde inventaris'. Deze kandidaatactiva moeten handmatig worden gecontroleerd om het eigendom te bepalen.
  • Vereist onderzoek: een status die vergelijkbaar is met de status 'Kandidaat', maar deze waarde wordt toegepast op assets waarvoor handmatig onderzoek is vereist om te valideren. Dit wordt bepaald op basis van onze intern gegenereerde betrouwbaarheidsscores die de sterkte van gedetecteerde verbindingen tussen assets beoordelen. Het geeft niet aan dat de exacte relatie van de infrastructuur met de organisatie net zo groot is als het aangeeft dat deze asset is gemarkeerd als extra beoordeling om te bepalen hoe deze moet worden gecategoriseerd.

Een externe id toepassen

Gebruikers kunnen ook een externe id toepassen op een asset. Deze actie is handig in situaties waarin u meerdere oplossingen gebruikt voor het bijhouden van activa, herstelactiviteiten of eigendomscontrole; als u externe id's in Defender EASM ziet, kunt u deze verschillende assetgegevens uitlijnen. Externe id-waarden kunnen numeriek of alfanumerieke waarden zijn en moeten worden ingevoerd in tekstindeling. Externe id's worden ook weergegeven in de sectie Activadetails.

Observatie markeren als niet van toepassing

Veel Defender EASM-dashboards bevatten CVE-gegevens, waardoor uw aandacht wordt gevestigd op mogelijke beveiligingsproblemen op basis van de infrastructuur van het webonderdeel die uw kwetsbaarheid voor aanvallen mogelijk maakt. CV's worden bijvoorbeeld vermeld op het overzichtsdashboard aanvalsoppervlak, gecategoriseerd op de mogelijke ernst. Bij het onderzoeken van deze CV's kunt u vaststellen dat sommige niet relevant zijn voor uw organisatie. Dit kan zijn omdat u een niet-beïnvloede versie van het webonderdeel uitvoert of dat uw organisatie verschillende technische oplossingen heeft om u te beschermen tegen dat specifieke beveiligingsprobleem.

In de drilldownweergave van een CVE-gerelateerde grafiek, naast de knop CSV-rapport downloaden, hebt u nu de mogelijkheid om een observatie in te stellen als niet van toepassing. Als u op deze waarde klikt, wordt u doorgestuurd naar een inventarislijst met alle activa die aan die observatie zijn gekoppeld. Vervolgens kunt u ervoor kiezen om alle waarnemingen te markeren als niet van toepassing op deze pagina. De werkelijke wijziging wordt uitgevoerd vanuit de weergave Inventarislijst of op de pagina Activadetails voor een bepaalde asset.

Schermopname van de inzoomweergave van het dashboard met de knop 'Observatie markeren als niet-toe te passen' gemarkeerd.

Assets wijzigen

U kunt assets wijzigen op de pagina's met inventarislijst- en assetdetails. U kunt wijzigingen aanbrengen in één asset vanaf de pagina met details van de asset. U kunt wijzigingen aanbrengen in één asset of meerdere assets op de pagina inventarislijst. In de volgende secties wordt beschreven hoe u wijzigingen toepast op de twee voorraadweergaven, afhankelijk van uw use-case.

Pagina Inventarislijst

U moet assets wijzigen vanaf de pagina inventarislijst als u meerdere assets tegelijk wilt bijwerken. U kunt uw activalijst verfijnen op basis van filterparameters. Dit proces helpt u bij het identificeren van assets die moeten worden gecategoriseerd met het gewenste label, de externe id of statuswijziging. Assets wijzigen vanaf deze pagina:

  1. Selecteer Inventaris in het meest linkse deelvenster van uw Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen -resource (Defender EASM).

  2. Pas filters toe om de beoogde resultaten te produceren. In dit voorbeeld zoeken we naar domeinen die binnen 30 dagen verlopen waarvoor verlenging is vereist. Het toegepaste label helpt u sneller toegang te krijgen tot alle verlopen domeinen om het herstelproces te vereenvoudigen. U kunt zoveel filters toepassen als nodig is om de specifieke resultaten te verkrijgen die nodig zijn. Zie overzicht van inventarisfilters voor meer informatie over filters. Bijvoorbeeld wanneer u CV's wilt markeren als niet van toepassing, biedt de relevante drilldown voor dashboardgrafieken een koppeling waarmee u rechtstreeks naar deze inventarispagina wordt gerouteerd met de juiste filters die zijn toegepast.

