Noções básicas sobre inventário de ativos
O Microsoft Defender External Attack Surface Management (Defender EASM) usa a tecnologia de descoberta proprietária da Microsoft para pesquisar recursivamente a infraestrutura por meio de conexões observadas com ativos legítimos conhecidos (sementes de descoberta). Ele faz inferências sobre o relacionamento dessa infraestrutura com a organização para descobrir propriedades anteriormente desconhecidas e não monitoradas.
A descoberta do EASM do Defender inclui os seguintes tipos de ativos:
- Domínios
- Blocos de endereços IP
- Anfitriões
- Contactos de e-mail
- Números de sistemas autónomos (ASN)
- Organizações WHOIS
Esses tipos de ativos compõem seu inventário de superfície de ataque no Defender EASM. A solução descobre ativos voltados para o exterior que estão expostos à Internet aberta fora da proteção tradicional por firewall. Os ativos externos precisam ser monitorados e mantidos para minimizar riscos e melhorar a postura de segurança da organização. O Defender EASM descobre e monitora ativamente os ativos e, em seguida, apresenta informações importantes que ajudam você a resolver com eficiência quaisquer vulnerabilidades em sua organização.
Estados dos ativos
Todos os ativos são rotulados com um dos seguintes estados:
| Nome do estado | Description |
|---|---|
| Inventário Aprovado | Um item que faz parte da sua própria superfície de ataque. É um item pelo qual você é diretamente responsável. |
| Dependência | Infraestrutura que pertence a terceiros, mas faz parte da sua superfície de ataque porque suporta diretamente a operação dos seus ativos próprios. Por exemplo, você pode depender de um provedor de TI para hospedar seu conteúdo da Web. O domínio, o nome do host e as páginas fariam parte do seu inventário aprovado, portanto, convém tratar o endereço IP que executa o host como uma dependência. |
| Apenas monitor | Um ativo que é relevante para sua superfície de ataque, mas não é controlado diretamente ou uma dependência técnica. Por exemplo, franqueados independentes ou ativos que pertencem a empresas relacionadas podem ser rotulados como Monitor Only em vez de Approved Inventory para separar os grupos para fins de relatório. |
| Candidato | Um ativo que tem alguma relação com os ativos semente conhecidos da sua organização, mas que não tem uma conexão forte o suficiente para rotulá-lo imediatamente como Inventário Aprovado. Você deve revisar manualmente esses ativos candidatos para determinar a propriedade. |
| Requer investigação | Um estado semelhante ao estado Candidato , mas esse valor é aplicado a ativos que exigem investigação manual para validação. O estado é determinado com base em nossas pontuações de confiança geradas internamente que avaliam a força das conexões detetadas entre ativos. Ele não indica a relação exata da infraestrutura com a organização, mas sinaliza o ativo para mais revisão para determinar como ele deve ser categorizado. |
Lidar com diferentes estados de ativos
Esses estados de ativos são processados e monitorados exclusivamente para garantir que você tenha visibilidade clara de seus ativos mais críticos por padrão. Por exemplo, os ativos no estado Inventário Aprovado são sempre representados em gráficos de painel e são verificados diariamente para garantir a recenticidade dos dados. Todos os outros tipos de ativos não são incluídos nos gráficos do painel por padrão. Mas você pode ajustar seus filtros de inventário para exibir ativos em diferentes estados, conforme necessário. Da mesma forma, os ativos de estado candidato são verificados somente durante o processo de descoberta. Se esses tipos de ativos forem de propriedade da sua organização, é importante revisá-los e alterar seu estado para Inventário Aprovado.
Controlar alterações de inventário
A sua superfície de ataque muda constantemente. O Defender EASM analisa e atualiza continuamente o seu inventário para garantir a precisão. Os ativos são frequentemente adicionados e removidos do inventário, por isso é importante acompanhar essas alterações para entender sua superfície de ataque e identificar as principais tendências. O painel de alterações de inventário fornece uma visão geral dessas alterações. Você pode visualizar facilmente as contagens de "adicionadas" e "removidas" para cada tipo de ativo. Você pode filtrar o painel por dois intervalos de datas: os últimos 7 dias ou os últimos 30 dias. Para obter uma visão mais granular das alterações de inventário, consulte a seção Alterações por data do painel.
