共用方式為

使用及管理探索

  • 發行項

Microsoft Defender 外部受攻擊面管理 (Defender EASM) 仰賴專屬探索技術,可持續定義貴組織獨特的網際網路公開攻擊面。 Discovery 會掃描網際網路中您的組織所擁有的資產,以發掘先前未知且未受監視的屬性。

探索到的資產會在您的清查中編製索引,以透過單一玻璃窗格提供一個在貴組織管理下的 Web 應用程式、協力廠商相依性和 Web 基礎結構的動態記錄系統。

執行自訂探索之前,請參閱什麼是探索?以了解這裡所討論的重要概念。

存取您的自動化受攻擊面

Microsoft 已預先設定許多組織的受攻擊面,會探索連線到已知資產的基礎結構來對應其初始受攻擊面。

建議您先搜尋貴組織的受攻擊面,然後再建立自訂受攻擊面並執行其他探索。 這個流程可讓您在 Defender EASM 重新整理資料並將更多資產和最近的內容新增到您的受攻擊面時,快速存取您的清查。

第一次存取您的 Defender EASM 執行個體時,請在 [一般] 區段中選取 [開始使用],以在自動式受攻擊面清單中搜尋您的組織。 然後從清單中選擇您的組織,並選取 [建置我的受攻擊面]

Screenshot that shows a preconfigured attack surface selection screen.

此時,探索會在背景中執行。 如果您從可用的組織清單中選取預先設定的 [受攻擊面],系統會將您重新導向至 [儀表板概觀] 畫面,您可以在其中以預覽模式檢視對貴組織基礎結構的深入解析。

在等待更多資產被探索到並填入到您的清查中時,請檢閱這些儀表板深入解析以熟悉您的受攻擊面。 如需如何從這些儀表板中衍生出深入解析的詳細資訊,請參閱了解儀表板

您可以執行自訂的探索來偵測極端值資產。 例如,您可能遺失資產。 或者,您可能有其他實體可管理,但可能未透過明顯連結至貴組織的基礎結構來探索到該實體。

自訂探索

自訂探索非常適合需要更深入了解可能無法立即連結到其主要種子資產基礎結構的貴組織。 探索引擎會提交較大的已知資產清單以探索種子資產的方式進行運作,以傳回更廣泛的資產集區。 自訂探索也可以協助貴組織尋找可能與獨立業務單位和收購公司相關的不同基礎結構。

探索群組

自訂探索會組織成探索群組。 其為獨立的種子叢集,由單一探索執行所組成,並按自己的週期時間表進行運作。 您可組織安排您的探索群組,以任何最適合您公司與工作流程的方式來描述資產。 常見的選項包括由負責的團隊或業務單位、品牌或子公司來進行組織安排。

建立探索群組

  1. 在最左側窗格的 [管理] 下,選取 [探索]

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. [探索] 頁面預設會顯示您的探索群組清單。 當您第一次存取平台時,此清單是空的。 若要執行您的第一個探索,請選取 [新增探索群組]

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. 命名新的探索群組並新增描述。 [週期性頻率] 欄位可讓您排定此群組的探索執行時間表,以持續掃描與指定種子相關的新資產。 預設的週期選項為 [每週]。 建議您採用這種頻率,以確保貴組織的資產受到定期的監視和更新。

    針對單一、單次的探索執行,請選取 [永不]。 建議您保留 [每週] 預設頻率,因為探索的設計目的是要持續探索與已知基礎結構相關的新資產。 您稍後可以從任何探索群組詳細資料頁面選取 [編輯] 選項,以編輯週期頻率。

  4. 選取 [下一步:種子]

    Screenshot that shows the first page of the discovery group setup.

  5. 選取您要用於此探索群組的種子。 種子是屬於貴組織的已知資產。 Defender EASM 平台會掃描這些實體,以將其連線對應至其他線上基礎結構來建立您的受攻擊面。 由於 Defender EASM 的目的是要從外部角度監視您的受攻擊面,因此不能包含私人 IP 位址做為探索種子。

    Screenshot that shows the seed selection page of the discovery group setup.

