Panoramica della modifica degli asset

Questo articolo illustra come modificare gli asset di inventario. È possibile modificare lo stato di un asset, assegnare un ID esterno o applicare etichette per fornire contesto e usare i dati di inventario. È anche possibile contrassegnare cve e altre osservazioni come non applicabili per rimuoverli dai conteggi segnalati. È anche possibile rimuovere gli asset dall'inventario in blocco in base al metodo con cui vengono individuati. Ad esempio, gli utenti possono rimuovere un valore di inizializzazione da un gruppo di individuazione e scegliere di rimuovere tutti gli asset individuati tramite una connessione a questo valore di inizializzazione. Questo articolo descrive tutte le opzioni di modifica disponibili in Defender EASM e illustra come aggiornare gli asset e tenere traccia di eventuali aggiornamenti con Gestione attività.

Etichettare gli asset

Le etichette consentono di organizzare la superficie di attacco e di applicare il contesto aziendale in modo personalizzabile. È possibile applicare qualsiasi etichetta di testo a un subset di asset per raggruppare gli asset e usare meglio l'inventario. I clienti classificano in genere gli asset che:

  • Sono di recente sotto la proprietà dell'organizzazione tramite una fusione o un'acquisizione.
  • Richiedere il monitoraggio della conformità.
  • Sono di proprietà di una business unit specifica nell'organizzazione.
  • Sono interessati da una vulnerabilità specifica che richiede la mitigazione.
  • Si riferiscono a un particolare marchio di proprietà dell'organizzazione.
  • Sono stati aggiunti all'inventario entro un intervallo di tempo specifico.

Le etichette sono campi di testo in formato libero, quindi è possibile creare un'etichetta per qualsiasi caso d'uso applicabile all'organizzazione.

Screenshot che mostra una visualizzazione elenco inventario con una colonna Etichette filtrata.

Modificare lo stato di un asset

Gli utenti possono anche modificare lo stato di un asset. Gli stati consentono di classificare l'inventario in base al loro ruolo nell'organizzazione. Gli utenti possono passare dagli stati seguenti:

  • Inventario approvato: parte della superficie di attacco di proprietà; un elemento di cui si è direttamente responsabili.
  • Dipendenza: infrastruttura di proprietà di terze parti, ma fa parte della superficie di attacco perché supporta direttamente il funzionamento degli asset di proprietà. Ad esempio, è possibile che si dipenda da un provider IT per ospitare il contenuto Web. Mentre il dominio, il nome host e le pagine farebbero parte dell'"inventario approvato", è possibile considerare l'indirizzo IP che esegue l'host come una "dipendenza".
  • Solo monitoraggio: asset rilevante per la superficie di attacco, ma non direttamente controllato dall'organizzazione, né da una dipendenza tecnica. Ad esempio, gli affiliati indipendenti o gli asset appartenenti a società correlate potrebbero essere etichettati come "Solo monitoraggio" anziché "Inventario approvato" per separare i gruppi a scopo di creazione di report.
  • Candidato: asset che ha una relazione con gli asset di inizializzazione noti dell'organizzazione, ma che non ha una connessione sufficientemente forte da etichettarlo immediatamente come "Inventario approvato". Questi asset candidati devono essere esaminati manualmente per determinare la proprietà.
  • Richiede indagine: stato simile agli stati "Candidati", ma questo valore viene applicato agli asset che richiedono un'analisi manuale per la convalida. Ciò viene determinato in base ai punteggi di attendibilità generati internamente che valutano la forza delle connessioni rilevate tra gli asset. Non indica la relazione esatta dell'infrastruttura con l'organizzazione tanto quanto indica che questo asset è stato contrassegnato come una richiesta di revisione aggiuntiva per determinare come deve essere categorizzata.

Applicare un ID esterno

Gli utenti possono anche applicare un ID esterno a un asset. Questa azione è utile in situazioni in cui si utilizzano più soluzioni per il rilevamento degli asset, le attività di correzione o il monitoraggio della proprietà; la visualizzazione di ID esterni all'interno di Defender EASM consente di allineare queste diverse informazioni sugli asset. ID esterno valori possono essere numerici o alfanumerici e devono essere immessi in formato testo. Gli ID esterni vengono visualizzati anche nella sezione Dettagli asset.

Contrassegnare l'osservazione come non applicabile

Molti dashboard Defender EASM dispongono di dati CVE, portando l'attenzione alle potenziali vulnerabilità basate sull'infrastruttura dei componenti Web che alimenta la superficie di attacco. Ad esempio, i cve sono elencati nel dashboard di riepilogo di Attack Surface, categorizzati in base alla loro gravità potenziale. Dopo aver esaminato questi CVE, è possibile determinare che alcuni non sono rilevanti per l'organizzazione. Ciò può essere dovuto al fatto che si sta eseguendo una versione non impatta del componente Web o che l'organizzazione dispone di diverse soluzioni tecniche per proteggersi da tale vulnerabilità specifica.

