Compartilhar via

Visão geral da modificação de ativo

  • Artigo

Este artigo descreve como modificar ativos de estoque. Você pode alterar o estado de um ativo, atribuir uma ID externa ou aplicar rótulos para ajudar a fornecer contexto e usar dados de estoque. Você também pode marcar CVEs e outras observações como não aplicáveis para removê-las de suas contagens relatadas. Você também pode remover ativos de seu estoque em massa com base no método com o qual eles são descobertos. Por exemplo, os usuários podem remover uma semente de um grupo de descoberta e optar por remover todos os ativos descobertos por meio de uma conexão com essa semente. Este artigo descreve todas as opções de modificação disponíveis no GSAE do Defender e descreve como atualizar ativos e acompanhar todas as atualizações com o Gerenciador de Tarefas.

Rotular ativos

Os rótulos ajudam você a organizar sua superfície de ataque e aplicar o contexto de negócios de maneira personalizável. Você pode aplicar qualquer rótulo de texto a um subconjunto de ativos para agrupar ativos e fazer melhor uso do estoque. Os clientes geralmente categorizam ativos que:

  • Passaram recentemente a ser propriedade da sua organização por meio de uma fusão ou aquisição.
  • Exigem monitoramento de conformidade.
  • São pertencentes a uma unidade de negócios específica em sua organização.
  • São afetados por uma vulnerabilidade específica que requer mitigação.
  • Relacionam-se a uma determinada marca pertencente à organização.
  • Foram adicionados ao estoque dentro de um intervalo de tempo específico.

Os rótulos são campos de texto de formulário gratuitos, portanto, você pode criar um rótulo para qualquer caso de uso que se aplique à sua organização.

Captura de tela que mostra uma exibição de lista de estoque com uma coluna Rótulos filtrada.

Alterar o estado de um alerta

Os usuários também podem alterar o estado de um ativo. Os estados ajudam a categorizar seu estoque com base em sua função em sua organização. Os usuários podem alternar entre os seguintes estados:

  • Estoque aprovado: uma parte da superfície de ataque da sua propriedade; um item pelo qual você é diretamente responsável.
  • Dependência: infraestrutura que pertence a terceiros, mas faz parte da superfície de ataque porque dá suporte diretamente à operação de seus ativos. Por exemplo, você pode depender de um provedor de TI para hospedar seu conteúdo da Web. Embora o domínio, o nome do host e as páginas façam parte do seu "Inventário Aprovado", convém tratar o Endereço IP que executa o host como uma "Dependência".
  • Somente Monitorar: um ativo que é relevante para sua superfície de ataque, mas não é controlado diretamente pela sua organização, nem por uma dependência técnica. Por exemplo, franqueados independentes ou ativos pertencentes a empresas relacionadas podem ser rotulados com o estado "Somente Monitorar", em vez de "Inventário Aprovado", para separar os grupos para fins de relatório.
  • Candidato: um ativo que tem alguma relação com os ativos de sementes conhecidos da sua organização, mas não tem uma conexão forte o suficiente para rotulá-lo imediatamente como "Estoque Aprovado." Esses ativos candidatos devem ser examinados manualmente para determinar a propriedade.
  • Exige Investigação: um estado semelhante aos estados "Candidato", mas esse valor é aplicado a ativos que exigem investigação manual para validação. Isso é determinado com base em nossas pontuações de confiança geradas internamente que avaliam a força das conexões detectadas entre os ativos. Isso não indica exatamente a relação da infraestrutura com a organização, mas sim que esse ativo foi sinalizado como necessitando de uma revisão adicional para determinar como ele deve ser categorizado.

Aplicar uma ID externa

Os usuários também podem aplicar uma ID externa a um ativo. Essa ação é útil em situações em que você emprega várias soluções para acompanhamento de ativos, atividades de correção ou monitoramento de propriedade. Ver quaisquer IDs externas no GSAE do Defender ajuda você a alinhar essas informações de ativos diferentes. Os valores de ID externa podem ser numéricos ou alfanuméricos e devem ser inseridos no formato de texto. As IDs externas também são exibidas na seção Detalhes do Ativo.

