Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Defender-administrasjon for ekstern angrepsoverflate (Defender-AFEA) bruker Microsofts proprietære oppdagelsesteknologi til kontinuerlig å definere organisasjonens unike angrepsoverflate på Internett. Funksjonen for Defender-AFEA oppdagelse skanner kjente ressurser som eies av organisasjonen, for å avdekke tidligere ukjente og uovervåkede egenskaper. Oppdagede aktiva er indeksert i organisasjonens beholdning. Defender-AFEA gir deg et dynamisk postsystem for nettprogrammer, tredjepartsavhengigheter og nettinfrastruktur under organisasjonens ledelse i én enkelt visning.
Gjennom den Defender-AFEA oppdagelsesprosessen kan organisasjonen proaktivt overvåke den stadig skiftende digitale angrepsoverflaten. Du kan identifisere nye risikoer og brudd på retningslinjene etter hvert som de oppstår.
Mange sårbarhetsprogrammer mangler synlighet utenfor brannmuren. De er ikke klar over eksterne risikoer og trusler, som er den primære kilden til databrudd.
Samtidig fortsetter digital vekst å overgå sikkerhetsteamets evne til å beskytte det. Digitale initiativer og altfor vanlige "skygge IT" fører til en voksende angrepsoverflate utenfor brannmuren. I dette tempoet er det nesten umulig å validere kontroller, beskyttelser og samsvarskrav.
Uten Defender-AFEA er det nesten umulig å identifisere og fjerne sårbarheter, og skannere kan ikke nå utenfor brannmuren for å vurdere hele angrepsoverflaten.
Slik fungerer det
For å opprette en omfattende kartlegging av organisasjonens angrepsoverflate, Defender-AFEA første inntak kjente eiendeler (frø). Oppdagelsesfrø skannes rekursivt for å oppdage flere enheter gjennom sine forbindelser til frø.
Et første frø kan være en hvilken som helst av følgende typer nettinfrastruktur som er indeksert av Microsoft:
- Domener
- IP-adresseblokker
- Verter
- E-postkontakter
- Autonome systemnavn (ASN-er)
- Whois-organisasjoner
Fra og med et frø oppdager systemet tilknytninger til andre nettbaserte infrastrukturelementer for å oppdage andre ressurser som organisasjonen eier. Denne prosessen oppretter til slutt hele beholdningen for angrepsoverflaten. Oppdagelsesprosessen bruker oppdagelsesfrø som sentrale noder. Deretter forgrener den seg utover mot periferien av angrepsoverflaten. Den identifiserer alle infrastrukturelementene som er direkte koblet til frøet, og identifiserer deretter alle elementer som er relatert til hvert element i det første settet med tilkoblinger. Prosessen gjentas og utvides til den når kanten av organisasjonens ledelsesansvar.
Hvis du for eksempel vil oppdage alle elementene i Contosos infrastruktur, kan du bruke domenet, contoso.comsom første sluttstenfrø. Fra og med dette frøet kan vi se følgende kilder og utlede følgende relasjoner:
| Datakilde | Elementer med mulige relasjoner til Contoso |
|---|---|
| Whois-poster | Andre domenenavn registrert i samme kontakt-e-post eller registrantorganisasjon som ble brukt til å registrere contoso.com |
| Whois-poster | Alle domenenavn registrert på en hvilken som helst @contoso.com e-postadresse |
| Whois-poster | Andre domener som er knyttet til samme navneserver som contoso.com |
| DNS-poster | Alle observerte verter på domenene Contoso eier, og alle nettsteder som er knyttet til disse vertene |
| DNS-poster | Domener som har ulike verter, men som løses til de samme IP-blokkene |
| DNS-poster | E-postservere knyttet til Contoso-eide domenenavn |
| SSL-sertifikater | Alle SSL-sertifikater (Secure Sockets Layer) som er koblet til hver av vertene, og andre verter som bruker de samme SSL-sertifikatene |
| ASN-poster | Andre IP-blokker som er knyttet til samme ASN som IP-blokkene som er koblet til verter på Contosos domenenavn, inkludert alle verter og domener som løses til dem |
Ved å bruke dette settet med tilkoblinger på første nivå kan vi raskt utlede et helt nytt sett med ressurser som skal undersøkes. Før Defender-AFEA utfører flere rekursjoner, bestemmer den om en tilkobling er sterk nok til at en oppdaget enhet automatisk legges til som bekreftet beholdning. For hver av disse ressursene kjører oppdagelsessystemet automatiserte, rekursive søk basert på alle tilgjengelige attributter for å finne tilkoblinger på andre nivå og tredje nivå. Denne gjentakende prosessen gir mer informasjon om en organisasjons nettbaserte infrastruktur, og oppdager derfor ulike ressurser som kanskje ellers ikke blir oppdaget og deretter overvåket.
