Vue d’ensemble de la modification des ressources

Cet article explique comment modifier les ressources d’inventaire. Vous pouvez modifier l’état d’une ressource, attribuer un ID externe ou appliquer des étiquettes pour fournir un contexte et utiliser des données d’inventaire. Vous pouvez également marquer les CVC et d’autres observations comme non applicables pour les supprimer de vos nombres signalés. Vous pouvez également supprimer des ressources de leur inventaire en bloc en fonction de la méthode avec laquelle elles sont découvertes. Par instance, les utilisateurs peuvent supprimer une valeur initiale d’un groupe de découverte et choisir de supprimer toutes les ressources découvertes via une connexion à cette valeur initiale. Cet article décrit toutes les options de modification disponibles dans Defender EASM et explique comment mettre à jour les ressources et suivre les mises à jour avec le Gestionnaire des tâches.

Étiqueter les ressources

Les étiquettes vous aident à organiser votre surface d’attaque et à appliquer le contexte métier de manière personnalisable. Vous pouvez appliquer n’importe quelle étiquette de texte à un sous-ensemble de ressources pour regrouper des ressources et mieux utiliser votre inventaire. Les clients catégorisent généralement les ressources qui :

  • Sont récemment passés sous la propriété de votre organization par le biais d’une fusion ou d’une acquisition.
  • Exiger la surveillance de la conformité.
  • Appartiennent à une unité commerciale spécifique dans leur organization.
  • Sont affectés par une vulnérabilité spécifique qui nécessite une atténuation.
  • Se rapportent à une marque particulière appartenant au organization.
  • Ont été ajoutés à votre inventaire dans un intervalle de temps spécifique.

Les étiquettes étant des champs de texte de forme libre, vous pouvez créer une étiquette pour n’importe quel cas d’usage qui s’applique à votre organization.

Capture d’écran montrant une vue liste d’inventaire avec une colonne Étiquettes filtrée.

Modifier l’état d’une ressource

Les utilisateurs peuvent également modifier l’état d’une ressource. Les états permettent de catégoriser votre inventaire en fonction de leur rôle dans votre organization. Les utilisateurs peuvent basculer entre les états suivants :

  • Inventaire approuvé : une partie de votre surface d’attaque détenue ; un élément dont vous êtes directement responsable.
  • Dépendance : infrastructure détenue par un tiers, mais qui fait partie de votre surface d’attaque, car elle prend directement en charge le fonctionnement de vos ressources détenues. Par exemple, vous pouvez dépendre d’un fournisseur informatique pour héberger votre contenu web. Bien que le domaine, le nom d’hôte et les pages font partie de votre « Inventaire approuvé », vous pouvez traiter l’adresse IP exécutant l’hôte comme une « dépendance ».
  • Surveiller uniquement : une ressource qui est pertinente pour votre surface d’attaque, mais qui n’est pas directement contrôlée par votre organization, ni une dépendance technique. Par exemple, les franchisés indépendants ou les actifs appartenant à des sociétés liées peuvent être étiquetés comme « Surveiller uniquement » plutôt que « Inventaire approuvé » pour séparer les groupes à des fins de création de rapports.
  • Candidat : ressource qui a une relation avec les ressources initiales connues de votre organization, mais qui n’a pas de connexion suffisamment forte pour l’étiqueter immédiatement comme « Inventaire approuvé ». Ces ressources candidates doivent être examinées manuellement pour déterminer la propriété.
  • Nécessite une investigation : état similaire aux états « Candidat », mais cette valeur est appliquée aux ressources qui nécessitent une investigation manuelle pour la validation. Cela est déterminé en fonction de nos scores de confiance générés en interne qui évaluent la force des connexions détectées entre les ressources. Il n’indique pas la relation exacte de l’infrastructure avec l’organization autant qu’il indique que cette ressource a été marquée comme nécessitant un examen supplémentaire pour déterminer comment elle doit être catégorisée.

