Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) analizza spesso tutti gli asset di inventario e raccoglie metadati contestuali affidabili che alimentano Attack Surface Insights. Questi dati possono anche essere visualizzati in modo più granulare nella pagina dei dettagli dell'asset. I dati forniti cambiano a seconda del tipo di asset. Ad esempio, la piattaforma fornisce dati Whois univoci per domini, host e indirizzi IP. Fornisce i dati dell'algoritmo di firma per i certificati SSL (Secure Sockets Layer).
Questo articolo descrive come visualizzare e interpretare i dati estesi raccolti da Microsoft per ogni asset di inventario. Definisce questi metadati per ogni tipo di asset e spiega in che modo le informazioni dettagliate derivate possono aiutare a gestire il comportamento di sicurezza dell'infrastruttura online.
Per altre informazioni, vedere Informazioni sugli asset di inventario per acquisire familiarità con i concetti chiave indicati in questo articolo.
Visualizzazione riepilogo dettagli asset
È possibile visualizzare la pagina dei dettagli dell'asset per qualsiasi asset selezionandone il nome dall'elenco di inventario. Nel riquadro sinistro di questa pagina è possibile visualizzare un riepilogo degli asset che fornisce informazioni chiave su tale asset specifico. Questa sezione include principalmente dati che si applicano a tutti i tipi di asset, anche se in alcuni casi sono disponibili più campi. Per altre informazioni sui metadati forniti per ogni tipo di asset nella sezione di riepilogo, vedere il grafico seguente.
Informazioni generali
Questa sezione include informazioni di alto livello che sono fondamentali per comprendere gli asset a colpo d'occhio. La maggior parte di questi campi si applica a tutti gli asset. Questa sezione può includere anche informazioni specifiche di uno o più tipi di asset.
| Nome | Definizione | Tipi di asset |
|---|---|---|
| Nome asset | Nome di un asset. | Tutti |
| UUID | Questa etichetta a 128 bit rappresenta l'identificatore univoco universale (UUID) per l'asset. | Tutti |
| Aggiunta all'inventario | Data in cui un asset è stato aggiunto all'inventario, indipendentemente dal fatto che sia stato aggiunto automaticamente allo stato Inventario approvato o che si trovino in un altro stato, ad esempio Candidato. | Tutti |
| Ultimo aggiornamento | Data dell'ultimo aggiornamento dell'asset da parte di un utente manuale, ad esempio tramite una modifica dello stato o la rimozione dell'asset. | Tutti |
| ID esterno | Valore ID esterno aggiunto manualmente. | Tutti |
| Stato | Stato dell'asset all'interno del sistema RiskIQ. Le opzioni includono Inventario approvato, Candidato, Dipendenze o Richiede indagine. | Tutti |
| Prima vista (Global Security Graph) | Data in cui Microsoft ha analizzato per la prima volta l'asset e l'ha aggiunto al Global Security Graph completo. | Tutti |
| Ultima visualizzazione (Global Security Graph) | Data in cui Microsoft ha analizzato l'asset più di recente. | Tutti |
| Individuato il | Indica la data di creazione del gruppo di individuazione che ha rilevato l'asset. | Tutti |
| Paese | Paese/area geografica di origine rilevato per questo asset. | Tutti |
| Stato/Provincia | Stato o provincia di origine rilevato per questo asset. | Tutti |
| Città | Città di origine rilevata per questo asset. | Tutti |
| Nome whois | Nome associato a un record Whois. | Host |
| Indirizzo di posta elettronica Whois | Indirizzo di posta elettronica del contatto principale in un record Whois. | Host |
| Organizzazione Whois | L'organizzazione elencata in un record Whois. | Host |
| Registrar whois | Registrar elencato in un record Whois. | Host |
| Server dei nomi Whois | Server dei nomi elencati in un record Whois. | Host |
| Certificato emesso | Data di rilascio di un certificato. | Certificato SSL |
| Il certificato scade | Data di scadenza di un certificato. | Certificato SSL |
| Numero di serie | Numero di serie associato a un certificato SSL. | Certificato SSL |
| Versione SSL | Versione di SSL in cui è stato registrato il certificato. | Certificato SSL |
| Algoritmo della chiave del certificato | Algoritmo di chiave usato per crittografare il certificato SSL. | Certificato SSL |
| Dimensioni della chiave del certificato | Numero di bit in una chiave di certificato SSL. | Certificato SSL |
| OID dell'algoritmo di firma | OID che identifica l'algoritmo hash usato per firmare la richiesta di certificato. | Certificato SSL |
| Autofirmato | Indica se il certificato SSL è autofirmata. | Certificato SSL |
Rete
Le informazioni seguenti sull'indirizzo IP forniscono un contesto più appropriato per l'uso dell'INDIRIZZO IP.