Marcar a observação como não aplicável

Muitos painéis do GSAE do Defender apresentam dados CVE, trazendo sua atenção para possíveis vulnerabilidades com base na infraestrutura de componentes da Web que alimenta sua superfície de ataque. Por exemplo, os CVEs estão listados no painel de resumo do da Superfície Ataque, categorizado por sua severidade potencial. Ao investigar esses CVEs, você pode determinar que alguns não são relevantes para sua organização. Isso pode ocorrer porque você está executando uma versão não espaçada do componente Web ou sua organização tem soluções técnicas diferentes para protegê-lo dessa vulnerabilidade específica.

No modo de exibição Fazer busca detalhada de qualquer gráfico relacionado à CVE, ao lado do botão "Baixar relatório CSV", agora você tem a opção de definir uma observação como não aplicável. Clicar nesse valor roteia você para uma lista de estoque de todos os ativos associados a essa observação e, em seguida, você pode optar por marcar todas as observações como não aplicáveis a partir desta página. A alteração real é executada no modo de exibição de lista estoque ou na página de detalhes do ativo para um ativo específico.

Captura de tela do modo de exibição Fazer busca detalhada do painel com o botão

Como modificar ativos

Você pode modificar ativos das páginas de detalhes da lista de estoque e do ativo. Você pode fazer alterações em um único ativo na página de detalhes do ativo. Você pode fazer alterações em um único ativo ou vários ativos na página de lista de estoque. As seções a seguir descrevem como aplicar alterações das duas exibições de estoque, dependendo do caso de uso.

Página de lista de estoque

Você deve modificar ativos da página de lista de estoque se quiser atualizar vários ativos ao mesmo tempo. Você pode refinar sua lista de ativos com base em parâmetros de filtro. Esse processo ajuda você a identificar ativos que devem ser categorizados com o rótulo, a ID externa ou a alteração de estado desejada. Para modificar os ativos dessa página:

  1. No painel mais à esquerda do recurso do Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (GSAE do Defender), selecione estoque.

  2. Aplique filtros para produzir os resultados pretendidos. Nesse exemplo, estamos procurando domínios que expiram dentro de 30 dias que exigem renovação. O rótulo aplicado ajuda você a acessar mais rapidamente todos os domínios expirando para simplificar o processo de correção. Você pode aplicar quantos filtros forem necessários para obter os resultados específicos necessários. Para obter mais informações sobre filtros, consulte visão geral dos filtros de estoque. Para instâncias em que você gostaria de marcar CVEs como não aplicáveis, a busca detalhada de gráfico do painel relevante fornece um link que o encaminha diretamente para esta página estoque com os filtros corretos aplicados.

    Captura de tela que mostra a exibição de lista de estoque com a lista suspensa Adicionar filtro aberta para exibir o editor de consultas.

  3. Depois que sua lista de estoque for filtrada, selecione a lista suspensa na caixa de seleção ao lado do cabeçalho da tabela Ativo. Esta lista suspensa oferece a opção de selecionar todos os resultados que correspondem à sua consulta ou aos resultados nessa página específica (até 25). A opção Nenhum limpa todos os ativos. Você também pode optar por selecionar apenas resultados específicos na página selecionando as marcas de seleção individuais ao lado de cada ativo.

    Captura de tela que mostra a exibição de lista de estoque com a lista suspensa de seleção em massa aberta.

  4. Selecione Modificar ativos.

    Captura de tela que mostra as opções de modificação disponíveis.

  5. No painel Modificar Ativos que é aberto no lado direito da tela, você pode alterar rapidamente vários campos para os ativos selecionados. Para este exemplo, você criará um novo rótulo. Selecione Criar um novo rótulo.

  6. Determine o nome do rótulo e exiba os valores de texto. O nome do rótulo não pode ser alterado depois que você criar o rótulo inicialmente, mas o texto de exibição pode ser editado posteriormente. O nome do rótulo é usado para consultar o rótulo na interface do produto ou por meio da API, portanto, as edições são desabilitadas para garantir que essas consultas funcionem corretamente. Para editar o nome de um rótulo, você precisa excluir o rótulo original e criar um novo.

    Selecione uma cor para o novo rótulo e selecione Adicionar. Essa ação leva você de volta à tela Modificar Ativos.

    Captura de tela que mostra o painel Adicionar rótulo que exibe os campos de configuração.

