Informatie over assetdetails
Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (Defender EASM) scant regelmatig alle inventarisassets en verzamelt robuuste contextuele metagegevens die aanvals-Surface Insights mogelijk maken. Deze gegevens kunnen ook gedetailleerder worden weergegeven op de pagina met assetdetails. De gegevens die worden verstrekt, worden gewijzigd, afhankelijk van het assettype. Het platform biedt bijvoorbeeld unieke Whois-gegevens voor domeinen, hosts en IP-adressen. Het biedt handtekeningalgoritmen voor SSL-certificaten (Secure Sockets Layer).
In dit artikel wordt beschreven hoe u de uitgebreide gegevens kunt bekijken en interpreteren die door Microsoft zijn verzameld voor elk van uw voorraadassets. Het definieert deze metagegevens voor elk assettype en legt uit hoe de inzichten die daaruit zijn afgeleid, u kunnen helpen bij het beheren van de beveiligingspostuur van uw onlineinfrastructuur.
Zie Inzicht in inventarisassets om vertrouwd te raken met de belangrijkste concepten die in dit artikel worden genoemd.
Overzichtsweergave assetdetails
U kunt de pagina met assetdetails voor elke asset weergeven door de naam ervan te selecteren in uw inventarislijst. In het linkerdeelvenster van deze pagina kunt u een overzicht van activa weergeven dat belangrijke informatie over die specifieke asset bevat. Deze sectie bevat voornamelijk gegevens die van toepassing zijn op alle assettypen, hoewel in sommige gevallen meer velden beschikbaar zijn. Zie de volgende grafiek voor meer informatie over de metagegevens die zijn opgegeven voor elk assettype in de overzichtssectie.
Algemene informatie
Deze sectie bevat informatie op hoog niveau die essentieel is om uw assets in één oogopslag te begrijpen. De meeste van deze velden zijn van toepassing op alle assets. Deze sectie kan ook informatie bevatten die specifiek is voor een of meer assettypen.
| Naam | Definitie | Activumtypen |
|---|---|---|
| Assetnaam | De naam van een asset. | Alle |
| UUID | Dit 128-bits label vertegenwoordigt de universally unique identifier (UUID) voor de asset. | Alle |
| Toegevoegd aan inventaris | De datum waarop een asset is toegevoegd aan de inventaris, ongeacht of deze automatisch is toegevoegd aan de status Goedgekeurde inventaris of in een andere status, zoals Kandidaat. | Alle |
| Laatst bijgewerkt | De datum waarop een handmatige gebruiker de asset voor het laatst heeft bijgewerkt (bijvoorbeeld door een statuswijziging of verwijdering van activa aan te brengen). | Alle |
| Externe id | Een handmatig toegevoegde externe id-waarde. | Alle |
| Status | De status van de asset binnen het RiskIQ-systeem. Opties zijn goedgekeurde inventaris, kandidaat, afhankelijkheden of onderzoek vereist. | Alle |
| Eerst gezien (Global Security Graph) | De datum waarop Microsoft de asset voor het eerst heeft gescand en toegevoegd aan de uitgebreide Global Security Graph. | Alle |
| Laatst gezien (Global Security Graph) | De datum waarop Microsoft de asset het laatst heeft gescand. | Alle |
| Gedetecteerd op | Geeft de aanmaakdatum aan van de detectiegroep die de asset heeft gedetecteerd. | Alle |
| Land/regio | Het land/de regio van herkomst die voor deze asset is gedetecteerd. | Alle |
| Provincie | De staat of provincie van herkomst die voor deze asset is gedetecteerd. | Alle |
| City | De plaats van herkomst die voor deze asset is gedetecteerd. | Alle |
| Whois-naam | De naam die is gekoppeld aan een Whois-record. | Host |
| Whois-e-mail | Het primaire e-mailadres van de contactpersoon in een Whois-record. | Host |
| Whois-organisatie | De vermelde organisatie in een Whois-record. | Host |
| Whois-registrar | De vermelde registrar in een Whois-record. | Host |
| Whois-naamservers | De vermelde naamservers in een Whois-record. | Host |
| Certificaat uitgegeven | De datum waarop een certificaat is uitgegeven. | SSL-certificaat |
| Certificaat verloopt | De datum waarop een certificaat verloopt. | SSL-certificaat |
| Serienummer | Het serienummer dat is gekoppeld aan een SSL-certificaat. | SSL-certificaat |
| SSL-versie | De versie van SSL die het certificaat heeft geregistreerd. | SSL-certificaat |
| Algoritme voor certificaatsleutel | Het sleutelalgoritmen dat wordt gebruikt om het SSL-certificaat te versleutelen. | SSL-certificaat |
| Grootte van certificaatsleutel | Het aantal bits in een SSL-certificaatsleutel. | SSL-certificaat |
| OID voor handtekeningalgoritmen | De OID die het hash-algoritme identificeert dat wordt gebruikt om de certificaataanvraag te ondertekenen. | SSL-certificaat |
| Zelfondertekend | Geeft aan of het SSL-certificaat zelfondertekend is. | SSL-certificaat |
Netwerk
De volgende IP-adresinformatie biedt meer context over het gebruik van het IP-adres.
