Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Ekstern angrebsoverfladeadministration til Microsoft Defender (Defender EASM) bruger Microsofts beskyttede registreringsteknologi til løbende at definere din organisations unikke angrebsoverflade, der er eksponeret på internettet. Funktionen Defender EASM registrering scanner kendte aktiver, der ejes af din organisation, for at afdække tidligere ukendte og ikke-overvågede egenskaber. Fundne aktiver indekseres i organisationens lager. Defender EASM giver dig et dynamisk postsystem til webprogrammer, afhængigheder fra tredjepart og webinfrastruktur under din organisations administration i en enkelt visning.
Gennem Defender EASM registreringsprocessen kan din organisation proaktivt overvåge dens konstant skiftende overflade af digitale angreb. Du kan identificere nye risici og politikovertrædelser, efterhånden som de opstår.
Mange sårbarhedsprogrammer mangler synlighed uden for firewallen. De er ikke klar over eksterne risici og trusler, som er den primære kilde til brud på datasikkerheden.
Samtidig overhaler den digitale vækst fortsat et sikkerhedsteams evne til at beskytte det. Digitale initiativer og det alt for almindelige "skygge-IT" fører til en udvidelse af angrebsoverfladen uden for firewallen. I dette tempo er det næsten umuligt at validere kontrolelementer, beskyttelser og krav til overholdelse af angivne standarder.
Uden Defender EASM er det næsten umuligt at identificere og fjerne sårbarheder, og scannere kan ikke nå ud over firewallen for at vurdere hele angrebsoverfladen.
Sådan fungerer det
Hvis du vil oprette en omfattende kortlægning af din organisations angrebsoverflade, Defender EASM de første indtag kendte aktiver (frø). Opdagelsesfrø scannes rekursivt for at finde flere enheder via deres forbindelser til frø.
En indledende seed kan være en af følgende typer webinfrastruktur, der er indekseret af Microsoft:
- Domæner
- IP-adresseblokke
- Værter
- Mailkontakter
- Autonome systemnavne (ASN'er)
- Whois-organisationer
Fra og med et frø registrerer systemet tilknytninger til andre elementer i onlineinfrastrukturen for at finde andre aktiver, som din organisation ejer. Denne proces opretter i sidste ende hele dit angrebs overfladelager. Registreringsprocessen bruger registreringsfrø som centrale noder. Derefter forgrener den sig ud mod udkanten af din angrebsoverflade. Den identificerer alle de infrastrukturelementer, der er direkte forbundet med frøet, og identificerer derefter alle elementer, der er relateret til hvert element i det første sæt forbindelser. Processen gentages og udvides, indtil den når kanten af organisationens ledelsesansvar.
Hvis du f.eks. vil finde alle elementerne i Contosos infrastruktur, kan du bruge domænet contoso.com, som det første grundstensfrø. Fra og med dette frø kan vi se følgende kilder og udlede følgende relationer:
| Datakilde | Elementer med mulige relationer til Contoso |
|---|---|
| Whois-poster | Andre domænenavne, der er registreret til den samme kontaktmail eller registrantorganisation, som blev brugt til at registrere contoso.com |
| Whois-poster | Alle domænenavne, der er registreret til en hvilken som helst @contoso.com mailadresse |
| Whois-poster | Andre domæner, der er knyttet til samme navneserver som contoso.com |
| DNS-poster | Alle observerede værter på domænerne Contoso ejer, og alle websteder, der er knyttet til disse værter |
| DNS-poster | Domæner, der har forskellige værter, men som omsættes til de samme IP-blokke |
| DNS-poster | Mailservere, der er knyttet til Contoso-ejede domænenavne |
| SSL-certifikater | Alle SSL-certifikater (Secure Sockets Layer), der er forbundet til hver af værterne, og alle andre værter, der bruger de samme SSL-certifikater |
| ASN-poster | Andre IP-blokke, der er knyttet til det samme ASN som de IP-blokke, der er forbundet med værter på Contosos domænenavne, herunder alle værter og domæner, der fortolkes til dem |
Ved at bruge dette sæt forbindelser på første niveau kan vi hurtigt udlede et helt nyt sæt aktiver, der skal undersøges. Før Defender EASM udfører flere rekursioner, bestemmer den, om en forbindelse er stærk nok til, at en registreret enhed automatisk kan tilføjes som Bekræftet lager. For hvert af disse aktiver kører registreringssystemet automatiserede rekursive søgninger baseret på alle tilgængelige attributter for at finde forbindelser på andet niveau og på tredje niveau. Denne gentagne proces giver flere oplysninger om en organisations onlineinfrastruktur og opdager derfor forskellige aktiver, der ellers muligvis ikke opdages og derefter overvåges.
