Defender EASM 清查篩選概觀
本文概述 Microsoft Defender 外部受攻擊面管理 (Defender EASM) 中可用的篩選功能。 篩選可協助您根據選取的參數來尋找特定庫存資產的子集。 本文概述每個篩選條件和運算子,並提供指引,說明可產生最佳結果的輸入選項。 其也會說明如何儲存查詢,以便輕鬆存取篩選的結果。
運作方式
清查篩選可讓您存取符合搜尋參數的特定資料子集。 您可以視需要盡可能套用最多的篩選條件,以取得您想要的結果。
根據預設,[清查] 畫面只會顯示 [已核准] 清查資產。 替代狀態中的資產會予以隱藏。 如果您要檢視處於不同狀態的資產,則可以移除此篩選條件。 其他狀態為 [候選項目]、[相依性] 和 [需要調查]。
當您需要下列作業時,移除 [已核准] 清查篩選會很有用:
- 檢閱潛在的新資產。
- 調查第三方相依性問題。
- 當您進行搜尋時,請參閱所有潛在擁有資產的完整檢視。
Defender EASM 提供各種篩選條件,可取得不同層級的細微性結果。 透過某些篩選條件,您可以從下拉式清單中選取值選項。 其他篩選條件則要求您手動輸入所需的值。
已儲存的查詢
您可以儲存感興趣的查詢,以快速存取產生的資產清單。 如果您需要定期搜尋特定資產的子集,這項功能會很有用。 如果您稍後需要輕鬆地參考特定的篩選組態,也會很有用。 儲存的篩選條件可協助您根據高度可自訂的參數,輕鬆存取您最關心的資產。
若要儲存查詢:
首先,請仔細選取篩選條件,以產生您所需的結果。 如需每種資產適用篩選條件的詳細資訊,請參閱<後續步驟>一節。 在此範例中,您要搜尋在需要續約的 30 天內到期的網域。 選取搜尋。
檢閱產生的資產。 如果您滿意選取的篩選條件並想要儲存查詢,請選擇 [儲存查詢]。
為您的查詢命名並提供描述。 在初始設定之後,無法編輯查詢名稱,但稍後可以變更描述。 選取 [儲存]。 隨即出現確認查詢已儲存完成的橫幅。
若要檢視已儲存的篩選條件,請選取清查清單頁面頂端的 [已儲存的查詢] 索引標籤。 任何已儲存的查詢都會顯示在頂端區段中。 選取 [開啟查詢],依指定的參數篩選您的清查。 您也可以從此頁面編輯或刪除已儲存的查詢。
操作員
清查篩選可以搭配下列運算子使用。 某些運算子不適用於每個篩選條件。 如果某些運算子在邏輯上不適用於特定篩選條件,則會隱藏這些運算子。
| 運算子 | 描述 |
|---|---|
Equals |
傳回完全符合搜尋值的結果。 此篩選條件一次只會傳回一個值的結果。 針對填入選項下拉式清單的篩選條件,一次只能選取一個選項。 若要選取多個值,請參閱 In 運算子。 |
Not Equals |
傳回欄位與搜尋值不完全相符的結果。 |
Starts with |
傳回欄位開頭為搜尋值的結果。 |
Does not start with |
傳回欄位開頭不是搜尋值的結果。 |
Matches |
傳回欄位中權杖化字詞與搜尋值完全相符的結果。 |
Does not match |
傳回欄位中權杖化字詞與搜尋值不完全相符的結果。 |
In |
傳回欄位與其中一個搜尋值完全相符的結果。 針對下拉式清單,可以選取多個選項。 |
Not In |
傳回欄位與任何一個搜尋值不完全相符的結果。 可以選取多個選項。 手動輸入欄位會排除符合確切值的結果。 |
Starts with in |
傳回欄位開頭為其中一個搜尋值的結果。 |
Does not start with in |
傳回欄位開頭不是任何一個搜尋值的結果。 |
Matches in |
傳回欄位中權杖化字詞與任何一個搜尋值完全相符的結果。 |
Does not match in |
傳回欄位中權杖化字詞與任何一個搜尋值不完全相符的結果。 |
Contains |
傳回欄位內容包含搜尋值的結果。 |
Does Not Contain |
傳回欄位內容不包含搜尋值的結果。 |
Contains in |
傳回欄位內容包含其中一個搜尋值的結果。 |
Does Not Contain In |
傳回欄位內容中權杖化字詞不包含任何一個搜尋值的結果。 |
Empty |
傳回未傳回指定篩選條件任何值的資產。 |
