你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
什么是发现?
Microsoft Defender 外部攻击面管理 (Defender EASM) 使用 Microsoft 的专有发现技术,不断定义组织独特的 Internet 暴露攻击面。 Defender EASM 发现功能会扫描组织拥有的已知资产,以发现以前未知和未受监视的属性。 在组织的清单中为发现的资产编制了索引。 Defender EASM 为组织管理下的 Web 应用程序、第三方依赖项和 Web 基础结构提供了一个通过一个视图即可访问的动态记录系统。
通过 Defender EASM 发现过程,组织可以主动监视其不断变化的数字攻击面。 可以识别出现的风险和策略冲突。
许多漏洞程序在防火墙外部缺乏监测能力。 他们无法感知外部风险和威胁,而这些是数据泄露的主要原因。
与此同时,数字增长速度不断超出企业安全团队的保护能力范围。 数字化举措和过于常见的“影子 IT”导致防火墙外的攻击面不断扩大。 在这种速度下,几乎不可能验证控制、保护和合规性要求。
如果没有 Defender EASM,几乎无法识别和删除漏洞,扫描程序也无法越过防火墙来评估整个攻击面。
工作原理
为了创建组织攻击面的全面映射,Defender EASM 首先引入已知资产(种子)。 系统以递归方式扫描发现种子,通过与种子的连接发现更多实体。
初始种子可能是 Microsoft 索引的以下任何类型的 Web 基础结构:
- 域
- IP 地址块
- 主机
- 电子邮件联系人
- 自治系统名称 (ASN)
- Whois 组织
从一个种子开始,系统会逐渐发现与其他联机基础结构项的关联,进而发现组织拥有的其他资产。 此过程最终会形成整个攻击面清单。 发现过程使用发现种子作为中心节点。 然后向外形成分支直到攻击面的外围。 它标识直接连接到种子的所有基础结构项,然后标识与第一组连接中的每个项相关的所有项。 此过程不断重复并扩展,直至组织管理责任的边缘。
例如,若要发现 Contoso 基础结构中的所有项,可以使用域 contoso.com 作为初始基石种子。 从这个种子开始,可以查阅以下数据源并推导出以下关系:
| 数据源 | 与 Contoso 可能存在关系的项 |
|---|---|
| WhoIs 记录 | 注册到用于注册 contoso.com 的同一联系人电子邮件或注册机构的其他域名 |
| WhoIs 记录 | 注册到任何 @contoso.com 电子邮件地址的所有域名 |
| WhoIs 记录 | 与 contoso.com 的名称服务器关联的其他域 |
| DNS 记录 | Contoso 拥有的域上所有观察到的主机以及与这些主机关联的任何网站 |
| DNS 记录 | 具有不同主机但解析为相同 IP 块的域 |
| DNS 记录 | 与 Contoso 拥有的域名关联的邮件服务器 |
| SSL 证书 | 连接到每个主机的所有安全套接字层 (SSL) 证书,以及使用相同 SSL 证书的任何其他主机 |
| ASN 记录 | 与 Contoso 域名上的主机所连接的 IP 块关联同一 ASN 的其他 IP 块,包括解析为它们的所有主机和域 |
使用这组第一级连接,可以快速推导出一组全新的资产进行调查。 Defender EASM 执行更多递归之前,会确定连接是否足够强,能够将发现的实体自动添加为已确认清单。 对于这些资产中的每一个,发现系统都会根据所有可用属性运行自动递归搜索,以查找第二级和第三级连接。 这一重复过程将提供有关组织联机基础结构的更多信息,因此会发现以其他方式可能无法发现并监视的不同资产。
自动攻击面与自定义攻击面
首次使用 Defender EASM 时,可以访问组织的预建清单,以快速启动工作流。 从“快速启动”页中,用户可以搜索其组织,以根据 Defender EASM 已标识的资产连接快速填充其清单。 建议所有用户在创建自定义清单之前,先搜索其组织的预建攻击面清单。
若要生成自定义清单,用户可创建发现组来整理和管理运行发现时使用的种子。 用户可以使用单独的发现组来自动执行发现过程、配置种子列表和设置定期运行计划。
已确认清单与候选资产
如果发现引擎检测到潜在资产与初始种子之间的强连接,系统会自动将该资产标记为“已确认清单”状态。 由于系统会迭代扫描与此种子的连接,发现第三级或第四级连接,因此系统对任何新检测到的资产的所有权的置信度会降低。 同样,系统可能会检测到与你的组织相关但不直接归你所有的资产。
出于这些原因,新发现的资产标记为以下状态之一:
| 状态名称 | 说明 |
|---|---|
| 已批准的清单 | 属于你自己的攻击面的一部分的项。 这是你直接负责的项。 |
| 依赖项 | 归第三方所有但属于你的攻击面的基础结构,因为它直接支持你拥有的资产的操作。 例如,你可能依赖 IT 提供程序来托管 Web 内容。 域、主机名和页面将成为“已批准的清单”的一部分,因此你可能希望将运行主机的 IP 地址视为“依赖项”。 |
| 仅监视 | 与你的攻击面相关,但既不受直接控制也不是技术依赖项的资产。 例如,独立的特许经营商或属于相关公司的资产可能会被标记为“仅监视”而不是“已批准的清单”,以便将各组分开进行报告。 |
| 候选 | 与组织的已知种子资产有某种关系,但连接不够强,无法立即将其标记为“已批准的清单”的资产。 必须手动评审这些候选资产以确定所有权。 |
| 需要调查 | 一种类似于“候选”状态的状态,但此值应用于需要手动调查进行验证的资产。 该状态是根据我们内部生成的置信度分数来确定的,该分数用于评估资产之间检测到的连接强度。 它并不表示基础结构与组织的确切关系,而是将该资产标记为需要额外评审,以确定应如何分类。 |
查看资产时,建议从标记为“需要调查”的资产开始。 资产详细信息会随着时间的推移不断刷新和更新,以维护资产状态和关系的准确映射,并在新创建的资产出现时发现它们。 发现过程是通过将种子放置在发现组中来管理的,这些发现组可以计划为定期重新运行。 填充清单后,Defender EASM 系统会使用 Microsoft 的虚拟用户技术持续扫描资产,以发现有关每个资产的全新详细数据。 此过程会检查适用站点内每个页面的内容和行为,以提供可靠的信息用于识别组织的漏洞、合规性问题和其他潜在风险。