資產修改概觀

本文概述如何修改詳細目錄資產。 您可以變更資產的狀態、指派外部識別碼或套用標籤，以協助提供內容和使用詳細目錄資料。 您也可以將 CVE 和其他觀察標示為不適用，以將它們從報告計數中移除。 您也可以根據探索到資產的方法，將資產從其詳細目錄中大量移除。 例如，使用者可以從探索群組中移除種子，並選擇移除透過此種子連線而探索到的任何資產。 本文會說明 Defender EASM 中可用的所有修改選項，並概述如何使用工作管理員更新資產及追蹤任何更新。

標籤資產

標籤可協助您整理受攻擊面，並以可自訂的方式套用商務內容。 您可以將任何文字標籤套用至資產子集以將資產分組，並更有效地運用您的詳細目錄。 客戶通常會將資產分類為：

• 最近透過合併或收購為您的組織所擁有。
• 需要合規性監視。
• 由其組織中的特定業務單位所擁有。
• 受到需要風險降低的特定弱點影響。
• 與組織所擁有的特定品牌相關。
• 在特定時間範圍內新增至您的詳細目錄。

標籤是自由格式文字欄位，因此您可以根據組織適用的任何使用案例建立標籤。

變更資產的狀態

使用者也可以變更資產的狀態。 狀態可協助根據其在組織中的角色來分類您的詳細目錄。 使用者可以在下列狀態之間切換：

• 已核准的詳細目錄：屬於您自己的受攻擊面；您直接負責的項目。
• 相依性：協力廠商所擁有，但因為其直接支援您所擁有資產的作業，而屬於您受攻擊面的基礎結構。 例如，您可能依靠 IT 提供者來裝載您的 Web 內容。 雖然網域、主機名稱和頁面屬於「已核准的詳細目錄」，但您可能想要將執行主機的 IP 位址視為「相依性」。
• 僅監視：與受攻擊面有關，但既不直接由貴組織控制，也無技術相依性的資產。 例如，屬於相關公司的獨立特許項目或資產可能會標示為「僅監視」，而不是「已核准的詳細目錄」，以分隔報告用途的群組。
• 候選項目：與貴組織已知種子資產有一些關聯性，但連結強度不足以立即將其標示為「已核准的詳細目錄」的資產。” 您必須手動檢閱這些候選資產，才能判斷所有權。
• 需要調查：此狀態與「候選」狀態類似，但此值會套用至需要手動調查才能驗證的資產。 其判斷依據是內部產生的信賴分數，系統會使用此分數來評估所偵測到的資產間連結強度。 其指出基礎結構與組織有確切關聯性的程度，不如其表示此資產已標幟為需要額外檢閱以判斷其分類方式。

套用外部識別碼

使用者也可以將外部識別碼套用至資產。 此動作在您使用多個解決方案進行資產追蹤、補救活動或所有權監視時非常實用；查看 Defender EASM 內的任何外部識別碼可協助您調整這項各異的資產資訊。 外部識別碼值可以是數值或英數字元，且必須以文字格式輸入。 外部識別碼也會顯示在 [資產詳細資料] 區段中。

將觀察標示為不適用

許多 Defender EASM 儀表板都會提供 CVE 資料，讓您根據提供受攻擊面的 Web 元件基礎結構來注意潛在的漏洞。 例如，CES 會列在 [受攻擊面] 摘要儀表板上，並依其潛在嚴重性分類。 在調查這些 CVE 時，您可能會判斷有些與貴組織無關。 這可能是因為您正在執行未受影響的 Web 元件版本，或貴組織採用了不同的技術解決方案來保護您免於該特定漏洞的影響。

從任何 CVE 相關圖表之向下鑽研檢視，您現在可以在 [下載 CSV 報表] 按鈕旁選擇將觀察設定為不適用。 按一下此值會將您路由至與該觀察相關聯之所有資產的詳細目錄清單，然後您可以從此頁面選擇將所有觀察標示為不適用。 實際變更會從 [詳細目錄清單] 檢視或特定資產的 [資產詳細資料] 頁面執行。

