Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Ekstern angrebsoverfladeadministration til Microsoft Defender (Defender EASM) scanner ofte alle lageraktiver og indsamler robuste kontekstafhængige metadata, der driver Attack overflade Insights. Disse data kan også vises mere detaljeret på siden med oplysninger om aktiver. De data, der er angivet, ændres afhængigt af aktivtypen. Platformen leverer f.eks. entydige Whois-data for domæner, værter og IP-adresser. Den leverer signaturalgoritmedata til SSL-certifikater (Secure Sockets Layer).
I denne artikel beskrives det, hvordan du får vist og fortolker de omfattende data, der indsamles af Microsoft for hver af dine lageraktiver. Den definerer disse metadata for hver aktivtype og forklarer, hvordan den indsigt, der er afledt af den, kan hjælpe dig med at administrere sikkerhedsholdning for din onlineinfrastruktur.
Du kan få flere oplysninger under Om lageraktiver for at blive fortrolig med de nøglebegreber, der er nævnt i denne artikel.
Oversigtsvisning af aktivoplysninger
Du kan få vist siden med aktivoplysninger for et hvilket som helst aktiv ved at vælge dets navn på din lagerliste. I venstre rude på denne side kan du få vist en aktivoversigt, der indeholder vigtige oplysninger om det pågældende aktiv. Dette afsnit indeholder primært data, der gælder for alle aktivtyper, selvom der i nogle tilfælde er flere tilgængelige felter. Du kan få flere oplysninger om de metadata, der er angivet for hver aktivtype i oversigtsafsnittet, i følgende diagram.
Generelle oplysninger
Dette afsnit indeholder oplysninger på højt niveau, der er vigtige for at forstå dine aktiver på et øjeblik. De fleste af disse felter gælder for alle aktiver. Dette afsnit kan også indeholde oplysninger, der er specifikke for en eller flere aktivtyper.
| Navn | Definition | Aktivtyper |
|---|---|---|
| Aktivnavn | Navnet på et aktiv. | Alle |
| UUID | Dette 128-bit mærkat repræsenterer det universelt entydige id (UUID) for aktivet. | Alle |
| Føjet til lageret | Den dato, hvor et aktiv blev føjet til lageret, uanset om det automatisk blev føjet til tilstanden Godkendt lager , eller om det er i en anden tilstand, f.eks . Kandidat. | Alle |
| Senest opdateret | Den dato, hvor en manuel bruger sidst opdaterede aktivet (f.eks. ved at foretage en tilstandsændring eller fjernelse af et aktiv). | Alle |
| eksternt id | En manuelt tilføjet eksternt id værdi. | Alle |
| Status | Aktivets status i RiskIQ-systemet. Mulighederne omfatter Godkendt lagerbeholdning, Kandidat, Afhængigheder eller Kræver undersøgelse. | Alle |
| Først set (Global Security Graph) | Den dato, hvor Microsoft først scannede aktivet og føjede det til den omfattende Global Security Graph. | Alle |
| Sidst set (global sikkerhedsgraf) | Den dato, hvor Microsoft senest scannede aktivet. | Alle |
| Opdaget den | Angiver oprettelsesdatoen for den registreringsgruppe, der registrerede aktivet. | Alle |
| Land | Det land/område, der er registreret for dette aktiv. | Alle |
| Stat/provins | Den stat eller provins, der er registreret for dette aktiv. | Alle |
| Byen | Den oprindelige by, der er registreret for dette aktiv. | Alle |
| Whois-navn | Det navn, der er knyttet til en Whois-post. | Vært |
| Whois-mail | Den primære kontaktmail i en Whois-post. | Vært |
| Whois-organisation | Den angivne organisation i en Whois-post. | Vært |
| Whois registrator | Den registrerede registrator i en Whois-post. | Vært |
| Whois-navneservere | De angivne navneservere i en Whois-post. | Vært |
| Udstedt certifikat | Den dato, hvor et certifikat blev udstedt. | SSL-certifikat |
| Certifikatet udløber | Den dato, hvor et certifikat udløber. | SSL-certifikat |
| Serienummer | Det serienummer, der er knyttet til et SSL-certifikat. | SSL-certifikat |
| SSL-version | Den version af SSL, som certifikatet blev registreret i. | SSL-certifikat |
| Algoritme for certifikatnøgle | Den nøglealgoritme, der bruges til at kryptere SSL-certifikatet. | SSL-certifikat |
| Certifikatnøglestørrelse | Antallet af bit i en SSL-certifikatnøgle. | SSL-certifikat |
| Signaturalgoritme- OID | Det OID, der identificerer den hashalgoritme, der bruges til at signere certifikatanmodningen. | SSL-certifikat |
| Selvsigneret | Angiver, om SSL-certifikatet var selvsigneret. | SSL-certifikat |
Netværk
Følgende IP-adresseoplysninger giver mere kontekst om brugen af IP-adressen.