Appliquer un ID externe

Les utilisateurs peuvent également appliquer un ID externe à une ressource. Cette action est utile dans les situations où vous utilisez plusieurs solutions pour le suivi des ressources, les activités de correction ou la surveillance de la propriété ; L’affichage de tous les ID externes dans Defender EASM vous aide à aligner ces informations disparates sur les ressources. ID externe valeurs peuvent être numériques ou alphanumériques et doivent être entrées au format texte. Les ID externes sont également affichés dans la section Détails de la ressource.

Marquer l’observation comme non applicable

De nombreux tableaux de bord Defender EASM comportent des données CVE, attirant votre attention sur des vulnérabilités potentielles basées sur l’infrastructure de composants web qui alimente votre surface d’attaque. Par instance, les cve sont répertoriés dans le tableau de bord récapitulatif de la surface d’attaque, classés en fonction de leur gravité potentielle. Après avoir examiné ces CVC, vous pouvez déterminer que certaines d’entre elles ne sont pas pertinentes pour votre organization. Cela peut être dû au fait que vous exécutez une version non appliquée du composant web ou que votre organization a mis en place différentes solutions techniques pour vous protéger contre cette vulnérabilité spécifique.

Dans la vue d’exploration d’un graphique lié à CVE, à côté du bouton « Télécharger le rapport CSV », vous avez maintenant la possibilité de définir une observation comme non applicable. En cliquant sur cette valeur, vous accédez à une liste d’inventaire de toutes les ressources associées à cette observation, et vous pouvez ensuite choisir de marquer toutes les observations comme non applicables à partir de cette page. La modification réelle est effectuée à partir de l’affichage Liste d’inventaire ou de la page Détails de l’élément multimédia pour une ressource particulière.

Capture d’écran de la vue d’exploration du tableau de bord avec le bouton « Marquer l’observation comme non utilisable » mis en évidence.

Comment modifier des ressources

Vous pouvez modifier des ressources à partir de la liste d’inventaire et des pages de détails des ressources. Vous pouvez apporter des modifications à une seule ressource à partir de la page des détails de la ressource. Vous pouvez apporter des modifications à une ou plusieurs ressources à partir de la page de liste d’inventaire. Les sections suivantes décrivent comment appliquer des modifications à partir des deux vues d’inventaire en fonction de votre cas d’usage.

Page Liste d’inventaire

Vous devez modifier les ressources à partir de la page liste d’inventaire si vous souhaitez mettre à jour plusieurs ressources à la fois. Vous pouvez affiner votre liste de ressources en fonction des paramètres de filtre. Ce processus vous permet d’identifier les ressources qui doivent être classées avec l’étiquette, l’ID externe ou le changement d’état souhaité. Pour modifier des ressources à partir de cette page :

  1. Dans le volet le plus à gauche de votre ressource Gestion de surface d’attaque externe Microsoft Defender (Defender EASM), sélectionnez Inventaire.

  2. Appliquez des filtres pour produire les résultats prévus. Dans cet exemple, nous recherchons des domaines qui expirent dans les 30 jours qui nécessitent un renouvellement. L’étiquette appliquée vous permet d’accéder plus rapidement à tous les domaines arrivant à expiration pour simplifier le processus de correction. Vous pouvez appliquer autant de filtres que nécessaire pour obtenir les résultats spécifiques nécessaires. Pour plus d’informations sur les filtres, consultez Vue d’ensemble des filtres d’inventaire. Pour les cas où vous souhaitez marquer des CVE comme non applicables, l’exploration du graphique de tableau de bord appropriée fournit un lien qui vous achemine directement vers cette page Inventaire avec les filtres appropriés appliqués.

    Capture d’écran montrant la vue liste d’inventaire avec la liste déroulante Ajouter un filtre ouverte pour afficher l’éditeur de requête.

