Usare e gestire l'individuazione

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) si basa sulla tecnologia di individuazione proprietaria per definire continuamente la superficie di attacco univoca esposta a Internet dell'organizzazione. L'individuazione analizza Internet alla ricerca di asset di proprietà dell'organizzazione per individuare proprietà sconosciute e non monitorate in precedenza.

Gli asset individuati vengono indicizzati nell'inventario per fornire un sistema dinamico di registrazione di applicazioni Web, dipendenze di terze parti e infrastruttura Web sotto la gestione dell'organizzazione tramite un unico riquadro di vetro.

Prima di eseguire un'individuazione personalizzata, vedere Che cos'è l'individuazione? per comprendere i concetti chiave illustrati qui.

Accedere alla superficie di attacco automatizzata

Microsoft ha configurato preventivamente le superfici di attacco di molte organizzazioni, eseguendo il mapping della superficie di attacco iniziale individuando l'infrastruttura connessa agli asset noti.

È consigliabile cercare la superficie di attacco dell'organizzazione prima di creare una superficie di attacco personalizzata ed eseguire altre individuazioni. Questo processo consente di accedere rapidamente all'inventario quando Defender EASM aggiorna i dati e aggiunge più asset e contesto recente alla superficie di attacco.

Quando si accede per la prima volta all'istanza di Defender EASM, selezionare Introduzione nella sezione Generale per cercare l'organizzazione nell'elenco delle superfici di attacco automatizzato. Scegliere quindi l'organizzazione dall'elenco e selezionare Compila la superficie di attacco.

Screenshot che mostra una schermata di selezione della superficie di attacco preconfigurata.

A questo punto, l'individuazione viene eseguita in background. Se è stata selezionata una superficie di attacco preconfigurata dall'elenco delle organizzazioni disponibili, si viene reindirizzati alla schermata di panoramica del dashboard in cui è possibile visualizzare informazioni dettagliate sull'infrastruttura dell'organizzazione in modalità anteprima.

Esaminare queste informazioni dettagliate sul dashboard per acquisire familiarità con la superficie di attacco mentre si attende che altri asset vengano individuati e popolati nell'inventario. Per altre informazioni su come derivare informazioni dettagliate da questi dashboard, vedere Informazioni sui dashboard.

È possibile eseguire individuazioni personalizzate per rilevare gli asset outlier. Ad esempio, potrebbero essere presenti asset mancanti. In alternativa, è possibile che siano presenti altre entità da gestire che potrebbero non essere individuate tramite un'infrastruttura chiaramente collegata all'organizzazione.

Personalizzare l'individuazione

Le individuazioni personalizzate sono ideali se l'organizzazione richiede una visibilità più approfondita dell'infrastruttura che potrebbe non essere immediatamente collegata agli asset di inizializzazione primari. Inviando un elenco più ampio di asset noti da usare come sementi di individuazione, il motore di individuazione restituisce un pool più ampio di asset. L'individuazione personalizzata può anche aiutare l'organizzazione a trovare un'infrastruttura disparata che potrebbe riguardare business unit indipendenti e società acquisite.

Gruppi di individuazione

Le individuazioni personalizzate sono organizzate in gruppi di individuazione. Si tratta di cluster di inizializzazione indipendenti che costituiscono una singola esecuzione di individuazione e operano in base alle proprie pianificazioni di ricorrenza. Si organizzano i gruppi di individuazione per delineare gli asset in qualsiasi modo tra i vantaggi migliori per l'azienda e i flussi di lavoro. Le opzioni comuni includono l'organizzazione da parte del team responsabile o della business unit, dei marchi o delle filiali.

Creare un gruppo di individuazione

  1. Nel riquadro all'estrema sinistra, in Gestisci selezionare Individuazione.

    Screenshot che mostra un'istanza di Defender EASM nella pagina di panoramica con la sezione Gestisci evidenziata.

  2. La pagina Individuazione mostra l'elenco di gruppi di individuazione per impostazione predefinita. Questo elenco è vuoto quando si accede per la prima volta alla piattaforma. Per eseguire la prima individuazione, selezionare Aggiungi gruppo di individuazione.

    Screenshot che mostra la schermata Di individuazione con l'opzione Aggiungi gruppo di individuazione evidenziata.

  3. Assegnare un nome al nuovo gruppo di individuazione e aggiungere una descrizione. Il campo Frequenza ricorrente consente di pianificare le esecuzioni di individuazione per questo gruppo eseguendo l'analisi continua dei nuovi asset correlati ai semi designati. La selezione di ricorrenza predefinita è Settimanale. È consigliabile usare questa cadenza per garantire che gli asset dell'organizzazione vengano monitorati e aggiornati regolarmente.

    Per una singola esecuzione di individuazione una tantum, selezionare Mai. È consigliabile mantenere la cadenza predefinita settimanale perché l'individuazione è progettata per individuare continuamente nuovi asset correlati all'infrastruttura nota. È possibile modificare la frequenza di ricorrenza in un secondo momento selezionando l'opzione "Modifica" da qualsiasi pagina dei dettagli del gruppo di individuazione.

  4. Selezionare Avanti: Semi.

    Screenshot che mostra la prima pagina della configurazione del gruppo di individuazione.

  5. Selezionare i semi da usare per questo gruppo di individuazione. I semi sono asset noti che appartengono all'organizzazione. La piattaforma Defender EASM analizza queste entità e esegue il mapping delle relative connessioni ad altre infrastrutture online per creare la superficie di attacco. Poiché Defender EASM è progettato per monitorare la superficie di attacco da una prospettiva esterna, gli indirizzi IP privati non possono essere inclusi come semi di individuazione.