| Navn | Definition | Aktivtyper |
|---|---|---|
| Navngiv serverpost | Alle navneservere, der er registreret på aktivet. | IP-adresse |
| Post på postserveren | Alle mailservere, der er registreret på aktivet. | IP-adresse |
| IP-blokke | Den IP-blok, der indeholder IP-adresseaktivet. | IP-adresse |
| ASN'er | Det ASN, der er knyttet til et aktiv. | IP-adresse |
Blokoplysninger
Følgende data er specifikke for IP-blokke og giver kontekstafhængige oplysninger om brugen af dem.
| Navn | Definition | Aktivtyper |
|---|---|---|
| CIDR | CIDR (Classless Inter-Domain Routing) for en IP-blok. | IP-blok |
| Netværksnavn | Det netværksnavn, der er knyttet til IP-blokken. | IP-blok |
| Organisationsnavn | Det organisationsnavn, der blev fundet i registreringsoplysningerne for IP-blokken. | IP-blok |
| Organisations-id | Det organisations-id, der blev fundet i registreringsoplysningerne for IP-blokken. | IP-blok |
| ASN'er | Det ASN, der er knyttet til IP-blokken. | IP-blok |
| Land | Det oprindelsesland/område, der er registreret i Whois-registreringsoplysningerne for IP-blokken. | IP-blok |
Emne
Følgende data er specifikke for det emne (dvs. det beskyttede objekt), der er knyttet til et SSL-certifikat.
| Navn | Definition | Aktivtyper |
|---|---|---|
| Almindeligt navn | Det almindelige navn på udstederen af SSL-certifikatets emne. | SSL-certifikat |
| Alternative navne | Alle alternative almindelige navne for ssl-certifikatets emne. | SSL-certifikat |
| Organisationsnavn | Den organisation, der er knyttet til SSL-certifikatets emne. | SSL-certifikat |
| Organisationsenhed | Valgfrie metadata, der angiver den afdeling i en organisation, der er ansvarlig for certifikatet. | SSL-certifikat |
| Lokalitet | Angiver den by, hvor organisationen er placeret. | SSL-certifikat |
| Land | Angiver det land/område, hvor organisationen er placeret. | SSL-certifikat |
| Stat/provins | Angiver den stat eller provins, hvor organisationen er placeret. | SSL-certifikat |
Udstederen
Følgende data er specifikke for udstederen af et SSL-certifikat.
| Navn | Definition | Aktivtyper |
|---|---|---|
| Almindeligt navn | Det almindelige navn på udstederen af certifikatet. | SSL-certifikat |
| Alternative navne | Alle andre navne på udstederen. | SSL-certifikat |
| Organisationsnavn | Navnet på den organisation, der organiserede udstedelsen af et certifikat. | SSL-certifikat |
| Organisationsenhed | Andre oplysninger om den organisation, der har udstedt certifikatet. | SSL-certifikat |
Datafaner
I ruden længst til højre på siden med aktivoplysninger kan brugerne få adgang til mere omfattende data, der er relateret til det valgte aktiv. Disse data er organiseret i en række kategoriserede faner. De tilgængelige metadatafaner ændres afhængigt af den type aktiv, du får vist.
