Noções básicas de ativos de inventário
O Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (Defender EASM) usa a tecnologia de descoberta proprietária da Microsoft para pesquisar recursivamente a infraestrutura por meio de conexões observadas com ativos legítimos conhecidos (sementes de descoberta). Ele faz inferências sobre o relacionamento dessa infraestrutura com a organização para descobrir propriedades anteriormente desconhecidas e não monitoradas.
A descoberta do Defender EASM inclui os seguintes tipos de ativos:
- Domínios
- Blocos de endereços IP
- Hosts
- Contatos de email
- Números de sistema autônomo (ASNs)
- Organização whois
Esses tipos de ativos compõem seu inventário de superfície de ataque no Defender EASM. A solução descobre ativos externos que estão expostos à internet aberta fora da proteção de firewall tradicional. Os ativos externos precisam ser monitorados e mantidos para minimizar riscos e melhorar a postura de segurança da organização. O Defender EASM descobre e monitora ativamente os ativos e, em seguida, apresenta insights importantes que ajudam você a lidar com eficiência com quaisquer vulnerabilidades da sua organização.
Estados do ativo
Todos os ativos são rotulados com um dos seguintes estados:
| Nome do estado | Descrição |
|---|---|
| Inventário Aprovado | Um item que faz parte da sua superfície de ataque. É um item pelo qual você é diretamente responsável. |
| Dependência | Infraestrutura que pertence a terceiros, mas faz parte da sua superfície de ataque porque dá suporte direto à operação dos ativos de sua propriedade. Por exemplo, você pode depender de um provedor de TI para hospedar seu conteúdo da Web. O domínio, o nome do host e as páginas fariam parte do seu inventário aprovado, então você pode querer tratar o endereço IP que executa o host como uma dependência. |
| Monitorar Somente | Um ativo que é relevante para sua superfície de ataque, mas não é controlado diretamente nem é uma dependência técnica. Por exemplo, franqueados independentes ou ativos que pertencem a empresas relacionadas podem ser rotulados como Somente monitor em vez de Inventário aprovado para separar os grupos para fins de relatórios. |
| Candidato | Um ativo que tem alguma relação com os ativos semente conhecidos da sua organização, mas que não tem uma conexão forte o suficiente para rotulá-lo imediatamente como Inventário Aprovado. Você deve revisar manualmente esses ativos candidatos para determinar a propriedade. |
| Requer investigação | Um estado semelhante ao estado Candidato, mas esse valor é aplicado a ativos que exigem investigação manual para validação. O estado é determinado com base em nossas pontuações de confiança geradas internamente, que avaliam a força das conexões detectadas entre ativos. Ele não indica o relacionamento exato da infraestrutura com a organização, mas sinaliza o ativo para uma análise mais aprofundada para determinar como ele deve ser categorizado. |
Lidando com diferentes estados de ativos
Esses estados de ativos são processados e monitorados exclusivamente para garantir que você tenha visibilidade clara dos seus ativos mais críticos por padrão. Por exemplo, ativos no estado Inventário Aprovado são sempre representados em gráficos do painel e são escaneados diariamente para garantir a atualidade dos dados. Todos os outros tipos de ativos não são incluídos nos gráficos do painel por padrão. Mas você pode ajustar seus filtros de inventário para visualizar ativos em diferentes estados, conforme necessário. Da mesma forma, os ativos dos estados Candidatos são escaneados apenas durante o processo de descoberta. Se esses tipos de ativos forem de propriedade da sua organização, é importante revisá-los e alterar seu estado para Inventário aprovado.
Acompanhar alterações de inventário
Sua superfície de ataque muda constantemente. O Defender EASM analisa e atualiza continuamente seu inventário para garantir precisão. Os ativos são frequentemente adicionados e removidos do inventário, portanto, é importante acompanhar essas alterações para entender sua superfície de ataque e identificar as principais tendências. O painel de alterações de inventário fornece uma visão geral dessas alterações. Você pode visualizar facilmente as contagens de "adicionados" e "removidos" para cada tipo de ativo. Você pode filtrar o painel por dois intervalos de datas: os últimos 7 dias ou os últimos 30 dias. Para uma visão mais granular das alterações de inventário, consulte a seção Alterações por data do painel.