如何修改資產

您可以從詳細目錄清單和資產詳細資料頁面修改資產。 在 [資產詳細資料] 頁面可變更單一資產。 在清單清單頁面可變更單一資產或多個資產。 下列各節將根據您的使用案例，說明如何套用兩個詳細目錄檢視的變更。

詳細目錄清單頁面

如果您想要一次更新許多資產，則應該從詳細目錄清單頁面修改資產。 您可以根據篩選參數來精簡資產清單。 此流程可協助您識別應透過所需標籤、外部識別碼或狀態變更分類的資產。 若要修改此頁面的資產：

1. 在 Microsoft Defender 外部受攻擊面管理 (Defender EASM) 資源最左邊的窗格中，選取 [詳細目錄]。

2. 套用篩選以產生預期的結果。 在此範例中，我們要搜尋在需要續約的 30 天內到期的網域。 套用的標籤可協助您更快速存取任何過期網域，從而簡化補救流程。 您可以視需要套用數量不拘的篩選條件，以取得所需的特定結果。 如需篩選的詳細資訊，請參閱詳細目錄篩選概觀。 對於您想要在其中將 CVE 標示為不適用的執行個體，相關的儀表板圖表向下鑽研會提供連結，可直接將您路由至此套用了正確篩選的詳細目錄頁面。

   

3. 篩選詳細目錄清單之後，請透過 [資產] 資料表標頭旁的核取方塊選取下拉式清單。 此下拉式清單可讓您選擇所有符合查詢的結果，或該特定頁面上的結果 (最多 25 個)。 [無] 選項會清除所有資產。 您也可以透過選取每個資產旁的個別核取標記，只選取頁面上的特定結果。

   

4. 選取 [修改資產]。

   

5. 在畫面右側開啟的 [修改資產] 窗格中，您可以快速變更已選取資產的多種欄位。 在此範例中，您需要建立新的標籤。 選取 [建立新標籤]。

6. 判斷標籤名稱和顯示文字值。 在初始建立標籤之後，就無法變更標籤名稱，但之後可編輯顯示文字。 標籤名稱會用於查詢產品介面或 API 中的標籤，因此會停用編輯以確保這些查詢正常運作。 若要編輯標籤名稱，您必須刪除原始標籤並建立新的標籤。

   選取新標籤的色彩，然後選取 [新增]。 此動作會帶您回到 [修改資產] 畫面。

   

7. 將您的新標籤套用至資產。 在 [新增標籤] 文字輸入框中按兩下，以檢視可用標籤的完整清單。 或者，您可以在方塊內輸入關鍵詞進行搜尋。 選取要套用的標籤之後，請選取 [更新]。

   

8. 等待標籤套用。 程序完成之後，您會看到「已完成」通知。 頁面會自動重新整理，並顯示具有可見標籤的資產清單。 畫面頂端的橫幅會確認您的標籤已套用。

   

資產詳細資料頁面

您也可以從 [資產詳細資料] 頁面修改單一資產。 若在套用標籤或狀態變更之前需要徹底檢閱資產，則適合採用此選項。

1. 在 Defender EASM 資源最左邊的窗格中，選取 [詳細目錄]。

2. 選取您要修改的特定資產，以開啟資產詳細資料頁面。

3. 在此頁面上，選取 [修改資產]。

   

4. 請遵循「詳細目錄清單頁面」一節中的步驟 5 到 7。

5. [資產詳細資料] 頁面會重新整理，並顯示新套用的標籤或狀態變更。 橫幅會表示資產已成功更新。

修改、移除或刪除標籤

若要從資產中移除標籤，使用者可從詳細目錄清單或資產詳細資料檢視，存取相同的 [修改資產] 窗格。 在詳細目錄清單檢視中，您可以一次選取多個資產，然後透過單一動作來新增或移除所需的標籤。

