資産の変更の概要

この記事では、在庫資産を変更する方法について説明します。 資産の状態を変更したり、外部 ID を割り当てたり、ラベルを適用してコンテキストを提供したり、インベントリ データを使用したりできます。 また、CVEs やその他の観測値を適用不可としてマークして、報告されたカウントから削除することもできます。 検出された方法に基づいて、資産をインベントリから一括で削除することもできます。 たとえば、ユーザーは検出グループからシードを削除し、このシードへの接続を介して検出されたすべての資産を削除できます。 この記事では、Defender EASMで使用できるすべての変更オプションについて説明し、タスク マネージャーで資産を更新し、更新プログラムを追跡する方法について説明します。

アセットにラベルを付ける

ラベルは、攻撃対象領域を整理し、カスタマイズ可能な方法でビジネス コンテキストを適用するのに役立ちます。 アセットのサブセットに任意のテキスト ラベルを適用してアセットをグループ化し、インベントリを活用できます。 お客様は、一般的に次の資産を分類します。

  • 最近、合併または買収を通じてorganizationの所有権を取得しました。
  • コンプライアンスの監視が必要です。
  • organization内の特定の部署が所有しています。
  • 軽減策を必要とする特定の脆弱性の影響を受ける。
  • organizationが所有する特定のブランドに関連します。
  • 特定の時間内にインベントリに追加されました。

ラベルは自由形式のテキスト フィールドであるため、organizationに適用されるすべてのユース ケースのラベルを作成できます。

フィルター処理された [ラベル] 列を含むインベントリ リスト ビューを示すスクリーンショット。

資産の状態を変更する

また、ユーザーは資産の状態を変更することもできます。 状態は、organizationでの役割に基づいてインベントリを分類するのに役立ちます。 ユーザーは次の状態を切り替えることができます。

  • 承認済みインベントリ: 所有している攻撃面の一部。直接責任を負うアイテム。
  • 依存関係: サード パーティが所有するインフラストラクチャですが、所有する資産の操作を直接サポートするため、攻撃対象の一部です。 たとえば、WEB コンテンツをホストする IT プロバイダーに依存する場合があります。 ドメイン、ホスト名、ページは "承認済みインベントリ" の一部になりますが、ホストを実行している IP アドレスを "依存関係" として扱うことをお勧めします。
  • 監視のみ: 攻撃対象に関連する資産ですが、organizationによって直接制御されるものではなく、技術的な依存関係もありません。 たとえば、関連企業に属する独立したフランチャイズまたは資産は、レポート目的でグループを分離するために、"承認済み在庫" ではなく "監視のみ" としてラベル付けされる場合があります。
  • 候補: organizationの既知のシード資産と何らかの関係があるが、すぐに "承認済みインベントリ" とラベル付けするのに十分な強い接続を持たない資産。 これらの候補資産は、所有権を決定するために手動で確認する必要があります。
  • 調査が必要: "候補" 状態に似た状態ですが、この値は検証に手動で調査する必要がある資産に適用されます。 これは、資産間の検出された接続の強度を評価する、内部で生成された信頼度スコアに基づいて決定されます。 インフラストラクチャとorganizationとの正確な関係は、この資産が分類する方法を決定するために追加のレビューを必要とするようにフラグが付けられたことを示すほど、示されていません。

外部 IDを適用する

ユーザーは、外部 ID を資産に適用することもできます。 このアクションは、資産の追跡、修復アクティビティ、または所有権の監視に複数のソリューションを使用する場合に役立ちます。Defender EASM内の外部 ID を表示すると、この異種資産情報を調整するのに役立ちます。 外部 ID値は数値または英数字で指定でき、テキスト形式で入力する必要があります。 外部 ID は、[資産の詳細] セクションにも表示されます。

