Dela via

Översikt över tillgångsändring

  • Artikel

Den här artikeln beskriver hur du ändrar lagertillgångar. Du kan ändra tillståndet för en tillgång, tilldela ett externt ID eller använda etiketter för att tillhandahålla kontext och använda inventeringsdata. Du kan också markera CVE:er och andra observationer som icke-tillämpliga för att ta bort dem från dina rapporterade antal. Du kan också ta bort tillgångar från deras lager i bulk baserat på den metod som de identifieras med. Användare kan till exempel ta bort ett frö från en identifieringsgrupp och välja att ta bort alla tillgångar som identifieras via en anslutning till det här fröet. Den här artikeln beskriver alla ändringsalternativ som är tillgängliga i Defender EASM och beskriver hur du uppdaterar tillgångar och spårar eventuella uppdateringar med Aktivitetshanteraren.

Etiketttillgångar

Etiketter hjälper dig att organisera din attackyta och tillämpa affärskontexten på ett anpassningsbart sätt. Du kan använda valfri textetikett på en delmängd av tillgångar för att gruppera tillgångar och använda ditt lager på ett bättre sätt. Kunder kategoriserar vanligtvis tillgångar som:

  • Har nyligen blivit ägarägd av din organisation genom en sammanslagning eller ett förvärv.
  • Kräv efterlevnadsövervakning.
  • Ägs av en specifik affärsenhet i organisationen.
  • Påverkas av en specifik säkerhetsrisk som kräver åtgärder.
  • Relatera till ett visst varumärke som ägs av organisationen.
  • Lades till i inventeringen inom ett visst tidsintervall.

Etiketter är textfält i fritt format, så du kan skapa en etikett för alla användningsfall som gäller för din organisation.

Skärmbild som visar en inventeringslista med en filtrerad kolumn med etiketter.

Ändra tillståndet för en tillgång

Användare kan också ändra tillståndet för en tillgång. Tillstånd hjälper dig att kategorisera ditt lager baserat på deras roll i din organisation. Användare kan växla mellan följande tillstånd:

  • Godkänd inventering: En del av din ägda attackyta, ett objekt som du är direkt ansvarig för.
  • Beroende: Infrastruktur som ägs av en tredje part men är en del av din attackyta eftersom den har direkt stöd för driften av dina ägda tillgångar. Du kan till exempel vara beroende av en IT-leverantör för att vara värd för ditt webbinnehåll. Även om domänen, värdnamnet och sidorna skulle vara en del av din "godkända inventering" kanske du vill behandla IP-adressen som kör värden som ett "beroende".
  • Endast övervakare: En tillgång som är relevant för din attackyta men som inte styrs direkt av din organisation eller ett tekniskt beroende. Oberoende franchisetagare eller tillgångar som tillhör relaterade företag kan till exempel märkas som "Endast övervakare" i stället för "Godkänd inventering" för att separera grupperna i rapporteringssyfte.
  • Kandidat: En tillgång som har en viss relation till organisationens kända frötillgångar men inte har en tillräckligt stark anslutning för att omedelbart märka den som "Godkänd inventering". Dessa kandidattillgångar måste granskas manuellt för att fastställa ägarskapet.
  • Kräver undersökning: Ett tillstånd som liknar "Kandidat"-tillstånden, men det här värdet tillämpas på tillgångar som kräver manuell undersökning för att verifiera. Detta bestäms baserat på våra internt genererade konfidenspoäng som utvärderar styrkan i identifierade anslutningar mellan tillgångar. Det anger inte infrastrukturens exakta relation till organisationen så mycket som det anger att den här tillgången flaggades som kräver extra granskning för att avgöra hur den ska kategoriseras.

Tillämpa ett externt ID

Användare kan också använda ett externt ID för en tillgång. Den här åtgärden är användbar i situationer där du använder flera lösningar för tillgångsspårning, reparationsaktiviteter eller ägarskapsövervakning. Om du ser några externa ID:er i Defender EASM kan du justera den här olika tillgångsinformationen. Externa ID-värden kan vara numeriska eller alfanumeriska och måste anges i textformat. Externa ID:er visas också i avsnittet Tillgångsinformation.

