Oversikt over aktivaendring

Denne artikkelen beskriver hvordan du endrer lagerressurser. Du kan endre tilstanden til et aktivum, tilordne en ekstern ID eller bruke etiketter for å gi kontekst og bruke lagerdata. Du kan også merke CVE-er og andre observasjoner som ikke aktuelt for å fjerne dem fra de rapporterte tellingene. Du kan også fjerne aktiva fra beholdningen samtidig basert på metoden de oppdages med. Brukere kan for eksempel fjerne et frø fra en søkegruppe og velge å fjerne eventuelle ressurser som oppdages gjennom en tilkobling til dette frøet. Denne artikkelen beskriver alle endringsalternativer som er tilgjengelige i Defender-AFEA, og beskriver hvordan du oppdaterer aktiva og sporer eventuelle oppdateringer med Oppgavebehandling.

Etikettressurser

Etiketter hjelper deg med å organisere angrepsoverflaten og bruke forretningskontekst på en tilpassbar måte. Du kan bruke en hvilken som helst tekstetikett på et delsett av aktiva for å gruppere aktiva og gjøre bedre bruk av beholdningen. Kunder kategoriserer vanligvis ressurser som:

  • Har nylig kommet under organisasjonens eierskap gjennom en fusjon eller oppkjøp.
  • Krev samsvarsovervåking.
  • Eies av en bestemt forretningsenhet i organisasjonen.
  • Påvirkes av et spesifikt sikkerhetsproblem som krever begrensning.
  • Relater til et bestemt merke som eies av organisasjonen.
  • Ble lagt til i beholdningen innenfor et bestemt tidsintervall.

Etiketter er frihåndstekstfelt, slik at du kan opprette en etikett for alle brukstilfeller som gjelder for organisasjonen.

Skjermbilde som viser en listevisning for beholdningen med en filtrert etikettkolonne.

Endre tilstanden til et aktivum

Brukere kan også endre tilstanden til et aktivum. Delstater bidrar til å kategorisere beholdningen basert på deres rolle i organisasjonen. Brukere kan bytte mellom følgende tilstander:

  • Godkjent beholdning: En del av din eide angrepsoverflate; et element du er direkte ansvarlig for.
  • Avhengighet: Infrastruktur som eies av en tredjepart, men er en del av angrepsoverflaten fordi den direkte støtter driften av dine egne ressurser. Du kan for eksempel være avhengig av en IT-leverandør for å være vert for nettinnholdet. Selv om domenet, vertsnavnet og sidene vil være en del av «Godkjent beholdning», vil du kanskje behandle IP-adressen som kjører verten som en «avhengighet».
  • Bare overvåk: En ressurs som er relevant for angrepsoverflaten, men som ikke er direkte kontrollert av organisasjonen eller en teknisk avhengighet. Uavhengige franchisetakere eller aktiva som tilhører relaterte selskaper, kan for eksempel være merket som «Bare overvåk» i stedet for «Godkjent beholdning» for å skille gruppene for rapporteringsformål.
  • Kandidat: En ressurs som har en viss relasjon til organisasjonens kjente frøressurser, men som ikke har en sterk nok forbindelse til å umiddelbart merke den som «Godkjent beholdning». Disse kandidataktivaene må gjennomgås manuelt for å bestemme eierskap.
  • Krever undersøkelse: En tilstand som ligner på «Kandidat»-tilstandene, men denne verdien brukes på ressurser som krever manuell undersøkelse for å validere. Dette bestemmes basert på våre internt genererte konfidensresultater som vurderer styrken til oppdagede tilkoblinger mellom aktiva. Det angir ikke infrastrukturens nøyaktige relasjon til organisasjonen så mye som det angir at denne ressursen ble flagget som å kreve ekstra gjennomgang for å finne ut hvordan den skal kategoriseres.

Bruke en Ekstern ID

Brukere kan også bruke en ekstern ID på et aktivum. Denne handlingen er nyttig i situasjoner der du bruker flere løsninger for sporing av aktiva, utbedringsaktiviteter eller eierskapsovervåking. hvis du ser eksterne ID-er i Defender-AFEA kan du justere denne ulike aktivainformasjonen. Ekstern ID verdier kan være numeriske eller alfanumeriske og må angis i tekstformat. Eksterne IDer vises også i aktivadetaljer-delen.