観測値を適用不可としてマークする

多くのDefender EASM ダッシュボードには CVE データが含まれています。攻撃対象領域を強化する Web コンポーネント インフラストラクチャに基づいて潜在的な脆弱性に注意を向ける必要があります。 たとえば、CVE は攻撃 Surface の概要ダッシュボードに表示され、潜在的な重大度によって分類されます。 これらの CVEs を調査すると、一部がorganizationに関連しないと判断される場合があります。 これは、未編集のバージョンの Web コンポーネントを実行しているか、その特定の脆弱性からユーザーを保護するために、organizationに異なる技術的ソリューションが用意されている可能性があります。

CVE 関連のグラフのドリルダウン ビューで、[CSV レポートのダウンロード] ボタンの横に、観測値を適用不可として設定できるようになりました。 この値をクリックすると、その観測に関連付けられているすべての資産のインベントリ リストに移動し、このページからすべての観測値を適用不可としてマークすることができます。 実際の変更は、在庫リスト ビューまたは特定の資産の [資産の詳細] ページから実行されます。

[監視を適用不可としてマークする] ボタンが強調表示されているダッシュボードドリルダウン ビューのスクリーンショット。

資産を変更する方法

資産は、在庫一覧ページと資産詳細ページの両方から変更できます。 1 つの資産に変更を加えるには、資産の詳細ページを参照してください。 1 つの資産または複数の資産に対して、在庫リスト ページから変更を加えることができます。 次のセクションでは、ユース ケースに応じて 2 つのインベントリ ビューから変更を適用する方法について説明します。

インベントリリストページ

多数の資産を一度に更新する場合は、インベントリ リスト ページから資産を変更する必要があります。 フィルター パラメーターに基づいて資産リストを絞り込むことができます。 このプロセスは、必要なラベル、外部 ID、または状態変更で分類する必要がある資産を識別するのに役立ちます。 このページからアセットを変更するには:

  1. Microsoft Defender 外部攻撃面管理 (Defender EASM) リソースの左端のウィンドウで、[インベントリ] を選択します

  2. フィルターを適用して目的の結果を生成します。 この例では、更新が必要な 30 日以内に有効期限が切れるドメインを探しています。 適用されたラベルは、期限切れのドメインにすばやくアクセスして修復プロセスを簡略化するのに役立ちます。 必要な数のフィルターを適用して、必要な特定の結果を取得できます。 フィルターの詳細については、「 インベントリ フィルターの概要」を参照してください。 CVE を適用不可としてマークする場合、関連するダッシュボード グラフのドリルダウンには、適切なフィルターが適用された状態でこの [インベントリ] ページに直接ルーティングするリンクが表示されます。

    [フィルターの追加] ドロップダウンを開き、クエリ エディターを表示するインベントリ リスト ビューを示すスクリーンショット。

  3. インベントリ リストがフィルター処理されたら、[ 資産 テーブル] ヘッダーの横にあるチェック ボックスの横にあるドロップダウンを選択します。 このドロップダウンでは、クエリに一致するすべての結果、またはその特定のページの結果 (最大 25) を選択できます。 [なし] オプションを選択すると、すべての資産がクリアされます。 また、各アセットの横にある個々のチェックマークを選択することで、ページ上の特定の結果のみを選択することもできます。

    一括選択ドロップダウンが開かれたインベントリ リスト ビューを示すスクリーンショット。

  4. [ Modify assets]\(アセットの変更\) を選択します

    使用可能な変更オプションを示すスクリーンショット。

  5. 画面の右側に開く [ 資産の変更 ] ウィンドウで、選択したアセットのさまざまなフィールドをすばやく変更できます。 この例では、新しいラベルを作成します。 [ 新しいラベルの作成] を選択します

  6. ラベル名を決定し、テキスト値を表示します。 ラベル名は、最初にラベルを作成した後は変更できませんが、表示テキストは後で編集できます。 ラベル名は、製品インターフェイスまたは API を使用してラベルのクエリを実行するために使用されるため、これらのクエリが適切に動作するように編集が無効になります。 ラベル名を編集するには、元のラベルを削除し、新しいラベルを作成する必要があります。