Markera observation som icke-tillämplig

Många Defender EASM-instrumentpaneler har CVE-data, vilket gör att du uppmärksammas på potentiella sårbarheter baserat på den webbkomponentinfrastruktur som driver din attackyta. CVE:er visas till exempel på instrumentpanelen för sammanfattning av attackytan, kategoriserade efter deras potentiella allvarlighetsgrad. När du undersöker dessa CVE:er kan du fastställa att vissa inte är relevanta för din organisation. Det kan bero på att du kör en obehindrat version av webbkomponenten, eller att din organisation har olika tekniska lösningar för att skydda dig mot den specifika säkerhetsrisken.

Från visningsvyn för alla CVE-relaterade diagram, bredvid knappen Ladda ned CSV-rapport, har du nu möjlighet att ange en observation som icke-tillämplig. Om du klickar på det här värdet dirigeras du till en inventeringslista över alla tillgångar som är kopplade till den observationen, och du kan sedan välja att markera alla observationer som icke-tillämpliga från den här sidan. Den faktiska ändringen utförs antingen från vyn Inventeringslista eller från sidan Tillgångsinformation för en viss tillgång.

Skärmbild av visning av instrumentpanelsvisning med knappen

Så här ändrar du tillgångar

Du kan ändra tillgångar från både lagerlistan och tillgångsinformationssidorna. Du kan göra ändringar i en enskild tillgång från sidan med tillgångsinformation. Du kan göra ändringar i en enskild tillgång eller flera tillgångar från lagerlistesidan. I följande avsnitt beskrivs hur du tillämpar ändringar från de två inventeringsvyerna beroende på ditt användningsfall.

Sidan Inventeringslista

Du bör ändra tillgångar från lagerlistesidan om du vill uppdatera flera tillgångar samtidigt. Du kan förfina tillgångslistan baserat på filterparametrar. Den här processen hjälper dig att identifiera tillgångar som ska kategoriseras med etiketten, det externa ID:t eller den tillståndsändring du vill ha. Så här ändrar du tillgångar från den här sidan:

  1. Välj Inventering i den vänstra rutan i din Microsoft Defender – hantering av extern attackyta-resurs (Defender EASM).

  2. Använd filter för att skapa dina avsedda resultat. I det här exemplet letar vi efter domäner som upphör att gälla inom 30 dagar som kräver förnyelse. Den tillämpade etiketten hjälper dig att snabbare komma åt eventuella domäner som upphör att gälla för att förenkla reparationsprocessen. Du kan använda så många filter som behövs för att få de specifika resultat som behövs. Mer information om filter finns i Översikt över lagerfilter. För fall där du vill markera CVE:er som icke-tillämpliga, ger den relevanta dashbaord-diagramgranskningen en länk som dirigerar dig direkt till den här inventeringssidan med rätt filter tillämpade.

    Skärmbild som visar inventeringslistvyn med listrutan Lägg till filter öppnad för att visa frågeredigeraren.

  3. När din inventeringslista har filtrerats markerar du listrutan i kryssrutan bredvid tillgångstabellrubriken. Den här listrutan ger dig möjlighet att välja alla resultat som matchar din fråga eller resultatet på den specifika sidan (upp till 25). Alternativet Ingen rensar alla tillgångar. Du kan också välja att endast markera specifika resultat på sidan genom att markera de enskilda bockmarkeringarna bredvid varje tillgång.

    Skärmbild som visar vyn inventeringslista med listrutan för massval öppnad.

  4. Välj Ändra tillgångar.

    Skärmbild som visar tillgängliga ändringsalternativ.

  5. I fönstret Ändra tillgångar som öppnas till höger på skärmen kan du snabbt ändra olika fält för de valda tillgångarna. I det här exemplet skapar du en ny etikett. Välj Skapa en ny etikett.

  6. Fastställ etikettnamnet och visa textvärden. Det går inte att ändra etikettnamnet när du först har skapat etiketten, men visningstexten kan redigeras vid ett senare tillfälle. Etikettnamnet används för att fråga efter etiketten i produktgränssnittet eller via API:et, så redigeringar inaktiveras för att säkerställa att dessa frågor fungerar korrekt. Om du vill redigera ett etikettnamn måste du ta bort den ursprungliga etiketten och skapa en ny.

    Välj en färg för den nya etiketten och välj Lägg till. Den här åtgärden tar dig tillbaka till skärmen Ändra tillgångar .

    Skärmbild som visar fönstret Lägg till etikett som visar konfigurationsfälten.

