Overzicht van wijziging van activa

In dit artikel wordt beschreven hoe u inventarisassets wijzigt. U kunt de status van een asset wijzigen, een externe id toewijzen of labels toepassen om context te bieden en inventarisgegevens te gebruiken. U kunt ook CVE's en andere waarnemingen markeren als niet-van toepassing om ze te verwijderen uit uw gerapporteerde tellingen. U kunt ook assets bulksgewijs uit hun inventaris verwijderen op basis van de methode waarmee ze worden gedetecteerd. Gebruikers kunnen bijvoorbeeld een seed uit een detectiegroep verwijderen en ervoor kiezen om alle assets te verwijderen die worden gedetecteerd via een verbinding met deze seed. In dit artikel worden alle wijzigingsopties beschreven die beschikbaar zijn in Defender EBKA en wordt beschreven hoe u assets bijwerkt en eventuele updates bijhoudt met Taakbeheer.

Assets labelen

Labels helpen u bij het organiseren van uw aanvalsoppervlak en het toepassen van bedrijfscontext op een aanpasbare manier. U kunt elk tekstlabel toepassen op een subset van assets om assets te groeperen en beter gebruik te maken van uw inventaris. Klanten categoriseren assets die:

  • Onlangs eigendom van uw organisatie zijn gekomen door een fusie of overname.
  • Nalevingsbewaking vereisen.
  • Eigendom zijn van een specifieke bedrijfseenheid in hun organisatie.
  • Worden beïnvloed door een specifiek beveiligingsprobleem waarvoor beperking is vereist.
  • Betrekking hebben op een bepaald merk dat eigendom is van de organisatie.
  • Zijn binnen een bepaald tijdsbereik toegevoegd aan uw inventaris.

Labels zijn vrije formuliertekstvelden, zodat u een label kunt maken voor elke use-case die van toepassing is op uw organisatie.

Schermopname van een voorraadlijstweergave met een gefilterde kolom Labels.

De status van een asset wijzigen

Gebruikers kunnen ook de status van een asset wijzigen. Statussen helpen bij het categoriseren van uw inventaris op basis van hun rol in uw organisatie. Gebruikers kunnen schakelen tussen de volgende statussen:

  • Goedgekeurde inventaris: een deel van uw eigen aanvalsoppervlak; een item waarvoor u rechtstreeks verantwoordelijk bent.
  • Afhankelijkheid: infrastructuur die eigendom is van een derde partij, maar maakt deel uit van uw aanvalsoppervlak omdat deze rechtstreeks ondersteuning biedt voor de werking van uw eigen assets. U kunt bijvoorbeeld afhankelijk zijn van een IT-provider om uw webinhoud te hosten. Hoewel het domein, de hostnaam en de pagina's deel uitmaken van uw 'Goedgekeurde inventaris', kunt u het IP-adres waarop de host wordt uitgevoerd, behandelen als een 'afhankelijkheid'.
  • Alleen bewaken: een asset die relevant is voor uw aanvalsoppervlak, maar niet rechtstreeks wordt beheerd door uw organisatie, noch een technische afhankelijkheid. Onafhankelijke franchisenemers of activa van gerelateerde bedrijven kunnen bijvoorbeeld worden gelabeld als 'Alleen bewaken' in plaats van 'Goedgekeurde inventaris' om de groepen te scheiden voor rapportagedoeleinden.
  • Kandidaat: een asset die een bepaalde relatie heeft met de bekende seed-assets van uw organisatie, maar niet sterk genoeg is om het onmiddellijk te labelen als 'Goedgekeurde inventaris'. Deze kandidaat-assets moeten handmatig worden beoordeeld om het eigendom te bepalen.
  • Vereist onderzoek: een status die vergelijkbaar is met de status 'Kandidaat', maar deze waarde wordt toegepast op assets waarvoor handmatig onderzoek moet worden uitgevoerd om te valideren. Dit wordt bepaald op basis van onze intern gegenereerde betrouwbaarheidsscores die de sterkte van gedetecteerde verbindingen tussen assets beoordelen. Het geeft niet zozeer de exacte relatie van de infrastructuur met de organisatie aan, maar geeft aan dat deze asset is gemarkeerd als extra controle om te bepalen hoe deze moet worden gecategoriseerd.

