O que é descoberta?
O Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (GSAE do Defender) usa a tecnologia de descoberta proprietária da Microsoft para definir continuamente a superfície de ataque exposta à Internet exclusiva da sua organização. O recurso de descoberta do GSAE do Defender verifica os ativos conhecidos pertencentes à sua organização para descobrir propriedades até então desconhecidas e não monitoradas. Os ativos descobertos são indexados no inventário da sua organização. O GSAE do Defender fornece um sistema dinâmico de registro para aplicativos Web, dependências de terceiros e infraestrutura web sob o gerenciamento da sua organização em uma única exibição.
Por meio do processo de descoberta do GSAE do Defender, sua organização pode monitorar proativamente sua superfície de ataque digital em constante mudança. Você pode identificar riscos emergentes e violações de política à medida que surgem.
Muitos programas de vulnerabilidade não têm visibilidade fora do firewall. Eles não estão cientes de ameaças e riscos externos, que são a principal fonte de violações de dados.
Ao mesmo tempo, o crescimento digital continua a superar a capacidade de uma equipe de segurança empresarial de protegê-los. Iniciativas digitais e "shadow IT" excessivamente comuns levam a uma crescente superfície de ataque fora do firewall. Nesse ritmo, é quase impossível validar os controles, as proteções e os requisitos de conformidade.
Sem o GSAE do Defender, é quase impossível identificar e remover vulnerabilidades, e os scanners não conseguem ultrapassar o firewall para avaliar toda a superfície de ataque.
Como ele funciona
Para criar um mapeamento abrangente da superfície de ataque da sua organização, o GSAE do Defender primeiro ingere ativos conhecidos (sementes). As sementes de descoberta são verificadas repetidamente para descobrir mais entidades através de suas conexões com sementes.
Uma semente inicial pode ser qualquer um dos seguintes tipos de infraestrutura Web indexada pela Microsoft:
- Domínios
- Blocos de endereços IP
- Hosts
- Contatos de email
- Nomes de sistema autônomo (ASNs)
- Organização whois
A partir de uma semente, o sistema descobre associações a outros itens de infraestrutura online para descobrir outros ativos que sua organização possui. Esse processo basicamente cria todo o inventário da superfície de ataque. O processo de descoberta usa sementes de descoberta como nós centrais. Em seguida, ele se ramifica para fora em direção à periferia da superfície de ataque. Ele identifica todos os itens de infraestrutura que estão diretamente conectados à semente e identifica todos os itens relacionados a cada item no primeiro conjunto de conexões. O processo se repete e se estende até chegar à borda da responsabilidade de gerenciamento da sua organização.
Por exemplo, para descobrir todos os itens na infraestrutura da Contoso, você pode usar o domínio, contoso.com, como a semente básica. Começando com essa semente, podemos consultar as seguintes fontes e derivar as seguintes relações:
| Fonte de dados | Itens com possíveis relações com a Contoso |
|---|---|
| Registros Whois | Outros nomes de domínio registrados no mesmo email de contato ou organização do registrante que foi usada para registrar contoso.com |
| Registros Whois | Todos os nomes de domínio registrados em qualquer endereço de email da @contoso.com |
| Registros Whois | Outros domínios associados ao mesmo servidor de nomes que contoso.com |
| Registros DNS | Todos os hosts observados nos domínios que a Contoso possui e em todos os sites associados a esses hosts |
| Registros DNS | Domínios que têm hosts diferentes, mas que resolvem para os mesmos blocos de IP |
| Registros DNS | Servidores de email associados a nomes de domínio de propriedade da Contoso |
| Certificados SSL | Todos os certificados do protocolo SSL que estão conectados a cada um dos hosts e quaisquer outros hosts que usam os mesmos certificados SSL |
| Registros ASN | Outros blocos IP associados ao mesmo ASN que os blocos IP conectados aos hosts nos nomes de domínio da Contoso, incluindo todos os hosts e domínios que são resolvidos para eles |
Usando esse conjunto de conexões de primeiro nível, podemos rapidamente derivar um conjunto totalmente novo de ativos a serem investigados. Antes de o GSAE do Defender realizar mais recursões, ele determina se uma conexão é forte o suficiente para que uma entidade descoberta seja adicionada automaticamente como Inventário Confirmado. Para cada um desses ativos, o sistema de descoberta executa pesquisas automatizadas e recursivas com base em todos os atributos disponíveis para localizar conexões de segundo e terceiro níveis. Esse processo repetitivo fornece mais informações sobre a infraestrutura online de uma organização e, portanto, descobre ativos diferentes que de outra forma poderiam não ter sido descobertos e monitorados.