Dalla visualizzazione drill-down di qualsiasi grafico correlato a CVE, accanto al pulsante "Scarica report CSV", è ora possibile impostare un'osservazione come non applicabile. Facendo clic su questo valore viene indirizzato a un elenco di inventario di tutti gli asset associati a tale osservazione e quindi è possibile scegliere di contrassegnare tutte le osservazioni come non applicabili da questa pagina. La modifica effettiva viene eseguita dalla visualizzazione elenco Inventario o dalla pagina Dettagli asset per un asset specifico.

Screenshot della visualizzazione drill-down del dashboard con il pulsante

Come modificare gli asset

È possibile modificare gli asset sia dall'elenco inventario che dalle pagine dei dettagli degli asset. È possibile apportare modifiche a un singolo asset dalla pagina dei dettagli dell'asset. È possibile apportare modifiche a un singolo asset o a più asset dalla pagina dell'elenco inventario. Le sezioni seguenti descrivono come applicare le modifiche delle due visualizzazioni di inventario a seconda del caso d'uso.

Pagina elenco inventario

È consigliabile modificare gli asset dalla pagina elenco inventario se si desidera aggiornare numerosi asset contemporaneamente. È possibile perfezionare l'elenco di asset in base ai parametri di filtro. Questo processo consente di identificare gli asset che devono essere categorizzati con l'etichetta, l'ID esterno o la modifica dello stato desiderata. Per modificare gli asset da questa pagina:

  1. Nel riquadro più a sinistra della risorsa Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) selezionare Inventario.

  2. Applicare filtri per produrre i risultati desiderati. In questo esempio vengono cercati i domini che scadono entro 30 giorni che richiedono il rinnovo. L'etichetta applicata consente di accedere più rapidamente a tutti i domini in scadenza per semplificare il processo di correzione. È possibile applicare tutti i filtri necessari per ottenere i risultati specifici necessari. Per altre informazioni sui filtri, vedere Panoramica dei filtri di inventario. Per le istanze in cui si vuole contrassegnare I CVE come non applicabili, il drill-down del grafico del dashboard pertinente fornisce un collegamento che indirizza direttamente l'utente a questa pagina Inventario con i filtri corretti applicati.

    Screenshot che mostra la visualizzazione elenco inventario con l'elenco a discesa Aggiungi filtro aperto per visualizzare l'editor di query.

  3. Dopo aver filtrato l'elenco inventario, selezionare l'elenco a discesa in base alla casella di controllo accanto all'intestazione della tabella Asset . Questo elenco a discesa consente di selezionare tutti i risultati che corrispondono alla query o ai risultati in tale pagina specifica (fino a 25). L'opzione Nessuno cancella tutti gli asset. È anche possibile scegliere di selezionare solo risultati specifici nella pagina selezionando i singoli segni di spunta accanto a ogni asset.

    Screenshot che mostra la visualizzazione elenco inventario con l'elenco a discesa di selezione bulk aperto.

  4. Selezionare Modifica asset.

    Screenshot che mostra le opzioni di modifica disponibili.

  5. Nel riquadro Modifica asset visualizzato sul lato destro dello schermo è possibile modificare rapidamente i vari campi per gli asset selezionati. Per questo esempio si crea una nuova etichetta. Selezionare Crea una nuova etichetta.

  6. Determinare il nome dell'etichetta e i valori del testo visualizzato. Il nome dell'etichetta non può essere modificato dopo aver creato inizialmente l'etichetta, ma il testo visualizzato può essere modificato in un secondo momento. Il nome dell'etichetta viene usato per eseguire query sull'etichetta nell'interfaccia del prodotto o tramite API, quindi le modifiche vengono disabilitate per garantire il corretto funzionamento di queste query. Per modificare un nome di etichetta, è necessario eliminare l'etichetta originale e crearne una nuova.

    Selezionare un colore per la nuova etichetta e selezionare Aggiungi. Questa azione consente di tornare alla schermata Modifica asset .

    Screenshot che mostra il riquadro Aggiungi etichetta che visualizza i campi di configurazione.

  7. Applicare la nuova etichetta agli asset. Fare clic all'interno della casella di testo Aggiungi etichette per visualizzare un elenco completo delle etichette disponibili. In alternativa, è possibile digitare all'interno della casella per eseguire la ricerca per parola chiave. Dopo aver selezionato le etichette da applicare, selezionare Aggiorna.