    新しいラベルの色を選択し、[ 追加] を選択します。 このアクションにより、[ アセットの変更 ] 画面に戻ります。

    構成フィールドを表示する [ラベルの追加] ウィンドウを示すスクリーンショット。

  7. アセットに新しいラベルを適用します。 [ラベルの 追加 ] テキスト ボックス内をクリックすると、使用可能なラベルの完全な一覧が表示されます。 または、ボックス内に「」と入力して、キーワード (keyword)で検索することもできます。 適用するラベルを選択したら、[ 更新] を選択します。

    新しく作成されたラベルが適用された [資産の変更] ペインを示すスクリーンショット。

  8. ラベルを適用するには、しばらく待つ必要があります。 プロセスが完了すると、"完了" という通知が表示されます。 ページが自動的に更新され、ラベルが表示された状態で資産一覧が表示されます。 画面の上部にあるバナーは、ラベルが適用されたことを確認します。

    選択したアセットが新しいラベルを表示するインベントリ リスト ビューを示すスクリーンショット。

資産の詳細ページ

資産の詳細ページから 1 つの資産を変更することもできます。 このオプションは、ラベルまたは状態の変更が適用される前に資産を徹底的に確認する必要がある場合に最適です。

  1. Defender EASM リソースの左端のウィンドウで、[インベントリ] を選択します

  2. 変更する特定の資産を選択して、資産の詳細ページを開きます。

  3. このページで、[ 資産の変更] を選択します。

    [資産の変更] ボタンが強調表示されている資産の詳細ページを示すスクリーンショット。

  4. [インベントリ リスト ページ] セクションの手順 5 から 7 に従います。

  5. 資産の詳細ページが更新され、新しく適用されたラベルまたは状態の変更が表示されます。 バナーは、資産が正常に更新されたことを示します。

ラベルの変更、削除、または削除

ユーザーは、インベントリ リストまたは資産の詳細ビューから同じ [資産の変更 ] ウィンドウにアクセスすることで、資産からラベルを削除できます。 インベントリ リスト ビューでは、複数のアセットを一度に選択し、1 つのアクションで目的のラベルを追加または削除できます。

ラベル自体を変更するか、システムからラベルを削除するには:

  1. Defender EASM リソースの左端のウィンドウで、[ラベル (プレビュー)] を選択します。

    ラベル管理を有効にする [ラベル (プレビュー)] ページを示すスクリーンショット。

    このページには、Defender EASM インベントリ内のすべてのラベルが表示されます。 このページのラベルはシステムに存在する可能性がありますが、どの資産にもアクティブに適用されません。 このページから新しいラベルを追加することもできます。

  2. ラベルを編集するには、編集するラベルの [アクション] 列で鉛筆アイコンを選択します。 画面の右側にウィンドウが開き、ラベルの名前または色を変更できます。 [更新] を選択します。

  3. ラベルを削除するには、削除するラベルの [アクション] 列からごみ箱アイコンを選択します。 [ ラベルの削除] を選択します

    [ラベル管理] ページの [削除の確認] オプションを示すスクリーンショット。

[ ラベル] ページが自動的に更新されます。 ラベルはリストから削除され、ラベルが適用されていたアセットからも削除されます。 バナーが削除を確認します。

観測値を適用不可としてマークする

他の手動変更の場合、同じ [アセットの変更] 画面から観測値を適用不可としてマークすることもできますが、[資産の詳細] の [観測値] タブからこれらの更新を行うこともできます。 [観測値] タブには、観測値と適用不可能な観測値の 2 つのテーブルがあります。 攻撃対象の範囲内で "最近" と判断されたすべてのアクティブな観測値は観測テーブルに含まれますが、適用できない観測値テーブルには、手動で適用不可としてマークされた、またはシステムによって適用されなくなったと判断された観測値が一覧表示されます。 観測値を適用不可としてマークし、その特定の観測値をダッシュボードの数から除外するには、目的の観測値を選択し、[適用不可として設定] をクリックします。これらの観測値はアクティブな Observations テーブルからすぐに消え、代わりに "適用できない観測値" テーブルに表示されます。 この変更は、このテーブルから関連する観測値を選択し、[該当する値に設定] を選択することで、いつでも元に戻すことができます。

