Förstå lagertillgångar
Microsoft Defender – hantering av extern attackyta (Defender EASM) använder Microsofts patentskyddade identifieringsteknik för att rekursivt söka efter infrastruktur genom observerade anslutningar till kända legitima tillgångar (identifieringsfrön). Här dras slutsatser om infrastrukturens relation till organisationen för att upptäcka tidigare okända och oövervakade egenskaper.
Defender EASM-identifiering innehåller följande typer av tillgångar:
- Domäner
- IP-adressblock
- Värdar
- E-postkontakter
- Autonomt systemnummer (ASN)
- Whois-organisationer
Dessa tillgångstyper utgör ditt lager för attackytan i Defender EASM. Lösningen identifierar externt riktade tillgångar som exponeras för det öppna Internet utanför det traditionella brandväggsskyddet. De externa tillgångarna måste övervakas och underhållas för att minimera risker och förbättra organisationens säkerhetsstatus. Defender EASM identifierar och övervakar aktivt tillgångarna och visar sedan viktiga insikter som hjälper dig att effektivt åtgärda eventuella säkerhetsrisker för din organisation.
Tillgångstillstånd
Alla tillgångar är märkta med något av följande tillstånd:
| Delstatsnamn | beskrivning |
|---|---|
| Godkänd inventering | Ett objekt som ingår i din ägda attackyta. Det är ett objekt som du är direkt ansvarig för. |
| Beroende | Infrastruktur som ägs av en tredje part, men som är en del av din attackyta eftersom den har direkt stöd för driften av dina ägda tillgångar. Du kan till exempel vara beroende av en IT-leverantör för att vara värd för ditt webbinnehåll. Domänen, värdnamnet och sidorna skulle ingå i ditt godkända lager, så du kanske vill behandla IP-adressen som kör värden som ett beroende. |
| Endast övervakare | En tillgång som är relevant för din attackyta, men den är inte direkt styrd eller ett tekniskt beroende. Oberoende franchisetagare eller tillgångar som tillhör relaterade företag kan till exempel märkas Endast övervakare i stället för Godkänd inventering för att separera grupperna i rapporteringssyfte. |
| Kandidat | En tillgång som har en viss relation till organisationens kända frötillgångar, men som inte har en tillräckligt stark anslutning för att omedelbart märka den som godkänd inventering. Du måste granska dessa kandidattillgångar manuellt för att fastställa ägarskapet. |
| Kräver undersökning | Ett tillstånd som liknar kandidattillståndet, men det här värdet tillämpas på tillgångar som kräver manuell undersökning för att verifiera. Tillståndet bestäms baserat på våra internt genererade konfidenspoäng som utvärderar styrkan hos identifierade anslutningar mellan tillgångar. Det anger inte infrastrukturens exakta relation till organisationen, men den flaggar tillgången för mer granskning för att avgöra hur den ska kategoriseras. |
Hantera olika tillgångstillstånd
Dessa tillgångstillstånd bearbetas och övervakas unikt för att säkerställa att du har tydlig insyn i dina mest kritiska tillgångar som standard. Till exempel representeras tillgångar i tillståndet Godkänd inventering alltid i instrumentpanelsdiagram, och de genomsöks dagligen för att säkerställa dataåterhämtning. Alla andra typer av tillgångar ingår inte i instrumentpanelsdiagram som standard. Men du kan justera dina lagerfilter för att visa tillgångar i olika tillstånd efter behov. På samma sätt genomsöks kandidattillståndstillgångar endast under identifieringsprocessen. Om dessa typer av tillgångar ägs av din organisation är det viktigt att granska dessa tillgångar och ändra deras tillstånd till Godkänd inventering.
Spåra inventeringsändringar
Din attackyta förändras ständigt. Defender EASM analyserar och uppdaterar inventeringen kontinuerligt för att säkerställa noggrannhet. Tillgångar läggs ofta till och tas bort från lagret, så det är viktigt att spåra dessa ändringar för att förstå din attackyta och identifiera viktiga trender. Instrumentpanelen för inventeringsändringar ger en översikt över dessa ändringar. Du kan enkelt visa antalet "tillagda" och "borttagna" för varje tillgångstyp. Du kan filtrera instrumentpanelen efter två datumintervall: antingen de senaste 7 dagarna eller de senaste 30 dagarna. En mer detaljerad vy över lagerändringar finns i avsnittet Ändringar efter datum på instrumentpanelen.