| Nome | Definizione | Tipi di asset |
|---|---|---|
| Record del server dei nomi | Eventuali server dei nomi rilevati nell'asset. | Indirizzo IP |
| Record del server di posta | Eventuali server di posta elettronica rilevati nell'asset. | Indirizzo IP |
| Blocchi IP | Blocco IP che contiene l'asset dell'indirizzo IP. | Indirizzo IP |
| ASN | ASN associato a un asset. | Indirizzo IP |
Informazioni sui blocchi
I dati seguenti sono specifici dei blocchi IP e forniscono informazioni contestuali sul relativo utilizzo.
| Nome | Definizione | Tipi di asset |
|---|---|---|
| CIDR | CiDR (Classless Inter-Domain Routing) per un blocco IP. | Blocco IP |
| Nome di rete | Nome di rete associato al blocco IP. | Blocco IP |
| Nome dell'organizzazione | Nome dell'organizzazione trovato nelle informazioni di registrazione per il blocco IP. | Blocco IP |
| ID organizzazione | ID organizzazione trovato nelle informazioni di registrazione per il blocco IP. | Blocco IP |
| ASN | ASN associato al blocco IP. | Blocco IP |
| Paese | Paese/area geografica di origine rilevato nelle informazioni di registrazione di Whois per il blocco IP. | Blocco IP |
Oggetto
I dati seguenti sono specifici dell'oggetto (ovvero l'entità protetta) associato a un certificato SSL.
| Nome | Definizione | Tipi di asset |
|---|---|---|
| Nome comune | Nome comune dell'autorità di certificazione dell'oggetto del certificato SSL. | Certificato SSL |
| Nomi alternativi | Eventuali nomi comuni alternativi per l'oggetto del certificato SSL. | Certificato SSL |
| Nome dell'organizzazione | Organizzazione collegata all'oggetto del certificato SSL. | Certificato SSL |
| Unità organizzativa | Metadati facoltativi che indicano il reparto all'interno di un'organizzazione responsabile del certificato. | Certificato SSL |
| Località | Indica la città in cui si trova l'organizzazione. | Certificato SSL |
| Paese | Indica il paese o l'area geografica in cui si trova l'organizzazione. | Certificato SSL |
| Stato/Provincia | Indica lo stato o la provincia in cui si trova l'organizzazione. | Certificato SSL |
Autorità emittente
I dati seguenti sono specifici dell'autorità di certificazione di un certificato SSL.
| Nome | Definizione | Tipi di asset |
|---|---|---|
| Nome comune | Nome comune dell'autorità di certificazione del certificato. | Certificato SSL |
| Nomi alternativi | Qualsiasi altro nome dell'emittente. | Certificato SSL |
| Nome dell'organizzazione | Nome dell'organizzazione che ha orchestrato il problema di un certificato. | Certificato SSL |
| Unità organizzativa | Altre informazioni sull'organizzazione che ha emesso il certificato. | Certificato SSL |
Schede dati
Nel riquadro più a destra della pagina dei dettagli dell'asset, gli utenti possono accedere a dati più estesi correlati all'asset selezionato. Questi dati sono organizzati in una serie di schede categorizzate. Le schede dei metadati disponibili cambiano a seconda del tipo di asset visualizzato.