    Screenshot che mostra il riquadro Modifica asset con l'etichetta appena creata applicata.

  8. Attendere alcuni istanti per l'applicazione delle etichette. Al termine del processo, viene visualizzata una notifica "Completato". La pagina viene aggiornata automaticamente e visualizza l'elenco di asset con le etichette visibili. Un banner nella parte superiore dello schermo conferma che le etichette sono state applicate.

    Screenshot che mostra la visualizzazione elenco inventario con gli asset selezionati che ora visualizzano la nuova etichetta.

Pagina dei dettagli dell'asset

È anche possibile modificare un singolo asset dalla pagina dei dettagli dell'asset. Questa opzione è ideale per le situazioni in cui è necessario esaminare accuratamente gli asset prima di applicare un'etichetta o una modifica dello stato.

  1. Nel riquadro più a sinistra della risorsa Defender EASM selezionare Inventario.

  2. Selezionare l'asset specifico da modificare per aprire la pagina dei dettagli dell'asset.

  3. In questa pagina selezionare Modifica asset.

    Screenshot che mostra la pagina dei dettagli dell'asset con il pulsante Modifica asset evidenziato.

  4. Seguire i passaggi da 5 a 7 nella sezione "Pagina elenco inventario".

  5. La pagina dei dettagli dell'asset viene aggiornata e viene visualizzata l'etichetta o la modifica dello stato appena applicata. Un banner indica che l'asset è stato aggiornato correttamente.

Modificare, rimuovere o eliminare etichette

Gli utenti possono rimuovere un'etichetta da un asset accedendo allo stesso riquadro Modifica asset dall'elenco inventario o dalla visualizzazione dei dettagli degli asset. Dalla visualizzazione elenco inventario è possibile selezionare più asset contemporaneamente e quindi aggiungere o rimuovere l'etichetta desiderata in un'unica azione.

Per modificare l'etichetta stessa o eliminare un'etichetta dal sistema:

  1. Nel riquadro più a sinistra della risorsa Defender EASM selezionare Etichette (anteprima).

    Screenshot che mostra la pagina Etichette (anteprima) che consente la gestione delle etichette.

    In questa pagina vengono visualizzate tutte le etichette all'interno dell'inventario Defender EASM. Le etichette in questa pagina potrebbero esistere nel sistema, ma non essere applicate attivamente ad alcun asset. È anche possibile aggiungere nuove etichette da questa pagina.

  2. Per modificare un'etichetta, selezionare l'icona a matita nella colonna Azioni dell'etichetta da modificare. Sul lato destro dello schermo viene aperto un riquadro in cui è possibile modificare il nome o il colore di un'etichetta. Selezionare Aggiorna.

  3. Per rimuovere un'etichetta, selezionare l'icona del cestino dalla colonna Azioni dell'etichetta da eliminare. Selezionare Rimuovi etichetta.

    Screenshot che mostra l'opzione Conferma rimozione nella pagina di gestione Etichette.

La pagina Etichette viene aggiornata automaticamente. L'etichetta viene rimossa dall'elenco e rimossa anche da tutti gli asset a cui è stata applicata l'etichetta. Un banner conferma la rimozione.

Contrassegnare le osservazioni come non applicabili

Anche se le osservazioni possono essere contrassegnate come non applicabili dalle stesse schermate "Modifica asset" per altre modifiche manuali, è anche possibile apportare questi aggiornamenti dalla scheda Osservazioni in Dettagli asset. La scheda Osservazioni include due tabelle: Osservazioni e Osservazioni non applicabili. Tutte le osservazioni attive determinate come "recenti" all'interno della superficie di attacco si trovano nella tabella Osservazioni, mentre nella tabella Osservazioni non applicabili sono elencate tutte le osservazioni contrassegnate manualmente come non applicabili o che sono state determinate dal sistema per non essere più applicabili. Per contrassegnare le osservazioni come non applicabili e quindi escludere tale osservazione specifica dai conteggi del dashboard, è sufficiente selezionare le osservazioni desiderate e fare clic su "Imposta come non applicabile". Queste osservazioni scompaiono immediatamente dalla tabella Osservazioni attiva e vengono invece visualizzate nella tabella "Osservazioni non applicabili". È possibile ripristinare questa modifica in qualsiasi momento selezionando le osservazioni pertinenti di questa tabella e selezionando "Imposta come applicabile".

Screenshot che mostra la scheda Osservazioni con più CVE selezionati per essere contrassegnati come non applicabili.