Automatiserte kontra tilpassede angrepsoverflater
Når du bruker Defender-AFEA for første gang, kan du få tilgang til en forhåndsbygd beholdning for organisasjonen for raskt å starte arbeidsflytene. I Komme i gang-ruten kan en bruker søke etter organisasjonen for raskt å fylle ut beholdningen basert på aktivatilkoblinger som allerede er identifisert av Defender-AFEA. Vi anbefaler at alle brukere søker etter organisasjonens forhåndsbygde lagerbeholdning for angrepsoverflaten før de oppretter en egendefinert beholdning.
For å bygge en tilpasset beholdning kan en bruker opprette oppdagelsesgrupper for å organisere og administrere frøene de bruker når de kjører funn. Brukeren kan bruke separate søkegrupper til å automatisere søkeprosessen, konfigurere frølisten og konfigurere regelmessige kjøringsplaner.
Bekreftet beholdning kontra kandidataktiva
Hvis søkemotoren oppdager en sterk forbindelse mellom et potensielt aktivum og det første frøet, vil systemet automatisk merke aktivumet med statusen Bekreftet beholdning. Ettersom forbindelsene til dette frøet skannes iterativt og tilkoblinger på tredje nivå eller fjerde nivå oppdages, reduseres systemets tillit til eierskapet til eventuelle nylig oppdagede ressurser. På samme måte kan systemet oppdage ressurser som er relevante for organisasjonen, men som ikke eies direkte av deg.
Av disse grunnene er nylig oppdagede ressurser merket med én av følgende tilstander:
| Navn på delstat | Beskrivelse |
|---|---|
| Godkjent beholdning | Et element som er en del av din eide angrepsoverflate. Det er et element du er direkte ansvarlig for. |
| Avhengighet | Infrastruktur som eies av en tredjepart, men det er en del av angrepsoverflaten fordi den direkte støtter driften av dine egne eiendeler. Du kan for eksempel være avhengig av en IT-leverandør for å være vert for nettinnholdet. Domenet, vertsnavnet og sidene vil være en del av den godkjente beholdningen, så du vil kanskje behandle IP-adressen som kjører verten som en avhengighet. |
| Bare skjerm | En ressurs som er relevant for angrepsoverflaten, men som ikke er direkte kontrollert eller teknisk avhengighet. Uavhengige franchisetakere eller aktiva som tilhører relaterte firmaer, kan for eksempel merkes som Bare overvåk i stedet for Godkjent beholdning for å skille gruppene for rapporteringsformål. |
| Kandidat | En ressurs som har en viss relasjon til organisasjonens kjente frøressurser, men som ikke har en sterk nok tilkobling til å umiddelbart merke den som godkjent beholdning. Du må gå gjennom disse kandidatressursene manuelt for å bestemme eierskap. |
| Krever undersøkelse | En stat som ligner kandidattilstanden , men denne verdien brukes på ressurser som krever manuell undersøkelse for å validere. Staten bestemmes basert på våre internt genererte konfidensresultater som vurderer styrken av oppdagede forbindelser mellom eiendeler. Det angir ikke infrastrukturens nøyaktige relasjon til organisasjonen, men flagger ressursen for mer gjennomgang for å finne ut hvordan den skal kategoriseres. |
Når du går gjennom aktiva, anbefaler vi at du starter med aktiva merket Krever undersøkelse. Aktivadetaljer oppdateres og oppdateres kontinuerlig over tid for å opprettholde et nøyaktig kart over aktivatilstander og -relasjoner, og for å avdekke nyopprettede ressurser etter hvert som de dukker opp. Oppdagelsesprosessen administreres ved å plassere frø i oppdagelsesgrupper som du kan planlegge å kjøre på tilbakevendende basis. Når en beholdning er fylt ut, skanner Defender-AFEA-systemet kontinuerlig ressursene dine ved hjelp av Microsofts virtuelle brukerteknologi for å avdekke ferske, detaljerte data om hver ressurs. Prosessen undersøker innholdet og virkemåten til hver side på gjeldende nettsteder for å gi robust informasjon som du kan bruke til å identifisere sårbarheter, samsvarsproblemer og andre potensielle risikoer for organisasjonen.