Поделиться через

Общие сведения об изменении ресурса

  • Статья

В этой статье описывается изменение ресурсов инвентаризации. Вы можете изменить состояние ресурса, назначить внешний идентификатор или применить метки для предоставления контекста и использования данных инвентаризации. Вы также можете пометить CVEs и другие наблюдения как неприменимые, чтобы удалить их из сообщаемых счетчиков. Вы также можете удалить ресурсы из их инвентаризации массово на основе метода, с помощью которого они обнаружены. Например, пользователи могут удалить начальное значение из группы обнаружения и удалить все ресурсы, обнаруженные через подключение к этому начальному значению. В этой статье описываются все варианты изменения, доступные в Defender EASM, и описывается, как обновлять ресурсы и отслеживать все обновления с помощью диспетчера задач.

Ресурсы меток

Метки помогают упорядочивать область атак и применять бизнес-контекст в настраиваемом виде. Вы можете применить любую текстовую метку к подмножествам ресурсов для группирования активов и повысить эффективность использования инвентаризации. Клиенты обычно классифицируют ресурсы, которые:

  • Недавно попали под владение вашей организации путем слияния или приобретения.
  • Требуется мониторинг соответствия требованиям.
  • Принадлежит определенному бизнес-подразделению в своей организации.
  • Влияет на определенную уязвимость, требующую устранения рисков.
  • Относится к определенной торговой марки, принадлежащей организации.
  • Были добавлены в инвентаризацию в течение определенного диапазона времени.

Метки — это текстовые поля свободной формы, поэтому вы можете создать метку для любого варианта использования, применяемого к вашей организации.

Снимок экрана: представление списка инвентаризации с столбцом отфильтрованные метки.

Изменение состояния ресурса

Пользователи также могут изменить состояние ресурса. Государства помогают классифицировать инвентаризацию на основе их роли в организации. Пользователи могут переключаться между следующими состояниями:

  • Утвержденная инвентаризация: часть вашей собственной области атаки; элемент, за который вы несете прямую ответственность.
  • Зависимость: инфраструктура, принадлежаемая сторонней стороной, но является частью вашей области атаки, так как она напрямую поддерживает операцию собственных ресурсов. Например, вы можете зависеть от ИТ-поставщика для размещения веб-содержимого. Хотя домен, имя узла и страницы будут частью утвержденной инвентаризации, может потребоваться рассматривать IP-адрес узла как зависимость.
  • Мониторинг только: ресурс, который относится к вашей области атаки, но не контролируется вашей организацией напрямую или технической зависимостью. Например, независимые франшизы или активы, принадлежащие связанным компаниям, могут быть помечены как "Мониторинг только" вместо "утвержденных инвентаризаций" для разделения групп в целях отчетности.
  • Кандидат: ресурс, который имеет некоторые отношения с известными начальными ресурсами вашей организации, но не имеет достаточно сильного подключения, чтобы немедленно пометить его как "Утвержденный инвентаризации". Эти ресурсы-кандидаты должны быть вручную проверены для определения владения.
  • Требуется исследование: состояние, аналогичное состояниям "Кандидат", но это значение применяется к ресурсам, которым требуется ручное исследование для проверки. Это определяется на основе наших внутренних показателей достоверности, которые оценивают силу обнаруженных соединений между ресурсами. Он не указывает точное отношение инфраструктуры к организации, так как оно указывает, что этот ресурс помечен как требующий дополнительной проверки, чтобы определить, как он должен быть классифицирован.

Применение внешнего идентификатора

Пользователи также могут применять внешний идентификатор к ресурсу. Это действие полезно в ситуациях, когда вы используете несколько решений для отслеживания активов, действий по исправлению или мониторинга владения; Просмотр внешних идентификаторов в EASM Defender помогает выровнять эти разнородные сведения о ресурсах. Значения внешнего идентификатора могут быть числовыми или буквенно-цифровыми и должны быть введены в текстовом формате. Внешние идентификаторы также отображаются в разделе сведений о ресурсах.