  7. Använd den nya etiketten på tillgångarna. Klicka i textrutan Lägg till etiketter om du vill visa en fullständig lista över tillgängliga etiketter. Eller så kan du skriva i rutan för att söka efter nyckelord. När du har valt de etiketter som du vill använda väljer du Uppdatera.

    Skärmbild som visar fönstret Ändra tillgång med den nyligen skapade etiketten tillämpad.

  8. Tillåt att etiketterna tillämpas en stund. När processen är klar visas meddelandet "Slutfört". Sidan uppdateras automatiskt och visar din tillgångslista med etiketterna synliga. En banderoll överst på skärmen bekräftar att etiketterna har tillämpats.

    Skärmbild som visar lagerlistevyn med de valda tillgångarna som nu visar den nya etiketten.

Sidan Tillgångsinformation

Du kan också ändra en enskild tillgång från sidan med tillgångsinformation. Det här alternativet är idealiskt för situationer då tillgångar måste granskas noggrant innan en etikett eller tillståndsändring tillämpas.

  1. Välj Inventering i den vänstra rutan i Defender EASM-resursen.

  2. Välj den specifika tillgång som du vill ändra för att öppna sidan med tillgångsinformation.

  3. På den här sidan väljer du Ändra tillgång.

    Skärmbild som visar sidan tillgångsinformation med knappen Ändra tillgång markerad.

  4. Följ steg 5 till 7 i avsnittet "Inventeringslista".

  5. Sidan med tillgångsinformation uppdateras och visar den nyligen tillämpade etiketten eller tillståndsändringen. En banderoll anger att tillgången har uppdaterats.

Ändra, ta bort eller ta bort etiketter

Användare kan ta bort en etikett från en tillgång genom att komma åt samma fönstret Ändra tillgång från antingen inventeringslistan eller tillgångsinformationsvyn. I vyn Inventeringslista kan du välja flera tillgångar samtidigt och sedan lägga till eller ta bort den önskade etiketten i en åtgärd.

Så här ändrar du själva etiketten eller tar bort en etikett från systemet:

  1. Välj Etiketter (förhandsversion) i den vänstra rutan i Defender EASM-resursen.

    Skärmbild som visar sidan Etiketter (förhandsversion) som möjliggör etiketthantering.

    På den här sidan visas alla etiketter i Defender EASM-inventeringen. Etiketter på den här sidan kan finnas i systemet men tillämpas inte aktivt på några tillgångar. Du kan också lägga till nya etiketter från den här sidan.

  2. Om du vill redigera en etikett väljer du pennikonen i kolumnen Åtgärder för den etikett som du vill redigera. Ett fönster öppnas till höger på skärmen där du kan ändra namnet eller färgen på en etikett. Välj Uppdatera.

  3. Om du vill ta bort en etikett väljer du papperskorgsikonen i kolumnen Åtgärder för den etikett som du vill ta bort. Välj Ta bort etikett.

    Skärmbild som visar alternativet Bekräfta borttagning på sidan Etiketthantering.

Sidan Etiketter uppdateras automatiskt. Etiketten tas bort från listan och tas även bort från alla tillgångar som hade etiketten tillämpad. En banderoll bekräftar borttagningen.

Markera observationer som icke-tillämpliga

Observationer kan markeras som icke-tillämpliga från samma "Ändra tillgångar"-skärmar för andra manuella ändringar, men du kan också göra dessa uppdateringar från fliken Observationer i tillgångsinformation. Fliken Observationer innehåller två tabeller: Observationer och icke-användbara observationer. Alla aktiva observationer som bedöms vara "senaste" inom din attackyta finns i observationstabellen, medan tabellen Icke-tillämpliga observationer visar eventuella observationer som manuellt markerats som icke-tillämpliga eller som fastställts av systemet att inte längre vara tillämpliga. Om du vill markera observationer som icke-tillämpliga och därför undanta den specifika observationen från antalet instrumentpaneler väljer du bara önskade observationer och klickar på "Ange som icke-tillämpligt". Dessa observationer försvinner omedelbart från den aktiva observationstabellen och visas i stället i tabellen "Icke-tillämpliga observationer". Du kan återställa den här ändringen när som helst genom att välja relevanta observationer från den här tabellen och välja "Ange som tillämpligt".

Skärmbild som visar fliken Observationer med flera CVE:er markerade för att markeras som icke-tillämpliga.

