Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Gestion de surface d’attaque externe Microsoft Defender (Defender EASM) s’appuie sur une technologie de découverte propriétaire pour définir en permanence la surface d’attaque unique de votre organization exposée à Internet. La découverte analyse Internet à la recherche de ressources appartenant à votre organization pour découvrir des propriétés inconnues et non surveillées.
Les ressources découvertes sont indexées dans votre inventaire pour fournir un système dynamique d’enregistrement des applications web, des dépendances tierces et de l’infrastructure web sous la gestion de votre organization via un seul volet.
Avant d’exécuter une découverte personnalisée, consultez Qu’est-ce que la découverte ? pour comprendre les concepts clés abordés ici.
Accéder à votre surface d’attaque automatisée
Microsoft a configuré de manière préventive les surfaces d’attaque de nombreuses organisations, en mappant leur surface d’attaque initiale en découvrant l’infrastructure connectée aux ressources connues.
Nous vous recommandons de rechercher la surface d’attaque de votre organization avant de créer une surface d’attaque personnalisée et d’exécuter d’autres découvertes. Ce processus vous permet d’accéder rapidement à votre inventaire à mesure que Defender EASM actualise les données et ajoute des ressources et un contexte récent à votre surface d’attaque.
Lorsque vous accédez pour la première fois à votre Defender EASM instance, sélectionnez Prise en main dans la section Général pour rechercher votre organization dans la liste des surfaces d’attaque automatisées. Choisissez ensuite votre organization dans la liste, puis sélectionnez Générer ma surface d’attaque.
À ce stade, la découverte s’exécute en arrière-plan. Si vous avez sélectionné une surface d’attaque préconfigurée dans la liste des organisations disponibles, vous êtes redirigé vers l’écran de vue d’ensemble du tableau de bord où vous pouvez afficher des insights sur l’infrastructure de votre organization en mode préversion.
Passez en revue ces insights de tableau de bord pour vous familiariser avec votre surface d’attaque en attendant que d’autres ressources soient découvertes et renseignées dans votre inventaire. Pour plus d’informations sur la façon de dériver des insights à partir de ces tableaux de bord, consultez Comprendre les tableaux de bord.
Vous pouvez exécuter des découvertes personnalisées pour détecter les ressources hors norme. Par exemple, vous pouvez avoir des ressources manquantes. Ou peut-être avez-vous d’autres entités à gérer qui peuvent ne pas être découvertes par le biais d’une infrastructure clairement liée à votre organization.
Personnaliser la découverte
Les découvertes personnalisées sont idéales si votre organization nécessite une visibilité plus approfondie de l’infrastructure qui n’est peut-être pas immédiatement liée à vos ressources initiales principales. En soumettant une liste plus large de ressources connues pour fonctionner en tant que graines de découverte, le moteur de découverte retourne un pool plus large de ressources. La découverte personnalisée peut également aider votre organization à trouver une infrastructure disparate pouvant être liée à des unités commerciales indépendantes et des sociétés acquises.
Groupes de découverte
Les découvertes personnalisées sont organisées en groupes de découverte. Il s’agit de clusters de départ indépendants qui comprennent une seule exécution de découverte et fonctionnent selon leurs propres planifications de périodicité. Vous organisez vos groupes de découverte pour délimiter les ressources de la manière la plus avantageuse pour votre entreprise et vos flux de travail. Les options courantes incluent l’organisation par l’équipe ou l’unité commerciale responsable, les marques ou les filiales.
Créer un groupe de découverte
Dans le volet le plus à gauche, sous Gérer, sélectionnez Découverte.
La page Découverte affiche votre liste de groupes de découverte par défaut. Cette liste est vide lorsque vous accédez à la plateforme pour la première fois. Pour exécuter votre première découverte, sélectionnez Ajouter un groupe de découverte.
Nommez votre nouveau groupe de découverte et ajoutez une description. Le champ Fréquence périodique vous permet de planifier des exécutions de découverte pour ce groupe en recherchant continuellement de nouvelles ressources liées aux semences désignées. La sélection de périodicité par défaut est Hebdomadaire. Nous vous recommandons cette cadence pour vous assurer que les ressources de votre organization sont régulièrement surveillées et mises à jour.
Pour une seule et unique exécution de découverte, sélectionnez Jamais. Nous vous recommandons de conserver la cadence hebdomadaire par défaut, car la découverte est conçue pour découvrir en permanence de nouvelles ressources liées à votre infrastructure connue. Vous pouvez modifier la fréquence de périodicité ultérieurement en sélectionnant l’option « Modifier » dans n’importe quelle page de détails du groupe de découverte.
Sélectionnez Suivant : Graines.