Een Externe id toepassen

Gebruikers kunnen ook een externe id toepassen op een asset. Deze actie is nuttig in situaties waarin u meerdere oplossingen gebruikt voor het bijhouden van activa, herstelactiviteiten of eigendomscontrole; Als u externe id's in Defender EBKA ziet, kunt u deze ongelijksoortige assetgegevens uitlijnen. Externe id waarden kunnen numeriek of alfanumerisch zijn en moeten in tekstindeling worden ingevoerd. Externe id's worden ook weergegeven in de sectie Assetdetails.

Observatie markeren als niet-van toepassing

Veel Defender EBKA dashboards bevatten CVE-gegevens, waardoor u zich kunt richten op mogelijke beveiligingsproblemen op basis van de infrastructuur van het webonderdeel die uw aanvalsoppervlak aandookt. CVE's worden bijvoorbeeld weergegeven op het overzichtsdashboard van aanvalsoppervlak, gecategoriseerd op hun mogelijke ernst. Wanneer u deze CVE's onderzoekt, kunt u vaststellen dat sommige niet relevant zijn voor uw organisatie. Dit kan zijn omdat u een niet-betrokken versie van het webonderdeel uitvoert of omdat uw organisatie verschillende technische oplossingen heeft om u te beschermen tegen dat specifieke beveiligingsprobleem.

Vanuit de drilldownweergave van een CVE-gerelateerde grafiek, naast de knop CSV-rapport downloaden, hebt u nu de optie om een waarneming in te stellen als niet-van toepassing. Als u op deze waarde klikt, gaat u naar een inventarislijst met alle activa die aan die observatie zijn gekoppeld. Vervolgens kunt u ervoor kiezen om alle waarnemingen op deze pagina als niet-van toepassing te markeren. De werkelijke wijziging wordt uitgevoerd vanuit de weergave Inventarislijst of vanaf de pagina Activadetails voor een bepaald activum.

Schermopname van de inzoomweergave van het dashboard met de knop 'Observatie markeren als niet-toe te passen' gemarkeerd.

Assets wijzigen

U kunt assets wijzigen op de pagina's met inventarislijst en assetdetails. U kunt wijzigingen aanbrengen in één asset vanaf de pagina met assetdetails. U kunt wijzigingen aanbrengen in één asset of meerdere assets vanaf de pagina met de inventarislijst. In de volgende secties wordt beschreven hoe u wijzigingen van de twee inventarisweergaven toepast, afhankelijk van uw gebruiksscenario.

Pagina Inventarislijst

U moet assets wijzigen vanaf de inventarislijstpagina als u meerdere assets tegelijk wilt bijwerken. U kunt uw lijst met activa verfijnen op basis van filterparameters. Met dit proces kunt u assets identificeren die moeten worden gecategoriseerd met het gewenste label, de externe id of de statuswijziging. Assets van deze pagina wijzigen:

  1. Selecteer Inventaris in het meest linkse deelvenster van uw Microsoft Defender Beheer van externe kwetsbaarheden voor aanvallen (Defender EBKA).

  2. Pas filters toe om de beoogde resultaten te produceren. In dit voorbeeld zoeken we domeinen die binnen 30 dagen verlopen en waarvoor verlenging is vereist. Het toegepaste label helpt u sneller toegang te krijgen tot verlopende domeinen om het herstelproces te vereenvoudigen. U kunt zoveel filters toepassen als nodig is om de specifieke resultaten te verkrijgen die nodig zijn. Zie Overzicht van voorraadfilters voor meer informatie over filters. Voor gevallen waarin u CVE's wilt markeren als niet-van toepassing, biedt de relevante inzoom op dashboardgrafieken een koppeling waarmee u rechtstreeks naar deze inventarispagina wordt geleid, waarop de juiste filters zijn toegepast.

    Schermopname van de inventarislijstweergave met de vervolgkeuzelijst Filter toevoegen geopend om de query-editor weer te geven.