Automatiserede vs. tilpassede angrebsoverflader
Når du bruger Defender EASM første gang, kan du få adgang til et færdigbygget lager for din organisation, så du hurtigt kan kickstarte dine arbejdsprocesser. I ruden Introduktion kan en bruger søge efter deres organisation for hurtigt at udfylde deres lager baseret på aktivforbindelser, der allerede er identificeret af Defender EASM. Vi anbefaler, at alle brugere søger efter deres organisations færdigbyggede oversigt over angrebsoverfladen, før de opretter en brugerdefineret oversigt.
Hvis en bruger vil oprette et tilpasset lager, kan vedkommende oprette registreringsgrupper for at organisere og administrere de frø, de bruger, når de kører opdagelser. Brugeren kan bruge separate registreringsgrupper til at automatisere registreringsprocessen, konfigurere seedlisten og konfigurere tilbagevendende kørselsplaner.
Bekræftet lager vs. kandidataktiver
Hvis registreringsprogrammet registrerer en stærk forbindelse mellem et potentielt aktiv og det indledende frø, mærker systemet automatisk aktivet med tilstanden Bekræftet lagerbeholdning. Da forbindelserne til denne frø er iterativt scannet og tredje niveau eller fjerde niveau forbindelser opdages, systemets tillid til ejerskabet af eventuelle nyligt registrerede aktiver mindskes. På samme måde kan systemet registrere aktiver, der er relevante for din organisation, men som ikke ejes direkte af dig.
Af disse årsager er nyopdagede aktiver mærket med en af følgende tilstande:
| Navn på delstat | Beskrivelse |
|---|---|
| Godkendt lager | Et element, der er en del af din ejede angrebsoverflade. Det er et element, som du er direkte ansvarlig for. |
| Afhængighed | Infrastruktur, der ejes af en tredjepart, men den er en del af din angrebsoverflade, fordi den direkte understøtter driften af dine ejede aktiver. Du kan f.eks. være afhængig af, at en it-udbyder hoster dit webindhold. Domænet, værtsnavnet og siderne er en del af dit godkendte lager, så det kan være en god idé at behandle den IP-adresse, der kører værten, som en afhængighed. |
| Kun skærm | Et aktiv, der er relevant for din angrebsoverflade, men det er ikke direkte kontrolleret eller en teknisk afhængighed. Uafhængige franchisetagere eller aktiver, der tilhører relaterede firmaer, kan f.eks. have mærkaten Overvåg kun i stedet for Godkendt lager for at adskille grupperne til rapporteringsformål. |
| Kandidat | Et aktiv, der har en vis relation til organisationens kendte seed-aktiver, men som ikke har en stærk nok forbindelse til straks at mærke den Godkendt lager. Du skal manuelt gennemse disse kandidataktiver for at bestemme ejerskabet. |
| Kræver undersøgelse | En tilstand, der ligner kandidattilstanden , men denne værdi anvendes på aktiver, der kræver manuel undersøgelse for at validere. Staten bestemmes på baggrund af vores internt genererede tillidsscores, der vurderer styrken af registrerede forbindelser mellem aktiver. Det angiver ikke infrastrukturens nøjagtige relation til organisationen, men det markerer aktivet med henblik på yderligere gennemgang for at bestemme, hvordan den skal kategoriseres. |
Når du gennemser aktiver, anbefaler vi, at du starter med aktiver, der er mærket Kræver undersøgelse. Aktivoplysninger opdateres løbende og opdateres med tiden for at opretholde et nøjagtigt kort over aktivtilstande og -relationer og for at afdække nyligt oprettede aktiver, efterhånden som de opstår. Opdagelsesprocessen administreres ved at placere frø i opdagelsesgrupper, som du kan planlægge at køre på tilbagevendende basis. Når en lagerbeholdning er udfyldt, scanner Defender EASM systemet løbende dine aktiver ved hjælp af Microsofts virtuelle brugerteknologi for at afdække nye, detaljerede data om hvert aktiv. Processen undersøger indholdet og funktionsmåden for hver side på relevante websteder for at give robuste oplysninger, som du kan bruge til at identificere sikkerhedsrisici, problemer med overholdelse af angivne standarder og andre potentielle risici for din organisation.