Alcune schede visualizzano un interruttore "Solo recenti" nell'angolo in alto a destra. Per impostazione predefinita, Defender EASM visualizza tutti i dati raccolti per ogni asset, incluse le osservazioni cronologica che potrebbero non essere attivamente in esecuzione sulla superficie di attacco corrente. Anche se questo contesto cronologico è molto utile per alcuni casi d'uso, l'interruttore "Solo recenti" limiterà tutti i risultati nella pagina Dettagli asset a quelli osservati più di recente sull'asset. È consigliabile usare l'interruttore "Solo recenti" quando si desidera visualizzare solo i dati che rappresentano lo stato corrente dell'asset a scopo di correzione.
Panoramica
La scheda Panoramica offre più contesto per garantire che le informazioni dettagliate significative siano facilmente identificabili quando si visualizzano i dettagli di un asset. Questa sezione include i dati di individuazione delle chiavi per tutti i tipi di asset. Fornisce informazioni dettagliate sul modo in cui Microsoft esegue il mapping dell'asset all'infrastruttura nota.
Questa sezione può includere anche widget del dashboard che visualizzano informazioni dettagliate rilevanti per il tipo di asset in questione.
Catena di individuazione
La catena di individuazione delinea le connessioni osservate tra un valore di inizializzazione dell'individuazione e l'asset. Queste informazioni consentono agli utenti di visualizzare queste connessioni e comprendere meglio il motivo per cui un asset è stato determinato ad appartenere alla propria organizzazione.
Nell'esempio è possibile notare che il dominio di inizializzazione è associato a questo asset tramite il messaggio di posta elettronica del contatto nel relativo record Whois. Lo stesso indirizzo di posta elettronica di contatto è stato usato per registrare il blocco IP che include questo particolare asset di indirizzo IP.
Informazioni di Discovery
Questa sezione fornisce informazioni sul processo usato per rilevare l'asset. Include informazioni sul valore di inizializzazione dell'individuazione che si connette all'asset e al processo di approvazione.
Le opzioni disponibili sono:
- Inventario approvato: questa opzione indica che la relazione tra il valore di inizializzazione e l'asset individuato è stata sufficientemente forte da garantire un'approvazione automatica da parte del sistema Defender EASM.
- Candidato: questa opzione indica che l'asset ha richiesto l'approvazione manuale per essere incorporato nell'inventario.
- Ultima esecuzione dell'individuazione: questa data indica quando il gruppo di individuazione che ha rilevato inizialmente l'asset è stato utilizzato per l'ultima volta per un'analisi di individuazione.
Reputazione IP
La scheda Reputazione IP visualizza un elenco di potenziali minacce correlate a un determinato indirizzo IP. Questa sezione descrive eventuali attività dannose o sospette rilevate correlate all'indirizzo IP. Queste informazioni sono fondamentali per comprendere l'affidabilità della propria superficie di attacco. Queste minacce possono aiutare le organizzazioni a individuare vulnerabilità passate o presenti nell'infrastruttura.
I dati di reputazione IP Defender EASM visualizzano le istanze quando l'indirizzo IP è stato rilevato in un elenco di minacce. Ad esempio, il rilevamento recente nell'esempio seguente mostra che l'indirizzo IP si riferisce a un host noto per l'esecuzione di un minatore criptovaluta. Questi dati sono derivati da un elenco host sospetto fornito da CoinBlockers. I risultati sono organizzati in base all'ultima data visualizzata per visualizzare prima i rilevamenti più rilevanti.
In questo esempio, l'indirizzo IP è presente in un numero anomalo di feed di minacce. Queste informazioni indicano che l'asset deve essere analizzato in modo approfondito per evitare attività dannose in futuro.
