Udostępnij za pośrednictwem


Omówienie Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender

Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender (Defender EASM) stale odnajduje i mapuje obszar ataków cyfrowych, aby zapewnić zewnętrzny widok infrastruktury online.

Usługa Defender EASM zapewnia zespołom ds. zabezpieczeń i IT niezbędną widoczność, aby ułatwić im identyfikowanie nieznanych informacji, określanie priorytetów ryzyka, eliminowanie zagrożeń oraz rozszerzanie kontroli nad lukami w zabezpieczeniach i narażeniu poza zaporę. Szczegółowe informacje o powierzchni ataków są generowane przy użyciu luk w zabezpieczeniach i danych infrastruktury w celu zaprezentowania kluczowych obszarów zainteresowania dla organizacji.

Zrzut ekranu przedstawiający pulpit nawigacyjny Przegląd w programie Defender EASM.

Odnajdywanie i spis

Zastrzeżona technologia odnajdywania firmy Microsoft rekursywnie wyszukuje infrastrukturę za pośrednictwem obserwowanych połączeń ze znanymi wiarygodnymi aktywami. To sprawia, że wnioskowanie dotyczące relacji tej infrastruktury z organizacją w celu odkrycia wcześniej nieznanych i niemonitorowanych właściwości. Te znane uzasadnione aktywa są nazywane nasionami odnajdywania. Usługa Defender EASM najpierw odnajduje silne połączenia z tymi wybranymi jednostkami, a następnie powraca, aby odsłonić więcej połączeń i ostatecznie skompilować obszar ataków.

Odnajdywanie usługi Defender EASM obejmuje następujące rodzaje zasobów:

  • Domeny
  • Bloki adresów IP
  • Hosts
  • Kontaktowe adresy e-mail
  • Numery systemu autonomicznego (ASN)
  • Organizacje Whois

Zrzut ekranu przedstawiający okienko Odnajdywanie.

Odnalezione zasoby są indeksowane i klasyfikowane w spisie eaSM usługi Defender, aby zapewnić dynamiczny rekord całej infrastruktury internetowej w ramach zarządzania. Zasoby są klasyfikowane jako ostatnie (obecnie aktywne) lub historyczne. Mogą one obejmować aplikacje internetowe, zależności innych firm i inne połączenia zasobów.

Pulpity nawigacyjne

Usługa Defender EASM używa pulpitów nawigacyjnych, aby szybko zrozumieć infrastrukturę online i wszelkie kluczowe zagrożenia dla organizacji. Pulpity nawigacyjne zostały zaprojektowane w celu zapewnienia wglądu w konkretne obszary ryzyka, w tym luki w zabezpieczeniach, zgodność i higienę zabezpieczeń. Te szczegółowe informacje ułatwiają szybkie rozwiązywanie problemów ze składnikami powierzchni ataków, które stanowią największe ryzyko dla organizacji.

Zrzut ekranu przedstawiający pulpit nawigacyjny i okienko Stan zabezpieczeń.

Zarządzanie zasobami

Spis można filtrować, aby wyświetlić szczegółowe informacje, które są najważniejsze dla Ciebie i Twojej organizacji. Filtrowanie zapewnia elastyczność i dostosowywanie, aby ułatwić dostęp do określonego podzestawu zasobów. Filtrowanie powoduje również, że usługa Defender EASM będzie działać dla konkretnego przypadku użycia, niezależnie od tego, czy szukasz zasobów łączących się z przestarzałą infrastrukturą, czy identyfikując nowe zasoby w chmurze.

Zrzut ekranu przedstawiający okienko Spis.

Uprawnienia użytkownika

Użytkownik w organizacji, któremu przypisano rolę Właściciel lub Współautor, może tworzyć, usuwać i edytować zasoby EASM usługi Defender oraz zasoby spisu w zasobie. Role Właściciel i Współautor mają uprawnienia do korzystania ze wszystkich funkcji i możliwości platformy.

Użytkownik, któremu przypisano rolę Czytelnik, może wyświetlać dane eaSM usługi Defender, ale nie może tworzyć, usuwać ani edytować zasobu ani zasobu spisu.

Miejsce przechowywania, dostępność i prywatność danych

Usługa Microsoft Defender EASM zawiera zarówno dane globalne, jak i dane specyficzne dla klienta. Podstawowe dane internetowe to dane globalne pochodzące z firmy Microsoft. Etykiety stosowane przez klientów są traktowane jako dane klientów. Dane klienta są przechowywane w wybranym regionie.

Ze względów bezpieczeństwa firma Microsoft zbiera adres IP użytkownika, gdy użytkownik się zaloguje. Adres IP jest przechowywany przez maksymalnie 30 dni, ale może być przechowywany dłużej, jeśli jest potrzebny do zbadania potencjalnych fałszywych lub złośliwych zastosowań produktu.

Jeśli region świadczenia usługi Azure nie działa, dotyczy to tylko klientów usługi Defender EASM w tym regionie. Usługi i dane w innych regionach świadczenia usługi Azure nadal są aktywne.

Jeśli organizacja nie jest już klientem firmy Microsoft, struktura zgodności firmy Microsoft wymaga usunięcia wszystkich danych klienta w ciągu 180 dni. Te zasady obejmują dane klientów przechowywane w lokalizacjach offline, takie jak kopie zapasowe bazy danych. Po usunięciu zasobu nie można go przywrócić przez nasze zespoły. Dane klienta są przechowywane w naszych magazynach danych przez kolejne 75 dni, ale nie można przywrócić rzeczywistego zasobu. Po upływie 75-dniowego okresu dane klientów zostaną trwale usunięte.