Merk observasjon som ikke aktuelt

Mange Defender-AFEA instrumentbord har CVE-data som gjør deg oppmerksom på potensielle sårbarheter basert på infrastrukturen for nettkomponenten som driver angrepsoverflaten. CvE-er er for eksempel oppført på sammendragsinstrumentbordet for Attack overflate, kategorisert etter potensiell alvorlighetsgrad. Når du undersøker disse CV-ene, kan du finne ut at noen ikke er relevante for organisasjonen. Dette kan skyldes at du kjører en uimpaktert versjon av nettkomponenten, eller at organisasjonen har ulike tekniske løsninger på plass for å beskytte deg mot dette bestemte sikkerhetsproblemet.

Fra neddrillingsvisningen for et CVE-relatert diagram, ved siden av knappen Last ned CSV-rapport, har du nå muligheten til å angi en observasjon som ikke aktuell. Når du klikker denne verdien, rutes du til en lagerliste over alle aktiva som er knyttet til denne observasjonen, og du kan deretter velge å merke alle observasjoner som ikke aktuelt fra denne siden. Den faktiske endringen utføres enten fra lagerlistevisningen eller fra siden Aktivadetaljer for et bestemt aktivum.

Skjermbilde av neddrillingsvisning for instrumentbord med knappen Marker observasjon som ikke-applicable uthevet.

Slik endrer du aktiva

Du kan endre aktiva både fra sidene for lagerlister og aktivadetaljer. Du kan gjøre endringer i ett enkelt aktivum fra ressursdetaljer-siden. Du kan gjøre endringer i ett enkelt aktivum eller flere aktiva fra lagerlistesiden. Avsnittene nedenfor beskriver hvordan du bruker endringer fra de to lagervisningene, avhengig av brukstilfellet.

Lagerlisteside

Du bør endre aktiva fra lagerlistesiden hvis du vil oppdatere flere aktiva samtidig. Du kan begrense aktivalisten basert på filterparametere. Denne prosessen hjelper deg med å identifisere ressurser som skal kategoriseres med etiketten, den eksterne ID-en eller tilstandsendringen du vil bruke. Slik endrer du aktiva fra denne siden:

  1. Velg Beholdning i ruten lengst til venstre i Microsoft Defender-administrasjon for ekstern angrepsoverflate -ressursen (Defender-AFEA).

  2. Bruk filtre for å produsere de tiltenkte resultatene. I dette eksemplet ser vi etter domener som utløper innen 30 dager som krever fornyelse. Den brukte etiketten hjelper deg med raskere tilgang til eventuelle utløpende domener for å forenkle utbedringsprosessen. Du kan bruke så mange filtre som nødvendig for å få de spesifikke resultatene som kreves. Hvis du vil ha mer informasjon om filtre, kan du se Oversikt over lagerfiltre. For forekomster der du vil merke CVE-er som ikke aktuelt, gir den relevante neddrillingen for instrumentborddiagram en kobling som distribuerer deg direkte til denne lagersiden med de riktige filtrene.

    Skjermbilde som viser listevisningen for beholdningen med rullegardinlisten Legg til filter åpnet for å vise redigeringsprogrammet for spørring.

  3. Når lagerlisten er filtrert, velger du rullegardinlisten ved siden av aktivatabelloverskriften. Denne rullegardinlisten gir deg muligheten til å velge alle resultatene som samsvarer med spørringen eller resultatene på den bestemte siden (opptil 25). Alternativet Ingen fjerner alle aktiva. Du kan også velge å velge bare bestemte resultater på siden ved å velge de individuelle merkene ved siden av hvert aktivum.

    Skjermbilde som viser beholdningslistevisningen med rullegardinlisten for massevalg åpnet.

  4. Velg Endre ressurser.

    Skjermbilde som viser de tilgjengelige endringsalternativene.

  5. I ruten Endre aktiva som åpnes på høyre side av skjermen, kan du raskt endre ulike felt for de valgte ressursene. I dette eksemplet oppretter du en ny etikett. Velg Opprett en ny etikett.

  6. Bestem etikettnavnet og vis tekstverdier. Etikettnavnet kan ikke endres etter at du først har opprettet etiketten, men visningsteksten kan redigeres senere. Etikettnavnet brukes til å spørre etter etiketten i produktgrensesnittet eller via API, så redigeringer deaktiveres for å sikre at disse spørringene fungerer som de skal. Hvis du vil redigere et etikettnavn, må du slette den opprinnelige etiketten og opprette et nytt.

    Velg en farge for den nye etiketten, og velg Legg til. Denne handlingen tar deg tilbake til endre aktiva-skjermen .

    Skjermbilde som viser Legg til etikett-ruten som viser konfigurasjonsfeltene.