若要修改標籤本身，或移除系統中的標籤：

1. 在 Defender EASM 資源最左邊的窗格中，選取 [標籤 (預覽)]。

   

   此頁面會顯示 Defender EASM 詳細目錄內的所有標籤。 此頁面上的標籤可能存在於系統中，但不會主動套用至任何資產。 您也可以在此頁面新增標籤。

2. 若要編輯標籤，請在待編輯標籤的 [動作] 資料行中選取鉛筆圖示。 窗格會在畫面右側開啟，您可以在其中修改標籤的名稱或色彩。 選取更新。

3. 若要移除標籤，請從待刪除標籤的 [動作] 資料行選取垃圾桶圖示。 選取 [移除標籤]。

   

[標籤] 頁面會自動重新整理。 該標籤將從清單中移除，也會從已套用標籤的任何資產中移除。 隨即顯示確認移除的橫幅。

將觀察標示為不適用

雖然您可以從相同的 [修改資產] 畫面中將觀察標示為不適用以進行其他手動變更，但您還是可以從 [資產詳細資料] 中的 [觀察] 索引標籤來進行這些更新。 [觀察] 索引標籤有兩個資料表: [觀察] 和 [不適用的觀察]。 判斷為受攻擊面內「最近」的所有作用中觀察都會位於 [觀察] 資料表中，而 [不適用的觀察] 資料表中會列出任何已手動標示為不適用或由系統決定不再適用的觀察。 若要將觀察標示為不適用，因此從儀表板計數中排除該特定觀察，只要選取所需的觀察，然後按一下 [設定為不適用]。這些觀察會立即從作用中的 [觀察] 資料表中消失，並改為出現在[不適用的觀察] 資料表上。 您可以隨時從此資料表選取相關的觀察，然後選取 [設定為適用] 來還原此變更。"

工作管理員和通知

提交工作之後，將顯示確認更新進行中的通知。 從 Azure 中的任何頁面選取通知 (鈴鐺) 圖示，即可查看最近工作的詳細資訊。

Defender EASM 系統更新少數資產可能需要幾秒鐘，或是更新更新數千個資產可能需要幾分鐘。 您可以使用工作管理員來檢查任何進行中修改工作的狀態。 本節概述如何存取工作管理員，並用於進一步掌握已提交更新的完成。

1. 在 Defender EASM 資源最左邊的窗格中，選取 [工作管理員]。

   

2. 此頁面會顯示您所有最近的工作及其狀態。 工作會列為 [已完成]、[失敗] 或 [進行中]。 也會顯示完成百分比和進度列。 若要查看特定工作的詳細資料，請選取工作名稱。 窗格會在畫面右側開啟，以提供詳細資訊。

3. 選取 [重新整理] 以查看工作管理員中所有項目的最新狀態。

篩選標籤

在詳細目錄中為資產加上標籤之後，您可以使用詳細目錄篩選來擷取所有已套用特定標籤的資產清單。

1. 在 Defender EASM 資源最左邊的窗格中，選取 [詳細目錄]。

2. 選取 [新增篩選]。

3. 從 [篩選] 下拉式清單中選取 [標籤]。 選取運算子，然後從選項的下拉式清單中選擇標籤。 下列範例示範如何搜尋單一標籤。 您可以使用 In 運算子來搜尋多個標籤。 如需篩選的詳細資訊，請參閱詳細目錄篩選概觀。

   

4. 選取套用。 詳細目錄清單頁面會重新載入，並顯示符合您條件的所有資產。

以資產鏈結為基礎的管理

在某些情況下，您可能想要根據這些資產的探索方法，一次移除多個資產。 例如，您可能會判斷探索群組中的特定種子提取的資產與貴組織無關，或者可能需要移除已不在您管轄範圍內的子公司相關資產。 為此，Defender EASM 提供在探索鏈結中移除來源實體和任何「下游」資產的能力。 您可以使用下列三種方法移除連結的資產：