    Schermopname van de weergave inventarislijst met de vervolgkeuzelijst Filter toevoegen geopend om de queryeditor weer te geven.

  3. Nadat de inventarislijst is gefilterd, selecteert u de vervolgkeuzelijst door het selectievakje naast de koptekst van de assettabel . In deze vervolgkeuzelijst kunt u alle resultaten selecteren die overeenkomen met uw query of de resultaten op die specifieke pagina (maximaal 25). Met de optie Geen worden alle assets gewist. U kunt er ook voor kiezen om alleen specifieke resultaten op de pagina te selecteren door de afzonderlijke vinkjes naast elke asset te selecteren.

    Schermopname van de weergave inventarislijst met de vervolgkeuzelijst voor bulkselectie geopend.

  4. Selecteer Assets wijzigen.

    Schermopname van de beschikbare wijzigingsopties.

  5. In het deelvenster Assets wijzigen dat aan de rechterkant van het scherm wordt geopend, kunt u snel verschillende velden voor de geselecteerde assets wijzigen. In dit voorbeeld maakt u een nieuw label. Selecteer Een nieuw label maken.

  6. Bepaal de labelnaam en de weergavetekstwaarden. De labelnaam kan niet worden gewijzigd nadat u het label in eerste instantie hebt gemaakt, maar de weergavetekst kan later worden bewerkt. De labelnaam wordt gebruikt om een query uit te voeren op het label in de productinterface of via DE API, zodat bewerkingen zijn uitgeschakeld om ervoor te zorgen dat deze query's goed werken. Als u een labelnaam wilt bewerken, moet u het oorspronkelijke label verwijderen en een nieuw label maken.

    Selecteer een kleur voor uw nieuwe label en selecteer Toevoegen. Met deze actie gaat u terug naar het scherm Assets wijzigen.

    Schermopname van het deelvenster Label toevoegen waarin de configuratievelden worden weergegeven.

  7. Pas uw nieuwe label toe op de assets. Klik in het tekstvak Labels toevoegen om een volledige lijst met beschikbare labels weer te geven. U kunt ook in het vak typen om op trefwoord te zoeken. Nadat u de labels hebt geselecteerd die u wilt toepassen, selecteert u Bijwerken.

    Schermopname van het deelvenster Asset wijzigen waarop het zojuist gemaakte label is toegepast.

  8. Wacht even totdat de labels worden toegepast. Nadat het proces is voltooid, ziet u de melding Voltooid. De pagina wordt automatisch vernieuwd en de assetlijst wordt weergegeven met de labels die zichtbaar zijn. Een banner boven aan het scherm bevestigt dat uw labels zijn toegepast.

    Schermopname van de weergave inventarislijst met de geselecteerde assets die nu het nieuwe label weergeven.

Pagina Met details van activa

U kunt ook één asset wijzigen op de pagina met assetdetails. Deze optie is ideaal voor situaties waarin assets grondig moeten worden gecontroleerd voordat een label of statuswijziging wordt toegepast.

  1. Selecteer Inventaris in het meest linkse deelvenster van uw Defender EASM-resource.

  2. Selecteer de specifieke asset die u wilt wijzigen om de pagina met assetdetails te openen.

  3. Selecteer Op deze pagina de optie Asset wijzigen.

    Schermopname van de pagina met assetdetails met de knop Asset wijzigen gemarkeerd.

  4. Volg stap 5 tot en met 7 in de sectie Inventarislijstpagina.

  5. De pagina met assetdetails wordt vernieuwd en de zojuist toegepaste label- of statuswijziging wordt weergegeven. Een banner geeft aan dat de asset is bijgewerkt.

Labels wijzigen, verwijderen of verwijderen

Gebruikers kunnen een label uit een asset verwijderen door hetzelfde deelvenster Asset wijzigen te openen vanuit de weergave inventarislijst of assetdetails. In de weergave inventarislijst kunt u meerdere assets tegelijk selecteren en vervolgens het gewenste label in één actie toevoegen of verwijderen.