  7. Aplique o novo rótulo aos ativos. Clique dentro da caixa de texto Adicionar rótulos para visualizar uma lista completa de rótulos disponíveis. Ou você pode digitar dentro da caixa para pesquisar por palavra-chave. Depois de selecionar os rótulos que deseja aplicar, selecione Atualizar.

    Captura de tela que mostra o painel Modificar Ativo com o rótulo recém-criado aplicado.

  8. Espere alguns instantes para que os rótulos sejam aplicados. Após a conclusão do processo, você verá uma notificação de "Concluído". A página é atualizada automaticamente e exibe sua lista de ativos com os rótulos visíveis. Uma faixa na parte superior da tela confirma que seus rótulos foram aplicados.

    Captura de tela que mostra a exibição de lista de estoque com os ativos selecionados agora exibindo o novo rótulo.

Página de detalhes do ativo

Você também pode modificar um único ativo da página de detalhes do ativo. Essa opção é ideal para situações em que os ativos precisam ser analisados minuciosamente antes que uma alteração de rótulo ou estado seja aplicada.

  1. No painel mais à esquerda do recurso do GSAE do Defender, selecione Estoque.

  2. Selecione o ativo específico que você deseja modificar para abrir a página de detalhes do ativo.

  3. Nesta página, selecione Modificar ativo.

    Captura de tela que mostra a página de detalhes do ativo com o botão Modificar ativo realçado.

  4. Siga as etapas de 5 a 7 na seção "Página da lista de estoque".

  5. A página de detalhes do ativo atualiza e exibe o rótulo recém-aplicado ou a alteração de estado. Uma faixa indica que o ativo foi atualizado com êxito.

Modificar, remover ou excluir rótulos

Os usuários podem remover um rótulo de um ativo acessando o mesmo painel Modificar ativos da lista de estoque ou do modo de exibição detalhes do ativo. No modo de exibição de lista de estoque, você pode selecionar vários ativos de uma só vez e, em seguida, adicionar ou remover o rótulo desejado em uma ação.

Para modificar o próprio rótulo ou excluir um rótulo do sistema:

  1. No painel mais à esquerda do recurso do GSAE do Defender, selecione Rótulos (Versão Prévia).

    Captura de tela que mostra a página Rótulos (Versão Prévia) que habilita o gerenciamento de rótulos.

    Esta página exibe todos os rótulos no estoque do GSAE do Defender. Os rótulos nesta página podem existir no sistema, mas não serão aplicados ativamente a nenhum ativo. Você também pode adicionar novos rótulos a partir desta página.

  2. Para editar um rótulo, selecione o ícone de lápis na coluna Ações do rótulo que você deseja editar. Um painel é aberto no lado direito da tela, onde você pode modificar o nome ou a cor de um rótulo. Selecione Atualizar.

  3. Para remover um rótulo, selecione o ícone de lixeira da coluna Ações do rótulo que você deseja excluir. Selecione Remover Rótulo.

    Captura de tela que mostra a opção Confirmar Remoção na página de gerenciamento de Rótulos.

A página Rótulos é atualizada automaticamente. O rótulo é removido da lista e também removido de todos os ativos que tiveram o rótulo aplicado. Uma faixa confirma a remoção.

Marcar observações como não aplicáveis

Embora as observações possam ser marcadas como não aplicáveis nas mesmas telas "Modificar ativos" para outras alterações manuais, você também pode fazer essas atualizações na guia Observações nos Detalhes do ativo. A guia Observações apresenta duas tabelas: Observações e Observações não aplicáveis. Todas as observações ativas determinadas como "recentes" em sua superfície de ataque estão na tabela Observações, enquanto a tabela observações não aplicáveis lista quaisquer observações que foram marcadas manualmente como não aplicáveis ou que foram determinadas pelo sistema como não mais aplicáveis. Para marcar observações como não aplicáveis e, portanto, excluir essa observação específica das contagens de painel, basta selecionar as observações desejadas e clicar em "Definir como não aplicável". Essas observações desaparecem imediatamente da tabela Observações ativas e, em vez disso, aparecem na tabela "Observações não aplicáveis". Você pode reverter essa alteração a qualquer momento selecionando as observações relevantes desta tabela e selecionando "Definir conforme aplicável".

Captura de tela que mostra a guia Observações com vários CVEs selecionados para serem marcados como não aplicáveis.

