实现和使用 Microsoft Defender 外部攻击图面管理
Microsoft Defender 外部攻击图面管理(Defender EASM)持续发现和映射数字攻击面,以提供联机基础结构的外部视图。 通过此可见性,安全和 IT 团队能够识别未知、确定风险优先级、消除威胁以及扩展防火墙之外的漏洞和暴露控制。 攻击面洞察是通过利用漏洞和基础设施数据生成的,以展示贵组织关注的关键领域。
发现和库存
Microsoft专有发现技术以递归方式搜索与已知合法资产建立连接的基础结构,以推断该基础结构与组织的关系,并发现以前未知和未受监视的属性。 这些已知的合法资产称为发现“种子”;Defender EASM 首先发现与这些所选实体的强连接,递归揭示更多的连接,并最终编译出攻击面。
Defender EASM 包括发现以下类型的资产:
- 领域
- 主机名
- 网页
- IP地址块
- IP 地址
- ASN
- SSL 证书
- WHOIS 联系人
仪表 板
Defender EASM 提供了一系列仪表板,可帮助用户快速了解其联机基础结构及其组织的任何关键风险。 这些仪表板旨在提供有关特定风险领域(包括漏洞、合规性和安全卫生)的见解。 这些见解帮助客户快速应对其攻击面中对组织构成最大风险的组件。
管理资产
客户可以筛选其库存,以显示他们最关心的特定见解。 筛选提供灵活性和自定义级别,使用户能够访问特定资产子集。 这允许你根据特定的用例利用 Defender EASM 数据,无论是搜索连接到弃用基础结构的资产还是标识新的云资源。
用户权限
分配有“所有者”或“参与者”角色的用户可以创建、删除和编辑 Defender EASM 资源和其中的清单资产。 这些角色可以利用平台中提供的所有功能。 已分配“读取者”角色的用户可以查看 Defender EASM 数据,但无法创建、删除或编辑清单资产或资源本身。
数据驻留、可用性和隐私
Microsoft Defender 外部攻击图面管理包含全局数据和特定于客户的数据。 基础 Internet 数据是全局Microsoft数据;客户应用的标签被视为客户数据。 所有客户数据都存储在客户选择的区域。
出于安全考虑,Microsoft登录时收集用户的 IP 地址。 此数据存储长达 30 天,但如果需要调查产品的潜在欺诈或恶意使用,可能会存储更长时间。
对于区域关闭方案,只有受影响区域中的客户才会经历停机。
Microsoft合规性框架要求在组织不再成为Microsoft客户的 180 天内删除所有客户数据。 这还包括在脱机位置(例如数据库备份)中存储客户数据。 删除资源后,团队无法还原该资源。 客户数据将在数据存储中保留 75 天,但无法还原实际资源。 75 天之后,客户数据将被永久删除。