Пометить наблюдение как неприменимое

Многие панели мониторинга EASM Defender включают данные CVE, что позволяет привлечь внимание к потенциальным уязвимостям на основе инфраструктуры веб-компонентов, которая обеспечивает защиту от атак. Например, cvEs перечислены на панели мониторинга сводки атак Surface, классифицируются по их потенциальной серьезности. При изучении этих cvEs вы можете определить, что некоторые из них не относятся к вашей организации. Это может быть связано с тем, что вы используете неопознанную версию веб-компонента или у вашей организации есть различные технические решения для защиты от этой конкретной уязвимости.

В представлении детализации любой диаграммы, связанной с CVE, рядом с кнопкой "Скачать CSV-отчет" теперь можно задать наблюдение как не применимое. Щелкнув это значение, вы перейдете к списку инвентаризации всех активов, связанных с этим наблюдением, и вы можете пометить все наблюдения как не применимые на этой странице. Фактическое изменение выполняется в представлении списка инвентаризации или на странице сведений о активе для определенного ресурса.

Снимок экрана: представление детализации панели мониторинга с выделенной кнопкой

Изменение ресурсов

Вы можете изменить ресурсы из списка инвентаризации и страниц сведений о ресурсах. Вы можете внести изменения в один ресурс на странице сведений об активе. Вы можете внести изменения в один ресурс или несколько ресурсов на странице списка инвентаризации. В следующих разделах описывается применение изменений из двух представлений инвентаризации в зависимости от варианта использования.

Страница списка инвентаризации

Если вы хотите одновременно обновить множество ресурсов, необходимо изменить ресурсы на странице списка инвентаризации. Список активов можно уточнить на основе параметров фильтра. Этот процесс помогает определить ресурсы, которые должны быть классифицированы по меткам, внешним идентификаторам или изменению состояния, которые требуется изменить. Чтобы изменить ресурсы на этой странице, выполните указанные ниже действия.

  1. В левой области ресурса Управление направлением внешних атак Microsoft Defender (Defender EASM) выберите "Инвентаризация".

  2. Примените фильтры для получения предполагаемых результатов. В этом примере мы ищем домены, срок действия которых истекает в течение 30 дней, для которых требуется продление. Примененная метка помогает быстрее получить доступ к любым доменам с истекающим сроком действия, чтобы упростить процесс исправления. Чтобы получить необходимые результаты, можно применить столько фильтров. Дополнительные сведения о фильтрах см. в обзоре фильтров инвентаризации. Например, если вы хотите пометить CVEs как неприменимое, соответствующая детализация диаграммы dashbaord предоставляет ссылку, которая напрямую направляет вас на эту страницу инвентаризации с правильными фильтрами.

    Снимок экрана: представление списка инвентаризации с раскрывающимся списком

  3. После фильтрации списка инвентаризации установите раскрывающийся список рядом с заголовком таблицы Asset . В этом раскрывающемся списке можно выбрать все результаты, соответствующие запросу, или результаты на этой конкретной странице (до 25). Параметр None очищает все ресурсы. Вы также можете выбрать только определенные результаты на странице, выбрав отдельные флажки рядом с каждым ресурсом.

    Снимок экрана: представление списка инвентаризации с открытым раскрывающимся списком массового выбора.

  4. Выберите " Изменить ресурсы".

    Снимок экрана: доступные параметры изменения.

  5. На панели "Изменить ресурсы", открывающейся справа от экрана, можно быстро изменить различные поля для выбранных ресурсов. В этом примере создается новая метка. Выберите " Создать новую метку".

  6. Определите имя метки и отображаемые текстовые значения. Имя метки нельзя изменить после первоначального создания метки, но отображаемый текст можно изменить позже. Имя метки используется для запроса метки в интерфейсе продукта или через API, поэтому изменения отключены, чтобы обеспечить правильную работу этих запросов. Чтобы изменить имя метки, необходимо удалить исходную метку и создать новую.

    Выберите цвет новой метки и нажмите кнопку "Добавить". Это действие возвращает вас на экран "Изменить ресурсы ".

