Identificar e monitorar ativos externos usando o Gerenciamento de Superfície de Ataque Externo do Microsoft Defender

Concluído

O Gerenciamento de Superfície de Ataque Externo do Microsoft Defender (Defender EASM) descobre e mapeia continuamente sua superfície de ataque digital para fornecer uma exibição externa de sua infraestrutura online. Essa visibilidade permite que as equipes de segurança e TI identifiquem incógnitas, priorizem riscos, eliminem ameaças e estendam o controle de vulnerabilidade e exposição para além do firewall. O Attack Surface Insights é gerado pelo aproveitamento de dados de vulnerabilidade e infraestrutura para mostrar as principais áreas de preocupação para sua organização.

Screenshot showing the Microsoft Defender External Attack Surface Management dashboard.

Descoberta e inventário

A tecnologia de descoberta proprietária da Microsoft pesquisa recursivamente a infraestrutura com conexões observadas com ativos legítimos conhecidos para fazer inferências sobre o relacionamento dessa infraestrutura com a organização e descobrir propriedades anteriormente desconhecidas e não monitoradas. Esses bens legítimos conhecidos são chamados de "sementes" de descoberta; O Defender EASM primeiro descobre conexões fortes com essas entidades selecionadas, recorrendo para revelar mais conexões e, finalmente, compilar sua Superfície de Ataque.

O Defender EASM inclui a descoberta dos seguintes tipos de ativos:

  • Domínios
  • Nomes de anfitrião
  • Páginas Web
  • Blocos IP
  • Endereços IP
  • ASNs
  • Certificados SSL
  • Contactos WHOIS

Screenshot showing the Defender EASM add discovery group page.

Dashboards

O Defender EASM fornece uma série de painéis que ajudam os usuários a entender rapidamente sua infraestrutura on-line e quaisquer riscos importantes para sua organização. Esses painéis são projetados para fornecer informações sobre áreas específicas de risco, incluindo vulnerabilidades, conformidade e higiene de segurança. Essas informações ajudam os clientes a abordar rapidamente os componentes de sua superfície de ataque que representam o maior risco para sua organização.

Screenshot showing the Microsoft Defender External Attack Surface Management Security posture page.

Gestão de ativos

Os clientes podem filtrar seu inventário para exibir os insights específicos que mais lhes interessam. A filtragem oferece um nível de flexibilidade e personalização que permite que os usuários acessem um subconjunto específico de ativos. Isso permite que você aproveite os dados EASM do Defender de acordo com seu caso de uso específico, seja pesquisando ativos que se conectam a uma infraestrutura obsoleta ou identificando novos recursos de nuvem.

Screenshot showing the Microsoft Defender External Attack Surface Management inventory page.

Permissões de utilizador

Os usuários aos quais foram atribuídas funções de Proprietário ou Colaborador podem criar, excluir e editar recursos EASM do Defender e os ativos de inventário dentro dele. Essas funções podem utilizar todos os recursos oferecidos na plataforma. Os usuários aos quais foi atribuída a função Leitor podem visualizar os dados EASM do Defender, mas não conseguem criar, excluir ou editar ativos de inventário ou o próprio recurso.

Residência, disponibilidade e privacidade de dados

O Gerenciamento de Superfície de Ataque Externo do Microsoft Defender contém dados globais e dados específicos do cliente. Os dados subjacentes da Internet são dados globais da Microsoft; As etiquetas aplicadas pelos clientes são consideradas dados do cliente. Todos os dados do cliente são armazenados na região da sua escolha.

Por motivos de segurança, a Microsoft recolhe os endereços IP dos utilizadores quando estes iniciam sessão. Esses dados são armazenados por até 30 dias, mas podem ser armazenados por mais tempo, se necessário, para investigar possíveis usos fraudulentos ou mal-intencionados do produto.

No caso de um cenário de inatividade da região, apenas os clientes na região afetada enfrentarão tempo de inatividade.

A estrutura de conformidade da Microsoft exige que todos os dados do cliente sejam excluídos dentro de 180 dias após essa organização não ser mais um cliente da Microsoft. Isso também inclui o armazenamento de dados do cliente em locais offline, como backups de banco de dados. Depois que um recurso é excluído, ele não pode ser restaurado por nossas equipes. Os dados do cliente serão retidos em nossos armazenamentos de dados por 75 dias, no entanto, o recurso real não pode ser restaurado. Após o período de 75 dias, os dados do cliente serão excluídos permanentemente.