    Screenshot che mostra la pagina di selezione del valore di inizializzazione della configurazione del gruppo di individuazione.

    L'opzione Avvio rapido consente di cercare l'organizzazione in un elenco di superfici di attacco prepopolate. È possibile creare rapidamente un gruppo di individuazione in base agli asset noti che appartengono all'organizzazione.

    Screenshot che mostra l'output della pagina di selezione della superficie di attacco pre-eseguita in un elenco di inizializzazioni.

    Screenshot che mostra la pagina di selezione della superficie di attacco pre-eseguita.

    In alternativa, è possibile inserire manualmente i semi. Defender EASM accetta nomi di organizzazione, domini, blocchi IP, host, contatti di posta elettronica, ASN e organizzazioni Whois come valori di inizializzazione.

    È anche possibile specificare entità da escludere dall'individuazione degli asset per assicurarsi che non vengano aggiunte all'inventario, se rilevate. Ad esempio, le esclusioni sono utili per le organizzazioni che hanno filiali che probabilmente saranno connesse all'infrastruttura centrale, ma non appartengono all'organizzazione.

    Dopo aver selezionato i semi, selezionare Rivedi e crea.

  6. Esaminare le informazioni sul gruppo e l'elenco di inizializzazioni e selezionare Crea & Esegui.

    Screenshot che mostra la schermata Rivedi e crea.

    Si torna alla pagina di individuazione principale che visualizza i gruppi di individuazione. Al termine dell'esecuzione dell'individuazione, vengono visualizzati nuovi asset aggiunti all'inventario approvato.

Visualizzare e modificare i gruppi di individuazione

È possibile gestire i gruppi di individuazione dalla pagina di individuazione principale. La visualizzazione predefinita visualizza un elenco di tutti i gruppi di individuazione e alcuni dati chiave relativi a ognuno di essi. Nella visualizzazione elenco è possibile visualizzare il numero di semi, la pianificazione della ricorrenza, la data dell'ultima esecuzione e la data di creazione per ogni gruppo.

Screenshot che mostra la schermata dei gruppi di individuazione.

Selezionare qualsiasi gruppo di individuazione per visualizzare altre informazioni, modificare il gruppo o avviare un nuovo processo di individuazione.

Cronologia di esecuzione

La pagina dei dettagli del gruppo di individuazione contiene la cronologia di esecuzione per il gruppo. In questa sezione vengono visualizzate informazioni chiave su ogni esecuzione di individuazione eseguita nel gruppo specifico di semi. La colonna Stato indica se l'esecuzione è in corso, completata o non riuscita. Questa sezione include anche timestamp avviati e completati e un conteggio di tutti i nuovi asset aggiunti all'inventario dopo l'esecuzione dell'individuazione specifica. Questo conteggio include tutti gli asset inclusi nell'inventario, indipendentemente da stato o stato fatturabile.

La cronologia di esecuzione è organizzata in base agli asset di inizializzazione analizzati durante l'esecuzione dell'individuazione. Per visualizzare un elenco dei semi applicabili, selezionare Dettagli. A destra dello schermo viene aperto un riquadro che elenca tutti i semi e le esclusioni per tipo e nome.

Screenshot che mostra la cronologia di esecuzione per la schermata del gruppo di individuazione.

Visualizzare i semi e le esclusioni

Per impostazione predefinita, la pagina Individuazione è una visualizzazione elenco dei gruppi di individuazione, ma è anche possibile visualizzare gli elenchi di tutti i semi ed entità escluse da questa pagina. Selezionare una scheda per visualizzare un elenco di tutti i semi o le esclusioni che alimentano i gruppi di individuazione.

Semi

Nella visualizzazione elenco di inizializzazioni vengono visualizzati valori di inizializzazione con tre colonne: Tipo, Nome origine e Gruppi di individuazione. Nel campo Tipo viene visualizzata la categoria del cespite di inizializzazione. I semi più comuni sono domini, host e blocchi IP. È anche possibile usare contatti di posta elettronica, asn, nomi comuni dei certificati o organizzazioni Whois.

Il nome di origine è il valore che è stato immesso nella casella del tipo appropriato quando è stato creato il gruppo di individuazione. La colonna finale mostra un elenco di gruppi di individuazione che usano il valore di inizializzazione. Ogni valore è selezionabile e consente di passare alla pagina dei dettagli per il gruppo di individuazione.

Quando si impongono i semi, ricordarsi di convalidare il formato appropriato per ogni voce. Quando si salva il gruppo di individuazione, la piattaforma esegue una serie di controlli di convalida e segnala eventuali semi non configurati correttamente. Ad esempio, i blocchi IP devono essere inseriti in base all'indirizzo di rete, ad esempio l'inizio dell'intervallo IP.

Screenshot che mostra la visualizzazione Seeds di una pagina di individuazione.

Esclusioni

Analogamente, è possibile selezionare la scheda Esclusioni per visualizzare un elenco di entità escluse dal gruppo di individuazione. Questi asset non verranno usati come semi di individuazione o aggiunti all'inventario. Le esclusioni influiscono solo sulle esecuzioni di individuazione future per un singolo gruppo di individuazione.

Nel campo Tipo viene visualizzata la categoria dell'entità esclusa. Il nome di origine è il valore che è stato immesso nella casella del tipo appropriato quando è stato creato il gruppo di individuazione. La colonna finale mostra un elenco di gruppi di individuazione in cui è presente questa esclusione. Ogni valore è selezionabile e consente di passare alla pagina dei dettagli per il gruppo di individuazione.

Passaggi successivi

  • Last updated on