Gestione attività e notifiche

Dopo l'invio di un'attività, una notifica conferma che l'aggiornamento è in corso. Da qualsiasi pagina in Azure selezionare l'icona di notifica (campana) per visualizzare altre informazioni sulle attività recenti.

Screenshot che mostra la notifica inviata dall'attività. Screenshot che mostra il riquadro Notifiche che visualizza lo stato dell'attività recente.

Il sistema Defender EASM può richiedere secondi per aggiornare una manciata di asset o minuti per aggiornarne migliaia. È possibile usare Gestione attività per controllare lo stato di tutte le attività di modifica in corso. Questa sezione descrive come accedere a Gestione attività e usarlo per comprendere meglio il completamento degli aggiornamenti inviati.

  1. Nel riquadro più a sinistra della risorsa Defender EASM selezionare Gestione attività.

    Screenshot che mostra la pagina Gestione attività con la sezione appropriata nel riquadro di spostamento evidenziata.

  2. In questa pagina vengono visualizzate tutte le attività recenti e il relativo stato. Le attività sono elencate come Completate, Non riuscite o In corso. Vengono visualizzati anche una percentuale di completamento e un indicatore di stato. Per visualizzare altri dettagli su un'attività specifica, selezionare il nome dell'attività. Sul lato destro dello schermo viene aperto un riquadro che fornisce altre informazioni.

  3. Selezionare Aggiorna per visualizzare lo stato più recente di tutti gli elementi in Gestione attività.

Filtrare per le etichette

Dopo aver etichettato gli asset nell'inventario, è possibile usare i filtri di inventario per recuperare un elenco di tutti gli asset con un'etichetta specifica applicata.

  1. Nel riquadro più a sinistra della risorsa Defender EASM selezionare Inventario.

  2. Selezionare Aggiungi filtro.

  3. Selezionare Etichette dall'elenco a discesa Filtro . Selezionare un operatore e scegliere un'etichetta nell'elenco a discesa delle opzioni. Nell'esempio seguente viene illustrato come cercare una singola etichetta. È possibile usare l'operatore In per cercare più etichette. Per altre informazioni sui filtri, vedere panoramica dei filtri di inventario.

    Screenshot che mostra l'editor di query usato per applicare i filtri, visualizzando il filtro Etichette con i possibili valori di etichetta in un elenco a discesa.

  4. Selezionare Applica. La pagina elenco inventario ricarica e visualizza tutti gli asset che corrispondono ai criteri.

Gestione basata su catena di asset

In alcuni casi, è possibile rimuovere più asset contemporaneamente in base ai mezzi con cui sono stati individuati. Ad esempio, è possibile determinare che un particolare valore di inizializzazione all'interno di un gruppo di individuazione ha eseguito il pull di asset non rilevanti per l'organizzazione oppure potrebbe essere necessario rimuovere gli asset correlati a una filiale che non è più sotto la propria competenza. Per questo motivo, Defender EASM offre la possibilità di rimuovere l'entità di origine e tutti gli asset "downstream" nella catena di individuazione. È possibile eliminare gli asset collegati con i tre metodi seguenti:

  • Gestione basata su seeding: gli utenti possono eliminare un valore di inizializzazione che una volta era incluso in un gruppo di individuazione, rimuovendo tutti gli asset introdotti nell'inventario tramite una connessione osservata al valore di inizializzazione specificato. Questo metodo è utile quando è possibile determinare che un valore di inizializzazione specifico immesso manualmente ha comportato l'aggiunta di asset indesiderati all'inventario.
  • Gestione della catena di individuazione: gli utenti possono identificare un asset all'interno di una catena di individuazione ed eliminarlo, rimuovendo contemporaneamente gli asset individuati da tale entità. L'individuazione è un processo ricorsivo; analizza i semi per identificare i nuovi asset direttamente associati a questi semi designati, quindi continua a analizzare le entità appena individuate per svelare più connessioni. Questo approccio di eliminazione è utile quando il gruppo di individuazione è configurato correttamente, ma è necessario rimuovere un asset appena individuato e tutti gli asset inseriti nell'inventario per associazione a tale entità. Considerare le impostazioni del gruppo di individuazione e i semi designati come "top" della catena di individuazione; questo approccio di eliminazione consente di rimuovere gli asset dal centro.
  • Gestione dei gruppi di individuazione: gli utenti possono rimuovere interi gruppi di individuazione e tutti gli asset introdotti per l'inventario tramite questo gruppo di individuazione. Ciò è utile quando un intero gruppo di individuazione non è più applicabile all'organizzazione. Ad esempio, è possibile avere un gruppo di individuazione che cerca in modo specifico gli asset correlati a una filiale. Se questa filiale non è più rilevante per l'organizzazione, è possibile sfruttare la gestione basata sulla catena di asset per eliminare tutti gli asset inseriti nell'inventario tramite tale gruppo di individuazione.