    Снимок экрана: панель добавления меток, отображающая поля конфигурации.

  7. Примените новую метку к ресурсам. Щелкните в текстовом поле "Добавить метки" , чтобы просмотреть полный список доступных меток. Или можно ввести внутри поля поиск по ключевому слову. После выбора меток, которые вы хотите применить, нажмите кнопку "Обновить".

    Снимок экрана: панель

  8. Разрешите несколько моментов применения меток. После завершения процесса появится уведомление "Завершено". Страница автоматически обновляется и отображает список активов с видимыми метками. Баннер в верхней части экрана подтверждает применение меток.

    Снимок экрана: представление списка инвентаризации с выбранными ресурсами теперь отображает новую метку.

Страница сведений о ресурсах

Вы также можете изменить один ресурс на странице сведений об активе. Этот вариант идеально подходит для ситуаций, когда необходимо тщательно проверять ресурсы перед применением метки или изменения состояния.

  1. В левой области ресурса EASM Защитника выберите "Инвентаризация".

  2. Выберите конкретный ресурс, который необходимо изменить, чтобы открыть страницу сведений о активе.

  3. На этой странице выберите "Изменить ресурс".

    Снимок экрана: страница сведений о активе с выделенной кнопкой

  4. Выполните шаги 5–7 в разделе "Список инвентаризации".

  5. Страница сведений о активе обновляется и отображает только что примененную метку или изменение состояния. Баннер указывает, что ресурс был успешно обновлен.

Изменение, удаление или удаление меток

Пользователи могут удалить метку из ресурса, щелкнув ту же область "Изменить ресурсы" из списка инвентаризации или представления сведений о ресурсах. В представлении списка инвентаризации можно одновременно выбрать несколько ресурсов, а затем добавить или удалить нужную метку в одном действии.

Чтобы изменить саму метку или удалить метку из системы:

  1. В левой области ресурса EASM Defender выберите метки (предварительная версия).

    Снимок экрана: страница меток (предварительная версия), которая включает управление метками.

    На этой странице отображаются все метки в инвентаризации EASM Defender. Метки на этой странице могут существовать в системе, но не применяются к любым ресурсам. Вы также можете добавить новые метки на этой странице.

  2. Чтобы изменить метку, выберите значок карандаша в столбце "Действия " метки, которую вы хотите изменить. Откроется область справа от экрана, где можно изменить имя или цвет метки. Выберите Обновить.

  3. Чтобы удалить метку, выберите значок корзины из столбца "Действия " метки, которую вы хотите удалить. Выберите " Удалить метку".

    Снимок экрана: параметр

Страница меток автоматически обновляется. Метка удаляется из списка, а также удаляется из всех активов, примененных меткой. Баннер подтверждает удаление.

Пометить наблюдения как не применимые

Хотя наблюдения можно пометить как не применимые на экранах "Изменить ресурсы" для других изменений вручную, вы также можете сделать эти обновления на вкладке "Наблюдения" в сведениях об активе. Вкладка "Наблюдения" содержит две таблицы: наблюдения и неуясные наблюдения. Все активные наблюдения, определенные как "последние" в вашей области атаки, находятся в таблице "Наблюдения", в то время как таблица не применимых наблюдений содержит все наблюдения, которые были вручную помечены как не применимые или были определены системой, чтобы больше не применяться. Чтобы пометить наблюдения как не применимые и, следовательно, исключить это конкретное наблюдение из счетчиков панелей мониторинга, просто выберите нужные наблюдения и нажмите кнопку "Задать как неприменимое". Эти наблюдения сразу же исчезают из активной таблицы наблюдений и вместо этого отображаются в таблице "Неприменимое наблюдение". Вы можете вернуть это изменение в любое время, выбрав соответствующие наблюдения из этой таблицы и выбрав "Задать как применимо".

Снимок экрана, на котором показана вкладка

Диспетчер задач и уведомления

После отправки задачи уведомление подтверждает, что обновление выполняется. На любой странице в Azure щелкните значок уведомления (колокольчик), чтобы просмотреть дополнительные сведения о последних задачах.