| Naam | Definitie | Activumtypen |
|---|---|---|
| Naamserverrecord | Alle naamservers die op de asset zijn gedetecteerd. | IP-adres |
| E-mailserverrecord | E-mailservers die op de asset zijn gedetecteerd. | IP-adres |
| IP-blokken | Het IP-blok dat de IP-adresasset bevat. | IP-adres |
| ASN's | De ASN die is gekoppeld aan een asset. | IP-adres |
Informatie blokkeren
De volgende gegevens zijn specifiek voor IP-blokken en bieden contextuele informatie over het gebruik ervan.
| Naam | Definitie | Activumtypen |
|---|---|---|
| CIDR | De klasseloze interdomeinroutering (CIDR) voor een IP-blok. | IP-blok |
| Netwerknaam | De netwerknaam die is gekoppeld aan het IP-blok. | IP-blok |
| Organisatienaam | De naam van de organisatie in de registratiegegevens voor het IP-blok. | IP-blok |
| Organisatie-id | De organisatie-id die is gevonden in de registratiegegevens voor het IP-blok. | IP-blok |
| ASN's | De ASN die is gekoppeld aan het IP-blok. | IP-blok |
| Land/regio | Het land/de regio van herkomst zoals gedetecteerd in de Whois-registratiegegevens voor het IP-blok. | IP-blok |
Onderwerp
De volgende gegevens zijn specifiek voor het onderwerp (dat wil gezegd de beveiligde entiteit) die is gekoppeld aan een SSL-certificaat.
| Naam | Definitie | Activumtypen |
|---|---|---|
| Algemene naam | De algemene naam van de uitgever van het onderwerp van het SSL-certificaat. | SSL-certificaat |
| Alternatieve namen | Alle alternatieve algemene namen voor het onderwerp van het SSL-certificaat. | SSL-certificaat |
| Organisatienaam | De organisatie die is gekoppeld aan het onderwerp van het SSL-certificaat. | SSL-certificaat |
| Organisatie-eenheid | Optionele metagegevens die de afdeling binnen een organisatie aangeeft die verantwoordelijk is voor het certificaat. | SSL-certificaat |
| Lokaliteit | Geeft de plaats aan waar de organisatie zich bevindt. | SSL-certificaat |
| Land/regio | Geeft het land/de regio aan waar de organisatie zich bevindt. | SSL-certificaat |
| Provincie | Geeft de staat of provincie aan waar de organisatie zich bevindt. | SSL-certificaat |
Verlener
De volgende gegevens zijn specifiek voor de uitgever van een SSL-certificaat.
| Naam | Definitie | Activumtypen |
|---|---|---|
| Algemene naam | De algemene naam van de uitgever van het certificaat. | SSL-certificaat |
| Alternatieve namen | Alle andere namen van de verlener. | SSL-certificaat |
| Organisatienaam | De naam van de organisatie die het uitgeven van een certificaat heeft ingedeeld. | SSL-certificaat |
| Organisatie-eenheid | Andere informatie over de organisatie die het certificaat heeft uitgegeven. | SSL-certificaat |
Gegevenstabbladen
In het rechterdeelvenster van de pagina met assetdetails hebben gebruikers toegang tot meer uitgebreide gegevens met betrekking tot de geselecteerde asset. Deze gegevens zijn ingedeeld in een reeks gecategoriseerde tabbladen. De beschikbare tabbladen met metagegevens worden gewijzigd, afhankelijk van het type asset dat u bekijkt.