  3. Nadat uw inventarislijst is gefilterd, schakelt u de vervolgkeuzelijst in op het selectievakje naast de kop van de tabel Asset . In deze vervolgkeuzelijst kunt u alle resultaten selecteren die overeenkomen met uw query of de resultaten op die specifieke pagina (maximaal 25). Met de optie Geen worden alle assets gewist. U kunt er ook voor kiezen om alleen specifieke resultaten op de pagina te selecteren door de afzonderlijke vinkjes naast elke asset te selecteren.

    Schermopname van de inventarislijstweergave met de vervolgkeuzelijst voor bulkselectie geopend.

  4. Selecteer Assets wijzigen.

    Schermopname van de beschikbare aanpassingsopties.

  5. In het deelvenster Assets wijzigen dat aan de rechterkant van het scherm wordt geopend, kunt u snel verschillende velden voor de geselecteerde assets wijzigen. In dit voorbeeld maakt u een nieuw label. Selecteer Een nieuw label maken.

  6. Bepaal de labelnaam en weergavetekstwaarden. De labelnaam kan niet worden gewijzigd nadat u het label in eerste instantie hebt gemaakt, maar de weergavetekst kan op een later tijdstip worden bewerkt. De labelnaam wordt gebruikt om een query uit te voeren op het label in de productinterface of via de API, zodat bewerkingen worden uitgeschakeld om ervoor te zorgen dat deze query's correct werken. Als u een labelnaam wilt bewerken, moet u het oorspronkelijke label verwijderen en een nieuw label maken.

    Selecteer een kleur voor het nieuwe label en selecteer Toevoegen. Met deze actie gaat u terug naar het scherm Assets wijzigen .

    Schermopname van het deelvenster Label toevoegen met de configuratievelden.

  7. Pas uw nieuwe label toe op de assets. Klik in het tekstvak Labels toevoegen om een volledige lijst met beschikbare labels weer te geven. U kunt ook typen in het vak om te zoeken op trefwoord. Nadat u de labels hebt geselecteerd die u wilt toepassen, selecteert u Bijwerken.

    Schermopname van het deelvenster Asset wijzigen met het zojuist gemaakte label toegepast.

  8. Het is even duren voordat de labels worden toegepast. Nadat het proces is voltooid, ziet u de melding Voltooid. De pagina wordt automatisch vernieuwd en uw lijst met assets wordt weergegeven met de labels zichtbaar. Een banner boven aan het scherm bevestigt dat uw labels zijn toegepast.

    Schermopname van de inventarislijstweergave met de geselecteerde assets die nu het nieuwe label weergeven.

Pagina Met details van activa

U kunt ook één asset wijzigen op de pagina met assetdetails. Deze optie is ideaal voor situaties waarin assets grondig moeten worden gecontroleerd voordat een label of statuswijziging wordt toegepast.

  1. Selecteer Inventaris in het meest linkse deelvenster van uw Defender EBKA resource.

  2. Selecteer de specifieke asset die u wilt wijzigen om de pagina met assetdetails te openen.

  3. Selecteer op deze pagina Asset wijzigen.

    Schermopname van de pagina assetdetails met de knop Asset wijzigen gemarkeerd.

  4. Volg stap 5 tot en met 7 in de sectie 'Inventarislijstpagina'.

  5. De pagina met assetdetails wordt vernieuwd en het zojuist toegepaste label of statuswijziging weergegeven. Een banner geeft aan dat de asset is bijgewerkt.

Labels wijzigen, verwijderen of verwijderen

Gebruikers kunnen een label uit een asset verwijderen door hetzelfde deelvenster Asset wijzigen te openen vanuit de weergave inventarislijst of assetdetails. In de voorraadlijstweergave kunt u meerdere assets tegelijk selecteren en vervolgens het gewenste label in één actie toevoegen of verwijderen.

Het label zelf wijzigen of een label uit het systeem verwijderen:

  1. Selecteer labels (preview) in het meest linkse deelvenster van uw Defender EBKA resource.

    Schermopname van de pagina Labels (preview) met labelbeheer.

