Обзор фильтров инвентаризации EASM Defender
В этой статье описаны функции фильтрации, доступные в Управление направлением внешних атак Microsoft Defender (EASM Defender). Фильтрация помогает находить определенные подмножества активов инвентаризации на основе выбранных параметров. В этой статье описываются все фильтры и операторы, а также приводятся рекомендации по параметрам ввода, которые дают наилучшие результаты. В ней также объясняется, как сохранять запросы для удобства доступа к отфильтрованным результатам.
Принцип работы
Фильтры инвентаризации позволяют получить доступ к определенному подмножество данных, которое соответствует параметрам поиска. Для получения нужных результатов можно применить любое количество фильтров.
По умолчанию на экране Инвентаризация отображаются только утвержденные ресурсы инвентаризации. Ресурсы в альтернативном состоянии скрыты. Этот фильтр можно удалить, если вы хотите просмотреть ресурсы в другом состоянии. Другие состояния: Кандидат, Зависимость и Требуется исследование.
Удалить фильтр Утвержденные запасы полезно, если необходимо:
- Просмотрите потенциальные новые ресурсы.
- Изучите проблему со сторонними зависимостями.
- Просмотрите полное представление всех потенциальных принадлежащих активов при выполнении поиска.
EaSM Defender предлагает различные фильтры для получения результатов разных уровней детализации. С помощью некоторых фильтров можно выбрать параметры значений из раскрывающегося списка. Другие требуют, чтобы вы вручную ввели нужное значение.
Сохраненные запросы
Вы можете сохранить интересующие запросы, чтобы быстро получить доступ к полученному списку ресурсов. Эта функция полезна, если вам нужно регулярно искать определенное подмножество ресурсов. Это также полезно, если вам потребуется легко обратиться к определенной конфигурации фильтра позже. Сохраненные фильтры помогают легко получить доступ к наиболее нужным ресурсам на основе настраиваемых параметров.
Чтобы сохранить запрос, выполните следующие шаги:
Сначала тщательно выберите фильтры, чтобы получить нужные результаты. Дополнительные сведения о применимых фильтрах для каждого типа ресурса см. в разделе "Дальнейшие действия". В этом примере выполняется поиск доменов, срок действия которых истекает в течение 30 дней, для которых требуется продление. Выберите Search (Поиск).
Просмотрите полученные ресурсы. Если вы удовлетворены выбранными фильтрами и хотите сохранить запрос, выберите Сохранить запрос.
Присвойте запросу имя и укажите описание. Имена запросов нельзя изменить после начальной настройки, но описания можно изменить позже. Щелкните Сохранить. Появится баннер с подтверждением сохранения запроса.
Чтобы просмотреть сохраненные фильтры, выберите вкладку Сохраненные запросы в верхней части страницы списка инвентаризации. Все сохраненные запросы отображаются в верхнем разделе. При выборе Пункта Открыть запрос данные инвентаризации будут отфильтрованы по заданным параметрам. На этой странице можно также изменять или удалять сохраненные запросы.
Операторы
Фильтры инвентаризации можно использовать со следующими операторами. Некоторые операторы доступны не для каждого фильтра. Некоторые операторы скрыты, если они логически не применимы к конкретному фильтру.
| Оператор | Описание |
|---|---|
Equals |
Возвращает результаты, которые точно соответствуют значению поиска. Этот фильтр возвращает результаты только для одного значения за раз. Для фильтров, которые заполняют раскрывающийся список параметров, одновременно можно выбрать только один параметр. Чтобы выбрать несколько значений In , см. оператор . |
Not Equals |
Возвращает результаты, в которых поле не соответствует значению поиска. |
Starts with |
Возвращает результаты, в которых поле начинается со значения поиска. |
Does not start with |
Возвращает результаты, в которых поле не начинается со значения поиска. |
Matches |
Возвращает результаты, в которых токенизированный термин в поле точно соответствует значению поиска. |
Does not match |
Возвращает результаты, в которых токенизированный термин в поле не соответствует точно значению поиска. |
In |
Возвращает результаты, в которых поле точно соответствует одному из значений поиска. Для раскрывающихся списков можно выбрать несколько параметров. |
Not In |
Возвращает результаты, в которых поле не соответствует ни одному из значений поиска. Можно выбрать несколько параметров. Поля ввода вручную исключают результаты, которые соответствуют точному значению. |
Starts with in |
Возвращает результаты, в которых поле начинается с одного из значений поиска. |
Does not start with in |
Возвращает результаты, в которых поле не начинается ни с одного из значений поиска. |
Matches in |
Возвращает результаты, в которых токенизированный термин в поле точно соответствует одному из значений поиска. |
Does not match in |
Возвращает результаты, в которых токенизированный термин в поле не соответствует ни одному из значений поиска. |
Contains |
Возвращает результаты, в которых содержимое поля содержит значение поиска. |
Does Not Contain |
Возвращает результаты, в которых содержимое поля не содержит значения поиска. |
Contains in |
Возвращает результаты, в которых содержимое поля содержит одно из значений поиска. |
Does Not Contain In |
Возвращает результаты, в которых токенизированный термин в содержимом поля не содержит значения поиска. |
Empty |
Возвращает ресурсы, которые не возвращают значения для указанного фильтра. |
Not Empty |
Возвращает все ресурсы, возвращающие значение для указанного фильтра, независимо от значения. |
Greater Than or Equal To |
Возвращает результаты, которые больше или равны числовым значениям. Включает даты. |
Between |
Возвращает результаты в числовом диапазоне. Включает диапазоны дат. |
Общие фильтры
Эти фильтры применяются ко всем видам активов в рамках инвентаризации. Эти фильтры можно использовать при поиске более широкого диапазона ресурсов. Список фильтров для определенных типов ресурсов см. в разделе "Дальнейшие действия".