På visse faner vises til/fra-knappen "Kun seneste" i øverste højre hjørne. Som standard viser Defender EASM alle de data, vi har indsamlet for hvert aktiv, herunder historiske observationer, der muligvis ikke kører aktivt på din aktuelle angrebsoverflade. Selvom denne historiske kontekst er meget værdifuld for visse use cases, vil til/fra-knappen "Kun seneste" begrænse alle resultater på siden Aktivoplysninger til dem, der senest er observeret på aktivet. Det anbefales, at du bruger til/fra-knappen "Kun seneste", når du kun vil have vist data, der repræsenterer aktivets aktuelle tilstand til afhjælpningsformål.
Oversigt
Fanen Oversigt giver mere kontekst for at sikre, at vigtig indsigt hurtigt kan identificeres, når du får vist oplysningerne om et aktiv. Dette afsnit indeholder vigtige registreringsdata for alle aktivtyper. Den giver indsigt i, hvordan Microsoft knytter aktivet til din kendte infrastruktur.
Dette afsnit kan også indeholde dashboardwidgets, der visualiserer indsigter, der er relevante for den pågældende aktivtype.
Registreringskæde
Registreringskæden skitserer de observerede forbindelser mellem et registreringsfrø og aktivet. Disse oplysninger hjælper brugerne med at visualisere disse forbindelser og bedre forstå, hvorfor et aktiv blev bestemt til at tilhøre deres organisation.
I eksemplet kan du se, at frødomænet er knyttet til dette aktiv via kontaktmailen i whois-posten. Den samme kontaktmail blev brugt til at registrere den IP-blok, der indeholder dette bestemte IP-adresseaktiv.
Registreringsoplysninger
Dette afsnit indeholder oplysninger om den proces, der bruges til at registrere aktivet. Den indeholder oplysninger om registreringsfrø, der opretter forbindelse til aktivet og godkendelsesprocessen.
Mulighederne omfatter:
- Godkendt lager: Denne indstilling angiver, at relationen mellem frø og det fundne aktiv var stærk nok til at berettiger til automatisk godkendelse fra Defender EASM system.
- Kandidat: Denne indstilling angiver, at aktivet krævede manuel godkendelse for at blive indarbejdet i dit lager.
- Seneste registreringskørsel: Denne dato angiver, hvornår den registreringsgruppe, der oprindeligt registrerede aktivet, sidst blev brugt til en søgningsscanning.
IP-omdømme
Fanen IP-omdømme viser en liste over potentielle trusler, der er relateret til en given IP-adresse. I dette afsnit beskrives eventuelle registrerede skadelige eller mistænkelige aktiviteter, der er relateret til IP-adressen. Disse oplysninger er vigtige for at forstå troværdigheden af din egen angrebsoverflade. Disse trusler kan hjælpe organisationer med at afdække tidligere eller nuværende sikkerhedsrisici i deres infrastruktur.
Dataene Defender EASM IP-omdømme viser forekomster, hvor IP-adressen blev registreret på en trusselsliste. For eksempel viser den seneste registrering i følgende eksempel, at IP-adressen er relateret til en vært, der er kendt for at køre en kryptovaluta miner. Disse data er afledt af en mistænkelig værtsliste, der leveres af CoinBlockers. Resultaterne er organiseret efter datoen sidst set for at vise de mest relevante registreringer først.
I dette eksempel er IP-adressen til stede på et unormalt højt antal trusselsfeeds. Disse oplysninger angiver, at aktivet skal undersøges grundigt for at forhindre skadelig aktivitet i fremtiden.