Op bepaalde tabbladen wordt de wisselknop Alleen recent weergegeven in de rechterbovenhoek. Standaard worden in Defender EASM alle gegevens weergegeven die we voor elke asset hebben verzameld, inclusief historische waarnemingen die mogelijk niet actief worden uitgevoerd op uw huidige kwetsbaarheid voor aanvallen. Hoewel deze historische context zeer waardevol is voor bepaalde gebruiksscenario's, beperkt de wisselknop Alleen recent alle resultaten op de pagina Assetdetails tot de resultaten die het laatst op de asset zijn waargenomen. Het wordt aanbevolen om de wisselknop Alleen recent te gebruiken wanneer u alleen gegevens wilt weergeven die de huidige status van de asset vertegenwoordigen voor hersteldoeleinden.
Overzicht
Het tabblad Overzicht biedt meer context om ervoor te zorgen dat belangrijke inzichten snel kunnen worden geïdentificeerd wanneer u de details van een asset bekijkt. Deze sectie bevat belangrijke detectiegegevens voor alle assettypen. Het biedt inzicht in hoe Microsoft de asset toe wijst aan uw bekende infrastructuur.
Deze sectie kan ook dashboardwidgets bevatten die inzichten visualiseren die relevant zijn voor het betreffende assettype.
Detectieketen
De detectieketen geeft een overzicht van de waargenomen verbindingen tussen een detectiezaad en de asset. Met deze informatie kunnen gebruikers deze verbindingen visualiseren en beter begrijpen waarom een asset tot hun organisatie is bepaald.
In het voorbeeld ziet u dat het seed-domein is gekoppeld aan deze asset via het e-mailadres van de contactpersoon in de Whois-record. Hetzelfde e-mailadres voor contactpersonen is gebruikt om het IP-blok te registreren dat deze specifieke IP-adresasset bevat.
Detectie-informatie
Deze sectie bevat informatie over het proces dat wordt gebruikt om de asset te detecteren. Het bevat informatie over de detectie-seed die verbinding maakt met de asset en het goedkeuringsproces.
De volgende opties zijn beschikbaar:
- Goedgekeurde inventaris: Deze optie geeft aan dat de relatie tussen de seed en de gedetecteerde asset sterk genoeg was om een automatische goedkeuring door het Defender EASM-systeem te rechtvaardigen.
- Kandidaat: Deze optie geeft aan dat de asset handmatige goedkeuring vereist moet worden opgenomen in uw inventaris.
- Laatste detectieuitvoering: deze datum geeft aan wanneer de detectiegroep die de asset voor het laatst heeft gedetecteerd, voor het laatst is gebruikt voor een detectiescan.
IP-reputatie
Op het tabblad IP-reputatie wordt een lijst weergegeven met mogelijke bedreigingen die betrekking hebben op een bepaald IP-adres. In deze sectie vindt u een overzicht van gedetecteerde schadelijke of verdachte activiteiten die betrekking hebben op het IP-adres. Deze informatie is essentieel om inzicht te krijgen in de betrouwbaarheid van uw eigen aanvalsoppervlak. Deze bedreigingen kunnen organisaties helpen bij het achterhalen van eerdere of huidige beveiligingsproblemen in hun infrastructuur.
In de IP-reputatiegegevens van Defender EASM worden exemplaren weergegeven wanneer het IP-adres is gedetecteerd op een bedreigingslijst. De recente detectie in het volgende voorbeeld toont bijvoorbeeld aan dat het IP-adres betrekking heeft op een host die bekend staat om een cryptovaluta-mijnwerker uit te voeren. Deze gegevens zijn afgeleid van een verdachte hostlijst die wordt geleverd door CoinBlockers. Resultaten worden ingedeeld op de datum Laatst gezien om eerst de meest relevante detecties weer te geven.
In dit voorbeeld is het IP-adres aanwezig op een abnormaal hoog aantal bedreigingsfeeds. Deze informatie geeft aan dat de asset grondig moet worden onderzocht om schadelijke activiteiten in de toekomst te voorkomen.