Als u het label zelf wilt wijzigen of een label wilt verwijderen uit het systeem:

  1. Selecteer labels (preview) in het meest linkse deelvenster van uw Defender EASM-resource.

    Schermopname van de pagina Labels (preview) waarmee labelbeheer mogelijk is.

    Op deze pagina worden alle labels in uw Defender EASM-inventaris weergegeven. Labels op deze pagina bestaan mogelijk in het systeem, maar worden niet actief toegepast op assets. U kunt ook nieuwe labels toevoegen vanaf deze pagina.

  2. Als u een label wilt bewerken, selecteert u het potloodpictogram in de kolom Acties van het label dat u wilt bewerken. Aan de rechterkant van het scherm wordt een deelvenster geopend waar u de naam of kleur van een label kunt wijzigen. Selecteer Bijwerken.

  3. Als u een label wilt verwijderen, selecteert u het prullenbakpictogram in de kolom Acties van het label dat u wilt verwijderen. Selecteer Label verwijderen.

    Schermopname van de optie Verwijderen bevestigen op de pagina Labelsbeheer.

De pagina Labels wordt automatisch vernieuwd. Het label wordt verwijderd uit de lijst en ook verwijderd uit alle assets waarop het label is toegepast. Een banner bevestigt de verwijdering.

Opmerkingen markeren als niet van toepassing

Hoewel waarnemingen kunnen worden gemarkeerd als niet van toepassing op dezelfde schermen 'Assets wijzigen' voor andere handmatige wijzigingen, kunt u deze updates ook aanbrengen via het tabblad Observaties in Assetdetails. Het tabblad Observaties bevat twee tabellen: Observaties en niet-toe te passen waarnemingen. Alle actieve waarnemingen die zijn vastgesteld dat ze 'recent' zijn binnen uw aanvalsoppervlak, bevinden zich in de tabel Observaties, terwijl de tabel Niet-toepasselijke observaties alle waarnemingen vermeldt die handmatig als niet-van toepassing zijn gemarkeerd of door het systeem zijn bepaald om niet langer van toepassing te zijn. Als u waarnemingen wilt markeren als niet-van toepassing en daarom die specifieke observatie wilt uitsluiten van dashboardtelling, selecteert u de gewenste waarnemingen en klikt u op 'Instellen als niet-van toepassing'. Deze waarnemingen verdwijnen onmiddellijk uit de actieve tabel Observaties en worden in plaats daarvan weergegeven in de tabel 'Niet-toepasselijke waarnemingen'. U kunt deze wijziging op elk gewenst moment herstellen door de relevante waarnemingen in deze tabel te selecteren en 'Instellen als van toepassing' te selecteren.

Schermopname van het tabblad Observaties met meerdere CV's geselecteerd om te worden gemarkeerd als niet-van toepassing.

Taakbeheer en meldingen

Nadat een taak is verzonden, bevestigt een melding dat de update wordt uitgevoerd. Selecteer op een willekeurige pagina in Azure het meldingspictogram (bel) voor meer informatie over recente taken.

Schermopname van de melding Taak verzonden. Schermopname van het deelvenster Meldingen waarin de recente taakstatus wordt weergegeven.

Het Defender EASM-systeem kan seconden duren om een aantal assets of minuten bij te werken om duizenden bij te werken. U kunt Taakbeheer gebruiken om te controleren op de status van alle wijzigingstaken die worden uitgevoerd. In deze sectie wordt beschreven hoe u toegang krijgen tot Taakbeheer en deze kunt gebruiken om meer inzicht te krijgen in de voltooiing van ingediende updates.

  1. Selecteer Taakbeheer in het meest linkse deelvenster van uw Defender EASM-resource.

    Schermopname van de pagina Taakbeheer met de juiste sectie in het navigatiedeelvenster gemarkeerd.

  2. Op deze pagina worden al uw recente taken en hun status weergegeven. Taken worden weergegeven als Voltooid, Mislukt of Wordt uitgevoerd. Er wordt ook een voltooiingspercentage en voortgangsbalk weergegeven. Als u meer informatie over een specifieke taak wilt zien, selecteert u de naam van de taak. Aan de rechterkant van het scherm wordt een deelvenster geopend met meer informatie.

