Microsoft Defender 外部攻撃面管理 (Defender EASM) は、オンライン インフラストラクチャの外部への露出をユーザーに示すために、デジタル攻撃対象領域を継続的に検出してマップします。
Defender EASM を使用すると、これらを可視化して示すことで、セキュリティ チームと IT チームは、不明な領域を特定し、リスクの優先順位を付け、脅威を排除し、ファイアウォールを越えて脆弱性と露出の制御を拡張するために役立つ重要な情報が得られます。 攻撃面の分析情報が、脆弱性とインフラストラクチャのデータを使用して、組織にとって重要な関心領域を示すために生成されます。
検出とインベントリ
Microsoft 独自の検出テクノロジにより、既知の正当な資産への観察された関係性を介してインフラストラクチャが繰り返し検索されます。 これにより、そのインフラストラクチャと組織の関係に関する推論が行われ、以前は不明であり監視されていなかったプロパティを、明らかにすることができます。 これらの既知の正当な資産は、"検出シード" と呼ばれます。 Defender EASM は、まず、これらの選択されたエンティティへの強力な関係性を繰り返し検出して、より多くの関係性を発見し、最終的に攻撃面を集約します。
Defender EASM の検出結果には、次の種類の資産が含まれます。
- ドメイン
- IP アドレス ブロック
- ホスト
- メールの連絡先
- 自律システム番号 (ASN)
- Whois 組織
![[検出] ウィンドウのスクリーンショット。](media/overview-discovery.png)
検出された資産は、インデックスが付けられ、Defender EASM インベントリ内で分類されます。これにより、組織の管理下にある Web インフラストラクチャ全体の動的な記録が提供されます。 資産は、"最近" (現在アクティブ) または "履歴" として分類されます。 Web アプリケーション、サード パーティの依存関係、その他の資産の関係性を含めることができます。
ダッシュボード
Defender EASM は、ダッシュボードを使用して、オンライン インフラストラクチャと組織に対する重要なリスクをすばやく理解するのに役立ちます。 このダッシュボードは、脆弱性、コンプライアンス、セキュリティの検疫など、特定のリスク領域に関する分析情報を提供するように設計されています。 これらの分析情報は、組織に最大のリスクをもたらす攻撃対象領域のコンポーネントにユーザーが迅速に対処するために役立ちます。
![ダッシュボードと [セキュリティ態勢] ウィンドウのスクリーンショット。](media/overview-dashboard.png)
アセット管理
インベントリをフィルター処理して、自分と組織にとって最も重要な分析情報を表示できます。 フィルター処理すると、資産の特定のサブセットにアクセスするのに役立つ柔軟性とカスタマイズが可能になります。 また、フィルター処理により、非推奨のインフラストラクチャに関係している資産を検索する、新しいクラウド リソースを識別するなどの特定のユース ケースに合わせて Defender EASM データを利用できます。
![[インベントリ] ウィンドウのスクリーンショット。](media/overview-inventory.png)
ユーザーのアクセス許可
所有者ロールまたは共同作成者ロールが割り当てられている組織内のユーザーは、Defender EASM リソースとリソース内のインベントリ資産を作成、削除、編集できます。 所有者ロールと共同作成者ロールには、プラットフォームのすべての機能を使用するためのアクセス許可があります。
閲覧者ロールが割り当てられているユーザーは、Defender EASM データを表示できますが、リソースまたはインベントリ資産を作成、削除、編集することはできません。
Defender EASM は、Azure Lighthouse 経由を含むテナント間リソース アクセスをサポートしていません。 Defender EASM リソースには、リソースが配置されているテナントに直接認証することでアクセスする必要があります。
データ所在地、可用性、プライバシー
Microsoft Defender EASM には、グローバル データと顧客固有のデータの両方が含まれます。 基になるインターネット データは、Microsoft に由来するグローバル データです。 お客様が適用するラベルは、顧客データと見なされます。 顧客データは、選択したリージョンに格納されます。
セキュリティ上の目的で、Microsoft はユーザーのサインイン時にユーザーの IP アドレスを収集します。 この IP アドレスは最長 30 日間保管されますが、製品の不正使用または悪意のある使用の可能性を調査するために必要な場合は、さらに長期間保管されることがあります。
Azure リージョンがダウンしている場合、影響を受けるのは、そのリージョン内の Defender EASM のお客様だけです。 他の Azure リージョンのサービスとデータは、アクティブなままになります。
組織が Microsoft のお客様でなくなった場合、Microsoft コンプライアンス フレームワークでは、お客様のすべてのデータが 180 日以内に削除されることが求められます。 このポリシーには、データベース バックアップなどのオフラインの場所に格納されている顧客データが含まれます。 リソースの削除後は、Microsoft チームはリソースを復元できません。 顧客データはその後 75 日間データ ストアに保存されますが、実際のリソースを復元することはできません。 75 日が経過すると、顧客データは完全に削除されます。