使用 Microsoft Defender 外部攻擊面管理來識別並監視外部資產
Microsoft Defender 外部受攻擊面管理 (Defender EASM) 會持續探索並標示出數位受攻擊面,以提供線上基礎結構的外部檢視。 運用該可見度,安全性和 IT 小組得以識別未知因素、排定風險優先順序、消除威脅,並將弱點與暴露控制擴展至防火牆以之外。 受攻擊面深入解析利用弱點和基礎結構資料所產生,以展示貴組織的主要考量層面。
探索與清查
Microsoft 的專屬探索技術以遞迴方式搜尋具有已知合法資產連線的基礎結構,推斷該基礎結構與組織的關係,並找出先前未知且未受監視的屬性。 這些已知的合法資產稱為探索「種子」;Defender EASM 會先探索這些選定實體的強式連線,以遞迴方式揭露更多連線,最終編譯您的受攻擊面。
Defender EASM 包括下列類型的資產探索:
- 網域
- 主機名稱
- 網頁
- IP 區塊
- IP 位址
- ASN
- SSL 憑證
- WHOIS 連絡人
儀表板
Defender EASM 提供一系列儀表板,可協助使用者快速掌握其線上基礎結構,以及組織所面臨的任何重大風險。 這些儀表板旨在提供特定風險領域的深入解析,包括弱點、合規性和安全性檢疫。 運用這些深入解析,有助於客戶快速解決對組織構成最大風險的受攻擊面元件。
管理資產
客戶可以篩選其清查,從而顯示他們最關心的特定深入解析。 篩選提供彈性和自訂層級,可讓使用者存取特定資產子集。 您便能根據特定使用案例運用 Defender EASM 資料,無論是搜尋連線至取代基礎結構的資產,還是識別新的雲端資源。
使用者權限
如果使用者獲指派擁有者或參與者角色,則可以建立、刪除和編輯 Defender EASM 資源及其中的清查資產。 這些角色可以利用平台中提供的所有功能。 如果使用者獲指派讀者角色,則可以檢視 Defender EASM 資料,但無法建立、刪除或編輯清查資產或資源本身。
數據落地、可用性和隱私權
Microsoft Defender 外部受攻擊面管理 同時包含全域數據和客戶特定數據。 基礎因特網數據是全域 Microsoft 數據;客戶套用的標籤會被視為客戶數據。 所有客戶數據都會儲存在客戶選擇的區域。
基於安全性目的,Microsoft 會在使用者登入時收集使用者的IP位址。 此數據會儲存最多 30 天,但如果需要調查產品的潛在詐騙或惡意使用,可能會儲存更長的時間。
在區域關閉案例的情況下,只有受影響區域中的客戶會遇到停機時間。
Microsoft 合規性架構要求在該組織不再成為 Microsoft 客戶的 180 天內刪除所有客戶數據。 這也包括離線位置的客戶資料儲存,例如資料庫備份。 刪除資源之後,我們的小組就無法還原資源。 客戶數據將保留在我們的數據存放區 75 天,但無法還原實際資源。 在 75 天期間之後,客戶數據將會永久刪除。