Снимок экрана: отправленное уведомление о задаче.Снимок экрана: панель уведомлений, отображающая состояние последней задачи.

Система EASM Defender может занять секунды, чтобы обновить несколько ресурсов или минут, чтобы обновить тысячи. Диспетчер задач можно использовать для проверки состояния всех задач изменения, выполняемых. В этом разделе описывается, как получить доступ к диспетчеру задач и использовать его для лучшего понимания завершения отправленных обновлений.

  1. В левой области ресурса EASM Defender выберите диспетчер задач.

    Снимок экрана: страница диспетчера задач с соответствующим разделом в выделенной области навигации.

  2. На этой странице отображаются все последние задачи и их состояние. Задачи перечислены как "Завершено", "Не удалось" или "Выполняется". Также отображается процент завершения и индикатор хода выполнения. Чтобы просмотреть дополнительные сведения о конкретной задаче, выберите имя задачи. Откроется область справа от экрана, которая предоставляет дополнительные сведения.

  3. Выберите "Обновить" , чтобы просмотреть последнее состояние всех элементов в диспетчере задач.

Фильтрация по меткам

После метки активов в инвентаризации можно использовать фильтры инвентаризации для получения списка всех ресурсов с определенной меткой.

  1. В левой области ресурса EASM Защитника выберите "Инвентаризация".

  2. Щелкните Добавить фильтр.

  3. Выберите метки из раскрывающегося списка фильтров . Выберите оператор и выберите метку из раскрывающегося списка параметров. В следующем примере показано, как искать одну метку. Оператор In можно использовать для поиска нескольких меток. Дополнительные сведения о фильтрах см. в обзоре фильтров инвентаризации.

    Снимок экрана: редактор запросов, используемый для применения фильтров, отображающий фильтр меток с возможными значениями меток в раскрывающемся списке.

  4. Выберите Применить. Страница списка инвентаризации перезагрузит и отображает все ресурсы, соответствующие вашим критериям.

Управление на основе цепочки активов

В некоторых случаях может потребоваться удалить несколько ресурсов одновременно на основе средств, с помощью которых они были обнаружены. Например, вы можете определить, что определенное начальное значение в группе обнаружения, извлеченное в ресурсах, которые не относятся к вашей организации, или вам может потребоваться удалить ресурсы, относящиеся к дочерней компании, которая больше не находится под вашим представлением. По этой причине Defender EASM предлагает возможность удаления исходной сущности и всех активов "нижестоящего" в цепочке обнаружения. Связанные ресурсы можно удалить с помощью следующих трех методов:

  • Управление на основе начальных значений: пользователи могут удалить начальное значение, которое когда-то было включено в группу обнаружения, удалив все ресурсы, введенные в инвентаризацию, через наблюдаемое подключение к указанному начального значения. Этот метод полезен, если вы можете определить, что определенное начальное значение, введенное вручную, привело к добавлению нежелательных ресурсов в инвентаризацию.
  • Управление цепочками обнаружения: пользователи могут определить ресурс в цепочке обнаружения и удалить его, одновременно удаляя все ресурсы, обнаруженные этой сущностью. Обнаружение — это рекурсивный процесс; он сканирует семена, чтобы определить новые активы, непосредственно связанные с этими назначенными семенами, а затем продолжает сканировать вновь обнаруженные сущности, чтобы открыть больше подключений. Этот подход к удалению полезен при правильной настройке группы обнаружения, но необходимо удалить только что обнаруженный ресурс и все активы, доставленные в инвентаризацию по ассоциации с этой сущностью. Рассмотрите параметры группы обнаружения и назначенные семена, чтобы быть верхней частью вашей цепочки обнаружения; этот подход к удалению позволяет удалять ресурсы из середины.
  • Управление группами обнаружения: пользователи могут удалять все группы обнаружения и все ресурсы, введенные в инвентаризацию с помощью этой группы обнаружения. Это полезно, если вся группа обнаружения больше не применима к вашей организации. Например, у вас может быть группа обнаружения, которая специально ищет ресурсы, связанные с дочерней компанией. Если эта дочерняя компания больше не относится к вашей организации, вы можете использовать управление на основе цепочки активов для удаления всех активов, доставленных в инвентаризацию через эту группу обнаружения.