  3. Une fois votre liste d’inventaire filtrée, cochez la liste déroulante en regard de l’en-tête de la table Asset . Cette liste déroulante vous donne la possibilité de sélectionner tous les résultats qui correspondent à votre requête ou aux résultats de cette page spécifique (jusqu’à 25). L’option Aucun efface toutes les ressources. Vous pouvez également choisir de sélectionner uniquement des résultats spécifiques sur la page en sélectionnant les marques case activée individuelles en regard de chaque ressource.

    Capture d’écran montrant la vue liste d’inventaire avec la liste déroulante de sélection en bloc ouverte.

  4. Sélectionnez Modifier les ressources.

    Capture d’écran montrant les options de modification disponibles.

  5. Dans le volet Modifier les ressources qui s’ouvre sur le côté droit de votre écran, vous pouvez rapidement modifier différents champs pour les ressources sélectionnées. Pour cet exemple, vous créez une étiquette. Sélectionnez Créer une étiquette.

  6. Déterminez le nom de l’étiquette et affichez les valeurs de texte. Le nom de l’étiquette ne peut pas être modifié après la création initiale de l’étiquette, mais le texte d’affichage peut être modifié ultérieurement. Le nom de l’étiquette est utilisé pour interroger l’étiquette dans l’interface du produit ou via l’API. Les modifications sont donc désactivées pour garantir le bon fonctionnement de ces requêtes. Pour modifier un nom d’étiquette, vous devez supprimer l’étiquette d’origine et en créer une nouvelle.

    Sélectionnez une couleur pour votre nouvelle étiquette, puis sélectionnez Ajouter. Cette action vous ramène à l’écran Modifier les ressources .

    Capture d’écran montrant le volet Ajouter une étiquette qui affiche les champs de configuration.

  7. Appliquez votre nouvelle étiquette aux ressources. Cliquez dans la zone de texte Ajouter des étiquettes pour afficher la liste complète des étiquettes disponibles. Vous pouvez également taper à l’intérieur de la zone pour effectuer une recherche par mot clé. Après avoir sélectionné les étiquettes que vous souhaitez appliquer, sélectionnez Mettre à jour.

    Capture d’écran montrant le volet Modifier l’élément multimédia avec l’étiquette nouvellement créée appliquée.

  8. Accordez quelques instants pour que les étiquettes soient appliquées. Une fois le processus terminé, une notification « Terminé » s’affiche. La page actualise automatiquement et affiche votre liste de ressources avec les étiquettes visibles. Une bannière en haut de l’écran confirme que vos étiquettes ont été appliquées.

    Capture d’écran montrant l’affichage liste d’inventaire avec les ressources sélectionnées affichant désormais la nouvelle étiquette.

Page détails de la ressource

Vous pouvez également modifier une ressource unique à partir de la page des détails de la ressource. Cette option est idéale pour les situations où les ressources doivent être soigneusement examinées avant l’application d’une étiquette ou d’un changement d’état.

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Inventaire.

  2. Sélectionnez la ressource spécifique que vous souhaitez modifier pour ouvrir la page des détails de la ressource.

  3. Dans cette page, sélectionnez Modifier la ressource.

    Capture d’écran montrant la page des détails de la ressource avec le bouton Modifier la ressource mis en évidence.

  4. Suivez les étapes 5 à 7 de la section « Page Liste d’inventaire ».

  5. La page des détails de la ressource actualise et affiche le changement d’étiquette ou d’état qui vient d’être appliqué. Une bannière indique que la ressource a été correctement mise à jour.

Modifier, supprimer ou supprimer des étiquettes

Les utilisateurs peuvent supprimer une étiquette d’une ressource en accédant au même volet Modifier les ressources à partir de la liste d’inventaire ou de la vue des détails de la ressource. Dans la vue liste d’inventaire, vous pouvez sélectionner plusieurs ressources à la fois, puis ajouter ou supprimer l’étiquette souhaitée en une seule action.

Pour modifier l’étiquette elle-même ou supprimer une étiquette du système :

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Étiquettes (préversion) .