• 種子型管理：使用者可以刪除曾經包含在探索群組中的種子，進而移除透過觀察指定種子連線而導入詳細目錄的所有資產。 當您判斷手動輸入的特定種子導致不想要的資產新增至詳細目錄時，就適合採用這個方法。
• 探索鏈結管理：使用者可以識別探索鏈結內的資產並加以刪除，同時移除該實體探索到的任何資產。 探索是遞歸程序，將會掃描種子，以識別與這些指定種子直接相關聯的新資產，然後繼續掃描新發現的實體，以發現更多的連接。 如果您的探索群組已正確設定，則適合採用此刪除方法，但您需要移除新探索到的資產，以及透過與該實體關聯而導入詳細目錄的任何資產。 請考慮您的探索群組設定，並將指定的種子指定為探索鏈結的「頂端」；這個刪除方法可讓您移除中間的資產。
• 探索群組管理：使用者可以移除整個探索群組，以及透過此探索群組導入詳細目錄的所有資產。 當整個探索群組不再適用於您的組織時，可採用此方法。 例如，您可能有一個探索群組，專門搜尋與子公司相關的資產。 如果此子公司已與您的組織無關，您可以利用以資產鏈結為基礎的管理，刪除透過該探索群組導入詳細目錄的所有資產。

您仍然可以在 Defender EASM 中檢視已移除的資產，只需篩選詳細目錄清單，並取得「已封存」狀態的資產。

種子型刪除

您可能會判斷最初指定的探索種子之一應從探索群組中移除。 該種子可能已與您的組織無關，或可能其導入誤判為真的資產比合法擁有的資產還多。 在此情況下，您可以從探索群組中移除該種子，以防止在未來的探索執行中使用，同時移除過去透過指定種子導入詳細目錄的任何資產。

若要根據種子執行大量移除，請路由至適當的探索群組詳細資料頁面，然後按兩下 [編輯探索群組]。遵循提示以前往 [種子] 頁面，然後從清單中移除有問題的種子。 當您選取 [檢閱 + 更新] 時會看到警告，指出將一併移除透過指定種子探索到的所有資產。 選取 [更新] 或 [更新及執行] 以完成刪除。

探索鏈結型刪除

在下列範例中，假設您已在攻擊介面摘要儀表板上探索到不安全的登入表單。 調查會將您路由傳送至似乎非由貴組織擁有的主機。 您可以檢視資產詳細資料頁面以取得詳細資訊；檢閱探索鏈結時，您了解到該主機已進入詳細目錄，因為對應的網域是使用員工的公司電子郵件地址所註冊，而該地址也用來註冊已核准的商務實體。

在此情況下，初始探索種子 (公司網域) 仍然合法，因此我們需要改為從探索鏈結中移除有問題的資產。 雖然我們可以從連絡人電子郵件執行鏈結刪除，但我們會改為選擇移除註冊至此員工個人網域相關聯的所有項目，讓 Defender EASM 在未來警告我們註冊到該電子郵件地址的任何其他網域。 從探索鏈結中，選取此個人網域以檢視資產詳細資料頁面。 從此檢視中，選取 [從探索鏈結移除] 以從您的詳細目錄中移除該資產，以及透過觀察該個人網域連線而導入詳細目錄的所有資產。 您會需要確認移除資產和所有下游資產，然後系統會顯示使用此動作會移除的其他資產摘要清單。 選取 [移除探索鏈結] 以確認大量移除。

探索群組刪除

您有時會需要刪除和整個探索群組，以及透過群組探索到的所有資產。 例如，貴公司可能已將子公司售出，因此不再需要監視。 使用者可以從 [探索管理] 頁面刪除探索群組。 若要移除探索群組和所有相關資產，請選取清單中適當群組旁的垃圾桶圖示即可。 您會收到警告，其中會列出使用此動作將會移除的資產摘要。 若要確認刪除探索群組以及所有相關資產，請選取 [移除探索群組]。

下一步

• 詳細目錄篩選概觀
• 了解詳細目錄資產
• 了解資產詳細資料