    Op deze pagina worden alle labels in uw Defender EBKA inventaris weergegeven. Labels op deze pagina bestaan mogelijk in het systeem, maar worden niet actief toegepast op assets. U kunt ook nieuwe labels toevoegen vanaf deze pagina.

  2. Als u een label wilt bewerken, selecteert u het potloodpictogram in de kolom Acties van het label dat u wilt bewerken. Aan de rechterkant van het scherm wordt een deelvenster geopend waarin u de naam of kleur van een label kunt wijzigen. Selecteer Bijwerken.

  3. Als u een label wilt verwijderen, selecteert u het prullenbakpictogram in de kolom Acties van het label dat u wilt verwijderen. Selecteer Label verwijderen.

    Schermopname van de optie Verwijderen bevestigen op de pagina Labelsbeheer.

De pagina Labels wordt automatisch vernieuwd. Het label wordt verwijderd uit de lijst en ook verwijderd uit alle assets waarop het label is toegepast. Een banner bevestigt de verwijdering.

Opmerkingen markeren als niet-van toepassing

Hoewel waarnemingen kunnen worden gemarkeerd als niet-van toepassing op dezelfde schermen voor het wijzigen van assets voor andere handmatige wijzigingen, kunt u deze updates ook uitvoeren via het tabblad Waarnemingen in Assetdetails. Het tabblad Observaties bevat twee tabellen: Observaties en Niet-bruikbare waarnemingen. Alle actieve waarnemingen die zijn vastgesteld als 'recent' in uw aanvalsoppervlak, bevinden zich in de tabel Observaties, terwijl de tabel Niet van toepassing zijnde waarnemingen alle waarnemingen vermeldt die handmatig zijn gemarkeerd als niet-van toepassing of die door het systeem zijn vastgesteld dat ze niet meer van toepassing zijn. Als u waarnemingen wilt markeren als niet-van toepassing en daarom die specifieke waarneming wilt uitsluiten van het aantal dashboards, selecteert u de gewenste waarnemingen en klikt u op Instellen als niet van toepassing. Deze waarnemingen verdwijnen onmiddellijk uit de actieve observatietabel en worden in plaats daarvan weergegeven in de tabel Niet-toepasselijke waarnemingen. U kunt deze wijziging op elk gewenst moment ongedaan maken door de relevante waarnemingen in deze tabel te selecteren en 'Instellen als van toepassing' te selecteren.

Schermopname van het tabblad Observaties met meerdere CDE's geselecteerd om te worden gemarkeerd als niet-van toepassing.

Taakbeheer en meldingen

Nadat een taak is verzonden, wordt met een melding bevestigd dat de update wordt uitgevoerd. Selecteer op een pagina in Azure het meldingspictogram (bel) voor meer informatie over recente taken.

Schermopname van de door de taak verzonden melding. Schermopname van het deelvenster Meldingen met de recente taakstatus.

Het Defender EBKA-systeem kan seconden duren voordat een handvol assets of minuten duizenden bijwerkt. U kunt Taakbeheer gebruiken om de status te controleren van eventuele bewerkingstaken die worden uitgevoerd. In deze sectie wordt beschreven hoe u taakbeheer kunt openen en gebruiken om meer inzicht te krijgen in de voltooiing van ingediende updates.

  1. Selecteer Taakbeheer in het meest linkse deelvenster van uw Defender EBKA resource.

    Schermopname van de pagina Taakbeheer met de juiste sectie in het navigatiedeelvenster gemarkeerd.

  2. Op deze pagina worden al uw recente taken en hun status weergegeven. Taken worden weergegeven als Voltooid, Mislukt of Wordt uitgevoerd. Er worden ook een voltooiingspercentage en voortgangsbalk weergegeven. Als u meer informatie over een specifieke taak wilt zien, selecteert u de taaknaam. Aan de rechterkant van het scherm wordt een deelvenster geopend met meer informatie.

  3. Selecteer Vernieuwen om de meest recente status van alle items in Taakbeheer weer te geven.

Filteren op labels

Nadat u assets in uw inventaris hebt gelabeld, kunt u voorraadfilters gebruiken om een lijst op te halen van alle assets waarop een specifiek label is toegepast.