Not Empty |
傳回所有傳回指定篩選條件值的資產,不論值為何。 |
Greater Than or Equal To |
傳回大於或等於數值的結果。 包含日期。 |
Between |
傳回數值範圍內的結果。 包含日期範圍。 |
常用篩選條件
這些篩選條件會套用至清查內的各種資產。 當您搜尋更廣泛的資產時,可以使用這些篩選條件。 如需特定資產類型的篩選條件清單,請參閱<後續步驟>一節。
定義的值篩選條件
下列篩選條件提供您可以選取的選項下拉式清單。 可用的值為預先定義的。
| 篩選名稱 | 描述 | 可選取的值 | 可用的運算子 |
|---|---|---|---|
| 種類 | 依組成清查的特定 Web 屬性類型進行篩選。 | ASN, 聯絡人, 網域, 主機, IP 位址, IP 區塊, 頁面, SSL 憑證 | Equals、Not Equals、In、Not In、Empty、Not Empty |
| 州/省 | 指派給資產以區分其與貴組織相關性的狀態,以及 Defender EASM 監視的方式。 | 已核准, 候選項目, 相依性, 僅監視, 需要調查 | |
| 從清查中移除 | 從清查中移除資產的方法。 | 封存, 已關閉 | |
| 建立時間 | 依清查中建立資產的日期進行篩選。 | 透過行事曆下拉式清單選取的日期範圍 | Greater Than or Equal To、Less Than or Equal To、Between |
| 第一次出現時間 | 依 Defender EASM 偵測系統第一次觀察到資產的日期進行篩選。 | 透過行事曆下拉式清單選取的日期範圍 | |
| 上次出現時間 | 依 Defender EASM 偵測系統上次觀察到資產的日期進行篩選。 | 透過行事曆下拉式清單選取的日期範圍 | |
| 標籤 | 手動套用至清查資產的標籤篩選。 | 接受自由格式回應,但也提供 Defender EASM 資源中可用的標籤下拉式清單 | |
| 更新時間 | 依資產資料上次在清查中更新的日期進行篩選。 | 透過行事曆下拉式清單選取的日期範圍 | |
| 萬用字元 | 萬用字元 DNS 記錄會回答尚未定義子網域的 DNS 要求。 例如 *.contoso.com。 | True、False | Equals, Not Equals |
自由格式篩選
下列篩選條件會要求您手動輸入要用於搜尋的值。 這些值中有需多都會區分大小寫。
| 篩選名稱 | 描述 | 值格式 | 適用的運算子 |
|---|---|---|---|
| UUID | 指派給特定資產的通用唯一識別碼。 | acabe677-f0c6-4807-ab4e-3a59d9e66b22 | Equals, Not Equals, In, Not In |
| 名稱 | 資產的名稱。 | 必須對應清查中所列資產名稱的格式。 例如,主機會顯示為 mail.contoso.com,或 IP 顯示為 192.168.92.73。 | Equals、Not Equals、Starts with、Does not start with、In、Not In、Starts with in、Does not start with in |
| 外部 ID | 第三方提供的識別碼。 | 通常是數值。 | Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
篩選核准清查以外的資產
在最左側的窗格中,選取 [清查] 以檢視您的清查。
若要移除 [已核准] 清查篩選條件,請選取 [State = Approved] 篩選條件旁的 [X]。 您的清查清單隨即展開,以包含其他狀態中的資產,例如 [已關閉]。
使用清查篩選條件來識別您要尋找的資產。 您可能需要檢閱 [候選項目] 狀態中的所有資產。 您也可以將對貴組織重要的任何資產新增至 [已核准] 清查。
或者,您可能需要尋找您要新增至 [已核准] 清查的單一特定資產。 若要探索特定資產,請套用篩選條件以搜尋名稱。
當清查清單顯示您所搜尋的未核准資產時,您可以修改資產。 如需關於如何更新資產的詳細資訊,請參閱修改清查資產。