Delen via

Detectie gebruiken en beheren

  • Artikel

Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (Defender EASM) is afhankelijk van eigen detectietechnologie om continu het unieke kwetsbaarheid voor aanvallen op internet van uw organisatie te definiëren. Detectie scant internet op assets die eigendom zijn van uw organisatie om eerder onbekende en niet-bewaakte eigenschappen te ontdekken.

Gedetecteerde assets worden geïndexeerd in uw inventaris om via één deelvenster glas een dynamisch systeem van record van webtoepassingen, afhankelijkheden van derden en webinfrastructuur te bieden.

Voordat u een aangepaste detectie uitvoert, raadpleegt u Wat is detectie? om inzicht te hebben in de belangrijkste concepten die hier worden besproken.

Toegang tot uw geautomatiseerde aanvalsoppervlak

Microsoft heeft de kwetsbaarheid voor aanvallen van veel organisaties vooraf geconfigureerd, waarbij hun eerste aanvalsoppervlak wordt toegewezen door infrastructuur te detecteren die is verbonden met bekende assets.

U wordt aangeraden te zoeken naar de kwetsbaarheid voor aanvallen van uw organisatie voordat u een aangepast aanvalsoppervlak maakt en andere ontdekkingen uitvoert. Met dit proces kunt u snel toegang krijgen tot uw inventaris wanneer Defender EASM de gegevens vernieuwt en meer assets en recente context toevoegt aan uw kwetsbaarheid voor aanvallen.

Wanneer u uw Defender EASM-exemplaar voor het eerst opent, selecteert u Aan de slag in de sectie Algemeen om te zoeken naar uw organisatie in de lijst met geautomatiseerde kwetsbaarheid voor aanvallen. Kies vervolgens uw organisatie in de lijst en selecteer Mijn aanvalsoppervlak bouwen.

Screenshot that shows a preconfigured attack surface selection screen.

Op dit moment wordt de detectie op de achtergrond uitgevoerd. Als u een vooraf geconfigureerd aanvalsoppervlak hebt geselecteerd in de lijst met beschikbare organisaties, wordt u omgeleid naar het dashboardoverzichtsscherm, waar u inzichten kunt bekijken in de infrastructuur van uw organisatie in de preview-modus.

Bekijk deze dashboardinzichten om vertrouwd te raken met uw kwetsbaarheid voor aanvallen wanneer u wacht tot er meer assets zijn gedetecteerd en ingevuld in uw inventaris. Zie Dashboards begrijpen voor meer informatie over het afleiden van inzichten uit deze dashboards.

U kunt aangepaste detecties uitvoeren om uitbijterassets te detecteren. U hebt bijvoorbeeld ontbrekende assets. Of misschien hebt u andere entiteiten om te beheren die mogelijk niet worden gedetecteerd via infrastructuur die duidelijk is gekoppeld aan uw organisatie.

Detectie aanpassen

Aangepaste ontdekkingen zijn ideaal als uw organisatie meer inzicht nodig heeft in de infrastructuur die mogelijk niet onmiddellijk is gekoppeld aan uw primaire seed-assets. Door een grotere lijst met bekende assets in te dienen om te werken als detectiezaden, retourneert de detectie-engine een grotere groep assets. Aangepaste detectie kan uw organisatie ook helpen bij het vinden van verschillende infrastructuur die betrekking kan hebben op onafhankelijke bedrijfseenheden en overgenomen bedrijven.

Detectiegroepen

Aangepaste detecties zijn ingedeeld in detectiegroepen. Het zijn onafhankelijke seed-clusters die één detectieuitvoering vormen en volgens hun eigen terugkeerschema's werken. U organiseert uw detectiegroepen om assets op welke manier dan ook het beste te beschrijven voor uw bedrijf en werkstromen. Veelvoorkomende opties zijn het organiseren door het verantwoordelijke team of bedrijfsonderdeel, merken of dochterondernemingen.

Een detectiegroep maken

  1. Selecteer Detectie in het meest linkse deelvenster onder Beheren.

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. Op de pagina Detectie wordt standaard uw lijst met detectiegroepen weergegeven. Deze lijst is leeg wanneer u het platform voor het eerst opent. Als u uw eerste detectie wilt uitvoeren, selecteert u Detectiegroep toevoegen.

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. Geef uw nieuwe detectiegroep een naam en voeg een beschrijving toe. Met het veld Terugkerende frequentie kunt u detectieuitvoeringen voor deze groep plannen door continu te scannen op nieuwe activa die zijn gerelateerd aan de aangewezen zaden. De standaardselectie terugkeerpatroon is Wekelijks. We raden deze frequentie aan om ervoor te zorgen dat de assets van uw organisatie regelmatig worden bewaakt en bijgewerkt.

    Voor één eenmalige detectieuitvoering selecteert u Nooit. U wordt aangeraden de standaardfrequentie wekelijks te behouden, omdat detectie is ontworpen om continu nieuwe assets te detecteren die zijn gerelateerd aan uw bekende infrastructuur. U kunt de frequentie van het terugkeerpatroon later bewerken door de optie Bewerken te selecteren op een pagina met details van de Discovery-groep.

  4. Selecteer Volgende: Zaden.

    Screenshot that shows the first page of the discovery group setup.

  5. Selecteer de zaden die u wilt gebruiken voor deze detectiegroep. Zaden zijn bekende activa die deel uitmaken van uw organisatie. Het Defender EASM-platform scant deze entiteiten en wijst hun verbindingen toe aan andere onlineinfrastructuur om uw kwetsbaarheid voor aanvallen te maken. Aangezien Defender EASM is bedoeld om uw aanvalsoppervlak vanuit een extern perspectief te bewaken, kunnen privé-IP-adressen niet worden opgenomen als detectiezaden.

