Oversigt over ændring af aktiver

I denne artikel beskrives det, hvordan du ændrer lageraktiver. Du kan ændre tilstanden for et aktiv, tildele et eksternt id eller anvende mærkater for at hjælpe med at levere kontekst og bruge lagerdata. Du kan også markere CVEs og andre observationer som ikke-relevante for at fjerne dem fra dine rapporterede antal. Du kan også fjerne aktiver fra deres lager samlet baseret på den metode, som de registreres med. Brugerne kan f.eks. fjerne et frø fra en registreringsgruppe og vælge at fjerne alle aktiver, der registreres via en forbindelse til dette frø. I denne artikel beskrives alle de ændringsindstillinger, der er tilgængelige i Defender EASM, og det beskrives, hvordan du opdaterer aktiver og sporer eventuelle opdateringer med Jobliste.

Mærkataktiver

Mærkater hjælper dig med at organisere din angrebsoverflade og anvende forretningskontekst på en måde, der kan tilpasses. Du kan anvende en hvilken som helst tekstetiket på et undersæt af aktiver for at gruppere aktiver og udnytte dit lager bedre. Kunder kategoriserer ofte aktiver, der:

  • Er for nylig blevet underlagt din organisations ejerskab gennem en fusion eller et opkøb.
  • Kræv overvågning af overholdelse.
  • Ejes af en bestemt forretningsenhed i deres organisation.
  • Påvirkes af en bestemt sikkerhedsrisiko, der kræver afhjælpning.
  • Relater til et bestemt brand, der ejes af organisationen.
  • Blev føjet til dit lager inden for et bestemt tidsinterval.

Navne er fritekstfelter i formularer, så du kan oprette et navn til enhver use case, der gælder for din organisation.

Skærmbillede, der viser en lagerlistevisning med en filtreret kolonne af typen Mærkater.

Skift et aktivs tilstand

Brugerne kan også ændre tilstanden for et aktiv. Stater hjælper med at kategorisere dit lager baseret på deres rolle i din organisation. Brugerne kan skifte mellem følgende tilstande:

  • Godkendt beholdning: En del af din ejede angrebsoverflade; et element, som du er direkte ansvarlig for.
  • Afhængighed: Infrastruktur, der ejes af en tredjepart, men er en del af angrebsoverfladen, fordi den direkte understøtter driften af dine ejede aktiver. Du kan f.eks. være afhængig af, at en it-udbyder hoster dit webindhold. Mens domænet, værtsnavnet og siderne er en del af dit "Godkendte lager", kan du behandle den IP-adresse, der kører værten, som en "afhængighed".
  • Kun overvågning: Et aktiv, der er relevant for din angrebsoverflade, men som ikke styres direkte af din organisation eller en teknisk afhængighed. Uafhængige franchisetagere eller aktiver, der tilhører relaterede virksomheder, kan f.eks. være mærket som "Kun overvågning" i stedet for "Godkendt lager" for at adskille grupperne til rapporteringsformål.
  • Kandidat: Et aktiv, der har en vis relation til organisationens kendte seed-aktiver, men som ikke har en stærk nok forbindelse til straks at navngive det som "Godkendt lager". Disse kandidataktiver skal gennemses manuelt for at bestemme ejerskabet.
  • Kræver undersøgelse: En tilstand, der ligner tilstanden "Kandidat", men denne værdi anvendes på aktiver, der kræver manuel undersøgelse for at validere. Dette bestemmes på baggrund af vores internt genererede tillidsscores, der vurderer styrken af registrerede forbindelser mellem aktiver. Det angiver ikke infrastrukturens nøjagtige relation til organisationen, så meget som det angiver, at dette aktiv er markeret som et krav om ekstra gennemgang for at bestemme, hvordan det skal kategoriseres.

Anvend en eksternt id

Brugerne kan også anvende et eksternt id på et aktiv. Denne handling er nyttig i situationer, hvor du anvender flere løsninger til sporing af aktiver, afhjælpningsaktiviteter eller overvågning af ejerskab. Hvis du får vist eksterne id'er i Defender EASM hjælper det dig med at justere disse forskellige aktivoplysninger. eksternt id værdier kan være numeriske eller alfanumeriske og skal indtastes i tekstformat. Eksterne id'er vises også i afsnittet Aktivoplysninger.