Gerenciador de Tarefas e notificações

Depois que uma tarefa é enviada, uma notificação confirma que a atualização está em andamento. Em qualquer página do Azure, selecione o ícone de notificação (sino) para ver mais informações sobre tarefas recentes.

Captura de tela que mostra a notificação de Tarefa enviada.Captura de tela que mostra o painel Notificações que exibe o status da tarefa recente.

O sistema do GSAE do Defender pode levar segundos para atualizar um punhado de ativos ou minutos para atualizar milhares. Você pode usar o Gerenciador de Tarefas para verificar o status de qualquer tarefa de modificação em andamento. Esta seção descreve como acessar o Gerenciador de Tarefas e usá-lo para entender melhor a conclusão das atualizações enviadas.

  1. No painel mais à esquerda do recurso do GSAE do Defender, selecione Gerenciador de Tarefas.

    Captura de tela que mostra a página gerenciador de tarefas com a seção apropriada no painel de navegação realçada.

  2. Essa página exibe todas as suas tarefas recentes e seu status. As tarefas são listadas como Concluídas, Com Falha ou Em Andamento. Uma porcentagem de conclusão e uma barra de progresso também aparecem. Para ver mais detalhes sobre uma tarefa específica, selecione o nome da tarefa. Um painel é aberto no lado direito da tela que fornece mais informações.

  3. Selecione Atualizar para ver o status mais recente de todos os itens no Gerenciador de Tarefas.

Filtrar rótulos

Depois de rotular ativos em seu estoque, você pode usar filtros de estoque para recuperar uma lista de todos os ativos com um rótulo específico aplicado.

  1. No painel mais à esquerda do recurso do GSAE do Defender, selecione Estoque.

  2. Selecione Adicionar filtro.

  3. Selecione Rótulos na lista suspensa Filtro. Selecione um operador e escolha um rótulo na lista suspensa de opções. O exemplo a seguir mostra como pesquisar um único rótulo. Você pode usar o operador In para pesquisar vários rótulos. Para obter mais informações sobre filtros, consulte a visão geral dos filtros de estoque.

    Captura de tela que mostra o editor de consultas usado para aplicar filtros, exibindo o filtro Rótulos com possíveis valores de rótulo em uma lista suspensa.

  4. Escolha Aplicar. A página de lista de estoque recarrega e exibe todos os ativos que correspondem aos seus critérios.

Gerenciamento baseado em cadeia de ativos

Em alguns casos, talvez você queira remover vários ativos de uma só vez com base nos meios com os quais eles foram descobertos. Por exemplo, você pode determinar que uma determinada semente em um grupo de descoberta efetuou pull de ativos que não são relevantes para sua organização ou talvez seja necessário remover ativos relacionados a uma subsidiária que não está mais sob sua visão. Por esse motivo, o GSAE do Defender oferece a capacidade de remover a entidade de origem e quaisquer ativos "downstream" na cadeia de descoberta. Você pode excluir ativos vinculados com os três métodos a seguir:

  • Gerenciamento baseado em semente: os usuários podem excluir uma semente que já foi incluída em um grupo de descoberta, removendo todos os ativos que foram introduzidos no estoque por meio de uma conexão observada com a semente especificada. Esse método é útil quando você pode determinar que uma semente inserida manualmente específica resultou em ativos indesejados sendo adicionados ao estoque.
  • Gerenciamento da cadeia de descoberta: os usuários podem identificar um ativo dentro de uma cadeia de descoberta e excluí-lo, removendo simultaneamente todos os ativos descobertos por essa entidade. A descoberta é um processo recursivo; ela verifica as sementes para identificar novos ativos diretamente associados a essas sementes designadas e continua examinando as entidades recém-descobertas para revelar mais conexões. Essa abordagem de exclusão é útil quando seu grupo de descoberta está configurado corretamente, mas você precisa remover um ativo recém-descoberto e todos os ativos trazidos para o estoque por associação a essa entidade. Considere as configurações do grupo de descoberta e as sementes designadas como o "topo" da cadeia de descoberta; essa abordagem de exclusão permite que você remova ativos do meio.
  • Gerenciamento de grupo de descoberta: os usuários podem remover grupos de descoberta inteiros e todos os ativos que foram introduzidos no estoque por meio desse grupo de descoberta. Isso é útil quando um grupo de descoberta inteiro não é mais aplicável à sua organização. Por exemplo, você pode ter um grupo de descoberta que pesquisa especificamente ativos relacionados a uma subsidiária. Se essa subsidiária não for mais relevante para sua organização, você poderá aproveitar o gerenciamento baseado em cadeia de ativos para excluir todos os ativos trazidos ao estoque por meio desse grupo de descoberta.