  1. Selecteer Inventaris in het meest linkse deelvenster van uw Defender EBKA resource.

  2. Selecteer Filter toevoegen.

  3. Selecteer Labels in de vervolgkeuzelijst Filter . Selecteer een operator en kies een label in de vervolgkeuzelijst met opties. In het volgende voorbeeld ziet u hoe u zoekt naar één label. U kunt de operator In gebruiken om te zoeken naar meerdere labels. Zie het overzicht van voorraadfilters voor meer informatie over filters.

    Schermopname van de query-editor die wordt gebruikt om filters toe te passen, met het filter Labels met mogelijke labelwaarden in een vervolgkeuzelijst.

  4. Selecteer Toepassen. De inventarislijstpagina laadt opnieuw en geeft alle assets weer die aan uw criteria voldoen.

Beheer op basis van assetketens

In sommige gevallen wilt u mogelijk meerdere assets tegelijk verwijderen op basis van de middelen waarmee ze zijn gedetecteerd. U kunt bijvoorbeeld bepalen dat een bepaalde seed binnen een detectiegroep assets heeft opgehaald die niet relevant zijn voor uw organisatie, of mogelijk moet u assets verwijderen die betrekking hebben op een dochteronderneming die niet meer onder uw bevoegdheid valt. Daarom biedt Defender EBKA de mogelijkheid om de bronentiteit en eventuele assets 'downstream' in de detectieketen te verwijderen. U kunt gekoppelde assets verwijderen met de volgende drie methoden:

  • Seed-gebaseerd beheer: gebruikers kunnen een seed verwijderen dat ooit is opgenomen in een detectiegroep, waarbij alle assets worden verwijderd die in de inventaris zijn geïntroduceerd via een waargenomen verbinding met het opgegeven seed. Deze methode is handig wanneer u kunt vaststellen dat een specifiek handmatig ingevoerd seed heeft geleid tot ongewenste assets die aan de inventaris zijn toegevoegd.
  • Beheer van detectieketens: gebruikers kunnen een asset in een detectieketen identificeren en verwijderen, waarbij alle assets worden verwijderd die door die entiteit zijn gedetecteerd. Detectie is een recursief proces; het scant zaden om nieuwe assets te identificeren die rechtstreeks zijn gekoppeld aan deze aangewezen zaden, en blijft vervolgens de zojuist gedetecteerde entiteiten scannen om meer verbindingen te onthullen. Deze verwijderingsbenadering is handig wanneer uw detectiegroep correct is geconfigureerd, maar u een nieuw gedetecteerd activum en alle assets moet verwijderen die door koppeling naar die entiteit in de inventaris zijn opgenomen. Beschouw de instellingen van uw detectiegroep en aangewezen zaden als de 'top' van uw detectieketen; met deze verwijderingsbenadering kunt u assets uit het midden verwijderen.
  • Beheer van detectiegroepen: gebruikers kunnen volledige detectiegroepen en alle assets verwijderen die via deze detectiegroep in de inventaris zijn geïntroduceerd. Dit is handig wanneer een volledige detectiegroep niet meer van toepassing is op uw organisatie. U hebt bijvoorbeeld een detectiegroep die specifiek zoekt naar assets die betrekking hebben op een dochteronderneming. Als deze dochteronderneming niet meer relevant is voor uw organisatie, kunt u gebruikmaken van beheer op basis van assetketens om alle assets te verwijderen die via die detectiegroep in de inventaris zijn opgenomen.

U kunt nog steeds verwijderde assets in Defender EBKA weergeven. Filter uw inventarislijst op assets met de status 'Gearchiveerd'.

Verwijdering op basis van seed

U kunt besluiten dat een van de in eerste instantie aangewezen detectiezaden niet meer moet worden opgenomen in een detectiegroep. De seed is mogelijk niet langer relevant voor uw organisatie of het kan meer fout-positieven opleveren dan legitieme activa in eigendom. In deze situatie kunt u het seed verwijderen uit uw detectiegroep om te voorkomen dat het wordt gebruikt in toekomstige detectie-uitvoeringen, terwijl u tegelijkertijd alle assets verwijdert die in het verleden via het aangewezen seed naar de inventaris zijn gebracht.

