Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta (Defender EASM) käyttää Microsoftin omaa resurssienetsintätekniikkaa organisaatiosi yksilöllisen Internet-altistuneen hyökkäysalueen jatkuvaan määrittämiseen. Defender EASM resurssienetsintäominaisuus tarkistaa tunnetut resurssit, jotka organisaatiosi omistaa aiemmin tuntemattomien ja valvomattomien ominaisuuksien paljastamiseksi. Löydetyt resurssit on indeksoitu organisaatiosi varastoon. Defender EASM antaa dynaamisen tietuejärjestelmän verkkosovelluksille, kolmansien osapuolten riippuvuuksille ja verkkoinfrastruktuurille organisaatiosi hallinnassa yhdessä näkymässä.
Defender EASM resurssienetsintäprosessin avulla organisaatiosi voi ennakoivasti valvoa jatkuvasti siirtyvää digitaalista hyökkäyspintaa. Voit tunnistaa nousevat riskit ja käytäntörikkomukset heti, kun ne syntyvät.
Monissa haavoittuvuusohjelmissa ei ole näkyvyyttä palomuurin ulkopuolella. He eivät ole tietoisia ulkoisista riskeistä ja uhkista, jotka ovat tietomurtojen ensisijainen lähde.
Samaan aikaan digitaalinen kasvu ylittää edelleen yrityksen tietoturvatiimin kyvyn suojella sitä. Digitaaliset aloitteet ja aivan yleinen "varjo-IT" johtavat laajenevaan hyökkäyspintaan palomuurin ulkopuolella. Tällä vauhdilla on lähes mahdotonta vahvistaa ohjausobjekteja, suojauksia ja yhteensopivuusvaatimuksia.
Ilman Defender EASM on lähes mahdotonta tunnistaa ja poistaa haavoittuvuuksia, eivätkä skannerit pääse palomuurin ulkopuolelle arvioimaan koko hyökkäyspintaa.
Miten se toimii?
Jos haluat luoda kattavan kartoituksen organisaatiosi hyökkäyspinnasta, Defender EASM ensimmäiset sisäänotot tunnetuista resursseista (siemenet). Löytösiemenet skannataan rekursiivisesti löytääkseen lisää entiteettejä niiden yhteyksien kautta siemeniin.
Alkusiemen voi olla mikä tahansa seuraavanlainen Microsoftin indeksoima verkkoinfrastruktuuri:
- Toimialueet
- IP-osoitelohkot
- Isännät
- Sähköpostin yhteystiedot
- Autonomiset järjestelmänimet (ASN)
- Whois-organisaatiot
Alkuarvosta alkaen järjestelmä löytää kytkentöjä muihin online-infrastruktuurikohteisiin löytääkseen muita organisaatiosi omistamia resursseja. Tämä prosessi luo lopulta koko hyökkäysalueen varaston. Etsintäprosessi käyttää löytösiemeniä keskussolmuina. Sitten se haarautuu ulospäin hyökkäysalueen reuna-alueille. Se tunnistaa kaikki infrastruktuurikohteet, jotka ovat suoraan yhteydessä siemeneen, ja tunnistaa sitten kaikki kohteet, jotka liittyvät kuhunkin kohteeseen ensimmäisessä yhteysjoukossa. Prosessi toistuu ja jatkuu, kunnes se saavuttaa organisaatiosi hallintavastuun reunan.
Jos esimerkiksi haluat löytää kaikki Contoson infrastruktuurin kohteet, voit käyttää toimialuetta contoso.comensimmäisenä kulmakivenä. Tästä siemenestä alkaen voimme tutustua seuraaviin lähteisiin ja johtaa seuraavat suhteet:
| Tietolähde | Kohteet, joilla on yhteyksiä Contosoon |
|---|---|
| Whois-tietueet | Muut toimialuenimet, jotka on rekisteröity samaan yhteyshenkilösähköposti- tai rekisteröijäorganisaatioon, jota käytettiin rekisteröitymiseen contoso.com |
| Whois-tietueet | Kaikki toimialuenimet, jotka on rekisteröity mihin tahansa @contoso.com sähköpostiosoitteeseen |
| Whois-tietueet | Muut toimialueet, jotka on liitetty samaan nimipalvelimeen kuin contoso.com |
| DNS-tietueet | Kaikki havaitut isännät Toimialueilla, jotka Contoso omistaa, ja kaikki näihin isäntiin liittyvät verkkosivustot |
| DNS-tietueet | Toimialueet, joilla on eri isännät, mutta jotka ratkaistaan samoihin IP-lohkoihin |
| DNS-tietueet | Contoson omistamiin toimialuenimiin liittyvät sähköpostipalvelimet |
| SSL-varmenteet | Kaikki SSL (Secure Sockets Layer) -varmenteet, jotka on yhdistetty kuhunkin isäntään, ja kaikki muut isännät, jotka käyttävät samoja SSL-varmenteita |
| ASN-tietueet | Muut IP-estot, jotka liittyvät samaan ASN:iin kuin Ip-estot, jotka on yhdistetty Contoson toimialuenimien isäntiin, mukaan lukien kaikki isäntäkoneet ja toimialueet, jotka ratkaisevat tämän |
Käyttämällä tätä ensimmäisen tason yhteysjoukkoa voimme nopeasti johtaa kokonaan uuden resurssijoukon tutkittavaksi. Ennen kuin Defender EASM suorittaa lisää rekursioita, se määrittää, onko yhteys riittävän vahva, jotta löydetty entiteetti voidaan lisätä automaattisesti vahvistettuna varastona. Jokaiselle näistä resursseista etsintäjärjestelmä suorittaa automatisoituja, rekursiivisia hakuja kaikkien käytettävissä olevien määritteiden perusteella toisen ja kolmannen tason yhteyksien löytämiseksi. Tämä toistuva prosessi antaa lisätietoja organisaation online-infrastruktuurista ja löytää siten erilaisia resursseja, joita ei ehkä muuten löydetä ja valvota.