Aktivitetshanteraren och meddelanden

När en uppgift har skickats bekräftar ett meddelande att uppdateringen pågår. På valfri sida i Azure väljer du meddelandeikonen (klockan) för att se mer information om de senaste uppgifterna.

Skärmbild som visar meddelandet Uppgift som skickats.Skärmbild som visar fönstret Meddelanden som visar den senaste aktivitetsstatusen.

Defender EASM-systemet kan ta några sekunder att uppdatera en handfull tillgångar eller minuter för att uppdatera tusentals. Du kan använda Aktivitetshanteraren för att kontrollera statusen för eventuella ändringsaktiviteter som pågår. I det här avsnittet beskrivs hur du kommer åt Aktivitetshanteraren och använder den för att bättre förstå slutförandet av skickade uppdateringar.

  1. Välj Aktivitetshanteraren i den vänstra rutan i Defender EASM-resursen.

    Skärmbild som visar sidan Aktivitetshanteraren med lämpligt avsnitt i navigeringsfönstret markerat.

  2. På den här sidan visas alla dina senaste uppgifter och deras status. Aktiviteter visas som Slutförda, Misslyckade eller Pågår. En slutförandeprocent och förloppsindikator visas också. Om du vill se mer information om en viss uppgift väljer du uppgiftsnamnet. Ett fönster öppnas till höger på skärmen med mer information.

  3. Välj Uppdatera för att se den senaste statusen för alla objekt i Aktivitetshanteraren.

Filtrera efter etiketter

När du har märkt tillgångar i lagret kan du använda lagerfilter för att hämta en lista över alla tillgångar med en specifik etikett.

  1. Välj Inventering i den vänstra rutan i Defender EASM-resursen.

  2. Välj Lägg till filter.

  3. Välj Etiketter i listrutan Filter . Välj en operator och välj en etikett i listrutan med alternativ. I följande exempel visas hur du söker efter en enskild etikett. Du kan använda In-operatorn för att söka efter flera etiketter. Mer information om filter finns i översikten över inventeringsfilter.

    Skärmbild som visar frågeredigeraren som används för att tillämpa filter och visar filtret Etiketter med möjliga etikettvärden i en listruta.

  4. Välj Använd. Sidan inventeringslista läser in och visar alla tillgångar som matchar dina villkor.

Tillgångskedjasbaserad hantering

I vissa fall kanske du vill ta bort flera tillgångar samtidigt baserat på de metoder som de identifierades med. Du kan till exempel fastställa att ett visst frö i en identifieringsgrupp som hämtats i tillgångar som inte är relevanta för din organisation, eller att du kan behöva ta bort tillgångar som är relaterade till ett dotterbolag som inte längre är under ditt ansvarsområde. Av den anledningen erbjuder Defender EASM möjligheten att ta bort källentiteten och alla tillgångar "nedströms" i identifieringskedjan. Du kan ta bort länkade tillgångar med följande tre metoder:

  • Seed-baserad hantering: Användare kan ta bort ett frö som en gång ingick i en identifieringsgrupp och ta bort alla tillgångar som introducerades i inventeringen via en observerad anslutning till det angivna fröet. Den här metoden är användbar när du kan fastställa att ett specifikt manuellt indatautdata resulterade i att oönskade tillgångar lades till i lagret.
  • Hantering av identifieringskedjan: Användare kan identifiera en tillgång i en identifieringskedja och ta bort den, samtidigt som de tar bort alla tillgångar som identifierats av den entiteten. Identifiering är en rekursiv process. den skannar frön för att identifiera nya tillgångar som är direkt associerade med dessa avsedda frön och fortsätter sedan att skanna de nyupptäckta entiteterna för att avtäcka fler anslutningar. Den här borttagningsmetoden är användbar när identifieringsgruppen är korrekt konfigurerad, men du måste ta bort en nyligen identifierad tillgång och alla tillgångar som förts in i inventeringen genom association till den entiteten. Överväg att dina identifieringsgruppsinställningar och utsedda frön är "top" i din identifieringskedja. Med den här borttagningsmetoden kan du ta bort tillgångar från mitten.
  • Hantering av identifieringsgrupper: Användare kan ta bort hela identifieringsgrupper och alla tillgångar som introducerades i inventeringen via den här identifieringsgruppen. Detta är användbart när en hel identifieringsgrupp inte längre gäller för din organisation. Du kan till exempel ha en identifieringsgrupp som specifikt söker efter tillgångar som är relaterade till ett dotterbolag. Om det här dotterbolaget inte längre är relevant för din organisation kan du utnyttja tillgångskedjans hantering för att ta bort alla tillgångar som förts in i lager via den identifieringsgruppen.