Servizi
La scheda Servizi è disponibile per gli asset di indirizzo IP, dominio e host. In questa sezione vengono fornite informazioni sui servizi osservati per l'esecuzione nell'asset. Include indirizzi IP, nomi e server di posta elettronica e porte aperte che corrispondono ad altri tipi di infrastruttura (ad esempio, servizi di accesso remoto).
Defender EASM dati dei servizi è fondamentale per comprendere l'infrastruttura che alimenta l'asset. Può anche avvisare le risorse esposte su Internet aperto che devono essere protette.
Indirizzi IP
Questa sezione fornisce informazioni dettagliate su tutti gli indirizzi IP in esecuzione nell'infrastruttura dell'asset. Nella scheda Servizi Defender EASM fornisce il nome dell'indirizzo IP e le date first seen e last seen. La colonna Recenti indica se l'indirizzo IP è stato osservato durante l'analisi più recente dell'asset. Se in questa colonna non è presente alcuna casella di controllo, l'indirizzo IP è stato visualizzato nelle analisi precedenti, ma non è attualmente in esecuzione nell'asset.
Server di posta elettronica
In questa sezione viene fornito un elenco di tutti i server di posta in esecuzione nell'asset. Queste informazioni indicano che l'asset è in grado di inviare messaggi di posta elettronica. In questa sezione Defender EASM fornisce il nome del server di posta elettronica e le date prima vista e Ultima visualizzazione. La colonna Recenti indica se il server di posta elettronica è stato rilevato durante l'analisi più recente dell'asset.
Server dei nomi
In questa sezione vengono visualizzati tutti i server dei nomi in esecuzione nell'asset per fornire la risoluzione per un host. In questa sezione Defender EASM fornisce il nome del server di posta elettronica e le date prima vista e Ultima visualizzazione. La colonna Recenti indica se il server dei nomi è stato rilevato durante l'analisi più recente dell'asset.
Aprire le porte
Questa sezione elenca tutte le porte aperte rilevate nell'asset. Microsoft analizza regolarmente circa 230 porte distinte. Questi dati sono utili per identificare eventuali servizi non protetti che non devono essere accessibili da Internet aperto. Questi servizi includono database, dispositivi IoT e servizi di rete come router e commutatori. È anche utile per identificare l'infrastruttura IT shadow o i servizi di accesso remoto non sicuri.
In questa sezione Defender EASM fornisce il numero di porta aperto, una descrizione della porta, l'ultimo stato in cui è stata osservata e le date first seen e last seen. La colonna Recenti indica se la porta è stata osservata come aperta durante l'analisi più recente. Defender EASM considera una porta "aperta" quando il sistema può completare correttamente un handshake syn-ack che restituisce banner con attributi. Quando è possibile stabilire una connessione TCP ma non è possibile completare l'impronta digitale del servizio, la porta viene contrassegnata come "filtrata". Una porta "chiusa" è ancora accessibile, ma non c'è servizio in ascolto sulla porta e quindi nega le connessioni.
Tracker
I tracker sono codici o valori univoci presenti nelle pagine Web e spesso vengono usati per tenere traccia dell'interazione dell'utente. Questi codici possono essere usati per correlare un gruppo eterogeneo di siti Web a un'entità centrale. Il set di dati tracker di Microsoft include ID di provider come Google, Yandex, Mixpanel, New Relic e Clicky e continua a crescere.
In questa sezione, Defender EASM fornisce il tipo di tracker (ad esempio GoogleAnalyticsID), il valore dell'identificatore univoco e le date first seen e last seen.
Componenti Web
I componenti Web sono dettagli che descrivono l'infrastruttura di un asset osservata tramite un'analisi Microsoft. Questi componenti offrono una conoscenza generale delle tecnologie usate nell'asset. Microsoft classifica i componenti specifici e include i numeri di versione quando possibile.
La sezione Componenti Web fornisce la categoria, il nome e la versione del componente e un elenco di eventuali cve applicabili che devono essere corretti. Defender EASM fornisce anche colonne first seen e last seen date e una colonna Recent. Una casella di controllo indica che l'infrastruttura è stata osservata durante l'analisi più recente dell'asset.