Sélectionnez les graines que vous souhaitez utiliser pour ce groupe de découverte. Les graines sont des ressources connues qui appartiennent à votre organization. La plateforme Defender EASM analyse ces entités et mappe leurs connexions à une autre infrastructure en ligne pour créer votre surface d’attaque. Étant donné que Defender EASM est destiné à surveiller votre surface d’attaque d’un point de vue externe, les adresses IP privées ne peuvent pas être incluses comme graines de découverte.
L’option Démarrage rapide vous permet de rechercher votre organization dans une liste de surfaces d’attaque préremplies. Vous pouvez rapidement créer un groupe de découverte basé sur les ressources connues qui appartiennent à votre organization.
Vous pouvez également entrer manuellement vos graines. Defender EASM accepte les noms organization, les domaines, les blocs IP, les hôtes, les contacts de messagerie, les ASN et les organisations Whois comme valeurs initiales.
Vous pouvez également spécifier des entités à exclure de la découverte de ressources pour vous assurer qu’elles ne sont pas ajoutées à votre inventaire si elles sont détectées. Par exemple, les exclusions sont utiles pour les organisations qui ont des filiales qui seront probablement connectées à leur infrastructure centrale, mais qui n’appartiennent pas à leur organization.
Une fois vos graines sélectionnées, sélectionnez Vérifier + créer.
Passez en revue les informations de votre groupe et la liste de départs, puis sélectionnez Créer & Exécuter.
Vous êtes redirigé vers la page de découverte principale qui affiche vos groupes de découverte. Une fois votre exécution de découverte terminée, de nouvelles ressources s’affichent ajoutées à votre inventaire approuvé.
Afficher et modifier des groupes de découverte
Vous pouvez gérer vos groupes de découverte à partir de la page découverte principale. L’affichage par défaut affiche une liste de tous vos groupes de découverte et des données clés sur chacun d’eux. Dans l’affichage liste, vous pouvez voir le nombre de graines, la planification de périodicité, la date de dernière exécution et la date de création pour chaque groupe.
Sélectionnez un groupe de découverte pour afficher plus d’informations, modifier le groupe ou lancer un nouveau processus de découverte.
Historique des exécutions
La page détails du groupe de découverte contient l’historique des exécutions du groupe. Cette section affiche des informations clés sur chaque exécution de découverte effectuée sur le groupe spécifique de graines. La colonne État indique si l’exécution est en cours, terminée ou a échoué. Cette section inclut également les horodatages démarrés et terminés , ainsi qu’un décompte de toutes les nouvelles ressources ajoutées à votre inventaire après cette exécution de découverte particulière. Ce nombre inclut toutes les ressources mises en inventaire, quel que soit l’état ou les status facturables.
L’historique des exécutions est organisé par les ressources initiales qui ont été analysées pendant l’exécution de la découverte. Pour afficher la liste des graines applicables, sélectionnez Détails. Un volet s’ouvre à droite de votre écran qui répertorie tous les éléments de base et les exclusions par type et par nom.
Afficher les graines et les exclusions
La page Découverte utilise par défaut un affichage liste des groupes de découverte, mais vous pouvez également afficher les listes de tous les éléments de base et entités exclues de cette page. Sélectionnez l’un ou l’autre onglet pour afficher la liste de tous les éléments de base ou exclusions qui alimentent vos groupes de découverte.
Graines
L’affichage liste de départs affiche les valeurs initiales avec trois colonnes : Type, Nom de la source et Groupes de découverte. Le champ Type affiche la catégorie de la ressource initiale. Les graines les plus courantes sont les domaines, les hôtes et les blocs IP. Vous pouvez également utiliser des contacts de messagerie, des ASN, des noms communs de certificat ou des organisations Whois.
Le nom de la source est la valeur qui a été entrée dans la zone de type appropriée lorsque vous avez créé le groupe de découverte. La dernière colonne affiche une liste des groupes de découverte qui utilisent la valeur initiale. Chaque valeur est cliquable et vous permet d’accéder à la page de détails de ce groupe de découverte.
Lorsque vous entrez des graines, n’oubliez pas de valider le format approprié pour chaque entrée. Lorsque vous enregistrez le groupe de découverte, la plateforme exécute une série de vérifications de validation et vous avertit des graines mal configurées. Par exemple, les blocs IP doivent être entrés par adresse réseau (par exemple, le début de la plage d’adresses IP).
Exclusions
De même, vous pouvez sélectionner l’onglet Exclusions pour afficher la liste des entités qui ont été exclues du groupe de découverte. Ces ressources ne seront pas utilisées comme graines de découverte ni ajoutées à votre inventaire. Les exclusions affectent uniquement les futures exécutions de découverte pour un groupe de découverte individuel.
Le champ Type affiche la catégorie de l’entité exclue. Le nom de la source est la valeur qui a été entrée dans la zone de type appropriée lorsque vous avez créé le groupe de découverte. La dernière colonne affiche une liste des groupes de découverte dans lesquels cette exclusion est présente. Chaque valeur est cliquable et vous permet d’accéder à la page de détails de ce groupe de découverte.