    Capture d’écran montrant la page Étiquettes (préversion) qui active la gestion des étiquettes.

    Cette page affiche toutes les étiquettes de votre inventaire Defender EASM. Les étiquettes de cette page peuvent exister dans le système, mais ne pas être appliquées activement à des ressources. Vous pouvez également ajouter de nouvelles étiquettes à partir de cette page.

  2. Pour modifier une étiquette, sélectionnez l’icône de crayon dans la colonne Actions de l’étiquette que vous souhaitez modifier. Un volet s’ouvre sur le côté droit de votre écran dans lequel vous pouvez modifier le nom ou la couleur d’une étiquette. Sélectionnez Mettre à jour.

  3. Pour supprimer une étiquette, sélectionnez l’icône de corbeille dans la colonne Actions de l’étiquette que vous souhaitez supprimer. Sélectionnez Supprimer l’étiquette.

    Capture d’écran montrant l’option Confirmer la suppression sur la page de gestion des étiquettes.

La page Étiquettes s’actualise automatiquement. L’étiquette est supprimée de la liste et également supprimée de toutes les ressources auxquelles l’étiquette a été appliquée. Une bannière confirme la suppression.

Marquer les observations comme non applicables

Bien que les observations puissent être marquées comme non applicables à partir des mêmes écrans « Modifier les ressources » pour d’autres modifications manuelles, vous pouvez également effectuer ces mises à jour à partir de l’onglet Observations dans Détails de la ressource. L’onglet Observations comporte deux tableaux : Observations et Observations non applicables. Toutes les observations actives jugées « récentes » dans votre surface d’attaque se trouvent dans le tableau Observations, tandis que le tableau Observations non applicables répertorie toutes les observations qui ont été marquées manuellement comme non applicables ou qui ont été déterminées par le système comme n’étant plus applicables. Pour marquer les observations comme non applicables et donc exclure cette observation particulière du nombre de tableaux de bord, sélectionnez simplement les observations souhaitées et cliquez sur « Définir comme non applicable ». Ces observations disparaissent immédiatement de la table Observations active et apparaissent à la place dans la table « Observations non applicables ». Vous pouvez annuler cette modification à tout moment en sélectionnant les observations pertinentes de ce tableau et en sélectionnant « Définir le cas échéant ».

Capture d’écran montrant l’onglet Observations avec plusieurs CVE sélectionnés pour être marqués comme non applicables.

Gestionnaire des tâches et notifications

Une fois qu’une tâche est envoyée, une notification confirme que la mise à jour est en cours. Dans n’importe quelle page de Azure, sélectionnez l’icône de notification (cloche) pour afficher plus d’informations sur les tâches récentes.

Capture d’écran montrant la notification envoyée par la tâche. Capture d’écran montrant le volet Notifications qui affiche les status de tâches récentes.

Le système Defender EASM peut mettre à jour quelques secondes ou quelques minutes pour mettre à jour des milliers de ressources. Vous pouvez utiliser le Gestionnaire des tâches pour case activée sur la status de toutes les tâches de modification en cours. Cette section explique comment accéder au Gestionnaire des tâches et l’utiliser pour mieux comprendre l’achèvement des mises à jour envoyées.

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Gestionnaire des tâches.

    Capture d’écran montrant la page Gestionnaire des tâches avec la section appropriée dans le volet de navigation mise en évidence.

  2. Cette page affiche toutes vos tâches récentes et leurs status. Les tâches sont répertoriées comme Terminées, Échec ou En cours. Un pourcentage d’achèvement et une barre de progression s’affichent également. Pour afficher plus de détails sur une tâche spécifique, sélectionnez le nom de la tâche. Un volet s’ouvre sur le côté droit de votre écran qui fournit plus d’informations.

  3. Sélectionnez Actualiser pour afficher la dernière status de tous les éléments dans le Gestionnaire des tâches.

Filtrer les étiquettes

Après avoir étiqueté des ressources dans votre inventaire, vous pouvez utiliser des filtres d’inventaire pour récupérer une liste de toutes les ressources avec une étiquette spécifique appliquée.