Фильтры определенных значений
Следующие фильтры предоставляют раскрывающийся список доступных вариантов. Доступные значения предопределяются.
| Имя фильтра | Описание | Доступные для выбора значения | Доступные операторы |
|---|---|---|---|
| Kind | Фильтрация по определенным типам веб-свойств, составляющих данные инвентаризации. | ASN, Contact, Domain, Host, IP Address, IP Block, Page, SSL Cert |
Equals, Not Equals, In, Not In, Empty, Not Empty |
| Состояние | Состояние, назначенное ресурсам для определения их релевантности для вашей организации, и того, как EASM Defender отслеживает их. | Утверждено, Кандидат, Зависимость, Только монитор, Требуется исследование | |
| Удалено из инвентаризации | Метод, с помощью которого ресурс был удален из инвентаризации. | Архивировано, отклонено | |
| Создано в | Фильтрует по дате создания ресурса в инвентаризации. | Диапазон дат в раскрывающемся списке календаря |
Greater Than or Equal To, Less Than or Equal To, Between |
| Первое увиденное | Фильтрует по дате, когда ресурс был впервые обнаружен системой обнаружения EASM Defender. | Диапазон дат в раскрывающемся списке календаря | |
| Последнее просмотренное | Фильтрует по дате последнего наблюдения ресурса системой обнаружения EASM Defender. | Диапазон дат в раскрывающемся списке календаря | |
| Метки | Фильтры меток, которые вручную применяются к инвентарным ресурсам. | Принимает ответы в свободной форме, но также предлагает раскрывающийся список меток, доступных в ресурсе EASM Defender. | |
| Обновлено в | Фильтрует по дате последнего обновления данных активов в инвентаризации. | Диапазон дат в раскрывающемся списке календаря | |
| Подстановочный знак | Запись DNS с подстановочными знаками отвечает на запросы DNS для поддоменов, которые еще не определены. Пример: *.contoso.com. | True, False |
Equals, Not Equals |
Фильтры произвольной формы
Для следующих фильтров необходимо вручную ввести значение, которое вы хотите использовать для поиска. Многие из этих значений чувствительны к регистру.
| Имя фильтра | Описание | Формат значения | Применимые операторы |
|---|---|---|---|
| UUID | Универсальный уникальный идентификатор, назначенный конкретному ресурсу. | acabe677-f0c6-4807-ab4e-3a59d9e66b22 |
Equals, Not Equals, In, Not In |
| Имя | Имя ресурса. | Должен соответствовать формату имени ресурса, указанного в списке инвентаризации. Например, узел будет отображаться как mail.contoso.com или IP-адрес как 192.168.92.73. |
Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| Внешний идентификатор | Идентификатор, предоставленный третьей стороной. | Обычно это числовое значение. |
Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
Фильтрация ресурсов за пределами утвержденных запасов
В крайней левой области выберите Инвентаризация , чтобы просмотреть данные инвентаризации.
Чтобы удалить фильтр Утвержденные запасы, выберите X рядом с фильтром State = Approved (Состояние = утверждено ). Список инвентаризации расширяется и включает ресурсы в других штатах, например "Отклонено".
Используйте фильтры инвентаризации, чтобы определить ресурсы, которые вы хотите найти. Может потребоваться просмотреть все ресурсы в состоянии кандидата . Вы также можете добавить все важные для вашей организации ресурсы в утвержденные инвентаризации.
Или может потребоваться найти один конкретный ресурс, который вы хотите добавить в утвержденные инвентаризации. Чтобы обнаружить определенный ресурс, примените фильтр для поиска имени.
Если в списке запасов отображаются неутвержденные ресурсы, которые вы искали, их можно изменить. Дополнительные сведения об обновлении ресурсов см. в разделе Изменение ресурсов инвентаризации.