Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prerequisiti
Prima di completare questa esercitazione, vedere gli articoli Informazioni sull'individuazione e Uso e gestione dell'individuazione per comprendere i concetti chiave menzionati in questo articolo.
Accesso alla superficie di attacco automatizzata
Microsoft ha configurato preventivamente le superfici di attacco di molte organizzazioni, eseguendo il mapping della superficie di attacco iniziale individuando l'infrastruttura connessa agli asset noti. È consigliabile che tutti gli utenti cerchino la superficie di attacco dell'organizzazione prima di creare una superficie di attacco personalizzata ed eseguire altre individuazioni. Questo processo consente agli utenti di accedere rapidamente all'inventario mentre Defender EASM aggiorna i dati, aggiungendo altri asset e contesto recente alla superficie di attacco.
Quando si accede per la prima volta all'istanza di Defender EASM, selezionare Introduzione nella sezione Generale per cercare l'organizzazione nell'elenco delle superfici di attacco automatizzato.
Selezionare quindi l'organizzazione dall'elenco e fare clic su Compila la superficie di attacco.
A questo punto, l'individuazione viene eseguita in background. Se è stata selezionata una superficie di attacco preconfigurata dall'elenco delle organizzazioni disponibili, si viene reindirizzati alla schermata Panoramica dashboard in cui è possibile visualizzare informazioni dettagliate sull'infrastruttura dell'organizzazione in modalità anteprima. Esaminare queste informazioni dettagliate sul dashboard per acquisire familiarità con la superficie di attacco mentre si attende che altri asset vengano individuati e popolati nell'inventario. Per altre informazioni su come derivare informazioni dettagliate da questi dashboard, vedere l'articolo Informazioni sui dashboard .
Se si notano asset mancanti o si hanno altre entità da gestire che potrebbero non essere individuate tramite un'infrastruttura chiaramente collegata all'organizzazione, è possibile scegliere di eseguire individuazioni personalizzate per rilevare questi asset outlier.
Personalizzazione dell'individuazione
Le individuazioni personalizzate sono ideali per le organizzazioni che richiedono una visibilità più approfondita dell'infrastruttura che potrebbe non essere immediatamente collegata agli asset di inizializzazione primari. Inviando un elenco più ampio di asset noti da usare come sementi di individuazione, il motore di individuazione restituisce un pool più ampio di asset. L'individuazione personalizzata può anche aiutare le organizzazioni a trovare infrastrutture diverse che possono riguardare business unit indipendenti e società acquisite.
Gruppi di individuazione
Le individuazioni personalizzate sono organizzate in gruppi di individuazione. Si tratta di cluster di inizializzazione indipendenti che costituiscono una singola esecuzione di individuazione e operano in base alle proprie pianificazioni di ricorrenza. Gli utenti possono scegliere di organizzare i gruppi di individuazione per delineare gli asset nel modo migliore a vantaggio della propria azienda e dei flussi di lavoro. Le opzioni comuni includono l'organizzazione da parte di team/business unit responsabili, marchi o filiali.
Creazione di un gruppo di individuazione
Selezionare il pannello Individuazione nella sezione Gestisci nella colonna di spostamento a sinistra.
Questa pagina di individuazione mostra l'elenco di gruppi di individuazione per impostazione predefinita. Questo elenco sarà vuoto quando si accede per la prima volta alla piattaforma. Per eseguire la prima individuazione, fare clic su Aggiungi gruppo di individuazione.
Assegnare prima di tutto il nome al nuovo gruppo di individuazione e aggiungere una descrizione. Il campo Frequenza ricorrente consente di pianificare le esecuzioni di individuazione per questo gruppo, cercando i nuovi asset correlati ai semi designati in modo continuo. La selezione di ricorrenza predefinita è Settimanale; Microsoft consiglia questa cadenza per garantire che gli asset dell'organizzazione vengano monitorati e aggiornati regolarmente. Per una singola esecuzione di individuazione una tantum, selezionare Mai. Tuttavia, è consigliabile che gli utenti mantengano la cadenza predefinita settimanale e spengano invece il monitoraggio cronologico all'interno delle impostazioni del gruppo di individuazione se in seguito decidono di interrompere le esecuzioni di individuazione ricorrenti.
Selezionare Avanti: Semi >
Selezionare quindi i semi da usare per questo gruppo di individuazione. I semi sono asset noti che appartengono all'organizzazione; la piattaforma Defender EASM analizza queste entità, eseguendo il mapping delle connessioni ad altre infrastrutture online per creare la superficie di attacco.
L'opzione Avvio rapido consente di cercare l'organizzazione in un elenco di superfici di attacco prepopolate. È possibile creare rapidamente un gruppo di individuazione in base agli asset noti appartenenti all'organizzazione.
In alternativa, gli utenti possono inserire manualmente i propri semi. Defender EASM accetta domini, blocchi IP, host, contatti di posta elettronica, ASN e organizzazioni WhoIs come valori di inizializzazione. È anche possibile specificare entità da escludere dall'individuazione degli asset per assicurarsi che non vengano aggiunte all'inventario, se rilevate. Ad esempio, questo è utile per le organizzazioni che hanno filiali che probabilmente saranno connesse all'infrastruttura centrale, ma non appartengono all'organizzazione.
Dopo aver selezionato i semi, selezionare Rivedi e crea.
Esaminare le informazioni sul gruppo e l'elenco di inizializzazioni, quindi selezionare Crea & Esegui.
Si torna quindi alla pagina di individuazione principale che visualizza i gruppi di individuazione. Al termine dell'esecuzione dell'individuazione, è possibile visualizzare nuovi asset aggiunti all'inventario approvato.