Du kan fortfarande visa borttagna tillgångar i Defender EASM. filtrera helt enkelt din inventeringslista för tillgångar i tillståndet "Arkiverad".

Seed-baserad borttagning

Du kan besluta att ett av dina ursprungligen avsedda identifieringsfrön inte längre ska ingå i en identifieringsgrupp. Fröet kanske inte längre är relevant för din organisation, eller så kan det medföra fler falska positiva identifieringar än legitima ägda tillgångar. I den här situationen kan du ta bort fröet från din identifieringsgrupp för att förhindra att det används i framtida identifieringskörningar samtidigt som du tar bort alla tillgångar som har förts till inventeringen via det angivna fröet tidigare.

Om du vill utföra en massborttagning baserat på ett frö dirigerar du till lämplig informationssida för identifieringsgruppen och klickar på "Redigera identifieringsgrupp". Följ anvisningarna för att nå sidan Frön och ta bort det problematiska fröet från listan. När du väljer "Granska + uppdatera" visas en varning som anger att alla tillgångar som identifieras via det avsedda fröet också tas bort. Välj "Uppdatera" eller "Uppdatera och kör" för att slutföra borttagningen.

Skärmbild som visar sidan Redigera identifieringsgrupp med en varning som anger borttagning av ett frö och eventuella tillgångar som identifieras via det fröet.

Borttagning baserad på identifieringskedja

I följande exempel kan du tänka dig att du har upptäckt ett osäkert inloggningsformulär på instrumentpanelen för sammanfattning av attackytan. Din undersökning dirigerar dig till en värd som inte verkar vara ägd av din organisation. Du kan visa sidan med tillgångsinformation för mer information. när du granskar identifieringskedjan får du veta att värden har förts in i inventeringen eftersom motsvarande domän registrerades med hjälp av en anställds företags-e-postadress som också användes för att registrera godkända affärsentiteter.

Skärmbild som visar sidan Tillgångsinformation med avsnittet Identifieringskedja markerat.

I den här situationen är det första identifieringsutsädet (företagsdomänen) fortfarande legitimt, så vi måste i stället ta bort en problematisk tillgång från identifieringskedjan. Även om vi kan ta bort kedjan från kontaktens e-post väljer vi i stället att ta bort allt som är kopplat till den personliga domän som är registrerad på den här medarbetaren så att Defender EASM meddelar oss om andra domäner som är registrerade på den e-postadressen i framtiden. I identifieringskedjan väljer du den här personliga domänen för att visa sidan med tillgångsinformation. I den här vyn väljer du "Ta bort från identifieringskedjan" för att ta bort tillgången från ditt lager, samt alla tillgångar som förts in i lagret på grund av en observerad anslutning till den personliga domänen. Du måste bekräfta borttagningen av tillgången och alla underordnade tillgångar och visas sedan med en sammanfattad lista över de andra tillgångar som tas bort med den här åtgärden. Välj "Ta bort identifieringskedja" för att bekräfta massborttagningen.

Skärmbild som visar rutan som uppmanar användarna att bekräfta borttagningen av den aktuella tillgången och alla underordnade tillgångar, med en sammanfattning av de andra tillgångar som tas bort med den här åtgärden.

Borttagning av identifieringsgrupp

Du kan behöva ta bort hela identifieringsgruppen och alla tillgångar som identifieras via gruppen. Företaget kan till exempel ha sålt ett dotterbolag som inte längre behöver övervakas. Användare kan ta bort identifieringsgrupper från sidan Identifieringshantering. Om du vill ta bort en identifieringsgrupp och alla relaterade tillgångar väljer du papperskorgsikonen bredvid lämplig grupp i listan. Du får en varning som visar en sammanfattning av de tillgångar som ska tas bort med den här åtgärden. Bekräfta borttagningen av identifieringsgruppen. och alla relaterade tillgångar väljer du "Ta bort identifieringsgrupp".

Skärmbild som visar sidan Identifieringshantering med varningsrutan som visas när du har valt att ta bort en grupp markerad.

Nästa steg