    [快速入門] 選項可讓您在預先填入的受攻擊面清單中搜尋您的組織。 您可以根據屬於貴組織的已知資產來快速建立探索群組。

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    或者,您也可以手動輸入種子。 Defender EASM 接受組織名稱、網域、IP 區塊、主機、電子郵件連絡人、ASN 和 Whois 組織做為種子值。

    您也可以指定要從資產探索中排除的實體,以確保在偵測到時不會將其新增至您的清查中。 例如,對於擁有可能連線到其中央基礎結構但不屬於貴組織子公司的組織而言,排除項目非常有用。

    選取您的種子之後,請選取 [檢閱 + 建立]

  6. 檢閱您的群組資訊和種子清單,然後選取 [建立及執行]

    Screenshot that shows the Review + Create screen.

    您會回到顯示您探索群組的主要 [探索] 頁面。 探索執行完成之後,您會看到新增至已核准清查的新資產。

檢視和編輯探索群組

您可以從主要 [探索] 頁面中管理您的探索群組。 預設的檢視畫面會顯示您的所有探索群組的清單,以及每個群組的一些相關主要資料。 從清單檢視畫面中,您可以看到每個群組的種子數目、週期排程、上次執行的日期及建立的日期。

Screenshot that shows the discovery groups screen.

請選取任何探索群組以檢視詳細資訊、編輯群組,或啟動新的探索程序。

執行歷程記錄

探索群組詳細資料頁面包含群組的執行歷程記錄。 此區段會顯示每個探索執行 (已在特定種子群組上執行) 的相關主要資訊。 [狀態] 資料行會指出執行是在 [進行中]、[完成] 還是 [失敗]。 本節也包含 [已啟動] 和 [已完成] 時間戳記,以及在該特定探索執行之後新增至清查的所有新資產計數。 不論狀態或可計費狀態為何,此計數都包含所有已帶入清查的資產。

執行歷程記錄是由探索執行期間所掃描到的種子資產所組織安排。 若要查看合適種子的清單,請選取 [詳細資料]。 畫面右側隨即會開啟一個窗格,其中會以依種類和名稱列出所有種子和排除項目。

Screenshot that shows the run history for the discovery group screen.

檢視種子和排除項目

[探索] 頁面預設會顯示 [探索群組] 的清單檢視,但您也可以檢視此頁面中所有種子和已排除實體的清單。 選取任一個索引標籤,即可檢視提供內容給探索群組的所有種子或排除項目的清單。

種子

種子清單檢視畫面會顯示具有三個資料行的種子值:[類型]、[來源名稱] 和 [探索群組]。 [類型] 欄位會顯示種子資產的類別。 最常見的種子是網域、主機和 IP 區塊。 您也可以使用電子郵件連絡人、ASN、憑證通用名稱或 Whois 組織。

來源名稱是在建立探索群組時,在適當的類型方塊中輸入的值。 最後一個資料行會顯示使用種子的探索群組清單。 每個值都是可點選的,並可帶您前往該探索群組的詳細資料頁面。

當您輸入種子時,請記得驗證每個項目的適當格式。 當您儲存探索群組時,平台會執行一系列驗證檢查,並警示您任何設定錯誤的種子。 例如,IP 區塊應由網路位址 (例如 IP 範圍的開頭) 輸入。

Screenshot that shows the Seeds view of a discovery page.

排除項目

同樣地,您可以選取 [排除項目] 索引標籤,以查看已從探索群組中排除的實體清單。 這些資產不會用來做為探索種子或新增至您的清查中。 排除項目只會影響個別探索群組的未來探索執行。

[類型] 欄位會顯示已排除實體的類別。 來源名稱是在建立探索群組時,在適當的類型方塊中輸入的值。 最後一個資料行會顯示此排除項目所在的探索群組清單。 每個值都是可點選的,並可帶您前往該探索群組的詳細資料頁面。

下一步