複数の CVEs が適用不可としてマークされるように選択されている [観測] タブを示すスクリーンショット。

タスク マネージャーと通知

タスクが送信されると、更新が進行中であることが通知で確認されます。 Azureの任意のページから通知 (ベル) アイコンを選択すると、最近のタスクの詳細が表示されます。

タスクが送信した通知を示すスクリーンショット。 最近のタスクの状態を表示する [通知] ウィンドウを示すスクリーンショット。

Defender EASM システムでは、数千個の資産を更新するのに数秒か数分かかることがあります。 タスク マネージャーを使用して、進行中の変更タスクの状態をチェックできます。 このセクションでは、タスク マネージャーにアクセスし、それを使用して送信された更新プログラムの完了を理解する方法について説明します。

  1. Defender EASM リソースの左端のウィンドウで、[タスク マネージャー] を選択します。

    ナビゲーション ウィンドウで適切なセクションが強調表示されている [タスク マネージャー] ページを示すスクリーンショット。

  2. このページには、最近使用したすべてのタスクとその状態が表示されます。 タスクは[ 完了]、[ 失敗]、または [進行中] として一覧表示されます。 完了率と進行状況バーも表示されます。 特定のタスクの詳細を表示するには、タスク名を選択します。 画面の右側にウィンドウが開き、詳細情報が表示されます。

  3. [ 最新の情報に更新] を選択すると、タスク マネージャーのすべてのアイテムの最新の状態が表示されます。

ラベルのフィルター

インベントリ内の資産にラベルを付けた後、インベントリ フィルターを使用して、特定のラベルが適用されているすべての資産の一覧を取得できます。

  1. Defender EASM リソースの左端のウィンドウで、[インベントリ] を選択します

  2. [ フィルターの追加] を選択します

  3. [フィルター] ドロップダウン リストから [ラベル] を選択します。 演算子を選択し、オプションのドロップダウン リストからラベルを選択します。 次の例は、1 つのラベルを検索する方法を示しています。 In 演算子を使用して、複数のラベルを検索できます。 フィルターの詳細については、 インベントリ フィルターの概要に関するページを参照してください。

    フィルターの適用に使用されるクエリ エディターを示すスクリーンショット。ドロップダウン リストにラベルフィルターと可能なラベル値が表示されています。

  4. [適用] を選択します。 インベントリ リスト ページが再読み込みされ、条件に一致するすべての資産が表示されます。

資産チェーンベースの管理

場合によっては、検出された手段に基づいて複数の資産を一度に削除することもできます。 たとえば、検出グループ内の特定のシードが、organizationに関連しない資産を取り込んだと判断したり、purview の下になくなった子会社に関連する資産を削除する必要がある場合があります。 このため、Defender EASMでは、検出チェーン内のソース エンティティと "ダウンストリーム" の資産を削除する機能が提供されます。 リンクされた資産は、次の 3 つの方法で削除できます。

  • シードベースの管理: ユーザーは、一度検出グループに含まれていたシードを削除し、指定されたシードへの観察された接続を通じてインベントリに導入されたすべての資産を削除できます。 この方法は、特定の手動で入力されたシードによって不要な資産がインベントリに追加されたと判断できる場合に役立ちます。
  • 検出チェーン管理: ユーザーは、検出チェーン内の資産を識別して削除し、そのエンティティによって検出されたすべての資産を同時に削除できます。 検出は再帰的なプロセスです。シードをスキャンして、これらの指定されたシードに直接関連付けられている新しい資産を特定し、新しく検出されたエンティティをスキャンし続けて、より多くの接続を明らかにします。 この削除方法は、検出グループが適切に構成されているが、新しく検出された資産と、そのエンティティに関連付けてインベントリに持ち込まれた資産を削除する必要がある場合に便利です。 検出グループの設定と指定されたシードを、検出チェーンの "トップ" と見なします。この削除方法を使用すると、中央から資産を削除できます。
  • 検出グループの管理: ユーザーは、検出グループ全体と、この検出グループを通じてインベントリに導入されたすべての資産を削除できます。 これは、検出グループ全体がorganizationに適用されなくなった場合に便利です。 たとえば、子会社に関連する資産を特に検索する検出グループがある場合があります。 この子会社がorganizationに関連しなくなった場合は、資産チェーンベースの管理を利用して、その検出グループを通じてインベントリに取り込まれるすべての資産を削除できます。