  3. Selecteer Vernieuwen om de meest recente status van alle items in Taakbeheer weer te geven.

Filteren op labels

Nadat u assets in uw voorraad hebt gelabeld, kunt u inventarisfilters gebruiken om een lijst op te halen met alle assets waarop een specifiek label is toegepast.

  1. Selecteer Inventaris in het meest linkse deelvenster van uw Defender EASM-resource.

  2. Selecteer Filter toevoegen.

  3. Selecteer Labels in de vervolgkeuzelijst Filter . Selecteer een operator en kies een label in de vervolgkeuzelijst met opties. In het volgende voorbeeld ziet u hoe u naar één label kunt zoeken. U kunt de Operator In gebruiken om te zoeken naar meerdere labels. Zie het overzicht van voorraadfilters voor meer informatie over filters.

    Schermopname van de queryeditor die wordt gebruikt om filters toe te passen en het filter Labels weer te geven met mogelijke labelwaarden in een vervolgkeuzelijst.

  4. Selecteer Toepassen. De pagina inventarislijst wordt opnieuw geladen en geeft alle assets weer die voldoen aan uw criteria.

Beheer op basis van assetketens

In sommige gevallen wilt u mogelijk meerdere assets tegelijk verwijderen op basis van de middelen waarmee ze zijn gedetecteerd. U kunt bijvoorbeeld bepalen dat een bepaalde seed binnen een detectiegroep die is opgehaald in assets die niet relevant zijn voor uw organisatie, of mogelijk moet u activa verwijderen die betrekking hebben op een dochteronderneming die niet meer onder uw purview valt. Daarom biedt Defender EASM de mogelijkheid om de bronentiteit en assets 'downstream' in de detectieketen te verwijderen. U kunt gekoppelde assets verwijderen met de volgende drie methoden:

  • Seed-gebaseerd beheer: gebruikers kunnen een seed verwijderen die eenmaal is opgenomen in een detectiegroep, waardoor alle assets die zijn geïntroduceerd in de inventaris worden verwijderd via een waargenomen verbinding met de opgegeven seed. Deze methode is handig wanneer u kunt bepalen dat een specifiek handmatig ingevoerd seed heeft geresulteerd in ongewenste assets die aan de voorraad worden toegevoegd.
  • Beheer van detectieketens: gebruikers kunnen een asset binnen een detectieketen identificeren en verwijderen, waarbij alle assets die door die entiteit zijn gedetecteerd, tegelijkertijd worden verwijderd. Detectie is een recursief proces; het scant zaden om nieuwe assets te identificeren die rechtstreeks aan deze aangewezen zaden zijn gekoppeld, en blijft vervolgens de zojuist gedetecteerde entiteiten scannen om meer verbindingen te onthullen. Deze verwijderingsbenadering is handig wanneer uw detectiegroep correct is geconfigureerd, maar u moet een nieuw gedetecteerde asset en eventuele assets verwijderen die per koppeling naar die entiteit zijn overgebracht. Houd rekening met de instellingen van uw detectiegroep en aangewezen zaden als de 'top' van uw detectieketen; Met deze verwijderingsbenadering kunt u assets uit het midden verwijderen.
  • Beheer van detectiegroepen: gebruikers kunnen hele detectiegroepen en alle assets verwijderen die zijn geïntroduceerd voor inventarisatie via deze detectiegroep. Dit is handig wanneer een hele detectiegroep niet meer van toepassing is op uw organisatie. U hebt bijvoorbeeld een detectiegroep die specifiek zoekt naar assets die zijn gerelateerd aan een dochteronderneming. Als deze dochteronderneming niet meer relevant is voor uw organisatie, kunt u gebruikmaken van beheer op basis van activaketens om alle assets te verwijderen die via die detectiegroep in voorraad zijn gebracht.

U kunt verwijderde assets nog steeds weergeven in Defender EASM; filter gewoon uw inventarislijst voor assets met de status Gearchiveerd.