È comunque possibile visualizzare gli asset rimossi in Defender EASM. È sufficiente filtrare l'elenco di inventario per gli asset nello stato "Archiviato".

Eliminazione basata su seeding

È possibile decidere che uno dei semi di individuazione inizialmente designati non debba più essere incluso in un gruppo di individuazione. Il valore di inizializzazione potrebbe non essere più rilevante per l'organizzazione o potrebbe generare più falsi positivi rispetto agli asset di proprietà legittimi. In questo caso, è possibile rimuovere il valore di inizializzazione dal gruppo di individuazione per evitare che venga usato nelle esecuzioni di individuazione future, rimuovendo allo stesso tempo tutti gli asset che sono stati portati in inventario tramite il valore di inizializzazione designato in passato.

Per eseguire una rimozione bulk basata su un valore di inizializzazione, instradare alla pagina dei dettagli del gruppo di individuazione appropriata e fare clic su "Modifica gruppo di individuazione". Seguire le istruzioni per raggiungere la pagina Seeds e rimuovere il valore di inizializzazione problematico dall'elenco. Quando si seleziona "Rivedi e aggiorna", verrà visualizzato un avviso che indica che verranno rimossi anche tutti gli asset individuati tramite il valore di inizializzazione designato. Selezionare "Aggiorna" o "Aggiorna esecuzione &" per completare l'eliminazione.

Screenshot che mostra la pagina Modifica gruppo di individuazione con un avviso che indica la rimozione di un valore di inizializzazione ed eventuali asset individuati tramite tale valore di inizializzazione.

Eliminazione basata su catena di individuazione

Nell'esempio seguente si supponga di aver individuato un modulo di accesso non sicuro nel dashboard di Riepilogo superficie di attacco. L'indagine indirizza l'utente a un host che non sembra essere di proprietà dell'organizzazione. Per altre informazioni, vedere la pagina dei dettagli dell'asset. Dopo aver esaminato la catena di individuazione, si apprende che l'host è stato inserito nell'inventario perché il dominio corrispondente è stato registrato usando l'indirizzo di posta elettronica aziendale di un dipendente usato anche per registrare le entità aziendali approvate.

Screenshot che mostra la pagina Dettagli asset con la sezione Catena di individuazione evidenziata.

In questo caso, il valore di inizializzazione di individuazione iniziale (dominio aziendale) è ancora legittimo, quindi è necessario rimuovere invece un asset problematico dalla catena di individuazione. Anche se è possibile eseguire l'eliminazione della catena dal messaggio di posta elettronica del contatto, si sceglierà invece di rimuovere tutti gli elementi associati al dominio personale registrato per questo dipendente in modo che Defender EASM in futuro ci avviserà di eventuali altri domini registrati a tale indirizzo di posta elettronica. Nella catena di individuazione selezionare questo dominio personale per visualizzare la pagina dei dettagli dell'asset. Da questa visualizzazione selezionare "Rimuovi dalla catena di individuazione" per rimuovere l'asset dall'inventario, nonché tutti gli asset inseriti nell'inventario a causa di una connessione osservata al dominio personale. È necessario confermare la rimozione dell'asset e di tutti gli asset downstream e quindi viene visualizzato un elenco riepilogato degli altri asset rimossi con questa azione. Selezionare "Rimuovi catena di individuazione" per confermare la rimozione bulk.

Screenshot che mostra la casella che richiede agli utenti di confermare la rimozione dell'asset corrente e di tutti gli asset downstream, con un riepilogo degli altri asset rimossi con questa azione.

Eliminazione del gruppo di individuazione

Potrebbe essere necessario eliminare e l'intero gruppo di individuazione e tutti gli asset individuati tramite il gruppo. Ad esempio, la società potrebbe aver venduto una filiale che non deve più essere monitorata. Gli utenti possono eliminare i gruppi di individuazione dalla pagina di gestione dell'individuazione. Per rimuovere un gruppo di individuazione e tutti gli asset correlati, selezionare l'icona del cestino accanto al gruppo appropriato nell'elenco. Verrà visualizzato un avviso che elenca un riepilogo degli asset che verranno rimossi con questa azione. Per confermare l'eliminazione del gruppo di individuazione; e tutti gli asset correlati, selezionare "Rimuovi gruppo di individuazione".

Screenshot che mostra la pagina Gestione individuazione, con la casella di avviso visualizzata dopo aver scelto di eliminare un gruppo evidenziata.

Passaggi successivi

  • Last updated on