Markér observation som ikke-relevant

Mange Defender EASM dashboards indeholder CVE-data, der gør dig opmærksom på potentielle sikkerhedsrisici baseret på den webkomponentinfrastruktur, der driver din angrebsoverflade. Cv'er er f.eks. angivet på dashboardet Med oversigt over angrebsoverfladen kategoriseret efter deres potentielle alvorsgrad. Når du undersøger disse CVEs, kan det være, at du finder ud af, at nogle ikke er relevante for din organisation. Det kan skyldes, at du kører en uprakteret version af webkomponenten, eller at din organisation har forskellige tekniske løsninger på plads for at beskytte dig mod denne specifikke sikkerhedsrisiko.

I detailudledningsvisningen af et CVE-relateret diagram ved siden af knappen "Download CSV-rapport" har du nu mulighed for at angive en observation som ikke-relevant. Hvis du klikker på denne værdi, dirigeres du til en lagerliste over alle aktiver, der er knyttet til denne observation, og du kan derefter vælge at markere alle observationer som ikke-relevante fra denne side. Den faktiske ændring udføres enten fra lagerlistevisningen eller fra siden Aktivoplysninger for et bestemt aktiv.

Skærmbillede af dashboardets visning af detailudledning, hvor knappen

Sådan redigerer du aktiver

Du kan redigere aktiver både fra siderne med lagerliste og oplysninger om aktiver. Du kan foretage ændringer af et enkelt aktiv på siden med oplysninger om aktivet. Du kan foretage ændringer af et enkelt aktiv eller flere aktiver fra lagerlistesiden. I følgende afsnit beskrives det, hvordan du anvender ændringer fra de to lagervisninger, afhængigt af din use case.

Siden Lagerliste

Du bør ændre aktiver fra lagerlistesiden, hvis du vil opdatere mange aktiver på én gang. Du kan tilpasse din aktivliste ud fra filterparametre. Denne proces hjælper dig med at identificere aktiver, der skal kategoriseres med den etiket, det eksterne id eller den tilstandsændring, du ønsker. Sådan redigerer du aktiver fra denne side:

  1. Vælg Lager i ruden længst til venstre i Ekstern angrebsoverfladeadministration til Microsoft Defender ressourcen (Defender EASM).

  2. Anvend filtre for at oprette de ønskede resultater. I dette eksempel leder vi efter domæner, der udløber inden for 30 dage, og som kræver fornyelse. Den anvendte mærkat hjælper dig med hurtigere at få adgang til alle udløbne domæner for at forenkle afhjælpningsprocessen. Du kan anvende lige så mange filtre, som det er nødvendigt, for at få de specifikke resultater, der er nødvendige. Du kan få flere oplysninger om filtre under Oversigt over lagerfiltre. I de tilfælde, hvor du vil markere CVEs som ikke-relevante, indeholder detailudledning i det relevante dashboarddiagram et link, der sender dig direkte til denne lagerside med de korrekte filtre anvendt.

    Skærmbillede, der viser lagerlistevisningen med rullelisten Tilføj filter åbnet for at få vist forespørgselseditoren.

  3. Når din lagerliste er filtreret, skal du vælge rullelisten ved siden af afkrydsningsfeltet ud for overskriften i tabellen Asset . På denne rulleliste kan du vælge alle resultater, der stemmer overens med din forespørgsel eller resultaterne på den pågældende side (op til 25). Indstillingen Ingen rydder alle aktiver. Du kan også vælge kun at vælge bestemte resultater på siden ved at vælge de enkelte markeringer ud for hvert aktiv.

    Skærmbillede, der viser lagerlistevisningen, hvor rullelisten med massevalg er åbnet.

  4. Vælg Rediger aktiver.

    Skærmbillede, der viser de tilgængelige ændringsindstillinger.

  5. I ruden Rediger aktiver , der åbnes i højre side af skærmen, kan du hurtigt ændre forskellige felter for de valgte aktiver. I dette eksempel skal du oprette en ny mærkat. Vælg Opret en ny etiket.

  6. Bestem navnenavnet og de viste tekstværdier. Navnet kan ikke ændres, når du har oprettet etiketten første gang, men den viste tekst kan redigeres på et senere tidspunkt. Navnet bruges til at forespørge om etiketten i produktgrænsefladen eller via API, så redigeringer deaktiveres for at sikre, at disse forespørgsler fungerer korrekt. Hvis du vil redigere et navn, skal du slette det oprindelige navn og oprette et nyt.

    Vælg en farve til det nye navn, og vælg Tilføj. Denne handling fører dig tilbage til skærmen Rediger aktiver .

    Skærmbillede, der viser ruden Tilføj etiket, der viser konfigurationsfelterne.