    Screenshot that shows the seed selection page of the discovery group setup.

    Met de optie Aan de slag kunt u zoeken naar uw organisatie in een lijst met vooraf ingevulde kwetsbaarheid voor aanvallen. U kunt snel een detectiegroep maken op basis van de bekende assets die deel uitmaken van uw organisatie.

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    U kunt ook handmatig uw zaden invoeren. Defender EASM accepteert organisatienamen, domeinen, IP-blokken, hosts, e-mailcontactpersonen, ASN's en Wie organisaties als seed-waarden.

    U kunt ook entiteiten opgeven die moeten worden uitgesloten van assetdetectie om ervoor te zorgen dat ze niet aan uw inventaris worden toegevoegd als ze worden gedetecteerd. Uitsluitingen zijn bijvoorbeeld handig voor organisaties die dochterondernemingen hebben die waarschijnlijk zijn verbonden met hun centrale infrastructuur, maar die niet tot hun organisatie behoren.

    Nadat uw zaden zijn geselecteerd, selecteert u Beoordelen en maken.

  6. Controleer uw groepsgegevens en seed-lijst en selecteer Maken & Uitvoeren.

    Screenshot that shows the Review + Create screen.

    U gaat terug naar de hoofdpagina voor detectie waarin uw detectiegroepen worden weergegeven. Nadat de detectieuitvoering is voltooid, ziet u nieuwe assets die zijn toegevoegd aan uw goedgekeurde inventaris.

Detectiegroepen weergeven en bewerken

U kunt uw detectiegroepen beheren vanaf de hoofdpagina voor detectie . In de standaardweergave wordt een lijst weergegeven met al uw detectiegroepen en enkele belangrijke gegevens over elke groep. In de lijstweergave ziet u het aantal zaden, het terugkeerschema, de laatste uitvoeringsdatum en de gemaakte datum voor elke groep.

Screenshot that shows the discovery groups screen.

Selecteer een detectiegroep om meer informatie weer te geven, de groep te bewerken of een nieuw detectieproces te starten.

Uitvoergeschiedenis

De pagina met details van de detectiegroep bevat de uitvoeringsgeschiedenis voor de groep. In deze sectie wordt belangrijke informatie weergegeven over elke detectieuitvoering die is uitgevoerd op de specifieke groep zaden. De kolom Status geeft aan of de uitvoering wordt uitgevoerd, voltooid of mislukt. Deze sectie bevat ook gestarte en voltooide tijdstempels en een telling van alle nieuwe assets die zijn toegevoegd aan uw inventaris na die specifieke detectieuitvoering. Dit aantal omvat alle activa die in voorraad zijn gebracht, ongeacht de status of factureerbare status.

De uitvoeringsgeschiedenis wordt georganiseerd door de seed-assets die zijn gescand tijdens de detectieuitvoering. Als u een lijst met de toepasselijke zaden wilt zien, selecteert u Details. Aan de rechterkant van het scherm wordt een deelvenster geopend met alle zaden en uitsluitingen op soort en naam.

Screenshot that shows the run history for the discovery group screen.

Zaden en uitsluitingen weergeven

De detectiepagina is standaard ingesteld op een lijstweergave van detectiegroepen, maar u kunt ook lijsten met alle zaden en uitgesloten entiteiten van deze pagina weergeven. Selecteer een tabblad om een lijst weer te geven met alle zaden of uitsluitingen die uw detectiegroepen mogelijk maken.

Zaden

In de lijstweergave seed worden seed-waarden weergegeven met drie kolommen: Type, Bronnaam en Detectiegroepen. In het veld Type wordt de categorie van de seed-asset weergegeven. De meest voorkomende zaden zijn domeinen, hosts en IP-blokken. U kunt ook e-mailcontactpersonen, ASN's, algemene namen van certificaten of Wie organisaties gebruiken.

De bronnaam is de waarde die is ingevoerd in het juiste typevak toen u de detectiegroep maakte. In de laatste kolom ziet u een lijst met detectiegroepen die gebruikmaken van de seed. Elke waarde kan worden geklikt en brengt u naar de detailpagina voor die detectiegroep.

Wanneer u zaden invoert, moet u de juiste indeling voor elk item valideren. Wanneer u de detectiegroep opslaat, voert het platform een reeks validatiecontroles uit en waarschuwt u voor onjuist geconfigureerde zaden. IP-blokken moeten bijvoorbeeld worden ingevoerd op netwerkadres (bijvoorbeeld het begin van het IP-bereik).

Screenshot that shows the Seeds view of a discovery page.

Uitsluitingen

Op dezelfde manier kunt u het tabblad Uitsluitingen selecteren om een lijst weer te geven met entiteiten die zijn uitgesloten van de detectiegroep. Deze assets worden niet gebruikt als detectiezaden of worden toegevoegd aan uw inventaris. Uitsluitingen zijn alleen van invloed op toekomstige detectieuitvoeringen voor een afzonderlijke detectiegroep.

In het veld Type wordt de categorie van de uitgesloten entiteit weergegeven. De bronnaam is de waarde die is ingevoerd in het juiste typevak toen u de detectiegroep maakte. In de laatste kolom ziet u een lijst met detectiegroepen waarin deze uitsluiting aanwezig is. Elke waarde kan worden geklikt en brengt u naar de detailpagina voor die detectiegroep.

Volgende stappen