Superfícies de ataque automatizadas versus personalizadas
Ao usar o GSAE do Defender pela primeira vez, você pode acessar um inventário predefinido para sua organização iniciar rapidamente seus fluxos de trabalho. No painel Introdução, um usuário pode pesquisar pela sua organização para preencher rapidamente seu inventário com base nas conexões de ativos já identificadas pelo GSAE do Defender. Recomendamos que todos os usuários pesquisem a superfície de ataque predefinida da sua organização antes de criarem um inventário personalizado.
Para criar um inventário personalizado, os usuários criam grupos de descoberta para organizar e gerenciar as sementes que eles usam ao executar descobertas. O usuário pode usar grupos de descoberta separados para automatizar o processo de descoberta, configurar a lista de sementes e configurar agendamentos de execução recorrente.
Inventário confirmado versus ativos candidatos
Se o mecanismo de descoberta detectar uma forte conexão entre um ativo potencial e a semente inicial, o sistema rotulará automaticamente o ativo com o estado Inventário Confirmado. Como as conexões com essa semente são verificadas de modo iterativo e as conexões de terceiro ou quarto nível são descobertas, a confiança do sistema na propriedade de qualquer ativo recém-detectado diminui. Da mesma forma, o sistema pode detectar ativos relevantes para sua organização, mas não pertencerem diretamente a você.
Por esses motivos, os ativos recém-descobertos são rotulados como um dos seguintes estados:
| Nome do estado | Descrição |
|---|---|
| Inventário aprovado | Um item que faz parte da sua superfície de ataque. É um item pelo qual você é diretamente responsável. |
| Dependência | Infraestrutura que pertence a terceiros, mas faz parte da sua superfície de ataque porque dá suporte direto à operação dos ativos de sua propriedade. Por exemplo, você pode depender de um provedor de TI para hospedar seu conteúdo da Web. O domínio, o nome do host e as páginas fariam parte do seu inventário aprovado, então você pode querer tratar o endereço IP que executa o host como uma dependência. |
| Somente monitorar | Um ativo que é relevante para sua superfície de ataque, mas não é controlado diretamente nem é uma dependência técnica. Por exemplo, franqueados independentes ou ativos que pertencem a empresas relacionadas podem ser rotulados como Somente monitorar em vez de Inventário aprovado para separar os grupos para fins de relatórios. |
| Candidato | Um ativo que tem relação com os ativos semente conhecidos da sua organização, mas que não tem uma conexão forte o suficiente para rotulá-lo imediatamente como Inventário Aprovado. Você deve analisar manualmente esses ativos candidatos para determinar a propriedade. |
| Requer investigação | Um estado semelhante ao estado Candidato, mas esse valor é aplicado a ativos que exigem investigação manual para validação. O estado é determinado com base em nossas pontuações de confiança geradas internamente, que avaliam a força das conexões detectadas entre ativos. Ele não indica o relacionamento exato da infraestrutura com a organização, mas sinaliza o ativo para uma análise mais aprofundada para determinar como ele deve ser categorizado. |
Ao analisar ativos, recomendamos que você comece com ativos rotulados Requer investigação. Os detalhes do ativo são atualizados continuamente ao longo do tempo para manter um mapa preciso de estados e relações de ativos, bem como para descobrir ativos recém-criados à medida que eles surgem. O processo de descoberta é gerenciado colocando sementes em grupos de descoberta que podem ser agendados para serem executados novamente de modo recorrente. Depois que um inventário é preenchido, o sistema do GSAE do Defender examina continuamente seus ativos com a tecnologia de usuário virtual da Microsoft para descobrir dados novos e detalhados sobre cada ativo. Esse processo examina o conteúdo e o comportamento de cada página nos sites aplicáveis para fornecer informações robustas que você pode usar para identificar vulnerabilidades, problemas de conformidade e outros riscos potenciais para sua organização.