Als u een bulksgewijs wilt verwijderen op basis van een seed, gaat u naar de juiste pagina met details van de detectiegroep en klikt u op 'Detectiegroep bewerken'. Volg de aanwijzingen om naar de pagina Zaden te gaan en het problematische zaadje uit de lijst te verwijderen. Wanneer u 'Controleren en bijwerken' selecteert, ziet u een waarschuwing die aangeeft dat alle assets die zijn gedetecteerd via de aangewezen seed ook worden verwijderd. Selecteer 'Update' of 'Update & Run' om het verwijderen te voltooien.

Schermopname van de pagina Detectiegroep bewerken met een waarschuwing die aangeeft dat een seed en eventuele assets die via dat seed zijn gedetecteerd, zijn verwijderd.

Verwijdering op basis van detectieketens

Stel dat u in het volgende voorbeeld een onveilig aanmeldingsformulier hebt gedetecteerd op het dashboard Van het Surface-aanvalsoverzicht. Uw onderzoek leidt u naar een host die geen eigendom lijkt te zijn van uw organisatie. U bekijkt de pagina met assetdetails voor meer informatie; wanneer u de detectieketen bekijkt, ziet u dat de host in de inventaris is geplaatst omdat het bijbehorende domein is geregistreerd met het zakelijke e-mailadres van een werknemer dat ook is gebruikt om goedgekeurde bedrijfsentiteiten te registreren.

Schermopname van de pagina Assetdetails met de sectie Detectieketen gemarkeerd.

In deze situatie is het eerste detectie-seed (het bedrijfsdomein) nog steeds legitiem, dus moeten we in plaats daarvan een problematische asset uit de detectieketen verwijderen. Hoewel we de keten kunnen verwijderen uit het e-mailadres van de contactpersoon, kiezen we er in plaats daarvan voor om alles te verwijderen dat is gekoppeld aan het persoonlijke domein dat is geregistreerd bij deze werknemer, zodat Defender EBKA ons in de toekomst waarschuwt voor eventuele andere domeinen die zijn geregistreerd bij dat e-mailadres. Selecteer in de detectieketen dit persoonlijke domein om de pagina met assetgegevens weer te geven. Selecteer in deze weergave 'Verwijderen uit detectieketen' om de asset uit uw inventaris te verwijderen, evenals alle assets die in de inventaris zijn opgenomen vanwege een waargenomen verbinding met het persoonlijke domein. U moet het verwijderen van de asset en alle downstream-assets bevestigen en vervolgens een overzichtslijst krijgen van de andere assets die met deze actie worden verwijderd. Selecteer Detectieketen verwijderen om het bulksgewijs verwijderen te bevestigen.

Schermopname van het vak waarin gebruikers wordt gevraagd om het verwijderen van de huidige asset en alle downstream-assets te bevestigen, met een overzicht van de andere assets die met deze actie worden verwijderd.

Detectiegroep verwijderen

Mogelijk moet u de volledige detectiegroep en alle assets die via de groep zijn gedetecteerd, verwijderen. Uw bedrijf kan bijvoorbeeld een dochteronderneming hebben verkocht die niet meer hoeft te worden bewaakt. Gebruikers kunnen detectiegroepen verwijderen van de pagina Detectiebeheer. Als u een detectiegroep en alle gerelateerde assets wilt verwijderen, selecteert u het prullenbakpictogram naast de juiste groep in de lijst. U ontvangt een waarschuwing met een overzicht van de assets die met deze actie worden verwijderd. Om de verwijdering van de detectiegroep te bevestigen; en alle gerelateerde assets selecteert u 'Detectiegroep verwijderen'.

Schermopname van de pagina Detectiebeheer, met het waarschuwingsvak dat wordt weergegeven nadat u ervoor hebt gekozen om een groep te verwijderen gemarkeerd.

Volgende stappen

  • Last updated on