Defender EASMでも削除された資産を表示できます。インベントリ リストで "アーカイブ済み" 状態の資産をフィルター処理するだけです。

シード ベースの削除

最初に指定した検出シードの 1 つを探索グループに含めなくなると判断できます。 シードは、organizationに関連しなくなったり、正当な所有資産よりも誤検知が発生したりする可能性があります。 このような状況では、検出グループからシードを削除して、将来の探索実行で使用されないようにすることができます。同時に、指定されたシードを通じてインベントリに持ち込まれた資産を削除できます。

シードに基づいて一括削除を実行するには、適切な探索グループの詳細ページにルーティングし、[探索グループの編集] をクリックします。プロンプトに従って [シード] ページに移動し、問題のあるシードを一覧から削除します。 [確認と更新] を選択すると、指定されたシードを介して検出されたすべての資産も削除されることを示す警告が表示されます。 [更新] または [Update & Run] を選択して削除を完了します。

シードの削除とそのシードを介して検出されたすべての資産を示す警告が表示された [探索グループの編集] ページを示すスクリーンショット。

検出チェーンベースの削除

次の例では、攻撃画面の概要ダッシュボードで安全でないログイン フォームを検出したとします。 調査によって、organizationが所有していないように見えるホストにルーティングされます。 詳細については、資産の詳細ページを表示します。検出チェーンを確認すると、承認されたビジネス エンティティの登録にも使用された従業員の会社の電子メール アドレスを使用して対応するドメインが登録されたため、ホストがインベントリに取り込まれたことが分ります。

[探索チェーン] セクションが強調表示されている [資産の詳細] ページを示すスクリーンショット。

このような状況では、最初の検出シード (企業ドメイン) はまだ正当であるため、代わりに問題のある資産を検出チェーンから削除する必要があります。 連絡先メールからチェーンの削除を実行することもできますが、代わりに、この従業員に登録されている個人ドメインに関連付けられているものをすべて削除して、Defender EASMが今後そのメール アドレスに登録されている他のドメインを通知するようにします。 検出チェーンから、この個人用ドメインを選択して、資産の詳細ページを表示します。 このビューから、[検出チェーンから削除] を選択して、インベントリから資産を削除します。また、個人用ドメインへの接続が観察されたためにインベントリに取り込まれたすべての資産も削除します。 資産とすべてのダウンストリーム資産の削除を確認する必要があります。その後、このアクションで削除された他の資産の概要一覧が表示されます。 [検出チェーンの削除] を選択して、一括削除を確認します。

現在の資産とすべてのダウンストリーム資産の削除を確認するようにユーザーに求めるボックスを示すスクリーンショット。このアクションで削除された他の資産の概要を示します。

検出グループの削除

検出グループ全体と、そのグループを介して検出されたすべての資産を削除する必要がある場合があります。 たとえば、会社が、監視する必要がなくなった子会社を売却した可能性があります。 ユーザーは、[検出管理] ページから探索グループを削除できます。 検出グループと関連するすべての資産を削除するには、一覧の適切なグループの横にあるごみ箱アイコンを選択します。 このアクションで削除される資産の概要を一覧表示する警告が表示されます。 検出グループの削除を確認するには、関連するすべての資産を選択し、[検出グループの削除] を選択します。

[検出管理] ページを示すスクリーンショット。グループの削除を選択した後に表示される警告ボックスが強調表示されています。

次の手順

  • Last updated on