Você ainda pode exibir ativos removidos no GSAE do Defender. Basta filtrar sua lista de estoque para ativos no estado "Arquivado".

Exclusão baseada em semente

Você pode decidir que uma de suas sementes de descoberta inicialmente designadas não deve mais ser incluída em um grupo de descoberta. A semente pode não ser mais relevante para sua organização ou pode estar trazendo mais falsos positivos do que ativos legítimos de propriedade. Nessa situação, você pode remover a semente do Grupo de Descoberta para impedir que ela seja usada em execuções futuras de descoberta, removendo simultaneamente todos os ativos que foram levados ao estoque por meio da semente designada no passado.

Para executar uma remoção em massa com base em uma semente, encaminhe para a página de detalhes apropriada do Grupo de Descoberta e clique em "Editar grupo de descoberta". Siga os prompts para acessar a página Sementes e remova a semente problemática da lista. Ao selecionar "Examinar + Atualizar", você verá um aviso que indica que todos os ativos descobertos por meio da semente designada também serão removidos. Selecione "Atualizar" ou "Atualizar e Executar" para concluir a exclusão.

Captura de tela que mostra a página Editar Grupo de Descoberta com um aviso indicando a remoção de uma semente e todos os ativos descobertos por meio dessa semente.

Exclusão baseada em cadeia de descoberta

No exemplo a seguir, imagine que você descobriu um formulário de logon inseguro no painel Resumo da Superfície de Ataque. Sua investigação encaminha você para um host que não parece pertencer à sua organização. Você exibe a página de detalhes do ativo para obter mais informações; ao examinar a cadeia de descoberta, você aprenderá que o host foi colocado no estoque porque o domínio correspondente foi registrado usando o endereço de email corporativo de um funcionário que também foi usado para registrar entidades de negócios aprovadas.

Captura de tela que mostra a página Detalhes do Ativo com a seção Cadeia de Descoberta realçada.

Nessa situação, a semente de descoberta inicial (o domínio corporativo) ainda é legítima, portanto, precisamos remover um ativo problemático da cadeia de descoberta. Embora possamos executar a exclusão de cadeia do email de contato, em vez disso, optaremos por remover tudo o que está associado ao domínio pessoal registrado para esse funcionário para que o GSAE do Defender nos alerte sobre quaisquer outros domínios registrados nesse endereço de email no futuro. Na cadeia de descoberta, selecione esse domínio pessoal para exibir a página de detalhes do ativo. Nesse modo de exibição, selecione "Remover da cadeia de descoberta" para remover o ativo do estoque, bem como todos os ativos trazidos para o estoque devido a uma conexão observada com o domínio pessoal. Você precisa confirmar a remoção do ativo e todos os ativos downstream e, em seguida, é apresentado com uma lista resumida dos outros ativos que são removidos com essa ação. Selecione "Remover cadeia de descoberta" para confirmar a remoção em massa.

Captura de tela que mostra a caixa que solicita aos usuários que confirmem a remoção do ativo atual e todos os ativos downstream, com um resumo dos outros ativos removidos com essa ação.

Exclusão de grupo de descoberta

Talvez seja necessário excluir e todo o grupo de descoberta e todos os ativos descobertos por meio do grupo. Por exemplo, sua empresa pode ter vendido uma subsidiária que não precisa mais ser monitorada. Os usuários podem excluir grupos de descoberta da página de gerenciamento de descoberta. Para remover um grupo de descoberta e todos os ativos relacionados, selecione o ícone de lixeira ao lado do grupo apropriado na lista. Você receberá um aviso que lista um resumo dos ativos que serão removidos com essa ação. Para confirmar a exclusão do grupo de descoberta; e todos os ativos relacionados, selecione "Remover grupo de descoberta".

Captura de tela que mostra a página Gerenciamento de descoberta, com a caixa de aviso que aparece após a eleição para excluir um grupo realçado.

Próximas etapas