Entenda os detalhes dos ativos
O Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (GSAE do Defender) verifica frequentemente todos os ativos do inventário e coleta metadados contextuais robustos que alimentam os Insights sobre a Superfície de Ataque. Esses dados também podem ser visualizados de forma mais detalhada na página de detalhes do ativo. Os dados fornecidos são alterados de acordo com o tipo de ativo. Por exemplo, a plataforma fornece dados do Whois exclusivos para domínios, hosts e endereços IP. Ela fornece dados do algoritmo de assinatura para certificados de protocolo SSL (SSL).
Este artigo descreve como exibir e interpretar os dados expansivos coletados pela Microsoft para cada um de seus ativos de inventário. Ele define esses metadados para cada tipo de ativo e explica como os insights derivados dele podem ajudá-lo a gerenciar a postura de segurança de sua infraestrutura online.
Para obter mais informações, consulte Entendendo os ativos de inventário para se familiarizar com os principais conceitos mencionados neste artigo.
Exibição resumida dos detalhes do ativo
Você pode exibir a página de detalhes de qualquer ativo selecionando seu nome na lista de inventário. No painel esquerdo desta página, você pode exibir um resumo de ativos que fornece informações importantes sobre esse ativo específico. Esta seção inclui principalmente dados que se aplicam a todos os tipos de ativos, embora mais campos estejam disponíveis em alguns casos. Para obter mais informações sobre os metadados fornecidos para cada tipo de ativo na seção de resumo, consulte o gráfico a seguir.
Informações gerais
Essa seção inclui informações de alto nível que são essenciais para entender seus ativos rapidamente. A maioria desses campos se aplica a todos os ativos. Essa seção também pode incluir informações específicas de um ou mais tipos de ativos.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Nome do ativo | O nome de um ativo. | Tudo |
| UUID | Esse rótulo de 128 bits representa o identificador universalmente exclusivo (UUID) do ativo. | Tudo |
| Adicionado ao inventário | A data em que um ativo foi adicionado ao inventário, quer tenha sido adicionado automaticamente ao estado Inventário Aprovado ou esteja em outro estado, como Candidato. | Tudo |
| Última atualização | A data em que um usuário manual atualizou o ativo pela última vez (por exemplo, fazendo uma alteração de estado ou remoção de ativo). | Tudo |
| ID Externa | Um valor de ID externa adicionado manualmente. | Tudo |
| Status | O status do ativo dentro do sistema RiskIQ. As opções incluem Inventário Aprovado, Candidato, Dependências ou Requer Investigação. | Tudo |
| Visto pela primeira vez (Gráfico de Segurança Global) | A data em que a Microsoft examinou o ativo pela primeira vez e o adicionou ao abrangente Gráfico de Segurança Global. | Tudo |
| Visto pela última vez (Gráfico de Segurança Global) | A data mais recente em que a Microsoft examinou o ativo. | Tudo |
| Descoberto em | Indica a data de criação do grupo de descoberta que detectou o ativo. | Tudo |
| País/região | O país/região de origem detectado para esse ativo. | Tudo |
| Estado/Província | O estado ou província de origem detectado para esse ativo. | Tudo |
| City | A cidade de origem detectada para este ativo. | Tudo |
| Nome Whois | O nome associado a um registro Whois. | Host |
| Email Whois | O e-mail de contato principal em um registro WhoIs. | Host |
| Organização Whois | A organização listada em um registro WhoIs. | Host |
| Registrador Whois | O registrador listado em um registro WhoIs. | Host |
| Servidores de nomes Whois | Os servidores de nome listados em um registro WhoIs. | Host |
| Certificado emitido | A data em que um certificado foi emitido. | Certificado SSL |
| O certificado expira | A data de expiração de um certificado. | Certificado SSL |
| Número de série | O número de série associado a um certificado SSL. | Certificado SSL |
| Versão do SSL | A versão do SSL em que o certificado foi registrado. | Certificado SSL |
| Algoritmo de chave de certificado | O algoritmo de chave usado para criptografar o certificado SSL. | Certificado SSL |
| Tamanho da chave do certificado | O número de bits em uma chave de certificado SSL. | Certificado SSL |
| OID do algoritmo de assinatura | O OID que identifica o algoritmo de hash usado para assinar a solicitação de certificado. | Certificado SSL |
| Autoassinado | Indica se o certificado SSL foi autoassinado. | Certificado SSL |
Rede