Services
Het tabblad Services is beschikbaar voor IP-adres, domein en hostassets. Deze sectie bevat informatie over services die worden uitgevoerd op de asset. Het bevat IP-adressen, naam- en e-mailservers en open poorten die overeenkomen met andere typen infrastructuur (bijvoorbeeld externe toegangsservices).
De servicesgegevens van Defender EASM zijn essentieel om inzicht te krijgen in de infrastructuur die uw asset mogelijk maakt. Het kan u ook waarschuwen voor resources die beschikbaar zijn op het open internet die moeten worden beveiligd.
IP-adressen
In deze sectie vindt u inzicht in alle IP-adressen die worden uitgevoerd op de infrastructuur van de asset. Op het tabblad Services geeft Defender EASM de naam van het IP-adres en de datums Voor het eerst gezien en Laatst gezien . De kolom Recent geeft aan of het IP-adres is waargenomen tijdens de meest recente scan van de asset. Als deze kolom geen selectievakje bevat, is het IP-adres in eerdere scans gezien, maar wordt het momenteel niet uitgevoerd op de asset.
Mailservers
Deze sectie bevat een lijst met e-mailservers die op de asset worden uitgevoerd. Deze informatie geeft aan dat de asset e-mailberichten kan verzenden. In deze sectie geeft Defender EASM de naam van de e-mailserver en de datums Voor het eerst gezien en Laatst gezien . De kolom Recent geeft aan of de e-mailserver is gedetecteerd tijdens de meest recente scan van de asset.
Naamservers
In deze sectie worden alle naamservers weergegeven die op de asset worden uitgevoerd om een oplossing voor een host te bieden. In deze sectie geeft Defender EASM de naam van de e-mailserver en de datums Voor het eerst gezien en Laatst gezien . De kolom Recent geeft aan of de naamserver is gedetecteerd tijdens de meest recente scan van de asset.
Poorten openen
In deze sectie worden alle geopende poorten weergegeven die zijn gedetecteerd op de asset. Microsoft scant regelmatig ongeveer 230 afzonderlijke poorten. Deze gegevens zijn handig om onbeveiligde services te identificeren die niet toegankelijk moeten zijn vanaf het open internet. Deze services omvatten databases, IoT-apparaten en netwerkservices zoals routers en switches. Het is ook handig bij het identificeren van schaduw-IT-infrastructuur of onveilige externe toegangsservices.
In deze sectie geeft Defender EASM het geopende poortnummer, een beschrijving van de poort, de laatste status waarin deze is waargenomen en de datums Eerste gezien en Laatst gezien . De kolom Recent geeft aan of de poort is waargenomen als geopend tijdens de meest recente scan. Defender EASM beschouwt een poort 'open' wanneer ons systeem een syn-ack handshake kan voltooien die resulteert in toegewezen banners. Wanneer we een TCP-verbinding tot stand kunnen brengen, maar onze servicevingerafdruk niet kunnen voltooien, markeren we de poort als 'gefilterd'. Een 'gesloten' poort is nog steeds toegankelijk, maar er is geen service die luistert op de poort en weigert zo verbindingen.
Trackers
Trackers zijn unieke codes of waarden die worden gevonden op webpagina's en worden vaak gebruikt om gebruikersinteractie bij te houden. Deze codes kunnen worden gebruikt om een verschillende groep websites te correleren met een centrale entiteit. De trackergegevensset van Microsoft bevat id's van providers zoals Google, Yandex, Mixpanel, New Relic en Clicky en blijft groeien.
In deze sectie biedt Defender EASM het type tracker (bijvoorbeeld GoogleAnalyticsID), de unieke id-waarde en de datums Voor het eerst gezien en Laatst gezien .
Webonderdelen
Webonderdelen zijn details die de infrastructuur van een asset beschrijven zoals wordt waargenomen via een Microsoft-scan. Deze onderdelen bieden een algemeen begrip van de technologieën die op de asset worden gebruikt. Microsoft categoriseert de specifieke onderdelen en bevat indien mogelijk versienummers.
De sectie Webonderdelen bevat de categorie, naam en versie van het onderdeel en een lijst met toepasselijke CV's die moeten worden hersteld. Defender EASM biedt ook de datumkolommen First seen en Last seen date en een recente kolom. Een selectievakje geeft aan dat deze infrastructuur is waargenomen tijdens de meest recente scan van de asset.