  7. Bruk den nye etiketten på aktivaene. Klikk i tekstboksen Legg til etiketter for å vise en fullstendig liste over tilgjengelige etiketter. Du kan også skrive inn i boksen for å søke etter nøkkelord. Når du har valgt etikettene du vil bruke, velger du Oppdater.

    Skjermbilde som viser Endre aktiva-ruten med den nyopprettede etiketten.

  8. Tillat at etikettene brukes litt. Når prosessen er fullført, ser du et «Fullført»-varsel. Siden oppdateres automatisk og viser aktivalisten med etikettene synlige. Et banner øverst på skjermen bekrefter at etikettene ble brukt.

    Skjermbilde som viser beholdningslistevisningen med de valgte ressursene som nå viser den nye etiketten.

Ressursdetaljer-siden

Du kan også endre ett enkelt aktivum fra ressursdetaljersiden. Dette alternativet er ideelt for situasjoner der aktiva må gjennomgås grundig før en etikett- eller tilstandsendring brukes.

  1. Velg Beholdning i ruten lengst til venstre i Defender-AFEA-ressursen.

  2. Velg det bestemte aktivumet du vil endre, for å åpne siden for aktivadetaljer.

  3. Velg Endre aktiva på denne siden.

    Skjermbilde som viser ressursdetaljer-siden med Knappen Endre aktiva uthevet.

  4. Følg trinn 5 til 7 i delen «Lagerlisteside».

  5. Ressursdetaljer-siden oppdateres og viser den nylig brukte etikett- eller tilstandsendringen. Et banner angir at aktivumet ble oppdatert.

Endre, fjerne eller slette etiketter

Brukere kan fjerne en etikett fra et aktivum ved å få tilgang til den samme Endre aktiva-ruten fra visningen for lagerliste- eller aktivadetaljer. Fra beholdningslistevisningen kan du velge flere aktiva samtidig og deretter legge til eller fjerne den ønskede etiketten i én handling.

Slik endrer du selve etiketten eller sletter en etikett fra systemet:

  1. Velg Etiketter (forhåndsvisning) i ruten lengst til venstre i Defender-AFEA-ressursen.

    Skjermbilde som viser Siden Etiketter (forhåndsvisning) som aktiverer etikettbehandling.

    Denne siden viser alle etikettene i Defender-AFEA-beholdningen. Etiketter på denne siden kan finnes i systemet, men ikke aktivt brukes på noen ressurser. Du kan også legge til nye etiketter fra denne siden.

  2. Hvis du vil redigere en etikett, velger du blyantikonet i Handlinger-kolonnen på etiketten du vil redigere. En rute åpnes på høyre side av skjermen, der du kan endre navnet eller fargen på en etikett. Velg Oppdater.

  3. Hvis du vil fjerne en etikett, velger du papirkurvikonet fra Handlinger-kolonnen på etiketten du vil slette. Velg Fjern etikett.

    Skjermbilde som viser alternativet Bekreft fjerning på siden for behandling av etiketter.

Etiketter-siden oppdateres automatisk. Etiketten fjernes fra listen og fjernes også fra eventuelle aktiva som hadde etiketten brukt. Et banner bekrefter fjerningen.

Merk observasjoner som ikke aktuelt

Selv om observasjoner kan merkes som ikke aktuelt fra de samme "Endre aktiva"-skjermene for andre manuelle endringer, kan du også foreta disse oppdateringene fra Observasjoner-fanen i Aktivadetaljer. Observasjoner-fanen inneholder to tabeller: Observasjoner og ikke-appliable observasjoner. Alle aktive observasjoner som er fastslått å være "nylige" i angrepsoverflaten, er i observasjonstabellen, mens tabellen ikke-gjeldende observasjoner viser eventuelle observasjoner som ble manuelt merket som ikke-gjeldende eller ble bestemt av systemet for ikke lenger å være gjeldende. Hvis du vil merke observasjoner som ikke-gjeldende og derfor utelate den bestemte observasjonen fra instrumentbordantall, velger du ganske enkelt de ønskede observasjonene og klikker På «Angi som ikke aktuelt». Disse observasjonene forsvinner umiddelbart fra den aktive observasjonstabellen og vises i stedet i tabellen "Ikke-gjeldende observasjoner". Du kan tilbakestille denne endringen når som helst ved å velge de relevante observasjonene fra denne tabellen og velge «Angi som aktuelt».

Skjermbilde som viser Observasjoner-fanen med flere CVE-er valgt som ikke aktuelt.