As informações de endereço IP a seguir fornecem mais contexto sobre o uso do IP.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Registro de servidor de nomes | Qualquer servidor de nomes detectado no ativo. | Endereço IP |
| Registro do servidor de e-mail | Quaisquer servidores de correio detectados no ativo. | Endereço IP |
| Blocos de IP | O bloco IP que contém o ativo de endereço IP. | Endereço IP |
| ASN | O ASN associado a um ativo. | Endereço IP |
Informações sobre o bloco
Os dados a seguir são específicos dos blocos de IP e fornecem informações contextuais sobre seu uso.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| CIDR | O CIDR (Roteamento entre Domínios sem Classificação) para um bloco de IP. | Bloco IP |
| Nome da rede | O nome de rede associado ao bloco IP. | Bloco IP |
| Nome da organização | O nome da organização encontrado nas informações de registro do bloco de IP. | Bloco IP |
| ID da organização | A ID da organização encontrada nas informações de registro do bloco de IP. | Bloco IP |
| ASN | O ASN associado ao bloco IP. | Bloco IP |
| País/região | O país/região de origem, conforme detectado nas informações de registro do Whois para o bloco de IP. | Bloco IP |
Assunto
Os dados a seguir são específicos para o assunto (ou seja, a entidade protegida) associada a um certificado SSL.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Nome comum | O nome comum do emissor do assunto do certificado SSL. | Certificado SSL |
| Nomes alternativos | Quaisquer nomes comuns alternativos para o assunto do certificado SSL. | Certificado SSL |
| Nome da organização | A organização vinculada ao assunto do certificado SSL. | Certificado SSL |
| Unidade organizacional | Metadados opcionais que indicam o departamento em uma organização que é responsável pelo certificado. | Certificado SSL |
| Localidade | Indica a cidade onde a organização está localizada. | Certificado SSL |
| País/região | Indica o país/região onde a organização está localizada. | Certificado SSL |
| Estado/Província | Indica o estado ou província onde a organização está localizada. | Certificado SSL |
Emissor
Os dados a seguir são específicos para o emissor de um certificado SSL.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Nome comum | O nome comum do emissor do certificado. | Certificado SSL |
| Nomes alternativos | Quaisquer outros nomes do emissor. | Certificado SSL |
| Nome da organização | O nome da organização que orquestrou a emissão de um certificado. | Certificado SSL |
| Unidade organizacional | Outras informações sobre a organização que emitiu o certificado. | Certificado SSL |
Guias de dados
No painel mais à direita da página de detalhes do ativo, os usuários podem acessar dados mais expansivos relacionados ao ativo selecionado. Esses dados são organizados em uma série de guias categorizadas. As guias de metadados disponíveis são alteradas de acordo com o tipo de ativo que você está visualizando.
Algumas guias exibem um botão de alternância "Somente recentes" no canto superior direito. Por padrão, o GSAE do Defender exibe todos os dados que coletamos para cada ativo, incluindo observações históricas que podem não estar sendo executadas ativamente em sua superfície de ataque atual. Embora esse contexto histórico seja muito valioso para determinados casos de uso, a opção "Somente recentes" limitará todos os resultados na página Detalhes do Ativo aos observados mais recentemente no ativo. Recomenda-se que você use a opção "Somente Recentes" quando desejar exibir apenas dados que representem o estado atual do ativo para fins de correção.
Visão geral
A guia Visão geral fornece mais contexto para garantir que os insights significativos sejam rapidamente identificáveis quando você visualizar os detalhes de um ativo. Esta seção inclui os principais dados de descoberta para todos os tipos de ativos. Ela fornece informações sobre como a Microsoft mapeia o ativo para sua infraestrutura conhecida.
Essa seção também pode incluir widgets de painel que visualizam insights relevantes para o tipo de ativo em questão.
Cadeia de descoberta
A cadeia de descoberta descreve as conexões observadas entre uma semente de descoberta e o ativo. Essas informações ajudam os usuários a visualizar essas conexões e entender melhor por que um ativo foi determinado como pertencente à sua organização.
No exemplo, você pode ver que o domínio de propagação está vinculado a esse ativo por meio do email de contato em seu registro do Whois. Esse mesmo e-mail de contato foi usado para registrar o bloco de IP que inclui esse ativo de endereço IP específico.