I componenti Web vengono categorizzati in base alla relativa funzione.
| Componente Web | Esempi |
|---|---|
| Hosting Provider | hostingprovider.com |
| Server | Apache |
| Server DNS. | ASSOCIAZIONE ISC |
| Archivi dati | MySQL, Elasticsearch, MongoDB |
| Accesso remoto | OpenSSH, Microsoft Amministrazione Center, Gateway Netscaler |
| Scambio di dati | Pure-FTPd |
| Internet delle cose (IoT) | HP Deskjet, Fotocamera Linksys, Sonos |
| server Email | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Dispositivo di rete | Cisco Router, Motorola WAP, ZyXEL Modem |
| Controllo dell'edificio | Linear eMerge, ASI Controls Weblink, Optergy |
Osservazioni
La scheda Osservazione visualizza tutte le informazioni dettagliate del dashboard Priorità della superficie di attacco relative all'asset. Queste priorità possono includere:
- Cve critici.
- Associazioni note all'infrastruttura compromessa.
- Uso della tecnologia deprecata.
- Violazioni delle procedure consigliate per l'infrastruttura.
- Problemi di conformità.
Per altre informazioni sulle osservazioni, vedere Informazioni sui dashboard. Per ogni osservazione, Defender EASM fornisce il nome dell'osservazione, la classifica in base al tipo, assegna una priorità ed elenca i punteggi CVSS v2 e v3, se applicabile.
La scheda Osservazioni include due tabelle: Osservazioni e Osservazioni non applicabili. Tutte le osservazioni attive determinate come "recenti" all'interno della superficie di attacco saranno incluse nella tabella Osservazioni, mentre nella tabella Osservazioni non applicabili sono elencate tutte le osservazioni contrassegnate manualmente come non applicabili o che sono state determinate dal sistema in modo che non siano più applicabili. Per contrassegnare le osservazioni come non applicabili e quindi escludere tale osservazione specifica dai conteggi del dashboard, è sufficiente selezionare le osservazioni desiderate e fare clic su "Imposta come non applicabile". Le osservazioni scompariranno immediatamente dalla tabella Osservazioni attiva e verranno invece visualizzate nella tabella "Osservazioni non applicabili". È possibile ripristinare questa modifica in qualsiasi momento selezionando le osservazioni pertinenti da questa tabella e selezionando "Imposta come applicabile".
Asset connessi
Connected Assets consente agli utenti di collegare graficamente e raccogliere informazioni sugli asset per l'analisi investigativa. È possibile esplorare l'ambiente e le relazioni complesse tramite i mapping delle relazioni, che offrono visualizzazioni chiare e concise. In questo modo è possibile identificare le connessioni nascoste e i potenziali percorsi di attacco. Mappando visivamente le relazioni tra asset e vulnerabilità, è possibile comprendere la complessità dell'ambiente e prendere decisioni ben informate per migliorare il comportamento di sicurezza e applicare efficacemente i punti di soffocamento.
In questa pagina tutti gli asset connessi all'asset specificato vengono identificati in un elenco. L'elenco fornisce informazioni chiave su ogni criterio, tra cui:
- Asset: l'asset connesso identificato.
- Tipo: tipo di asset.
- Stato: stato dell'asset.
- Etichette: tutte le etichette associate all'asset.
- First Seen: quando l'asset è stato individuato per la prima volta.
- Last Seen: data dell'ultima identificazione dell'asset.
Da questa pagina è possibile modificare o rimuovere gli asset connessi. È anche possibile ordinare o filtrare l'elenco di asset per classificare ulteriormente l'elenco degli asset connessi. È anche possibile scaricare un report CSV degli asset elencati. Tutti i filtri applicati verranno applicati all'esportazione csv.