Oppgavebehandling og varsler

Når en oppgave er sendt, bekrefter et varsel at oppdateringen pågår. Velg varselikonet (bjelle) fra en hvilken som helst side i Azure for å se mer informasjon om nylige oppgaver.

Skjermbilde som viser varselet om innsendte oppgaver. Skjermbilde som viser Varslinger-ruten som viser nylig aktivitetsstatus.

Det Defender-AFEA systemet kan ta sekunder å oppdatere en håndfull ressurser eller minutter for å oppdatere tusenvis. Du kan bruke Oppgavebehandling til å kontrollere statusen for eventuelle endrede aktiviteter som pågår. Denne delen beskriver hvordan du får tilgang til Oppgavebehandling og bruker den for å bedre forstå fullføringen av innsendte oppdateringer.

  1. Velg Aktivitetsbehandling i ruten lengst til venstre i Defender-AFEA ressursen.

    Skjermbilde som viser Oppgavebehandling-siden med riktig inndeling i navigasjonsruten uthevet.

  2. Denne siden viser alle nylig brukte oppgaver og status. Oppgaver er oppført som Fullført, Mislykket eller Pågår. En fullføringsprosent og fremdriftsindikator vises også. Hvis du vil se flere detaljer om en bestemt oppgave, velger du oppgavenavnet. En rute åpnes på høyre side av skjermen som gir mer informasjon.

  3. Velg Oppdater for å se den nyeste statusen for alle elementene i Oppgavebehandling.

Filter for etiketter

Når du har merket aktiva i beholdningen, kan du bruke lagerfiltre til å hente en liste over alle aktiva med en bestemt etikett.

  1. Velg Beholdning i ruten lengst til venstre i Defender-AFEA-ressursen.

  2. Velg Legg til filter.

  3. Velg Etiketter fra rullegardinlisten Filter . Velg en operator, og velg en etikett fra rullegardinlisten med alternativer. Følgende eksempel viser hvordan du søker etter én enkelt etikett. Du kan bruke In-operatoren til å søke etter flere etiketter. Hvis du vil ha mer informasjon om filtre, kan du se oversikten over lagerfiltre.

    Skjermbilde som viser redigeringsprogrammet for spørring som brukes til å bruke filtre, som viser Etiketter-filteret med mulige etikettverdier i en rullegardinliste.

  4. Velg Bruk. Lagerlistesiden laster inn på nytt og viser alle aktiva som samsvarer med vilkårene dine.

Kapitalkjedebasert administrasjon

I noen tilfeller ønsker du kanskje å fjerne flere ressurser samtidig basert på hvilke midler de ble oppdaget med. Du kan for eksempel fastslå at et bestemt frø i en oppdagelsesgruppe henter inn ressurser som ikke er relevante for organisasjonen, eller du må kanskje fjerne ressurser som er relatert til et datterselskap som ikke lenger er under din purview. På grunn av dette gir Defender-AFEA muligheten til å fjerne kildeenheten og eventuelle aktiva «nedstrøms» i oppdagelseskjeden. Du kan slette koblede ressurser med følgende tre metoder:

  • Seed-basert administrasjon: brukere kan slette et frø som en gang ble inkludert i en søkegruppe, og fjerne alle ressurser som ble introdusert til beholdningen gjennom en observert tilkobling til det angitte frøet. Denne metoden er nyttig når du kan fastslå at et bestemt inndatafrø manuelt resulterte i at uønskede ressurser ble lagt til i beholdningen.
  • Administrasjon av oppdagelseskjede: Brukere kan identifisere en ressurs i en oppdagelseskjede og slette den, samtidig som de fjerner alle ressurser som oppdages av denne enheten. Oppdagelse er en rekursiv prosess; den skanner frø for å identifisere nye eiendeler direkte knyttet til disse utpekte frøene, og fortsetter deretter å skanne de nyoppdagede enhetene for å avsløre flere forbindelser. Denne slettingstilnærmingen er nyttig når søkegruppen er riktig konfigurert, men du må fjerne et nylig oppdaget aktivum og eventuelle aktiva som hentes inn i beholdningen ved tilknytning til denne enheten. Vurder dine oppdagelsesgruppeinnstillinger og utpekte frø til å være "toppen" av oppdagelseskjeden; med denne slettingstilnærmingen kan du fjerne ressurser fra midten.
  • Administrasjon av søkegruppe: Brukere kan fjerne hele oppdagingsgrupper og alle aktiva som ble introdusert på lageret gjennom denne søkegruppen. Dette er nyttig når en hel søkegruppe ikke lenger gjelder for organisasjonen. Du kan for eksempel ha en søkegruppe som spesifikt søker etter ressurser relatert til et datterselskap. Hvis dette datterselskapet ikke lenger er relevant for organisasjonen, kan du dra nytte av aktivakjedebasert administrasjon for å slette alle aktiva som hentes inn i beholdningen gjennom denne søkegruppen.

