Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Requisitos previos
Antes de completar este tutorial, consulte los artículos ¿Qué es la detección? y Uso y administración de detección para comprender los conceptos clave que se mencionan en este artículo.
Acceso a la superficie de ataque automatizada
Microsoft ha configurado de forma preventiva las superficies de ataque de muchas organizaciones, asignando su superficie de ataque inicial mediante la detección de la infraestructura conectada a recursos conocidos. Se recomienda que todos los usuarios busquen la superficie expuesta a ataques de su organización antes de crear una superficie de ataque personalizada y ejecutar otras detecciones. Este proceso permite a los usuarios acceder rápidamente a su inventario a medida que Defender EASM actualiza los datos, agregando más recursos y contexto reciente a la superficie expuesta a ataques.
Al acceder por primera vez a la instancia de Defender EASM, seleccione Introducción en la sección General para buscar la organización en la lista de superficies de ataque automatizadas.
A continuación, selecciona tu organización en la lista y haz clic en Compilar mi superficie expuesta a ataques.
En este momento, la detección se ejecuta en segundo plano. Si seleccionó una superficie de ataque preconfigurada en la lista de organizaciones disponibles, se le redirigirá a la pantalla Información general del panel, donde podrá ver información sobre la infraestructura de su organización en modo de vista previa. Revisa estas conclusiones del panel para familiarizarte con tu Superficie expuesta a ataques mientras esperas a que se descubran y rellenen más recursos en tu inventario. Lea el artículo Descripción de los paneles para obtener más información sobre cómo derivar información de estos paneles.
Si observa que faltan recursos o tiene otras entidades que administrar que no se pueden detectar a través de una infraestructura claramente vinculada a su organización, puede optar por ejecutar detecciones personalizadas para detectar estos recursos atípicos.
Personalización de la detección
Las detecciones personalizadas son ideales para organizaciones que requieren una visibilidad más profunda de la infraestructura que puede que no estén vinculadas inmediatamente a sus recursos de inicialización principal. Al enviar una lista más grande de recursos conocidos para que funcionen como semillas de detección, el motor de detección devuelve un grupo más amplio de recursos. La detección personalizada también puede ayudar a las organizaciones a encontrar infraestructuras dispares que puedan estar relacionadas con unidades de negocio independientes y empresas adquiridas.
Grupos de detección
Las detecciones personalizadas se organizan en grupos de detección. Son clústeres de inicialización independientes que componen una única ejecución de detección y funcionan según sus propias programaciones de periodicidad. Los usuarios pueden optar por organizar sus grupos de detección para delinear los recursos de la manera que mejor beneficien a su empresa y flujos de trabajo. Entre las opciones comunes se incluyen la organización por equipo responsable o unidad de negocio, marcas o subsidiarias.
Creación de un grupo de detección
Seleccione el panel Detección en la sección Administrar de la columna de navegación izquierda.
Esta página de detección muestra la lista de grupos de detección de forma predeterminada. Esta lista estará vacía cuando acceda por primera vez a la plataforma. Para ejecutar la primera detección, haga clic en Agregar grupo de detección.
En primer lugar, asigne un nombre al nuevo grupo de detección y agregue una descripción. El campo Frecuencia periódica permite programar ejecuciones de detección para este grupo, buscando nuevos recursos relacionados con las semillas designadas de forma continua. La selección de periodicidad predeterminada es Semanal; Microsoft recomienda esta cadencia para asegurarse de que los recursos de la organización se supervisan y actualizan de forma rutinaria. Para una única ejecución de detección única, seleccione Nunca. Sin embargo, se recomienda que los usuarios conserven la cadencia predeterminada semanal y, en su lugar, desactiven la supervisión histórica dentro de la configuración del grupo de detección si posteriormente deciden interrumpir las ejecuciones de detección periódicas.
Seleccione Siguiente: Semillas >
A continuación, seleccione las semillas que desea usar para este grupo de detección. Las semillas son recursos conocidos que pertenecen a su organización; la plataforma Defender EASM examina estas entidades y asigna sus conexiones a otra infraestructura en línea para crear la superficie expuesta a ataques.
La opción Inicio rápido te permite buscar tu organización en una lista de superficies de ataque rellenadas previamente. Puede crear rápidamente un grupo de detección basado en los recursos conocidos que pertenecen a su organización.
Como alternativa, los usuarios pueden introducir manualmente sus semillas. Defender EASM acepta dominios, bloques IP, hosts, contactos de correo electrónico, ASN y organizaciones WhoIs como valores de inicialización. También puede especificar entidades que se excluirán de la detección de recursos para asegurarse de que no se agregan al inventario si se detectan. Por ejemplo, esto es útil para las organizaciones que tienen subsidiarias que probablemente estarán conectadas a su infraestructura central, pero que no pertenecen a su organización.
Una vez que seleccione las semillas, seleccione Revisar y crear.
Revise la información del grupo y la lista de inicialización y, a continuación, seleccione Crear & ejecutar.
A continuación, volverá a la página de detección principal que muestra los grupos de detección. Una vez completada la ejecución de la detección, puede ver nuevos recursos agregados al inventario aprobado.