  7. Anvend din nye mærkat på aktiverne. Klik i tekstfeltet Tilføj navne for at få vist en komplet liste over tilgængelige navne. Du kan også skrive i feltet for at søge efter nøgleord. Når du har valgt de etiketter, du vil anvende, skal du vælge Opdater.

    Skærmbillede, der viser ruden Rediger aktiv med det netop oprettede navn anvendt.

  8. Der kan gå et øjeblik, før mærkaterne anvendes. Når processen er fuldført, får du vist meddelelsen "Fuldført". Siden opdateres automatisk, og listen over aktiver vises med de synlige mærkater. Et banner øverst på skærmen bekræfter, at mærkaterne er blevet anvendt.

    Skærmbillede, der viser lagerlistevisningen, hvor de valgte aktiver nu viser den nye etiket.

Side med aktivoplysninger

Du kan også redigere et enkelt aktiv fra siden med oplysninger om aktivet. Denne indstilling er ideel til situationer, hvor aktiver skal gennemses grundigt, før der anvendes en etiket- eller tilstandsændring.

  1. Vælg Inventory (Lager) i ruden længst til venstre i Defender EASM ressource.

  2. Vælg det specifikke aktiv, du vil redigere, for at åbne siden med aktivoplysninger.

  3. På denne side skal du vælge Rediger aktiv.

    Skærmbillede, der viser siden med aktivoplysninger med knappen Rediger aktiv fremhævet.

  4. Følg trin 5 til 7 i afsnittet "Lagerlisteside".

  5. Siden med aktivoplysninger opdateres og viser den nyligt anvendte etiket eller tilstandsændring. Et banner angiver, at aktivet blev opdateret.

Rediger, fjern eller slet navne

Brugerne kan fjerne en mærkat fra et aktiv ved at få adgang til den samme rude af typen Rediger aktiv fra enten lagerlisten eller visningen med oplysninger om aktiver. I lagerlistevisningen kan du vælge flere aktiver på én gang og derefter tilføje eller fjerne den ønskede mærkat i én handling.

Sådan redigerer du selve etiketten eller sletter en etiket fra systemet:

  1. Vælg Etiketter (eksempelvisning) i ruden længst til venstre i Defender EASM ressource.

    Skærmbillede, der viser siden Mærkater (prøveversion), der muliggør administration af mærkater.

    På denne side vises alle mærkater i Defender EASM lager. Mærkater på denne side findes muligvis i systemet, men anvendes ikke aktivt på nogen aktiver. Du kan også tilføje nye navne fra denne side.

  2. Hvis du vil redigere en etiket, skal du vælge blyantsikonet i kolonnen Handlinger for den etiket, du vil redigere. Der åbnes en rude i højre side af skærmen, hvor du kan ændre navnet eller farven på en etiket. Vælg Opdater.

  3. Hvis du vil fjerne en etiket, skal du vælge skraldespandsikonet i kolonnen Handlinger for den etiket, du vil slette. Vælg Fjern navn.

    Skærmbillede, der viser indstillingen Bekræft fjernelse på siden til administration af mærkater.

Siden Etiketter opdateres automatisk. Etiketten fjernes fra listen og fjernes også fra alle aktiver, hvor mærkaten er anvendt. Et banner bekræfter fjernelsen.

Markér observationer som ikke-anvendelige

Observationer kan markeres som ikke-relevante fra de samme skærme for "Rediger aktiver" for andre manuelle ændringer, men du kan også foretage disse opdateringer under fanen Observationer under Aktivoplysninger. Fanen Observationer indeholder to tabeller: Observationer og ikke-mærkbare observationer. Alle aktive observationer, der er bestemt til at være "seneste" i din angrebsoverflade, findes i tabellen Observationer, mens tabellen Over ikke-relevante observationer viser eventuelle observationer, der manuelt er markeret som ikke-relevante eller blev bestemt af systemet til ikke længere at være gældende. Hvis du vil markere observationer som ikke-anvendelige og derfor udelade denne bestemte observation fra antallet af dashboards, skal du blot vælge de ønskede observationer og klikke på "Angiv som ikke-relevant". Disse observationer forsvinder straks fra den aktive observationstabel og vises i stedet i tabellen "Ikke-relevante observationer". Du kan når som helst gendanne denne ændring ved at vælge de relevante observationer fra denne tabel og vælge "Angiv som relevant".

Skærmbillede, der viser fanen Observationer, hvor flere CVEs er markeret, så de er markeret som ikke-relevante.