Tjenester
Fanen Tjenester er tilgængelig for IP-adresse, domæne og værtsaktiver. Dette afsnit indeholder oplysninger om de tjenester, der er observeret til at køre på aktivet. Den indeholder IP-adresser, navn og mailservere og åbne porte, der svarer til andre typer infrastruktur (f.eks. fjernadgangstjenester).
Defender EASM's tjenestedata er afgørende for at forstå den infrastruktur, der driver dit aktiv. Den kan også advare dig om ressourcer, der vises på det åbne internet, og som skal beskyttes.
IP-adresser
Dette afsnit giver indsigt i alle IP-adresser, der kører på aktivets infrastruktur. Under fanen Tjenester angiver Defender EASM navnet på IP-adressen og datoerne For første set og Sidst set. Kolonnen Recent angiver, om IP-adressen blev observeret under den seneste scanning af aktivet. Hvis der ikke er et afkrydsningsfelt i denne kolonne, blev IP-adressen set i tidligere scanninger, men den kører ikke i øjeblikket på aktivet.
Postservere
Dette afsnit indeholder en liste over de mailservere, der kører på aktivet. Disse oplysninger angiver, at aktivet er i stand til at sende mails. I dette afsnit angiver Defender EASM navnet på mailserveren og datoerne Fornavn set og Sidst set. Kolonnen Seneste angiver, om mailserveren blev registreret under den seneste scanning af aktivet.
Navneservere
I dette afsnit vises alle navneservere, der kører på aktivet for at levere en løsning for en vært. I dette afsnit angiver Defender EASM navnet på mailserveren og datoerne Fornavn set og Sidst set. Kolonnen Seneste angiver, om navneserveren blev registreret under den seneste scanning af aktivet.
Åbne porte
I dette afsnit vises alle åbne porte, der er registreret på aktivet. Microsoft scanner jævnligt omkring 230 forskellige porte. Disse data er nyttige til at identificere alle ikke-sikrede tjenester, der ikke bør være tilgængelige fra det åbne internet. Disse tjenester omfatter databaser, IoT-enheder og netværkstjenester som routere og parametre. Det er også nyttigt til at identificere skygge-it-infrastruktur eller usikre fjernadgangstjenester.
I dette afsnit angiver Defender EASM det åbne portnummer, en beskrivelse af porten, den sidste tilstand, den blev observeret i, og datoerne For første set og Sidst set. Kolonnen Seneste angiver, om porten blev observeret som åben under den seneste scanning. Defender EASM betragter en port "åben", når vores system med succes kan fuldføre et syn-ack håndtryk, der resulterer i tilskrives bannere. Når vi kan oprette en TCP-forbindelse, men ikke kan fuldføre vores tjenesteaftryk, markerer vi porten som "filtreret". En "lukket" port er stadig tilgængelig, men der er ingen tjeneste, der lytter på porten og afviser derfor forbindelser.
Bane
Trackere er entydige koder eller værdier, der findes på websider, og bruges ofte til at spore brugerinteraktion. Disse koder kan bruges til at sammenholde en uensartet gruppe af websteder med en central enhed. Microsofts tracker-datasæt indeholder id'er fra udbydere som Google, Yandex, Mixpanel, New Relic og Clicky, og det vokser fortsat.
I dette afsnit angiver Defender EASM trackertypen (f.eks. GoogleAnalyticsID), den entydige id-værdi og datoerne Første set og Sidst set.
Webkomponenter
Webkomponenter er oplysninger, der beskriver infrastrukturen for et aktiv som observeret via en Microsoft-scanning. Disse komponenter giver en overordnet forståelse af de teknologier, der bruges på aktivet. Microsoft kategoriserer de specifikke komponenter og inkluderer versionsnumre, når det er muligt.
Afsnittet Webkomponenter indeholder komponentens kategori, navn og version samt en liste over de relevante CVEs, der skal afhjælpes. Defender EASM indeholder også datokolonner af typen First seen og Last seen og column recent. Et afkrydsningsfelt angiver, at denne infrastruktur blev observeret under den seneste scanning af aktivet.
