你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解清单资产
Microsoft Defender 外部攻击图面管理 (Defender EASM) 使用 Microsoft 专有发现技术,通过观察到的与已知合法资产的连接(发现种子)以递归方式搜索与已知合法资产有明显连接的基础结构。 它推断该基础结构与组织的关系,以发现以前未知和未受监视的属性。
Defender EASM 发现包括以下类型的资产:
- 域
- IP 地址块
- 主机
- 电子邮件联系人
- 自治系统编号 (ASN)
- Whois 组织
这些资产类型构成了 Defender EASM 中的攻击面清单。 该解决方案发现在传统防火墙保护之外公开到开放 Internet 的面向外部的资产。 需要监视和维护外部资产,以尽量减少风险并提高组织的安全状况。 Defender EASM 会主动发现和监视资产,然后显示关键见解,帮助有效解决组织的任何漏洞。
资产状态
所有资产都标记为以下状态之一:
| 状态名称 | 说明 |
|---|---|
| 已批准的清单 | 属于你自己的攻击面的一部分的项。 这是你直接负责的项。 |
| 依赖项 | 归第三方所有但属于你的攻击面的基础结构,因为它直接支持你拥有的资产的操作。 例如,你可能依赖 IT 提供程序来托管 Web 内容。 域、主机名和页面将成为“已批准的清单”的一部分,因此你可能希望将运行主机的 IP 地址视为“依赖项”。 |
| 仅监视 | 与你的攻击面相关,但既不受直接控制也不是技术依赖项的资产。 例如,独立的特许经营商或属于相关公司的资产可能会被标记为“仅监视”而不是“已批准的清单”,以便将各组分开进行报告。 |
| 候选 | 与组织的已知种子资产有某种关系,但连接不够强,无法立即将其标记为“已批准的清单”的资产。 必须手动评审这些候选资产以确定所有权。 |
| 需要调查 | 一种类似于“候选”状态的状态,但此值应用于需要手动调查进行验证的资产。 该状态是根据我们内部生成的置信度分数来确定的,该分数用于评估资产之间检测到的连接强度。 它并不表示基础结构与组织的确切关系,而是将该资产标记为需要额外评审,以确定应如何分类。 |
处理不同的资产状态
这些资产状态经过特殊处理和监视,以确保你能够清楚地了解默认为最关键的资产。 例如,“已批准的清单”状态的资产始终在仪表板图表中表示,并且每日对其进行扫描以确保数据保持一致性。 默认情况下,仪表板图表中不包括所有其他类型的资产。 但你可以调整库存筛选器,以便根据需要查看不同状态中的资产。 同样,仅在发现过程中扫描“候选”状态的资产。 如果组织拥有这些资产,务必查看这些资产并将其状态更改为“已批准清单”。
跟踪库存更改
攻击面不断变化。 Defender EASM 持续分析和更新清单,以确保准确性。 资产经常从库存中添加和删除,因此跟踪这些更改以了解攻击面并确定关键趋势非常重要。 清单更改仪表板提供这些更改的概述。 可以轻松查看每种资产类型的“已添加”和“已删除”计数。 可以按两个日期范围筛选仪表板:过去 7 天或过去 30 天。 有关库存更改的更精细视图,请参阅仪表板的“按日期更改”部分。
