Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Vereisten
Voordat u deze zelfstudie voltooit, raadpleegt u de artikelen Wat is detectie? en Detectie gebruiken en beheren om inzicht te hebben in de belangrijkste concepten die in dit artikel worden genoemd.
Toegang tot uw geautomatiseerde aanvalsoppervlak
Microsoft heeft de aanvalsoppervlakken van veel organisaties preventief geconfigureerd en hun eerste kwetsbaarheid voor aanvallen toegewezen door infrastructuur te detecteren die is verbonden met bekende assets. We raden alle gebruikers aan om te zoeken naar de kwetsbaarheid voor aanvallen van hun organisatie voordat ze een aangepaste kwetsbaarheid voor aanvallen maken en andere ontdekkingen uitvoeren. Met dit proces kunnen gebruikers snel toegang krijgen tot hun inventaris terwijl Defender EBKA de gegevens vernieuwt, waardoor meer assets en recente context aan je Attack Surface worden toegevoegd.
Wanneer u uw Defender EBKA instantie voor het eerst opent, selecteert u Aan de slag in de sectie Algemeen om te zoeken naar uw organisatie in de lijst met geautomatiseerde aanvalsoppervlakken.
Selecteer vervolgens uw organisatie in de lijst en klik op Mijn aanvals-Surface bouwen.
Op dit moment wordt de detectie op de achtergrond uitgevoerd. Als u een vooraf geconfigureerde Attack Surface hebt geselecteerd in de lijst met beschikbare organisaties, wordt u omgeleid naar het scherm Dashboardoverzicht, waar u inzichten kunt bekijken in de infrastructuur van uw organisatie in de preview-modus. Bekijk deze dashboardinzichten om vertrouwd te raken met je Attack Surface terwijl je wacht tot er meer assets zijn gedetecteerd en ingevuld in je inventaris. Lees het artikel Informatie over dashboards voor meer informatie over het afleiden van inzichten uit deze dashboards.
Als u ontbrekende assets ziet of andere entiteiten hebt die mogelijk niet worden gedetecteerd via infrastructuur die duidelijk is gekoppeld aan uw organisatie, kunt u ervoor kiezen om aangepaste detecties uit te voeren om deze uitbijterassets te detecteren.
Detectie aanpassen
Aangepaste ontdekkingen zijn ideaal voor organisaties die meer inzicht nodig hebben in de infrastructuur die mogelijk niet onmiddellijk is gekoppeld aan hun primaire seed-assets. Door een grotere lijst met bekende assets in te dienen die moeten worden gebruikt als detectiezaden, retourneert de detectie-engine een bredere pool met assets. Met aangepaste detectie kunnen organisaties ook verschillende infrastructuur vinden die mogelijk betrekking heeft op onafhankelijke bedrijfseenheden en overgenomen bedrijven.
Detectiegroepen
Aangepaste detecties worden ingedeeld in detectiegroepen. Het zijn onafhankelijke seedclusters die bestaan uit één detectie-uitvoering en die volgens hun eigen terugkeerschema's werken. Gebruikers kunnen ervoor kiezen om hun detectiegroepen te organiseren om assets af te bakenen op de manier die het beste van hun bedrijf en werkstromen is. Algemene opties zijn onder andere organiseren op verantwoordelijk team/bedrijfsonderdeel, merken of dochterondernemingen.
Een detectiegroep maken
Selecteer het deelvenster Detectie onder de sectie Beheren in de linkernavigatiekolom.
Op deze detectiepagina wordt standaard uw lijst met detectiegroepen weergegeven. Deze lijst is leeg wanneer u het platform voor het eerst opent. Als u uw eerste detectie wilt uitvoeren, klikt u op Detectiegroep toevoegen.
Geef eerst de nieuwe detectiegroep een naam en voeg een beschrijving toe. Met het veld Terugkerende frequentie kunt u detectieuitvoeringen voor deze groep plannen, waarbij u continu zoekt naar nieuwe assets met betrekking tot de aangewezen zaden. De standaardselectie voor terugkeerpatroon is Wekelijks; Microsoft raadt deze frequentie aan om ervoor te zorgen dat de assets van uw organisatie regelmatig worden bewaakt en bijgewerkt. Voor één eenmalige detectieuitvoering selecteert u Nooit. We raden gebruikers echter aan de standaardfrequentie wekelijks te behouden en in plaats daarvan historische bewaking binnen hun instellingen voor de detectiegroep uit te schakelen als ze later besluiten om terugkerende detectieuitvoeringen te stoppen.
Selecteer Volgende: Zaden >
Selecteer vervolgens de zaden die u wilt gebruiken voor deze detectiegroep. Zaden zijn bekende activa die deel uitmaken van uw organisatie; het Defender EBKA-platform scant deze entiteiten en worden hun verbindingen met andere online-infrastructuur toegewezen om uw Aanvals-Surface te maken.
Met de optie Snel aan de slag kunt u zoeken naar uw organisatie in een lijst met vooraf ingevulde aanvalsoppervlakken. U kunt snel een detectiegroep maken op basis van de bekende assets die deel uitmaken van uw organisatie.
Gebruikers kunnen hun zaden ook handmatig invoeren. Defender EBKA accepteert domeinen, IP-blokken, hosts, e-mailcontactpersonen, ASN's en WhoIs-organisaties als seed-waarden. U kunt ook entiteiten opgeven die moeten worden uitgesloten van assetdetectie om ervoor te zorgen dat ze niet worden toegevoegd aan uw inventaris als ze worden gedetecteerd. Dit is bijvoorbeeld handig voor organisaties die dochterondernemingen hebben die waarschijnlijk zijn verbonden met hun centrale infrastructuur, maar niet tot uw organisatie behoren.
Zodra u uw zaden hebt geselecteerd, selecteert u Beoordelen en maken.
Controleer uw groepsinformatie en seed-lijst en selecteer vervolgens Maken & Uitvoeren.
Vervolgens gaat u terug naar de hoofdpagina detectie waarop uw detectiegroepen worden weergegeven. Zodra de detectie is uitgevoerd, kunt u zien dat er nieuwe assets zijn toegevoegd aan uw goedgekeurde inventaris.