Automaattiset ja mukautetut hyökkäyspinnat
Kun käytät Defender EASM ensimmäistä kertaa, voit käyttää valmiiksi rakennettua inventaariota, jonka avulla voit käynnistää työnkulkusi nopeasti. käyttäjä voi aloittaminen ruudussa etsiä organisaatiotaan ja täyttää varastonsa nopeasti Defender EASM jo tunnistamien resurssiyhteyksien perusteella. Suosittelemme, että kaikki käyttäjät etsivät organisaationsa valmiiksi luotua hyökkäysalueen varastoa ennen mukautetun inventaarion luomista.
Mukautetun inventaarion luomiseksi käyttäjä voi luoda etsintäryhmiä järjestääkseen ja hallitakseen siemeniä, joita he käyttävät tehdessään löytöjä. Käyttäjä voi automatisoida etsintäprosessin erillisten etsintäryhmien avulla, määrittää alkuluettelon ja määrittää toistuvia suoritusaikatauluja.
Vahvistettu inventaario verrattuna hakijavaroihin
Jos etsintämoduuli havaitsee vahvan yhteyden mahdollisen resurssin ja alkuperäisen siemenen välillä, järjestelmä lisää resurssin automaattisesti tilaksi Vahvistettu varasto. Koska yhteydet tähän siemeneen tarkistetaan toistuvasti ja havaitaan kolmannen tason tai neljännen tason yhteydet, järjestelmän luottamus vastikään havaittujen resurssien omistajuuteen vähenee. Samoin järjestelmä saattaa havaita resursseja, jotka ovat olennaisia organisaatiollesi, mutta jotka eivät ole suoraan sinun omistuksessasi.
Näistä syistä äskettäin löydetyt resurssit merkitään jollakin seuraavista tileista:
| Osavaltion nimi | Kuvaus |
|---|---|
| Hyväksytty inventaario | Kohde, joka on osa omistamaasi hyökkäyspintaa. Se on kohde, josta olet suoraan vastuussa. |
| Riippuvuus | Infrastruktuuri, jonka omistaa kolmas osapuoli, mutta se on osa hyökkäyspintaasi, koska se tukee suoraan omistamiasi varoja. Saatat esimerkiksi luottaa siihen, että IT-palveluntarjoaja isännöi verkkosisältöäsi. Toimialue, isäntänimi ja sivut olisivat osa hyväksyttyä inventaariotasi, joten haluat ehkä käsitellä isäntää suorittavaa IP-osoitetta riippuvuudena. |
| Vain näyttö | Resurssi, joka liittyy hyökkäyspintaasi, mutta se ei ole suoraan hallittava tai tekninen riippuvuussuhde. Esimerkiksi riippumattomille franchise-yrittäjille tai niihin liittyviin yrityksiin kuuluville varoille voidaan antaa merkintä Vain Valvontahyväksytyn inventaarion sijaan ryhmien erottamiseksi raportointia varten. |
| Ehdokas | Resurssi, jolla on jonkinlainen suhde organisaatiosi tunnettuihin siemenresursseilla, mutta jolla ei ole tarpeeksi vahvaa yhteyttä sen hyväksymisluettelon välittömästi merkitsemiseen. Nämä hakijaresurssit on tarkistettava manuaalisesti omistajuuden määrittämiseksi. |
| Edellyttää tutkimusta | Ehdokastilan kaltainen tila, mutta tätä arvoa sovelletaan resurssteihin, joiden vahvistaminen edellyttää manuaalista tutkimusta. Tila määritetään sisäisesti luotujen luottamuspisteiden perusteella, jotka arvioivat resurssien välisten havaittujen yhteyksien vahvuutta. Se ei ilmaise infrastruktuurin tarkkaa suhdetta organisaatioon, mutta se merkitsee resurssin tarkempaa tarkistusta varten määrittääkseen, miten se tulisi luokitella. |
Kun tarkastelet resursseja, suosittelemme aloittamaan resursseilla, joiden nimi on Requires Investigation. Resurssitietoja päivitetään ja päivitetään jatkuvasti ajan mittaan, jotta voidaan pitää tarkkaa karttaa resurssitiloista ja suhteista sekä paljastaa uudet luodut resurssit niiden ilmetessä. Etsintäprosessia hallitaan sijoittamalla siemenet etsintäryhmiin, jotka voidaan ajoittaa suoritettavaksi toistuvasti. Kun varasto on täytetty, Defender EASM järjestelmä tarkistaa resurssisi jatkuvasti Microsoftin virtuaalisen käyttäjäteknologian avulla ja paljastaa tuoreita ja yksityiskohtaisia tietoja kustakin resurssista. Prosessi tutkii kunkin sivun sisällön ja toiminnan soveltuvissa sivustoissa ja tarjoaa luotettavia tietoja, joiden avulla voit tunnistaa haavoittuvuuksia, yhteensopivuusongelmia ja muita mahdollisia riskejä organisaatiollesi.