Общие сведения о ресурсах инвентаризации
Управление направлением внешних атак Microsoft Defender (Defender EASM) использует собственную технологию обнаружения Майкрософт для рекурсивного поиска инфраструктуры через наблюдаемые подключения к известным законным ресурсам (семена обнаружения). Он делает вывод о связи этой инфраструктуры с организацией, чтобы выявить ранее неизвестные и неуправляемые свойства.
Обнаружение EASM в Защитнике включает следующие виды ресурсов:
- Домены
- Блоки IP-адресов
- Узлы
- Контакты электронной почты
- Номера автономной системы (ASN)
- Организации WHOIS
Эти типы активов составляют инвентаризацию поверхностей атак в EASM Defender. Решение обнаруживает внешние ресурсы, которые предоставляются открытому Интернету за пределами традиционной защиты брандмауэра. Внешние активы необходимо отслеживать и поддерживать для минимизации рисков и улучшения состояния безопасности организации. Defender EASM активно обнаруживает и отслеживает ресурсы, а затем предоставляет ключевые аналитические сведения, которые помогают эффективно устранять любые уязвимости в вашей организации.
Состояния активов
Все ресурсы помечены одним из следующих состояний:
| Название штата | Description |
|---|---|
| Утвержденная инвентаризация | Элемент, который является частью вашей собственной области атаки. Это элемент, за который вы несете прямую ответственность. |
| Зависимость | Инфраструктура, принадлежающая стороннему поставщику, но она является частью вашей области атаки, так как она напрямую поддерживает работу ваших собственных активов. Например, вы можете зависеть от ИТ-поставщика для размещения веб-содержимого. Домен, имя узла и страницы будут частью утвержденной инвентаризации, поэтому может потребоваться рассматривать IP-адрес, который запускает узел как зависимость. |
| Только мониторинг | Ресурс, соответствующий вашей области атаки, но он не контролируется напрямую или технической зависимостью. Например, независимые франшизы или активы, принадлежащие связанным компаниям, могут быть помечены монитором только , а не утвержденным инвентаризацией для разделения групп в целях отчетности. |
| Кандидат | Ресурс, который имеет некоторую связь с известными начальными ресурсами вашей организации, но у которого недостаточно надежного подключения, чтобы немедленно пометить его утвержденный инвентаризации. Чтобы определить владение, необходимо вручную просмотреть эти ресурсы-кандидаты. |
| Требуется исследование | Состояние, аналогичное состоянию кандидата , но это значение применяется к ресурсам, требующим ручного исследования для проверки. Состояние определяется на основе наших внутренних показателей достоверности, которые оценивают силу обнаруженных соединений между ресурсами. Он не указывает точные отношения инфраструктуры с организацией, но он помечает ресурс для получения дополнительной проверки, чтобы определить, как он должен быть классифицирован. |
Обработка различных состояний активов
Эти состояния активов обрабатываются и отслеживаются уникальным образом, чтобы обеспечить четкое представление о наиболее важных ресурсах по умолчанию. Например, ресурсы в состоянии утвержденной инвентаризации всегда представлены на панелях мониторинга, и они сканируются ежедневно, чтобы обеспечить доступность данных. Все остальные типы ресурсов по умолчанию не включаются в диаграммы панели мониторинга. Но вы можете настроить фильтры инвентаризации для просмотра ресурсов в различных состояниях по мере необходимости. Аналогичным образом ресурсы состояния кандидатов сканируются только во время процесса обнаружения. Если эти типы активов принадлежат вашей организации, важно проверить эти ресурсы и изменить их состояние на утвержденный инвентаризацию.
Отслеживание изменений инвентаризации
Ваша область атаки постоянно меняется. Defender EASM постоянно анализирует и обновляет инвентаризацию, чтобы обеспечить точность. Ресурсы часто добавляются и удаляются из инвентаризации, поэтому важно отслеживать эти изменения, чтобы понять область атаки и определить ключевые тенденции. Панель мониторинга изменений инвентаризации содержит общие сведения об этих изменениях. Вы можете легко просматривать счетчики "добавлено" и "удалено" для каждого типа ресурса. Панель мониторинга можно отфильтровать по двум диапазонам дат: за последние 7 дней или за последние 30 дней. Более детализированное представление изменений инвентаризации см . в разделе "Изменения по дате " панели мониторинга.