Webkomponenter kategoriseres på baggrund af deres funktion.
| Webkomponent | Eksempler |
|---|---|
| Hostingudbyder | hostingprovider.com |
| Server | Apache |
| DNS-server | ISC BIND |
| Datalagre | MySQL, Elasticsearch, MongoDB |
| Fjernadgang | OpenSSH, Microsoft Administration Center, Netscaler Gateway |
| Dataudveksling | Pure-FTPd |
| Tingenes internet (IoT) | HP Deskjet, Linksys Camera, Sonos |
| Mailserver | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Netværksenhed | Cisco Router, Motorola WAP, ZyXEL-modem |
| Bygningskontrol | Lineær eMerge, ASI Controls Weblink, Optergy |
Observationer
Fanen Observation viser enhver indsigt fra dashboardet Angrebsoverfladeprioriteter, der vedrører aktivet. Disse prioriteter kan omfatte:
- Kritiske CVEs.
- Kendte tilknytninger til kompromitteret infrastruktur.
- Brug af udfaset teknologi.
- Overtrædelser af bedste praksis for infrastruktur.
- Problemer med overholdelse af angivne standarder.
Du kan få flere oplysninger om observationer under Om dashboards. For hver observation angiver Defender EASM navnet på observationen, kategoriserer den efter type, tildeler en prioritet og viser både CVSS v2- og v3-scorer, hvor det er relevant.
Fanen Observationer indeholder to tabeller: Observationer og ikke-mærkbare observationer. Alle aktive observationer, der er besluttet på at være "seneste" i din angrebsoverflade, vil være i tabellen Observationer, mens tabellen Ikke-relevante observationer viser eventuelle observationer, der enten er markeret manuelt som ikke-relevante eller er blevet bestemt af systemet til ikke længere at være gældende. Hvis du vil markere observationer som ikke-anvendelige og derfor udelade denne bestemte observation fra antallet af dashboards, skal du blot vælge de ønskede observationer og klikke på "Angiv som ikke-relevant". Observationerne forsvinder straks fra den aktive observationstabel og vises i stedet i tabellen "Ikke-relevante observationer". Du kan når som helst gendanne denne ændring ved at vælge de relevante observationer fra denne tabel og vælge "Angiv som relevant".
Forbundne aktiver
Connected Assets giver brugerne mulighed for grafisk at linke og indsamle oplysninger om aktiver til undersøgelsesanalyse. Du kan udforske dit miljø og dets komplicerede relationer via relationstilknytninger, som tilbyder klare og præcise visninger. Dette hjælper dig med at identificere skjulte forbindelser og potentielle angrebsstier. Ved visuelt at kortlægge relationerne mellem aktiver og sikkerhedsrisici kan du forstå dit miljøs kompleksitet og træffe velinformerede beslutninger for at forbedre din sikkerhedsholdning og anvende chokepunkter effektivt.
På denne side identificeres alle de aktiver, der er forbundet til det angivne aktiv, på en liste. Listen indeholder vigtige oplysninger om hver politik, herunder:
- Aktiv: det identificerede forbundne aktiv.
- Kind: aktivtypen.
- State: aktivets tilstand.
- Labels: alle mærkater, der er knyttet til aktivet.
- Først set: Da aktivet først blev opdaget.
- Sidst set: Hvornår aktivet sidst blev identificeret.
Fra denne side kan du redigere eller fjerne forbundne aktiver. Du kan også sortere eller filtrere listen over aktiver for yderligere at kategorisere listen over forbundne aktiver. Du kan også downloade en CSV-rapport over de viste aktiver. Alle anvendte filtre afspejles i CSV-eksporten.