Informações de descoberta
Esta seção fornece informações sobre o processo usado para detectar o ativo. Ela inclui informações sobre a semente de descoberta que se conecta ao ativo e o processo de aprovação.
As opções incluem:
- Inventário aprovado: Essa opção indica que a relação entre a propagação e o ativo descoberto foi forte o suficiente para garantir uma aprovação automática pelo sistema EASM do Defender.
- Candidato: Essa opção indica que o ativo exigiu aprovação manual para ser incorporado ao seu inventário.
- Última execução de descoberta: Essa data indica quando o grupo de descobertas que inicialmente detectou o ativo foi utilizado pela última vez em uma verificação de descoberta.
Reputação de IP
A guia reputação de IP exibe uma lista de possíveis ameaças relacionadas a um determinado endereço IP. Esta seção descreve qualquer atividade maliciosa ou suspeita detectada relacionada ao endereço IP. Essas informações são fundamentais para compreender a confiabilidade da sua própria superfície de ataque. Essas ameaças podem ajudar as organizações a descobrir vulnerabilidades passadas ou presentes em sua infraestrutura.
Os dados de reputação de IP do GSAE do Defender exibem instâncias em que o endereço IP foi detectado em uma lista de ameaças. Por exemplo, a detecção recente no exemplo a seguir mostra que o endereço IP está relacionado a um host conhecido por estar executando um minerador de criptomoedas. Esses dados foram derivados de uma lista de hosts suspeitos fornecida pela CoinBlockers. Os resultados são organizados pela data Última visualização para mostrar primeiro as detecções mais relevantes.
Neste exemplo, o endereço IP está presente em um número anormalmente alto de feeds de ameaças. Essa informação indica que o ativo deve ser investigado minuciosamente para evitar atividades maliciosas no futuro.
Serviços
A guia Serviços está disponível para ativos de endereço IP, domínio e host. Essa seção fornece informações sobre os serviços que se observa estarem em execução no ativo. Ela inclui endereços IP, servidores de nome e de email e portas abertas que correspondem a outros tipos de infraestrutura (por exemplo, serviços de acesso remoto).
Os dados de serviços do GSAE do Defender são essenciais para compreender a infraestrutura que alimenta seu ativo. Eles também podem alertá-lo sobre recursos que estão expostos na Internet aberta e que devem ser protegidos.
Endereços IP
Esta seção fornece informações sobre quaisquer endereços IP que estejam em execução na infraestrutura do ativo. Na guia Serviços, o GSAE do Defender fornece o nome do endereço IP e as datas Primeira visualização e Última visualização. A coluna Recente indica se o endereço IP foi observado durante a verificação mais recente do ativo. Se não houver uma caixa de seleção nessa coluna, o endereço IP foi visto em verificações anteriores, mas atualmente não está sendo executado no ativo.
Servidores de email
Esta seção fornece uma lista de todos os servidores de email que estão em execução no ativo. Essas informações indicam que o ativo é capaz de enviar emails. Nesta seção, o GSAE do Defender fornece o nome do servidor de email e as datas Primeiro visto e Último visto. A coluna Recente indica se o servidor de email foi detectado durante a verificação mais recente do ativo.
Servidores de nomes
Esta seção exibe todos os servidores de nomes que estão em execução no ativo para fornecer resolução para um host. Nesta seção, o GSAE do Defender fornece o nome do servidor de email e as datas Primeiro visto e Último visto. A coluna Recente indica se o servidor de nomes foi detectado durante a verificação mais recente do ativo.
Abrir portas
Esta seção lista todas as portas abertas detectadas no ativo. A Microsoft verifica regularmente cerca de 230 portas diferentes. Esses dados são úteis para identificar quaisquer serviços não seguros que não devam ser acessados pela Internet aberta. Esses serviços incluem bancos de dados, dispositivos de IoT e serviços de rede, como roteadores e comutadores. Também é útil para identificar a infraestrutura de TI oculta ou serviços de acesso remoto inseguros.
Nesta seção, o GSAE do Defender fornece o número da porta aberta, uma descrição da porta, o último estado em que ela foi observada e as datas da Primeira visualização e Última visualização. A coluna Recente indica se a porta foi observada como aberta durante a verificação mais recente. O GSAE do Defender considera uma porta "aberta" quando nosso sistema consegue concluir com sucesso um handshake syn-ack que resulta em faixas atribuídas. Quando conseguimos estabelecer uma conexão TCP, mas não conseguimos concluir a impressão digital do serviço, marcamos a porta como "filtrada". Uma porta "fechada" ainda é acessível, mas não há um serviço escutando na porta e, portanto, nega conexões.
