Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Gestion de surface d’attaque externe Microsoft Defender (Defender EASM) utilise la technologie de découverte propriétaire de Microsoft pour définir en permanence la surface d’attaque internet unique de votre organization. La fonctionnalité de découverte Defender EASM analyse les ressources connues appartenant à votre organization pour découvrir des propriétés inconnues et non supervisées. Les ressources découvertes sont indexées dans l’inventaire de votre organization. Defender EASM vous offre un système d’enregistrement dynamique pour les applications web, les dépendances tierces et l’infrastructure web sous la gestion de votre organization en une seule vue.
Grâce au processus de découverte Defender EASM, votre organization peut surveiller de manière proactive sa surface d’attaque numérique en constante évolution. Vous pouvez identifier les risques émergents et les violations de stratégie au fur et à mesure qu’ils surviennent.
De nombreux programmes de vulnérabilité manquent de visibilité en dehors du pare-feu. Ils ignorent les risques et les menaces externes, qui sont la principale source de violations de données.
Dans le même temps, la croissance numérique continue de surpasser la capacité d’une équipe de sécurité d’entreprise à la protéger. Les initiatives numériques et le « shadow IT » trop commun conduisent à une surface d’attaque en expansion à l’extérieur du pare-feu. À ce rythme, il est presque impossible de valider les contrôles, les protections et les exigences de conformité.
Sans Defender EASM, il est presque impossible d’identifier et de supprimer les vulnérabilités et les scanneurs ne peuvent pas atteindre au-delà du pare-feu pour évaluer la surface d’attaque complète.
Mode de fonctionnement
Pour créer un mappage complet de la surface d’attaque de votre organization, Defender EASM premiers apports de ressources connues (graines). Les graines de découverte sont analysées de manière récursive pour découvrir davantage d’entités par le biais de leurs connexions aux graines.
Une valeur initiale peut être l’un des types suivants d’infrastructure web indexés par Microsoft :
- Domaines
- Blocs d’adresses IP
- Hôtes
- Email contacts
- Noms de système autonomes (ASN)
- Organisations Whois
À partir d’une valeur initiale, le système découvre les associations à d’autres éléments d’infrastructure en ligne pour découvrir d’autres ressources dont votre organization est propriétaire. Ce processus crée finalement l’inventaire complet de votre surface d’attaque. Le processus de découverte utilise des graines de découverte comme nœuds centraux. Ensuite, il se branche vers l’extérieur vers la périphérie de votre surface d’attaque. Il identifie tous les éléments d’infrastructure qui sont directement connectés à la valeur initiale, puis identifie tous les éléments associés à chaque élément dans le premier ensemble de connexions. Le processus se répète et s’étend jusqu’à ce qu’il atteigne la limite de la responsabilité de gestion de votre organization.
Par exemple, pour découvrir tous les éléments de l’infrastructure de Contoso, vous pouvez utiliser le domaine , contoso.comcomme valeur initiale de clé de base. À partir de cette valeur initiale, nous pouvons consulter les sources suivantes et dériver les relations suivantes :
| Source de données | Éléments avec des relations possibles avec Contoso |
|---|---|
| Enregistrements Whois | Autres noms de domaine enregistrés auprès du même e-mail de contact ou organization d’inscription qui a été utilisé pour l’inscriptioncontoso.com |
| Enregistrements Whois | Tous les noms de domaine inscrits à n’importe quelle @contoso.com adresse e-mail |
| Enregistrements Whois | Autres domaines associés au même serveur de noms que contoso.com |
| Enregistrements DNS | Tous les hôtes observés sur les domaines que Contoso possède et tous les sites web associés à ces hôtes |
| Enregistrements DNS | Domaines qui ont des hôtes différents, mais qui se résolvent en mêmes blocs IP |
| Enregistrements DNS | Serveurs de messagerie associés à des noms de domaine appartenant à Contoso |
| Certificats SSL | Tous les certificats SSL (Secure Sockets Layer) qui sont connectés à chacun des hôtes et tous les autres hôtes qui utilisent les mêmes certificats SSL |
| Enregistrements ASN | Autres blocs IP associés au même ASN que les blocs IP connectés aux hôtes sur les noms de domaine de Contoso, y compris tous les hôtes et domaines qui les résolvent |
En utilisant cet ensemble de connexions de premier niveau, nous pouvons rapidement dériver un ensemble entièrement nouveau de ressources à examiner. Avant que Defender EASM effectue davantage de récursivités, il détermine si une connexion est suffisamment forte pour qu’une entité découverte soit automatiquement ajoutée en tant qu’inventaire confirmé. Pour chacune de ces ressources, le système de découverte exécute des recherches automatisées et récursives basées sur tous les attributs disponibles pour rechercher des connexions de deuxième et de troisième niveau. Ce processus répétitif fournit plus d’informations sur l’infrastructure en ligne d’un organization et découvre donc des ressources disparates qui pourraient autrement ne pas être découvertes, puis surveillées.