Webonderdelen worden gecategoriseerd op basis van hun functie.
| Webonderdeel | Voorbeelden |
|---|---|
| Hostingprovider | hostingprovider.com |
| Server | Apache |
| DNS-server | ISC BIND |
| Gegevensopslag | MySQL, ElasticSearch, MongoDB |
| Externe toegang | OpenSSH, Microsoft-beheercentrum, Netscaler Gateway |
| Gegevensuitwisseling | Pure-FTPd |
| Internet of things (IoT) | HP Deskjet, Cisco Camera, Sonos |
| E-mailserver | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Netwerkapparaat | Cisco Router, Motorola WAP, ZyXEL Modem |
| Bouwbesturing | Linear eMerge, ASI Controls Weblink, Optergy |
Observaties
Op het tabblad Observatie worden inzichten weergegeven in het dashboard Aanvalsoppervlakprioriteiten die betrekking hebben op de asset. Deze prioriteiten kunnen zijn:
- Kritieke CV's.
- Bekende koppelingen naar gecompromitteerde infrastructuur.
- Gebruik van afgeschafte technologie.
- Schendingen van best practices voor infrastructuur.
- Nalevingsproblemen.
Zie Dashboards begrijpen voor meer informatie over waarnemingen. Voor elke observatie geeft Defender EASM de naam van de observatie op, categoriseert deze per type, wijst een prioriteit toe en vermeldt waar van toepassing zowel CVSS v2- als v3-scores.
Het tabblad Observaties bevat twee tabellen: Observaties en niet-toe te passen waarnemingen. Alle actieve waarnemingen die zijn vastgesteld als 'recent' binnen uw aanvalsoppervlak, bevinden zich in de tabel Waarnemingen, terwijl in de tabel Niet-toepasselijke observaties alle waarnemingen worden vermeld die handmatig als niet-van toepassing zijn gemarkeerd of door het systeem zijn bepaald dat ze niet meer van toepassing zijn. Als u waarnemingen wilt markeren als niet-van toepassing en daarom die specifieke observatie wilt uitsluiten van dashboardtelling, selecteert u de gewenste waarnemingen en klikt u op 'Instellen als niet-van toepassing'. De observaties verdwijnen onmiddellijk uit de actieve tabel Observaties en worden in plaats daarvan weergegeven in de tabel 'Niet-toepasselijke waarnemingen'. U kunt deze wijziging op elk gewenst moment herstellen door de relevante observatie(s) in deze tabel te selecteren en 'Instellen als van toepassing' te selecteren.
Verbonden assets
Met connected assets kunnen gebruikers grafisch koppelen en informatie verzamelen over assets voor onderzoeksanalyse. U kunt uw omgeving en de ingewikkelde relaties verkennen via relatietoewijzingen, die duidelijke en beknopte weergaven bieden. Zo kunt u verborgen verbindingen en mogelijke aanvalspaden identificeren. Door de relaties tussen assets en beveiligingsproblemen visueel toe te wijzen, kunt u de complexiteit van uw omgeving begrijpen en goed geïnformeerde beslissingen nemen om uw beveiligingspostuur te verbeteren en ktikpunten effectief toe te passen.
Op deze pagina worden alle assets die zijn verbonden met de opgegeven asset, geïdentificeerd in een lijst. De lijst bevat belangrijke informatie over elk beleid, waaronder:
- Asset: de geïdentificeerde verbonden asset.
- Soort: het type asset.
- Status: de status van de asset.
- Labels: labels die aan de asset zijn gekoppeld.
- Eerst gezien: toen de asset voor het eerst werd gedetecteerd.
- Laatst gezien: toen de asset voor het laatst is geïdentificeerd.
Op deze pagina kunt u verbonden assets wijzigen of verwijderen. U kunt de activalijst ook sorteren of filteren om de lijst met verbonden assets verder te categoriseren. U kunt ook een CSV-rapport van de vermelde assets downloaden. Alle toegepaste filters worden doorgevoerd in de CSV-export.
