Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender External Attack Surface Management (Defender EASM) verwendet die proprietäre Ermittlungstechnologie von Microsoft, um kontinuierlich die einzigartige angriffsfläche Ihres organization zu definieren, die über das Internet verfügbar gemacht wird. Die Defender EASM Ermittlungsfunktion überprüft bekannte Ressourcen, die sich im Besitz Ihres organization befinden, um zuvor unbekannte und nicht überwachte Eigenschaften aufzudecken. Ermittelte Ressourcen werden im Bestand Ihrer organization indiziert. Defender EASM bietet Ihnen ein dynamisches Erfassungssystem für Webanwendungen, Abhängigkeiten von Drittanbietern und Webinfrastruktur unter der Verwaltung Ihrer organization in einer einzigen Ansicht.
Durch den Defender EASM Ermittlungsprozess kann Ihr organization seine sich ständig verändernde digitale Angriffsfläche proaktiv überwachen. Sie können neue Risiken und Richtlinienverstöße identifizieren, sobald sie auftreten.
Viele Sicherheitsrisikoprogramme haben keine Sichtbarkeit außerhalb der Firewall. Sie sind sich der externen Risiken und Bedrohungen nicht bewusst, die die primäre Ursache für Datenschutzverletzungen sind.
Gleichzeitig übertrifft das digitale Wachstum weiterhin die Fähigkeit eines Unternehmenssicherheitsteams, es zu schützen. Digitale Initiativen und die übermäßig häufige "Schatten-IT" führen zu einer wachsenden Angriffsfläche außerhalb der Firewall. In diesem Tempo ist es fast unmöglich, Kontrollen, Schutzmaßnahmen und Complianceanforderungen zu überprüfen.
Ohne Defender EASM ist es nahezu unmöglich, Sicherheitsrisiken zu identifizieren und zu entfernen, und Scanner können nicht über die Firewall hinaus reichen, um die gesamte Angriffsfläche zu bewerten.
So funktioniert es
Um eine umfassende Zuordnung der Angriffsfläche Ihrer organization zu erstellen, Defender EASM erste bekannte Ressourcen (Seeds) ein. Ermittlungssamen werden rekursiv gescannt, um weitere Entitäten durch ihre Verbindungen mit Samen zu ermitteln.
Ein anfänglicher Seed kann eine der folgenden Arten von Webinfrastruktur sein, die von Microsoft indiziert werden:
- Domänen
- IP-Adressblöcke
- Hosts
- kontakte Email
- Autonome Systemnamen (ASNs)
- Whois-Organisationen
Beginnend mit einem Seed erkennt das System Zuordnungen zu anderen Onlineinfrastrukturelementen, um andere Ressourcen zu ermitteln, die Ihrem organization gehören. Dieser Prozess erstellt letztendlich Ihren gesamten Angriffsflächenbestand. Der Ermittlungsprozess verwendet Ermittlungssamen als zentrale Knoten. Dann verzweigt sie sich nach außen zur Peripherie Ihrer Angriffsfläche. Es identifiziert alle Infrastrukturelemente, die direkt mit dem Seed verbunden sind, und identifiziert dann alle Elemente, die sich auf jedes Element in der ersten Gruppe von Verbindungen beziehen. Der Prozess wird wiederholt und verlängert, bis er den Rand der Verwaltungsverantwortung Ihres organization erreicht.
Um beispielsweise alle Elemente in der Infrastruktur von Contoso zu ermitteln, können Sie die Domäne ( contoso.com) als anfänglichen Keystone-Ausgangswert verwenden. Ab diesem Seed können wir die folgenden Quellen konsultieren und die folgenden Beziehungen ableiten:
| Datenquelle | Elemente mit möglichen Beziehungen zu Contoso |
|---|---|
| Whois-Datensätze | Andere Domänennamen, die bei der gleichen Kontakt-E-Mail oder Registranten-organization registriert wurden, die für die Registrierung verwendet wurdencontoso.com |
| Whois-Datensätze | Alle Domänennamen, die bei einer beliebigen @contoso.com E-Mail-Adresse registriert sind |
| Whois-Datensätze | Andere Domänen, die demselben Namenserver zugeordnet sind wie contoso.com |
| DNS-Einträge | Alle beobachteten Hosts in den Domänen, die Contoso besitzt, und alle Websites, die diesen Hosts zugeordnet sind |
| DNS-Einträge | Domänen mit unterschiedlichen Hosts, die jedoch in dieselben IP-Blöcke aufgelöst werden |
| DNS-Einträge | E-Mail-Server, die den Domänennamen von Contoso zugeordnet sind |
| SSL-Zertifikate | Alle SSL-Zertifikate (Secure Sockets Layer), die mit jedem der Hosts verbunden sind, sowie alle anderen Hosts, die dieselben SSL-Zertifikate verwenden |
| ASN-Einträge | Andere IP-Blöcke, die der gleichen ASN zugeordnet sind wie die IP-Blöcke, die mit Hosts in den Domänennamen von Contoso verbunden sind, einschließlich aller Hosts und Domänen, die in diese aufgelöst werden |
Mit diesem Satz von Verbindungen auf erster Ebene können wir schnell einen völlig neuen Satz von Ressourcen ableiten, die untersucht werden sollen. Bevor Defender EASM weitere Rekursionen ausführt, wird bestimmt, ob eine Verbindung stark genug ist, damit eine ermittelte Entität automatisch als Bestätigter Bestand hinzugefügt wird. Für jedes dieser Ressourcen führt das Ermittlungssystem automatisierte rekursive Suchvorgänge basierend auf allen verfügbaren Attributen aus, um Verbindungen auf der zweiten und dritten Ebene zu finden. Dieser sich wiederholende Prozess liefert weitere Informationen zur Onlineinfrastruktur eines organization und ermittelt daher unterschiedliche Ressourcen, die andernfalls möglicherweise nicht erkannt und dann überwacht werden.