Surfaces d’attaque automatisées et personnalisées
Lorsque vous utilisez Defender EASM pour la première fois, vous pouvez accéder à un inventaire prédéfini pour votre organization afin de démarrer rapidement vos workflows. Dans le volet Prise en main, un utilisateur peut rechercher ses organization pour remplir rapidement son inventaire en fonction des connexions de ressources déjà identifiées par Defender EASM. Nous recommandons à tous les utilisateurs de rechercher l’inventaire des surfaces d’attaque prédéfinis de leur organization avant de créer un inventaire personnalisé.
Pour créer un inventaire personnalisé, un utilisateur peut créer des groupes de découverte pour organiser et gérer les graines qu’il utilise lorsqu’il exécute des découvertes. L’utilisateur peut utiliser des groupes de découverte distincts pour automatiser le processus de découverte, configurer la liste de départs et configurer des planifications d’exécution récurrentes.
Inventaire confirmé et ressources candidates
Si le moteur de découverte détecte une connexion forte entre une ressource potentielle et la valeur initiale, le système étiquette automatiquement la ressource avec l’état Inventaire confirmé. À mesure que les connexions à cette valeur initiale sont analysées de manière itérative et que les connexions de troisième ou quatrième niveau sont découvertes, la confiance du système dans la propriété des ressources nouvellement détectées diminue. De même, le système peut détecter les ressources qui sont pertinentes pour votre organization mais qui ne vous appartiennent pas directement.
Pour ces raisons, les ressources nouvellement découvertes sont étiquetées avec l’un des états suivants :
| Nom de l’état | Description |
|---|---|
| Inventaire approuvé | Élément qui fait partie de votre surface d’attaque. C’est un élément dont vous êtes directement responsable. |
| Dépendance | Infrastructure détenue par un tiers, mais qui fait partie de votre surface d’attaque, car elle prend directement en charge le fonctionnement de vos ressources détenues. Par exemple, vous pouvez dépendre d’un fournisseur informatique pour héberger votre contenu web. Le domaine, le nom d’hôte et les pages font partie de votre inventaire approuvé. Vous pouvez donc traiter l’adresse IP qui exécute l’hôte comme une dépendance. |
| Surveiller uniquement | Une ressource qui est pertinente pour votre surface d’attaque, mais qui n’est pas directement contrôlée ou une dépendance technique. Par exemple, les franchisés indépendants ou les actifs appartenant à des sociétés associées peuvent être étiquetés Surveiller uniquement plutôt que Inventaire approuvé pour séparer les groupes à des fins de création de rapports. |
| Candidat | Ressource qui a une relation avec les ressources initiales connues de votre organization, mais qui n’a pas de connexion suffisamment forte pour l’étiqueter immédiatement Inventaire approuvé. Vous devez examiner manuellement ces ressources candidates pour déterminer la propriété. |
| Nécessite une investigation | État similaire à l’état Candidat , mais cette valeur est appliquée aux ressources qui nécessitent une investigation manuelle pour être validées. L’état est déterminé en fonction de nos scores de confiance générés en interne qui évaluent la puissance des connexions détectées entre les ressources. Il n’indique pas la relation exacte de l’infrastructure avec l’organization, mais il indique que la ressource doit être examinée plus en détail afin de déterminer comment elle doit être catégorisée. |
Lorsque vous passez en revue des ressources, nous vous recommandons de commencer par les ressources intitulées Nécessite une investigation. Les détails des ressources sont continuellement actualisés et mis à jour au fil du temps pour conserver une carte précise des états et des relations des ressources, et pour découvrir les ressources nouvellement créées au fur et à mesure qu’elles apparaissent. Le processus de découverte est géré en plaçant des graines dans des groupes de découverte que vous pouvez planifier pour s’exécuter de manière périodique. Une fois qu’un inventaire est rempli, le système Defender EASM analyse en continu vos ressources à l’aide de la technologie d’utilisateur virtuel Microsoft pour découvrir de nouvelles données détaillées sur chaque ressource. Le processus examine le contenu et le comportement de chaque page dans les sites applicables afin de fournir des informations fiables que vous pouvez utiliser pour identifier les vulnérabilités, les problèmes de conformité et d’autres risques potentiels pour votre organization.