Resources
Het tabblad Resources biedt inzicht in alle JavaScript-resources die worden uitgevoerd op een pagina of hostasset. Indien van toepassing op een host, worden deze resources samengevoegd om het JavaScript weer te geven dat wordt uitgevoerd op alle pagina's op die host. Deze sectie bevat een inventaris van de JavaScript die op elke asset is gedetecteerd, zodat uw organisatie volledig inzicht heeft in deze resources en eventuele wijzigingen kan detecteren.
Defender EASM biedt de resource-URL, resourcehost, MD5-waarde en eerst geziene en laatst geziene datums om organisaties te helpen het gebruik van JavaScript-resources effectief te bewaken in hun inventaris.
SSL-certificaten
Certificaten worden gebruikt om de communicatie tussen een browser en een webserver via SSL te beveiligen. het gebruik van certificaten zorgt ervoor dat gevoelige gegevens tijdens overdracht niet kunnen worden gelezen, gemanipuleerd of vervalst. In deze sectie van Defender EASM worden alle SSL-certificaten vermeld die zijn gedetecteerd op de asset, inclusief belangrijke gegevens, zoals het probleem en de vervaldatums.
Whois
Het Whois-protocol wordt gebruikt om query's uit te voeren op de databases die gegevens opslaan die betrekking hebben op de registratie en het eigendom van internetbronnen. Whois bevat sleutelregistratiegegevens die kunnen worden toegepast op domeinen, hosts, IP-adressen en IP-blokken in Defender EASM. Op het tabblad Whois-gegevens biedt Microsoft een robuuste hoeveelheid informatie die is gekoppeld aan het register van de asset.
De volgende velden zijn opgenomen in de tabel in de sectie Waarden op het tabblad Whois .
| Veld | Beschrijving |
|---|---|
| Whois-server | Een server die is ingesteld door een door ICANN erkende registrar om actuele informatie te verkrijgen over entiteiten die ermee zijn geregistreerd. |
| Griffier | Het bedrijf waarvan de service is gebruikt om een activum te registreren. Populaire registrars zijn GoDaddy, Namecheap en HostGator. |
| Domeinstatus | Elke status voor een domein zoals ingesteld door het register. Deze statussen kunnen erop wijzen dat een domein in behandeling is voor verwijdering of overdracht door de registrar of actief is op internet. Dit veld kan ook de beperkingen van een asset aanduken. Client verwijderen is bijvoorbeeld verboden om aan te geven dat de registrar de asset niet kan verwijderen. |
| E-mailen | Alle e-mailadressen van contactpersonen die door de registrant worden verstrekt. Whois staat registranten toe om het contacttype op te geven. Opties zijn administratieve, technische, registrar- en registrarcontactpersonen. |
| Naam | De naam van een registrant, indien opgegeven. |
| Organisatie | De organisatie die verantwoordelijk is voor de geregistreerde entiteit. |
| Adres | Het adres van de registrant, indien opgegeven. |
| City | De stad vermeld in het adres van de registrant, indien verstrekt. |
| Provincie | De staat vermeld in het adres van de registrant, indien opgegeven. |
| Postal code | De postcode vermeld in het adres van de registrant, indien verstrekt. |
| Land/regio | Het land/de regio vermeld in het adres van de registrant, indien opgegeven. |
| Telefoon | Het telefoonnummer dat is gekoppeld aan een contactpersoon van een registrant, indien opgegeven. |
| Naamservers | Naamservers die zijn gekoppeld aan de geregistreerde entiteit. |
Veel organisaties kiezen ervoor om hun registergegevens te verdoezelen. Soms eindigen e-mailadressen van contactpersonen op @anonymised.email. Deze tijdelijke aanduiding wordt gebruikt in plaats van een echt contactadres. Veel velden zijn optioneel tijdens de registratieconfiguratie, dus elk veld met een lege waarde is niet opgenomen door de registrant.
Wijzigingsoverzicht
Op het tabblad Wijzigingsgeschiedenis wordt een lijst weergegeven met wijzigingen die in de loop van de tijd zijn toegepast op een asset. Met deze informatie kunt u deze wijzigingen in de loop van de tijd bijhouden en de levenscyclus van de asset beter begrijpen. Op dit tabblad worden verschillende wijzigingen weergegeven, waaronder maar niet beperkt tot assetstatussen, labels en externe id's. Voor elke wijziging vermelden we de gebruiker die de wijziging heeft geïmplementeerd en een tijdstempel.