Ressourcer
Fanen Ressourcer giver indsigt i alle JavaScript-ressourcer, der kører på en hvilken som helst side eller værtsaktiver. Når det er relevant for en vært, samles disse ressourcer for at repræsentere JavaScript, der kører på alle sider på den pågældende vært. Dette afsnit indeholder en oversigt over javascriptet, der er registreret på hvert aktiv, så din organisation har fuld indsigt i disse ressourcer og kan registrere eventuelle ændringer.
Defender EASM leverer ressourcens URL-adresse, ressourcevært, MD5-værdi og først sete og sidst sete datoer for at hjælpe organisationer med effektivt at overvåge brugen af JavaScript-ressourcer på tværs af deres lager.
SSL-certifikater
Certifikater bruges til at sikre kommunikationen mellem en browser og en webserver via SSL. Brug af certifikater sikrer, at følsomme data under overførsel ikke kan læses, ændres eller forfalskes. I dette afsnit af Defender EASM vises alle SSL-certifikater, der er registreret på aktivet, herunder nøgledata som problemer og udløbsdatoer.
Whois
Whois-protokollen bruges til at forespørge på og reagere på de databaser, der lagrer data, der er relateret til registreringen og ejerskabet af internetressourcer. Whois indeholder nøgleregistreringsdata, der kan gælde for domæner, værter, IP-adresser og IP-blokke i Defender EASM. Under fanen Whois-data leverer Microsoft en robust mængde oplysninger, der er knyttet til aktivets registreringsdatabase.
Følgende felter er inkluderet i tabellen i afsnittet Værdier under fanen Whois .
| Feltet | Beskrivelse |
|---|---|
| Whois-server | En server, der er oprettet af en ICANN-akkrediteret registrator for at få opdaterede oplysninger om enheder, der er registreret hos den. |
| Registrator | Det firma, hvis tjeneste blev brugt til at registrere et aktiv. Populære registratorer omfatter GoDaddy, Namecheap og HostGator. |
| Domænestatus | En hvilken som helst status for et domæne, som er angivet af registreringsdatabasen. Disse statusser kan angive, at et domæne afventer sletning eller overførsel af registratoren eller er aktivt på internettet. Dette felt kan også angive begrænsningerne for et aktiv. Forbudt sletning af klient indikerer f.eks., at registratoren ikke kan slette aktivet. |
| Alle kontaktmailadresser, der er angivet af registranten. Whois gør det muligt for registranter at angive kontakttypen. Mulighederne omfatter administrative, tekniske, registrant- og registrantkontakter. | |
| Navn | Navnet på en registrant, hvis det er angivet. |
| Organisation | Den organisation, der er ansvarlig for den registrerede enhed. |
| Street | Registrantens gadeadresse, hvis det er angivet. |
| Byen | Den by, der er angivet i registrantens adresse, hvis det er angivet. |
| Staten | Den stat, der er angivet i registrantens adresse, hvis det er angivet. |
| Postnummer | Det postnummer, der er angivet i registrantens adresse, hvis det er angivet. |
| Land | Det land/område, der er angivet i registrantens adresse, hvis det er angivet. |
| Telefon | Det telefonnummer, der er knyttet til en registrantkontakt, hvis det er angivet. |
| Navneservere | Alle navneservere, der er knyttet til den registrerede enhed. |
Mange organisationer vælger at sløre deres registreringsdatabaseoplysninger. Nogle gange slutter kontaktmailadresser med @anonymised.email. Denne pladsholder bruges i stedet for en rigtig kontaktadresse. Mange felter er valgfrie under registreringskonfigurationen, så alle felter med en tom værdi blev ikke medtaget af registranten.
Ændringsoversigt
Fanen "Ændringsoversigt" viser en liste over ændringer, der er anvendt på et aktiv over tid. Disse oplysninger hjælper dig med at spore disse ændringer over tid og bedre forstå aktivets livscyklus. Under denne fane vises en række ændringer, herunder, men ikke begrænset til aktivtilstande, mærkater og eksterne id'er. For hver ændring angiver vi den bruger, der implementerede ændringen, og et tidsstempel.