Вы по-прежнему можете просматривать удаленные ресурсы в Defender EASM; Просто отфильтруйте список инвентаризации для ресурсов в состоянии "Архивированный".

Удаление на основе начального значения

Вы можете решить, что один из первоначально назначенных семян обнаружения больше не должен быть включен в группу обнаружения. Начальное значение больше не относится к вашей организации или может привести к более ложным срабатываниям, чем законные активы. В этой ситуации вы можете удалить начальное значение из группы обнаружения, чтобы предотвратить его использование в будущих запусках обнаружения, одновременно удаляя все ресурсы, которые были доставлены в инвентаризацию через указанное начальное значение в прошлом.

Чтобы выполнить массовое удаление на основе начального значения, перейдите на соответствующую страницу сведений о группе обнаружения и нажмите кнопку "Изменить группу обнаружения". Следуйте инструкциям, чтобы перейти на страницу "Семена" и удалить проблемное начальное значение из списка. При выборе параметра "Просмотр и обновление" появится предупреждение, указывающее, что все ресурсы, обнаруженные с помощью указанного начального значения, также будут удалены. Выберите "Обновить" или "Обновить и запустить", чтобы завершить удаление.

Снимок экрана: страница

Удаление на основе цепочки обнаружения

В следующем примере представьте, что вы обнаружили небезопасную форму входа на панели мониторинга "Сводка по атакам". Исследование направляет вас на узел, который, как представляется, не принадлежит вашей организации. Дополнительные сведения см. на странице сведений об активе; При проверке цепочки обнаружения вы узнаете, что узел был доставлен в инвентаризацию, так как соответствующий домен зарегистрирован с помощью корпоративного адреса электронной почты сотрудника, который также использовался для регистрации утвержденных бизнес-сущностей.

Снимок экрана: страница сведений об активе с выделенным разделом

В этой ситуации начальное начальное значение обнаружения (корпоративный домен) по-прежнему является законным, поэтому нам нужно вместо этого удалить проблемный ресурс из цепочки обнаружения. Хотя мы могли бы выполнить удаление цепочки из сообщения электронной почты контакта, мы вместо этого решили удалить все, что связано с личным доменом, зарегистрированным для этого сотрудника, чтобы Defender EASM предупредил нас о любых других доменах, зарегистрированных в этом адресе электронной почты в будущем. В цепочке обнаружения выберите этот личный домен, чтобы просмотреть страницу сведений об активе. В этом представлении выберите "Удалить из цепочки обнаружения", чтобы удалить ресурс из инвентаризации, а также все ресурсы, доставленные в инвентаризацию из-за наблюдаемого подключения к личному домену. Необходимо подтвердить удаление ресурса и всех подчиненных активов, а затем представить сводный список других активов, которые удаляются с этим действием. Выберите "Удалить цепочку обнаружения", чтобы подтвердить массовое удаление.

Снимок экрана: окно, которое предлагает пользователям подтвердить удаление текущего ресурса и всех подчиненных ресурсов с сводкой по другим ресурсам, удаленным с помощью этого действия.

Удаление группы обнаружения

Возможно, потребуется удалить всю группу обнаружения и все ресурсы, обнаруженные с помощью группы. Например, ваша компания, возможно, продала дочернюю компанию, которая больше не должна отслеживаться. Пользователи могут удалять группы обнаружения на странице управления обнаружением. Чтобы удалить группу обнаружения и все связанные ресурсы, щелкните значок корзины рядом с соответствующей группой в списке. Вы получите предупреждение, включающее сводку ресурсов, которые будут удалены с помощью этого действия. Чтобы подтвердить удаление группы обнаружения; и все связанные ресурсы выберите "Удалить группу обнаружения".

Снимок экрана: страница управления обнаружением с полем предупреждения, которое отображается после выбора удаления выделенной группы.

Следующие шаги