Verwijdering op basis van seed

U kunt besluiten dat een van uw initiële detectiezaden niet meer in een detectiegroep mag worden opgenomen. Het zaad is mogelijk niet langer relevant voor uw organisatie of het kan meer fout-positieven opleveren dan legitieme activa in eigendom. In dit geval kunt u de seed uit uw detectiegroep verwijderen om te voorkomen dat deze in toekomstige detectieuitvoeringen wordt gebruikt, terwijl u eventuele assets die in het verleden naar de inventaris zijn gebracht, tegelijkertijd verwijdert via het aangewezen seed.

Als u een bulkverwijdering wilt uitvoeren op basis van een seed, routeert u naar de betreffende pagina met details van de detectiegroep en klikt u op Detectiegroep bewerken. Volg de aanwijzingen om de pagina Zaden te bereiken en verwijder het problematische zaad uit de lijst. Wanneer u Controleren en bijwerken selecteert, ziet u een waarschuwing die aangeeft dat alle assets die via de aangewezen seed zijn gedetecteerd, ook worden verwijderd. Selecteer 'Bijwerken' of 'Bijwerken en uitvoeren' om het verwijderen te voltooien.

Schermopname van de pagina Detectiegroep bewerken met een waarschuwing die aangeeft dat een seed en alle assets die via die seed zijn gedetecteerd, worden verwijderd.

Verwijdering op basis van detectieketen

Stel u in het volgende voorbeeld voor dat u een onveilig aanmeldingsformulier hebt ontdekt op het dashboard Overzicht van kwetsbaarheid voor aanvallen. Met uw onderzoek wordt u doorgestuurd naar een host die niet eigendom lijkt te zijn van uw organisatie. U bekijkt de pagina met assetdetails voor meer informatie; bij het controleren van de Discovery-keten leert u dat de host in inventaris is gebracht omdat het bijbehorende domein is geregistreerd met het zakelijke e-mailadres van een werknemer dat ook is gebruikt om goedgekeurde bedrijfsentiteiten te registreren.

Schermopname van de pagina Assetdetails met de sectie Discovery Chain gemarkeerd.

In deze situatie is het eerste detectie-seed (het bedrijfsdomein) nog steeds legitiem, dus we moeten in plaats daarvan een problematische asset uit de detectieketen verwijderen. Hoewel we de ketenverwijdering uit het e-mailadres van de contactpersoon kunnen uitvoeren, kiezen we ervoor om alles te verwijderen dat is gekoppeld aan het persoonlijke domein dat aan deze werknemer is geregistreerd, zodat Defender EASM ons in de toekomst waarschuwt voor andere domeinen die zijn geregistreerd bij dat e-mailadres. Selecteer in de detectieketen dit persoonlijke domein om de pagina met assetdetails weer te geven. Selecteer in deze weergave 'Verwijderen uit detectieketen' om de asset uit uw inventaris te verwijderen, evenals alle assets die in voorraad zijn gebracht vanwege een waargenomen verbinding met het persoonlijke domein. U moet bevestigen dat de asset en alle downstreamactiva worden verwijderd en vervolgens een overzicht krijgen van de andere assets die met deze actie worden verwijderd. Selecteer Detectieketen verwijderen om de bulkverwijdering te bevestigen.

Schermopname van het vak waarin gebruikers wordt gevraagd om het verwijderen van de huidige asset en alle downstreamassets te bevestigen, met een overzicht van de andere assets die met deze actie worden verwijderd.

Verwijdering van detectiegroep

Mogelijk moet u de hele detectiegroep en alle assets verwijderen die via de groep zijn gedetecteerd. Uw bedrijf heeft bijvoorbeeld een dochteronderneming verkocht die niet meer hoeft te worden bewaakt. Gebruikers kunnen detectiegroepen verwijderen van de pagina Detectiebeheer. Als u een detectiegroep en alle gerelateerde assets wilt verwijderen, selecteert u het prullenbakpictogram naast de juiste groep in de lijst. U ontvangt een waarschuwing met een overzicht van de assets die met deze actie worden verwijderd. De verwijdering van de detectiegroep bevestigen; en alle gerelateerde assets, selecteert u Detectiegroep verwijderen.

Schermopname van de pagina Detectiebeheer, met het waarschuwingsvak dat wordt weergegeven nadat u ervoor hebt gekozen om een groep te verwijderen gemarkeerd.

Volgende stappen