Trackers
Os rastreadores são códigos ou valores exclusivos encontrados em páginas da Web e geralmente são usados para rastrear a interação do usuário. Estes códigos podem ser usados para correlacionar um grupo díspar de websites com uma entidade central. O conjunto de dados de rastreadores da Microsoft inclui IDs de provedores como Google, Yandex, Mixpanel, New Relic e Clicky e continua a crescer.
Nesta seção, o GSAE do Defender fornece o tipo de rastreador (por exemplo, GoogleAnalyticsID), o valor do identificador exclusivo e as datas da Primeira visualização e Última visualização.
Componentes da Web
Os componentes da Web são detalhes que descrevem a infraestrutura de um ativo conforme observado por meio de uma verificação da Microsoft. Esses componentes fornecem uma compreensão de alto nível das tecnologias utilizadas no ativo. A Microsoft categoriza os componentes específicos e inclui números de versão quando possível.
A seção Componentes da Web fornece a categoria, o nome e a versão do componente e uma lista de quaisquer CVEs aplicáveis que devem ser corrigidos. O GSAE do Defender também fornece colunas de data Primeira visualização e Última visualização e uma coluna Recente. Uma caixa marcada indica que essa infraestrutura foi observada durante a verificação mais recente do ativo.
Os componentes da Web são categorizados com base em sua função.
| Componente Web | Exemplos |
|---|---|
| Provedor de hospedagem | hostingprovider.com |
| Servidor | Apache |
| Servidor DNS | ISC BIND |
| Armazenamentos de dados | MySQL, ElasticSearch, MongoDB |
| Acesso remoto | OpenSSH, Centro de Administração Microsoft, Netscaler Gateway |
| Troca de Dados | Pure-FTPd |
| Internet das coisas (IoT) | HP Deskjet, Linksys Camera, Sonos |
| Servidor de email | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Dispositivo de rede | Cisco Router, Motorola WAP, ZyXEL Modem |
| Controle de construção | Linear eMerge, ASI Controls Weblink, Optergy |
Observações
A guia Observação exibe todos os insights do painel Prioridades da Superfície de Ataque relacionados ao ativo. Essas prioridades podem incluir:
- CVEs críticos.
- Associações conhecidas com infraestrutura comprometida.
- Uso de tecnologia preteridas.
- Violações das melhores práticas de infraestrutura.
- Problemas de conformidade.
Para mais informações sobre observações, veja Entendendo os painéis. Para cada observação, o GSAE do Defender fornece o nome da observação, categoriza-a por tipo, atribui uma prioridade e lista as pontuações CVSS v2 e v3, quando aplicável.
A guia Observações apresenta duas tabelas: Observações e Observações não aplicáveis. Todas as observações ativas determinadas como “recentes” em sua superfície de ataque estarão na tabela Observações, enquanto a tabela Observações não aplicáveis lista todas as observações que foram marcadas manualmente como não aplicáveis ou que foram determinadas pelo sistema como não sendo mais aplicáveis. Para marcar observações como não aplicáveis e, portanto, excluir essa observação específica das contagens do painel, basta selecionar as observações desejadas e clicar em “Definir como não aplicável." As observações desaparecerão imediatamente da tabela Observações ativas e, em vez disso, aparecerão na tabela "Observações não aplicáveis". Você pode reverter essa alteração a qualquer momento selecionando as observações relevantes desta tabela e selecionando "Definir conforme aplicável."
Ativos conectados
Os Ativos Conectados capacitam os usuários a vincular graficamente e reunir informações sobre ativos para análise investigativa. Você pode explorar seu ambiente e suas relações complexas por meio de mapeamentos de relações, que oferecem visualizações claras e concisas. Isso o ajuda a identificar conexões ocultas e possíveis caminhos de ataque. Ao mapear visualmente as relações entre ativos e vulnerabilidades, você pode compreender a complexidade do seu ambiente e tomar decisões bem informadas para aprimorar sua postura de segurança e aplicar pontos de redução de forma eficaz.
Nessa página, todos os ativos que estão conectados ao ativo especificado são identificados em uma lista. A lista fornece informações importantes sobre cada política, incluindo:
- Ativo: o ativo conectado identificado.