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Inventaire.

  2. Sélectionnez Ajouter un filtre.

  3. Sélectionnez Étiquettes dans la liste déroulante Filtre . Sélectionnez un opérateur et choisissez une étiquette dans la liste déroulante des options. L’exemple suivant montre comment rechercher une seule étiquette. Vous pouvez utiliser l’opérateur In pour rechercher plusieurs étiquettes. Pour plus d’informations sur les filtres, consultez la vue d’ensemble des filtres d’inventaire.

    Capture d’écran montrant l’éditeur de requête utilisé pour appliquer des filtres, affichant le filtre Étiquettes avec des valeurs d’étiquettes possibles dans une liste déroulante.

  4. Sélectionnez Appliquer. La page liste d’inventaire recharge et affiche toutes les ressources qui correspondent à vos critères.

Gestion basée sur la chaîne de ressources

Dans certains cas, vous pouvez supprimer plusieurs ressources à la fois en fonction des moyens avec lesquels elles ont été découvertes. Par exemple, vous pouvez déterminer qu’une valeur initiale particulière au sein d’un groupe de découverte a extrait des ressources qui ne sont pas pertinentes pour votre organization, ou vous devrez peut-être supprimer des ressources liées à une filiale qui n’est plus sous votre contrôle. Pour cette raison, Defender EASM offre la possibilité de supprimer l’entité source et toutes les ressources « en aval » dans la chaîne de découverte. Vous pouvez supprimer des ressources liées à l’aide des trois méthodes suivantes :

  • Gestion basée sur les valeurs initiales : les utilisateurs peuvent supprimer une valeur initiale qui était autrefois incluse dans un groupe de découverte, en supprimant toutes les ressources qui ont été introduites dans l’inventaire via une connexion observée à la valeur initiale spécifiée. Cette méthode est utile lorsque vous pouvez déterminer qu’une valeur initiale entrée manuellement spécifique a entraîné l’ajout de ressources indésirables à l’inventaire.
  • Gestion de la chaîne de découverte : les utilisateurs peuvent identifier une ressource dans une chaîne de découverte et la supprimer, en supprimant simultanément toutes les ressources découvertes par cette entité. La découverte est un processus récursif ; il analyse les semences pour identifier les nouvelles ressources directement associées à ces graines désignées, puis continue d’analyser les entités nouvellement découvertes pour dévoiler davantage de connexions. Cette approche de suppression est utile lorsque votre groupe de découverte est correctement configuré, mais que vous devez supprimer une ressource nouvellement découverte et toutes les ressources mises en inventaire par association à cette entité. Considérez vos paramètres de groupe de découverte et les graines désignées comme étant le « haut » de votre chaîne de découverte ; cette approche de suppression vous permet de supprimer des ressources du milieu.
  • Gestion des groupes de découverte : les utilisateurs peuvent supprimer des groupes de découverte entiers et toutes les ressources qui ont été introduites dans l’inventaire via ce groupe de découverte. Cela est utile lorsqu’un groupe de découverte entier n’est plus applicable à votre organization. Par instance, vous pouvez avoir un groupe de découverte qui recherche spécifiquement les ressources liées à une filiale. Si cette filiale n’est plus pertinente pour votre organization, vous pouvez tirer parti de la gestion basée sur la chaîne de ressources pour supprimer toutes les ressources mises en inventaire par le biais de ce groupe de découverte.

Vous pouvez toujours afficher les ressources supprimées dans Defender EASM ; il vous suffit de filtrer votre liste d’inventaire pour les ressources à l’état « Archivé ».

Suppression basée sur les départs

Vous pouvez décider que l’une de vos graines de découverte initialement désignées ne doit plus être incluse dans un groupe de découverte. La valeur de départ peut ne plus être pertinente pour votre organization, ou elle peut apporter plus de faux positifs que les actifs légitimes détenus. Dans ce cas, vous pouvez supprimer la valeur initiale de votre groupe de découvertes pour empêcher son utilisation dans les exécutions de découverte futures tout en supprimant simultanément toutes les ressources qui ont été mises en inventaire par le biais de la valeur initiale désignée dans le passé.