Automatisierte und angepasste Angriffsflächen
Wenn Sie Defender EASM zum ersten Mal verwenden, können Sie auf einen vordefinierten Bestand für Ihre organization zugreifen, um Ihre Workflows schnell zu starten. Im bereich Erste Schritte kann ein Benutzer nach seiner organization suchen, um seinen Bestand schnell auf der Grundlage von Ressourcenverbindungen aufzufüllen, die bereits von Defender EASM identifiziert wurden. Es wird empfohlen, dass alle Benutzer nach dem vordefinierten Angriffsflächenbestand ihrer organization suchen, bevor sie einen benutzerdefinierten Bestand erstellen.
Um einen benutzerdefinierten Bestand zu erstellen, kann ein Benutzer Ermittlungsgruppen erstellen, um die Seeds zu organisieren und zu verwalten, die er beim Ausführen von Ermittlungen verwendet. Der Benutzer kann separate Ermittlungsgruppen verwenden, um den Ermittlungsprozess zu automatisieren, die Startliste zu konfigurieren und wiederkehrende Ausführungszeitpläne einzurichten.
Bestätigter Bestand im Vergleich zu potenziellen Ressourcen
Wenn die Ermittlungs-Engine eine starke Verbindung zwischen einer potenziellen Ressource und dem anfänglichen Start erkennt, kennzeichnet das System die Ressource automatisch mit dem Status Bestätigter Bestand. Wenn die Verbindungen mit diesem Seed iterativ überprüft und Verbindungen der dritten oder vierten Ebene ermittelt werden, verringert sich das Vertrauen des Systems in den Besitz neu erkannter Ressourcen. Ebenso kann das System Ressourcen erkennen, die für Ihre organization relevant sind, aber nicht direkt in Ihrem Besitz sind.
Aus diesen Gründen werden neu ermittelte Ressourcen mit einem der folgenden Zustände bezeichnet:
| Statusname | Beschreibung |
|---|---|
| Genehmigter Bestand | Ein Element, das Teil Ihrer eigenen Angriffsfläche ist. Es handelt sich um ein Element, für das Sie direkt verantwortlich sind. |
| Abhängigkeit | Infrastruktur, die sich im Besitz eines Drittanbieters befindet, aber Teil Ihrer Angriffsfläche ist, da sie den Betrieb Ihrer eigenen Ressourcen direkt unterstützt. Sie können z. B. von einem IT-Anbieter abhängig sein, um Ihre Webinhalte zu hosten. Die Domäne, der Hostname und die Seiten sind Teil Ihres genehmigten Inventars. Daher sollten Sie die IP-Adresse, die den Host ausführt, als Abhängigkeit behandeln. |
| Nur Überwachen | Eine Ressource, die für Ihre Angriffsfläche relevant ist, aber nicht direkt gesteuert oder technisch abhängig ist. Beispielsweise können unabhängige Franchisenehmer oder Vermögenswerte, die zu verbundenen Unternehmen gehören, als Nur überwachen statt genehmigter Bestand bezeichnet werden, um die Gruppen zu Berichtszwecken zu trennen. |
| Kandidat | Ein Medienobjekt, das eine gewisse Beziehung zu den bekannten Startressourcen Ihres organization hat, aber nicht über eine starke Verbindung verfügt, um es sofort als Genehmigter Bestand zu bezeichnen. Sie müssen diese potenziellen Ressourcen manuell überprüfen, um den Besitz zu bestimmen. |
| Erfordert Untersuchung | Ein Status, der dem Status Kandidat ähnelt, aber dieser Wert wird auf Ressourcen angewendet, für die zur Überprüfung eine manuelle Untersuchung erforderlich ist. Der Zustand wird basierend auf unseren intern generierten Konfidenzbewertungen bestimmt, die die Stärke der erkannten Verbindungen zwischen Ressourcen bewerten. Es gibt nicht die genaue Beziehung der Infrastruktur zum organization an, kennzeichnet jedoch die Ressource zur weiteren Überprüfung, um zu bestimmen, wie sie kategorisiert werden soll. |
Wenn Sie Ressourcen überprüfen, empfehlen wir Ihnen, mit Ressourcen mit der Bezeichnung Erfordert Untersuchung zu beginnen. Ressourcendetails werden kontinuierlich aktualisiert und im Laufe der Zeit aktualisiert, um eine genaue Zuordnung der Ressourcenzustände und -beziehungen zu erhalten und neu erstellte Ressourcen aufzudecken, sobald sie entstehen. Der Ermittlungsprozess wird verwaltet, indem Seeds in Ermittlungsgruppen platziert werden, die Sie für die wiederkehrende Ausführung planen können. Nachdem ein Bestand aufgefüllt wurde, scannt das Defender EASM System Kontinuierlich Ihre Ressourcen mithilfe der Technologie virtueller Benutzer von Microsoft, um neue, detaillierte Daten zu den einzelnen Medienobjekten zu ermitteln. Der Prozess untersucht den Inhalt und das Verhalten jeder Seite auf entsprechenden Websites, um zuverlässige Informationen bereitzustellen, die Sie verwenden können, um Sicherheitsrisiken, Complianceprobleme und andere potenzielle Risiken für Ihre organization zu identifizieren.