- Tipo: o tipo de ativo.
- Estado: o estado do ativo.
- Rótulos: quaisquer rótulos associados ao ativo.
- Primeira Detecção: quando o ativo foi descoberto pela primeira vez.
- Visto pela Última Vez: quando o ativo foi identificado pela última vez.
Nessa página, você pode modificar ou remover os ativos conectados. Você também pode classificar ou filtrar a lista de ativos para categorizar ainda mais a lista de ativos conectados. Você também pode fazer download de um relatório CSV dos ativos listados. Todos os filtros aplicados serão refletidos na exportação do CSV.
Recursos
A guia Recursos fornece informações sobre quaisquer recursos JavaScript em execução em qualquer página ou ativos de host. Quando aplicável a um host, esses recursos são agregados para representar o JavaScript rodando em todas as páginas desse host. Esta seção fornece um inventário do JavaScript detectado em cada ativo para que sua organização tenha total visibilidade sobre estes recursos e possa detectar quaisquer mudanças.
O GSAE do Defender fornece a URL do recurso, o host do recurso, o valor MD5 e as datas de primeira e última visualização para ajudar as organizações a monitorar efetivamente o uso de recursos JavaScript em seu inventário.
Certificados SSL
Os certificados são usados para proteger as comunicações entre um navegador e um servidor Web via SSL. O uso de certificados garante que os dados confidenciais em trânsito não possam ser lidos, adulterados ou forjados. Esta seção do Defender EASM lista todos os certificados SSL detectados no ativo, incluindo dados importantes, como o problema e as datas de expiração.
Whois
O protocolo Whois é usado para consultar e responder aos bancos de dados que armazenam dados relacionados ao registro e à propriedade de recursos da Internet. O Whois contém dados de registro importantes que podem ser aplicados a domínios, hosts, endereços IP e blocos de IP no GSAE do Defender. Na guia de dados do Whois, a Microsoft fornece uma grande quantidade de informações associadas ao registro do ativo.
Os seguintes campos estão incluídos na tabela da seção Valores da guia Whois.
| Campo | Descrição |
|---|---|
| Servidor Whois | Um servidor configurado por um registrador credenciado pela ICANN para adquirir informações atualizadas sobre as entidades registradas nele. |
| Registrador | A empresa cujo serviço foi usado para registrar um ativo. Entre os registradores populares estão GoDaddy, Namecheap, e HostGator. |
| Status do domínio | Qualquer status para um domínio conforme definido pelo registro. Esses status podem indicar que um domínio está pendente de exclusão ou transferência pelo registrador ou que está ativo na Internet. Esse campo também pode indicar as limitações de um ativo. Por exemplo, Exclusão de cliente proibida indica que o registrador não pode excluir o ativo. |
| Quaisquer endereços de e-mail de contato fornecidos pelo registrante. O Whois permite que os inscritos especifiquem o tipo de contato. As opções incluem contatos administrativos, técnicos, do inscrito e do registrador. | |
| Nome | O nome de um responsável, se fornecido. |
| Organização | A organização responsável pela entidade registada. |
| Street | O endereço do inscrito, se fornecido. |
| City | A cidade listada no endereço do inscrito, se fornecida. |
| Estado | O estado listado no endereço do inscrito, se fornecido. |
| CEP | O código postal listado no endereço do inscrito, se fornecido. |
| País/região | O país/região que aparece no endereço do registrante, se fornecido. |
| Telefone | O número de telefone associado a um contato do inscrito, se fornecido. |
| Servidores de nomes | Quaisquer servidores de nomes associados à entidade registrada. |
Muitas organizações optam por ofuscar suas informações de registro. Às vezes, os endereços de email de contato terminam em @anonymised.email. Esse espaço reservado é usado em vez de um endereço de contato real. Muitos campos são opcionais durante a configuração do registro, portanto, qualquer campo com um valor vazio não foi incluído pelo inscrito.
Histórico de alterações
A guia "Histórico de alterações" exibe uma lista de modificações que foram aplicadas a um ativo ao longo do tempo. Essas informações ajudam a rastrear essas alterações ao longo do tempo e a entender melhor o ciclo de vida do ativo. Essa guia exibe uma variedade de alterações, incluindo, entre outras, estados de ativos, rótulos e IDs externas. Para cada alteração, listamos o usuário que implementou a alteração e um carimbo de data/hora.