Risorse
La scheda Risorse fornisce informazioni dettagliate su tutte le risorse JavaScript in esecuzione in qualsiasi pagina o asset host. Se applicabili a un host, queste risorse vengono aggregate per rappresentare JavaScript in esecuzione in tutte le pagine dell'host. Questa sezione fornisce un inventario di JavaScript rilevato in ogni asset in modo che l'organizzazione abbia la visibilità completa su queste risorse e possa rilevare eventuali modifiche.
Defender EASM fornisce l'URL della risorsa, l'host delle risorse, il valore MD5 e le date di prima e ultima visualizzazione per consentire alle organizzazioni di monitorare in modo efficace l'uso delle risorse JavaScript nell'inventario.
Certificati SSL
I certificati vengono usati per proteggere le comunicazioni tra un browser e un server Web tramite SSL. l'uso dei certificati garantisce che i dati sensibili in transito non possano essere letti, manomessi o contraffatti. Questa sezione di Defender EASM elenca tutti i certificati SSL rilevati nell'asset, inclusi i dati chiave come il problema e le date di scadenza.
Whois
Il protocollo Whois viene usato per eseguire query e rispondere ai database che archivia i dati correlati alla registrazione e alla proprietà delle risorse Internet. Whois contiene i dati di registrazione delle chiavi che possono essere applicati a domini, host, indirizzi IP e blocchi IP in Defender EASM. Nella scheda Dei dati di Whois Microsoft fornisce una notevole quantità di informazioni associate al registro dell'asset.
I campi seguenti sono inclusi nella tabella nella sezione Valori della scheda Whois .
| Campo | Descrizione |
|---|---|
| Server Whois | Un server configurato da un registrar accreditato ICANN per acquisire informazioni aggiornate sulle entità registrate con esso. |
| Registrar | Società il cui servizio è stato usato per registrare un asset. I registrar più diffusi includono GoDaddy, Namecheap e HostGator. |
| Stato del dominio | Qualsiasi stato per un dominio impostato dal Registro di sistema. Questi stati possono indicare che un dominio è in sospeso per l'eliminazione o il trasferimento dal registrar o è attivo su Internet. Questo campo può anche indicare le limitazioni di un asset. Ad esempio, l'eliminazione client non consentita indica che il registrar non è in grado di eliminare l'asset. |
| Posta elettronica | Qualsiasi indirizzo di posta elettronica di contatto fornito dal registrante. Whois consente ai registranti di specificare il tipo di contatto. Le opzioni includono contatti amministrativi, tecnici, registranti e registrar. |
| Nome | Nome di un registrante, se specificato. |
| Organizzazione | Organizzazione responsabile dell'entità registrata. |
| Via | Indirizzo della via per il registrante, se specificato. |
| Città | La città elencata nell'indirizzo della strada per il registrante, se specificato. |
| Stato | Stato elencato nell'indirizzo del registrante, se specificato. |
| Codice postale | Il codice postale elencato nell'indirizzo del registrante, se specificato. |
| Paese | Paese/area geografica elencato nell'indirizzo del registrante, se specificato. |
| Telefono | Numero di telefono associato a un contatto registrante, se specificato. |
| Server dei nomi | Tutti i server dei nomi associati all'entità registrata. |
Molte organizzazioni scelgono di offuscare le informazioni del Registro di sistema. A volte gli indirizzi di posta elettronica dei contatti terminano con @anonymised.email. Questo segnaposto viene usato al posto di un indirizzo di contatto reale. Molti campi sono facoltativi durante la configurazione della registrazione, quindi qualsiasi campo con un valore vuoto non è stato incluso dal registrante.
Cronologia modifiche
Nella scheda "Cronologia modifiche" viene visualizzato un elenco di modifiche che sono state applicate a un asset nel tempo. Queste informazioni consentono di tenere traccia di queste modifiche nel tempo e di comprendere meglio il ciclo di vita dell'asset. Questa scheda visualizza un'ampia gamma di modifiche, tra cui, a titolo esemplificarsi, gli stati degli asset, le etichette e gli ID esterni. Per ogni modifica, vengono elencati l'utente che ha implementato la modifica e un timestamp.
