什麼是探索?
Microsoft Defender 外部受攻擊面管理 (Defender EASM) 使用Microsoft專屬探索技術,持續定義組織獨特的因特網公開攻擊面。 Defender EASM 探索功能會掃描貴組織所擁有的已知資產,以找出先前未知和未受監視的屬性。 探索到的資產會在您組織的清查中編製索引。 Defender EASM 可讓您以單一檢視,為組織管理下的 Web 應用程式、第三方相依性和 Web 基礎結構提供動態記錄系統。
![[新增探索] 窗格的螢幕快照。](media/discovery-configuration.png)
透過 Defender EASM 探索程式,您的組織可以主動監視其不斷轉移的數位攻擊面。 您可以識別出現的新興風險和原則違規。
許多弱點程式在防火牆外缺乏可見度。 他們不知道外部風險和威脅,這是數據外洩的主要來源。
於此同時,數位資產的增長速度會不斷超越企業安全性小組所能提供的保護。 數字計劃與過度常見的「影子IT」會導致防火牆外擴大的攻擊面。 在這個步調下,幾乎不可能驗證控件、保護和合規性需求。
若沒有 Defender EASM,幾乎無法識別和移除弱點,掃描器無法觸達防火牆之外,以評估完整的受攻擊面。
運作方式
若要建立組織受攻擊面的完整對應,Defender EASM 會先接收已知的資產(種子)。 探索種子會以遞歸方式掃描,透過它們與種子的聯繫來探索更多實體。
初始種子可能是下列由 Microsoft 編製索引的 Web 基礎結構類型:
- 網域
- IP 位址區塊
- 主機
- 電子郵件連絡人
- 自發系統名稱 (ASN)
- Whois 組織
從種子開始,系統會探索與其他在線基礎結構項目的關聯,以探索組織擁有的其他資產。 此程序最終會建立整個受攻擊面清查。 探索程式會使用探索種子作為中央節點。 然後,它會向外分支到攻擊面的週邊。 它會識別直接連線到種子的所有基礎結構專案,然後識別與第一組連線中每個專案相關的所有專案。 此程式會重複並延伸,直到它到達組織管理責任的邊緣為止。
例如,若要探索 Contoso 基礎結構中的所有專案,您可以使用 網域 contoso.com作為初始 Keystone 種子。 從這個種子開始,我們可以參考下列來源並衍生下列關聯性:
| 資料來源 | 具有 Contoso 可能關聯性的專案 |
|---|---|
| Whois 記錄 | 註冊至用來註冊的相同聯繫人電子郵件或登錄者組織的其他功能變數名稱 contoso.com |
| Whois 記錄 | 所有註冊到任何 @contoso.com 電子郵件地址的功能變數名稱 |
| Whois 記錄 | 與相同名稱伺服器相關聯的其他網域 contoso.com |
| DNS 記錄 | Contoso 所擁有的網域上所有觀察到的主機,以及與這些主機相關聯的任何網站 |
| DNS 記錄 | 具有不同主機但解析為相同IP區塊的網域 |
| DNS 記錄 | 與 Contoso 擁有功能變數名稱相關聯的郵件伺服器 |
| SSL 憑證 | 所有連線到每部主機的安全套接字層 (SSL) 憑證,以及使用相同 SSL 憑證的任何其他主機 |
| ASN 記錄 | 與連線到 Contoso 功能變數名稱上主機之IP區塊相關聯的其他IP區塊,包括解析為它們的所有主機和網域 |
藉由使用這組第一層連線,我們可以快速衍生一組全新的資產來調查。 在 Defender EASM 執行更多遞歸之前,它會判斷連線是否足夠強大,讓探索到的實體自動新增為 確認清查。 針對每個資產,探索系統會根據所有可用的屬性執行自動化的遞迴搜尋,以尋找第二層和第三層連結。 此重複程式提供有關組織在線基礎結構的詳細資訊,因此會探索其他可能未探索及監視的不同資產。
自動化與自定義攻擊面
當您第一次使用 Defender EASM 時,您可以存取預先建置的清查,讓您的組織快速啟動您的工作流程。 在 [ 用戶入門] 窗格中,使用者可以搜尋其組織,根據Defender EASM已識別的資產連線,快速填入其清查。 我們建議所有使用者在建立自定義清查之前,先搜尋其組織的預先建置攻擊面清查。
若要建置自定義清查,使用者可以建立探索群組,以組織及管理他們在執行探索時使用的種子。 使用者可以使用個別的探索群組來自動化探索程式、設定種子清單,以及設定循環執行排程。
已確認的詳細目錄與候選資產
如果探索引擎偵測到潛在資產與初始種子之間的強聯機,系統會自動將資產標示為 [已確認清查] 狀態。 由於會反覆掃描此種子的連線,並探索到第三層或第四層連線,因此系統對任何新偵測到資產擁有權的信心會降低。 同樣地,系統可能會偵測與您組織相關的資產,但不會直接由您擁有。
基於這些原因,新探索到的資產會標示為下列其中一種狀態:
| 狀態名稱 | 描述 |
|---|---|
| 已核准的清查 | 屬於您擁有受攻擊面的專案。 這是您直接負責的專案。 |
| 相依性 | 由第三方擁有的基礎結構,但它是受攻擊面的一部分,因為它直接支援您自己的資產作業。 例如,您可能依靠 IT 提供者來裝載您的 Web 內容。 網域、主機名和頁面會是核准清查的一部分,因此您可能會想要將執行主機的IP位址視為相依性。 |
| 僅監視 | 與您的受攻擊面相關的資產,但不直接控制或技術相依性。 例如,屬於相關公司的獨立特許經營商或資產可能會標示為 [ 僅限 監視],而不是 [已核准的清查 ] 來分隔群組以供報告之用。 |
| 候選人 | 與貴組織已知種子資產有一些關聯性的資產,但該資產沒有足夠強大的連線,可立即將它 標記為已核准的清查。 您必須手動檢閱這些候選資產,以判斷擁有權。 |
| 需要調查 | 類似 候選 狀態的狀態,但此值會套用至需要手動調查才能驗證的資產。 狀態是根據我們內部產生的信賴分數來決定,以評估資產之間偵測到連線的強度。 它不會指出基礎結構與組織的確切關聯性,但它會將資產標示為更多檢閱,以判斷其分類方式。 |
當您檢閱資產時,建議您從標示為 [需要調查] 的資產開始。 資產詳細數據會持續重新整理和更新,以維持資產狀態和關聯性的精確對應,並在資產出現時發現新建立的資產。 探索程式是藉由將種子放在探索群組中來管理,您可以排程定期執行。 在清查填入之後,Defender EASM 系統會使用Microsoft虛擬使用者技術持續掃描您的資產,以找出每個資產的全新詳細數據。 此程式會檢查適用網站中每個頁面的內容和行為,以提供強固的資訊,讓您可用來識別貴組織的弱點、合規性問題和其他潛在風險。