Pour effectuer une suppression en bloc basée sur une valeur initiale, routez vers la page de détails du groupe de découverte appropriée, puis cliquez sur « Modifier le groupe de découverte ». Suivez les invites pour accéder à la page Graines et supprimer la valeur initiale problématique de la liste. Lorsque vous sélectionnez « Vérifier + mettre à jour », vous voyez un avertissement indiquant que toutes les ressources découvertes par le biais de la valeur initiale désignée seront également supprimées. Sélectionnez « Mettre à jour » ou « Mettre à jour & Exécuter » pour terminer la suppression.

Capture d’écran montrant la page Modifier le groupe de découverte avec un avertissement indiquant la suppression d’une valeur initiale et de toutes les ressources découvertes via cette valeur initiale.

Suppression basée sur la chaîne de découverte

Dans l’exemple suivant, imaginez que vous avez découvert un formulaire de connexion non sécurisé sur votre tableau de bord Résumé de la surface d’attaque. Votre enquête vous achemine vers un hôte qui ne semble pas appartenir à votre organization. Pour plus d’informations, consultez la page de détails de la ressource . En examinant la chaîne de découverte, vous apprenez que l’hôte a été mis en inventaire, car le domaine correspondant a été enregistré à l’aide de l’adresse e-mail d’entreprise d’un employé qui a également été utilisée pour inscrire des entités commerciales approuvées.

Capture d’écran montrant la page Détails de la ressource avec la section Chaîne de découverte mise en évidence.

Dans ce cas, la valeur initiale de découverte initiale (le domaine d’entreprise) est toujours légitime. Nous devons donc supprimer une ressource problématique de la chaîne de découverte. Bien que nous puissions effectuer la suppression de la chaîne de l’e-mail du contact, nous choisirons à la place de supprimer tout ce qui est associé au domaine personnel inscrit auprès de cet employé afin que Defender EASM nous avertit de tout autre domaine inscrit à cette adresse e-mail à l’avenir. Dans la chaîne de découverte, sélectionnez ce domaine personnel pour afficher la page des détails de la ressource. Dans cette vue, sélectionnez « Supprimer de la chaîne de découverte » pour supprimer la ressource de votre inventaire, ainsi que toutes les ressources mises en inventaire en raison d’une connexion observée au domaine personnel. Vous devez confirmer la suppression de la ressource et de toutes les ressources en aval. Une liste récapitulative des autres ressources supprimées avec cette action s’affiche. Sélectionnez « Supprimer la chaîne de découverte » pour confirmer la suppression en bloc.

Capture d’écran montrant la zone qui invite les utilisateurs à confirmer la suppression de la ressource actuelle et de toutes les ressources en aval, avec un résumé des autres ressources supprimées avec cette action.

Suppression du groupe de découverte

Vous devrez peut-être supprimer l’intégralité du groupe de découverte et toutes les ressources découvertes via le groupe. Par instance, votre entreprise a peut-être vendu une filiale qui n’a plus besoin d’être surveillée. Les utilisateurs peuvent supprimer des groupes de découverte à partir de la page de gestion de la découverte. Pour supprimer un groupe de découverte et toutes les ressources associées, sélectionnez l’icône de corbeille en regard du groupe approprié dans la liste. Vous recevrez un avertissement qui répertorie un résumé des ressources qui seront supprimées avec cette action. Pour confirmer la suppression du groupe de découverte ; et toutes les ressources associées, sélectionnez « Supprimer le groupe de découverte ».

Capture d’écran montrant la page gestion de la découverte, avec la zone d’avertissement qui s’affiche après le choix de supprimer un groupe mise en surbrillance.

Étapes suivantes

  • Last updated on