Jobliste og meddelelser

Når en opgave er sendt, bekræfter en meddelelse, at opdateringen er i gang. Vælg meddelelsesikonet (klokke) på en hvilken som helst side i Azure for at få vist flere oplysninger om de seneste opgaver.

Skærmbillede, der viser meddelelsen Opgave sendt. Skærmbillede, der viser ruden Meddelelser, der viser den seneste opgavestatus.

Det Defender EASM system kan tage sekunder at opdatere en håndfuld aktiver eller minutter for at opdatere tusindvis. Du kan bruge Jobliste til at kontrollere status for igangværende ændringsopgaver. I dette afsnit beskrives det, hvordan du får adgang til Jobliste og bruger den til bedre at forstå fuldførelsen af sendte opdateringer.

  1. Vælg Jobliste i ruden længst til venstre i Defender EASM ressource.

    Skærmbillede, der viser siden Jobliste med det relevante afsnit fremhævet i navigationsruden.

  2. På denne side vises alle dine seneste opgaver og deres status. Opgaver er angivet som Fuldførte, Mislykkedes eller Igangværende. Der vises også en fuldførelsesprocent og statuslinje. Hvis du vil se flere oplysninger om en bestemt opgave, skal du vælge opgavenavnet. Der åbnes en rude i højre side af skærmen, som indeholder flere oplysninger.

  3. Vælg Opdater for at se den seneste status for alle elementer i Jobliste.

Filtrer efter navne

Når du har navngivet aktiver på dit lager, kan du bruge lagerfiltre til at hente en liste over alle aktiver med en bestemt mærkat anvendt.

  1. Vælg Inventory (Lager) i ruden længst til venstre i Defender EASM ressource.

  2. Vælg Tilføj filter.

  3. Vælg Navne på rullelisten Filter . Vælg en operator, og vælg en etiket på rullelisten med indstillinger. I følgende eksempel kan du se, hvordan du søger efter en enkelt etiket. Du kan bruge operatoren In til at søge efter flere navne. Du kan få flere oplysninger om filtre i oversigten over lagerfiltre.

    Skærmbillede, der viser den forespørgselseditor, der bruges til at anvende filtre, og som viser filteret Mærkater med mulige navneværdier på en rulleliste.

  4. Vælg Anvend. På lagerlistesiden genindlæses og vises alle de aktiver, der opfylder dine kriterier.

Kædebaseret administration af aktiver

I nogle tilfælde ønsker du måske at fjerne flere aktiver på én gang baseret på de metoder, som de blev fundet med. Du kan f.eks. fastslå, at et bestemt frø i en registreringsgruppe har hentet aktiver, der ikke er relevante for din organisation, eller du skal muligvis fjerne aktiver, der er relateret til et datterselskab, som ikke længere er omfattet af din visning. Derfor giver Defender EASM mulighed for at fjerne kildeenheden og eventuelle aktiver "downstream" i registreringskæden. Du kan slette sammenkædede aktiver på følgende tre måder:

  • Seed-baseret administration: Brugerne kan slette et frø, der engang var inkluderet i en registreringsgruppe, og fjerne alle aktiver, der blev introduceret for lageret via en observeret forbindelse til det angivne frø. Denne metode er nyttig, når du kan fastslå, at et bestemt frø, der indtastes manuelt, har medført, at uønskede aktiver føjes til lageret.
  • Administration af registreringskæder: Brugerne kan identificere et aktiv i en registreringskæde og slette det, samtidig med at de fjerner alle aktiver, der registreres af den pågældende enhed. Registrering er en rekursiv proces. det scanner frø til at identificere nye aktiver direkte knyttet til disse udpegede frø, derefter fortsætter med at scanne de nyopdagede enheder at afsløre flere forbindelser. Denne tilgang til sletning er nyttig, når registreringsgruppen er konfigureret korrekt, men du skal fjerne et nyligt registreret aktiv og eventuelle aktiver, der er hentet ind på lageret efter tilknytning til denne enhed. Overvej din opdagelsesgruppe indstillinger og udpegede frø til at være "toppen" af din opdagelse kæde; Denne metode til sletning giver dig mulighed for at fjerne aktiver fra midten.
  • Administration af registreringsgrupper: Brugerne kan fjerne hele registreringsgrupper og alle aktiver, der blev introduceret for lageret via denne registreringsgruppe. Dette er nyttigt, når en hel registreringsgruppe ikke længere gælder for din organisation. Du kan f.eks. have en registreringsgruppe, der specifikt søger efter aktiver, der er relateret til et datterselskab. Hvis dette datterselskab ikke længere er relevant for din organisation, kan du udnytte ressourcekædebaseret administration til at slette alle aktiver, der er hentet ind på lageret, via denne registreringsgruppe.