Du kan fortsatt vise fjernet aktiva i Defender-AFEA. Filtrer bare beholdningslisten etter aktiva i arkivert tilstand.

Seedbasert sletting

Du kan bestemme deg for at en av dine opprinnelig utpekte oppdagelsesfrø ikke lenger skal inkluderes i en oppdagelsesgruppe. Frøet er kanskje ikke lenger relevant for organisasjonen, eller det kan føre til mer falske positiver enn legitime eide eiendeler. I denne situasjonen kan du fjerne frøet fra søkegruppen for å hindre at det brukes i fremtidige oppdagingskjøringer samtidig som du fjerner ressurser som har blitt levert til lageret, gjennom det angitte frøet tidligere.

Hvis du vil utføre en massefjerning basert på et frø, kan du rute til riktig detaljside for søkegruppe og klikke Rediger søkegruppe. Følg instruksjonene for å nå Seeds-siden, og fjern det problematiske frøet fra listen. Når du velger «Se gjennom + Oppdater», ser du en advarsel som indikerer at alle aktiva som oppdages gjennom det angitte frøet, også vil bli fjernet. Velg Oppdater eller Oppdater & Kjør for å fullføre slettingen.

Skjermbilde som viser Rediger søkegruppe-siden med en advarsel som indikerer fjerning av et frø og eventuelle ressurser som oppdages gjennom det frøet.

Oppdagelseskjedebasert sletting

I eksemplet nedenfor kan du se for deg at du har oppdaget et usikkert påloggingsskjema på instrumentbordet for Attack overflate Summary. Undersøkelsen ruter deg til en vert som ikke ser ut til å være eid av organisasjonen. Du kan se detaljsiden for aktiva hvis du vil ha mer informasjon. Når du ser gjennom Discovery-kjeden, får du vite at verten ble tatt med på lager fordi det tilsvarende domenet ble registrert ved hjelp av en ansatts firma-e-postadresse som også ble brukt til å registrere godkjente forretningsenheter.

Skjermbilde som viser aktivadetaljer-siden med delen Oppdagelseskjede uthevet.

I denne situasjonen er det første oppdagelsesfrøet (bedriftsdomenet) fortsatt legitimt, så vi må i stedet fjerne en problematisk ressurs fra oppdagelseskjeden. Selv om vi kunne utføre kjedeslettingen fra kontakt-e-posten, velger vi i stedet å fjerne alt som er knyttet til det personlige domenet som er registrert til denne ansatte, slik at Defender-AFEA varsler oss om eventuelle andre domener som er registrert til denne e-postadressen i fremtiden. Velg dette personlige domenet fra søkekjeden for å vise ressursdetaljersiden. Fra denne visningen velger du «Fjern fra søkekjede» for å fjerne aktivaet fra beholdningen, samt alle aktiva som hentes på lager på grunn av en observert tilkobling til det personlige domenet. Du må bekrefte fjerningen av aktivumet og alle nedstrøms aktiva og deretter presenteres med en oppsummert liste over de andre ressursene som fjernes med denne handlingen. Velg «Fjern oppdagelseskjede» for å bekrefte massefjerningen.

Skjermbilde som viser boksen som ber brukerne om å bekrefte fjerningen av gjeldende aktiva og alle nedstrøms aktiva, med et sammendrag av de andre ressursene som fjernes med denne handlingen.

Sletting av søkegruppe

Det kan hende du må slette og hele søkegruppen og alle ressursene som ble oppdaget gjennom gruppen. Firmaet kan for eksempel ha solgt et datterselskap som ikke lenger må overvåkes. Brukere kan slette søkegrupper fra siden for søkingsbehandling. Hvis du vil fjerne en søkegruppe og alle relaterte ressurser, velger du papirkurvikonet ved siden av den aktuelle gruppen i listen. Du får en advarsel som viser et sammendrag av ressursene som vil bli fjernet med denne handlingen. Slik bekrefter du slettingen av søkegruppen: og alle relaterte ressurser, velg Fjern søkegruppe.

Skjermbilde som viser siden for søkingsbehandling, med advarselsboksen som vises etter at du har valgt å slette en gruppe uthevet.

Neste trinn

  • Last updated on