Du kan stadig få vist fjernede aktiver i Defender EASM. Du skal blot filtrere din lagerliste for aktiver i tilstanden "Arkiveret".

Frøbaseret sletning

Du kan beslutte, at en af dine oprindeligt udpegede opdagelsesfrø ikke længere skal inkluderes i en opdagelsesgruppe. Frøene er muligvis ikke længere relevante for din organisation, eller det kan medføre flere falske positiver end lovlige ejede aktiver. I denne situation kan du fjerne frøene fra din Registreringsgruppe for at forhindre, at den bruges i fremtidige registreringskørsler, samtidig med at du fjerner alle aktiver, der er blevet bragt til lageret, via de angivne frø i fortiden.

Hvis du vil udføre en massefjernelse baseret på et frø, skal du gå til den relevante side med oplysninger om registreringsgruppe og klikke på "Rediger registreringsgruppe". Følg prompterne for at nå siden Frø, og fjern de problematiske frø fra listen. Når du vælger "Gennemse + Opdater", får du vist en advarsel om, at alle aktiver, der registreres via det angivne frø, også fjernes. Vælg "Opdater" eller "Opdater & Kør" for at fuldføre sletningen.

Skærmbillede, der viser siden Rediger registreringsgruppe med en advarsel, der angiver fjernelse af et frø og eventuelle aktiver, der registreres via det pågældende frø.

Registreringskædebaseret sletning

I følgende eksempel kan du forestille dig, at du har opdaget en usikker logonformular på dashboardet Oversigt over angrebsoverflade. Undersøgelsen sender dig til en vært, der ikke ser ud til at være ejet af din organisation. Du kan få vist siden med oplysninger om aktiver for at få flere oplysninger. ved gennemgang af Discovery-kæden lærer du, at værten blev hentet ind på lageret, fordi det tilsvarende domæne blev registreret ved hjælp af en medarbejders firmamailadresse, der også blev brugt til at registrere godkendte forretningsenheder.

Skærmbillede, der viser siden Aktivoplysninger med sektionen Registreringskæde fremhævet.

I denne situation er det indledende opdagelsesfrø (virksomhedens domæne) stadig legitimt, så vi er i stedet nødt til at fjerne et problematisk aktiv fra registreringskæden. Selvom vi kunne udføre kædesletning fra kontaktmailen, vælger vi i stedet at fjerne alt, der er knyttet til det personlige domæne, der er registreret for denne medarbejder, så Defender EASM vil advare os om alle andre domæner, der er registreret til den pågældende mailadresse i fremtiden. Vælg dette personlige domæne i registreringskæden for at få vist siden med oplysninger om aktivet. I denne visning skal du vælge "Fjern fra registreringskæde" for at fjerne aktivet fra dit lager samt alle aktiver, der er hentet til lageret, på grund af en observeret forbindelse til det personlige domæne. Du skal bekræfte fjernelsen af aktivet og alle downstream-aktiver og derefter vises en opsummeret liste over de andre aktiver, der fjernes med denne handling. Vælg "Fjern registreringskæde" for at bekræfte massefjernelse.

Skærmbillede, der viser det felt, der beder brugerne om at bekræfte fjernelsen af det aktuelle aktiv og alle downstreamaktiver med en oversigt over de andre aktiver, der fjernes med denne handling.

Sletning af registreringsgruppe

Du skal muligvis slette hele registreringsgruppen og alle de aktiver, der registreres via gruppen. Din virksomhed kan f.eks. have solgt et datterselskab, der ikke længere skal overvåges. Brugerne kan slette registreringsgrupper fra siden registreringsstyring. Hvis du vil fjerne en registreringsgruppe og alle relaterede aktiver, skal du vælge ikonet papirkurv ud for den relevante gruppe på listen. Du modtager en advarsel, der viser en oversigt over de aktiver, der fjernes med denne handling. For at bekræfte sletningen af registreringsgruppen. og alle relaterede aktiver skal du vælge "Fjern registreringsgruppe".

Skærmbillede, der viser siden Registreringsstyring med det advarselsfelt, der vises, når du har valgt at slette en gruppe fremhævet.

Næste trin

  • Last updated on