Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender Beheer van externe kwetsbaarheden voor aanvallen (Defender EBKA) is afhankelijk van eigen detectietechnologie om continu het unieke internet blootgestelde aanvalsoppervlak van uw organisatie te definiëren. Detectie scant het internet op assets die eigendom zijn van uw organisatie om voorheen onbekende en niet-bewaakte eigenschappen te ontdekken.
Gedetecteerde assets worden geïndexeerd in uw inventaris om een dynamisch recordsysteem van webtoepassingen, afhankelijkheden van derden en webinfrastructuur onder beheer van uw organisatie te bieden via één venster van glas.
Voordat u een aangepaste detectie uitvoert, raadpleegt u Wat is detectie? om de belangrijkste concepten te begrijpen die hier worden besproken.
Toegang tot uw geautomatiseerde aanvalsoppervlak
Microsoft heeft de aanvalsoppervlakken van veel organisaties preventief geconfigureerd en hun eerste kwetsbaarheid voor aanvallen toegewezen door infrastructuur te detecteren die is verbonden met bekende assets.
U wordt aangeraden te zoeken naar de kwetsbaarheid voor aanvallen van uw organisatie voordat u een aangepaste kwetsbaarheid voor aanvallen maakt en andere ontdekkingen uitvoert. Met dit proces hebt u snel toegang tot uw inventaris naarmate Defender EBKA de gegevens vernieuwt en meer assets en recente context toevoegt aan uw aanvalsoppervlak.
Wanneer u uw Defender EBKA instantie voor het eerst opent, selecteert u Aan de slag in de sectie Algemeen om te zoeken naar uw organisatie in de lijst met geautomatiseerde aanvalsoppervlakken. Kies vervolgens uw organisatie in de lijst en selecteer Mijn aanvals-Surface bouwen.
Op dit moment wordt de detectie op de achtergrond uitgevoerd. Als u een vooraf geconfigureerde kwetsbaarheid voor aanvallen hebt geselecteerd in de lijst met beschikbare organisaties, wordt u omgeleid naar het dashboardoverzichtsscherm, waar u inzichten in de infrastructuur van uw organisatie kunt bekijken in de preview-modus.
Bekijk deze dashboardinzichten om vertrouwd te raken met uw aanvalsoppervlak terwijl u wacht tot er meer assets worden gedetecteerd en ingevuld in uw inventaris. Zie Dashboards begrijpen voor meer informatie over het afleiden van inzichten uit deze dashboards.
U kunt aangepaste detecties uitvoeren om uitbijterassets te detecteren. U kunt bijvoorbeeld ontbrekende assets hebben. Of misschien hebt u andere entiteiten om te beheren die mogelijk niet worden gedetecteerd via infrastructuur die duidelijk is gekoppeld aan uw organisatie.
Detectie aanpassen
Aangepaste ontdekkingen zijn ideaal als uw organisatie meer inzicht nodig heeft in de infrastructuur die mogelijk niet direct is gekoppeld aan uw primaire seed-assets. Door een grotere lijst met bekende assets in te dienen die moeten worden gebruikt als detectiezaden, retourneert de detectie-engine een bredere pool met assets. Aangepaste detectie kan uw organisatie ook helpen bij het vinden van verschillende infrastructuur die mogelijk betrekking heeft op onafhankelijke bedrijfsonderdelen en overgenomen bedrijven.
Detectiegroepen
Aangepaste detecties worden ingedeeld in detectiegroepen. Het zijn onafhankelijke seedclusters die bestaan uit één detectie-uitvoering en die volgens hun eigen terugkeerschema's werken. U organiseert uw detectiegroepen om assets af te bakenen op de manier die het beste werkt voor uw bedrijf en werkstromen. Veelvoorkomende opties zijn organiseren door het verantwoordelijke team of de bedrijfseenheid, merken of dochterondernemingen.
Een detectiegroep maken
Selecteer in het linkerdeelvenster onder Beheren de optie Detectie.
Op de pagina Detectie wordt standaard uw lijst met detectiegroepen weergegeven. Deze lijst is leeg wanneer u het platform voor het eerst opent. Als u uw eerste detectie wilt uitvoeren, selecteert u Detectiegroep toevoegen.
Geef de nieuwe detectiegroep een naam en voeg een beschrijving toe. Met het veld Terugkerende frequentie kunt u detectieuitvoeringen voor deze groep plannen door continu te scannen op nieuwe assets die betrekking hebben op de aangewezen zaden. De standaardselectie voor terugkeerpatroon is Wekelijks. We raden deze frequentie aan om ervoor te zorgen dat de assets van uw organisatie regelmatig worden bewaakt en bijgewerkt.
Voor één eenmalige detectieuitvoering selecteert u Nooit. U wordt aangeraden de standaardfrequentie wekelijks te behouden, omdat detectie is ontworpen om continu nieuwe assets te ontdekken die betrekking hebben op uw bekende infrastructuur. U kunt de terugkeerfrequentie later bewerken door de optie Bewerken te selecteren op een pagina met details van de detectiegroep.
Selecteer Volgende: Zaden.
Selecteer de zaden die u wilt gebruiken voor deze detectiegroep. Zaden zijn bekende activa die deel uitmaken van uw organisatie. Het Defender EBKA-platform scant deze entiteiten en wijst hun verbindingen met andere online-infrastructuur toe om uw aanvalsoppervlak te maken. Omdat Defender EBKA is bedoeld om uw aanvalsoppervlak vanuit een extern perspectief te bewaken, kunnen privé-IP-adressen niet worden opgenomen als detectiezaden.
Met de optie Snel aan de slag kunt u zoeken naar uw organisatie in een lijst met vooraf ingevulde aanvalsoppervlakken. U kunt snel een detectiegroep maken op basis van de bekende assets die deel uitmaken van uw organisatie.
U kunt uw zaden ook handmatig invoeren. Defender EBKA accepteert organisatienamen, domeinen, IP-blokken, hosts, e-mailcontactpersonen, ASN's en Whois-organisaties als seed-waarden.
U kunt ook entiteiten opgeven die moeten worden uitgesloten van assetdetectie om ervoor te zorgen dat ze niet worden toegevoegd aan uw inventaris als ze worden gedetecteerd. Uitsluitingen zijn bijvoorbeeld handig voor organisaties die dochterondernemingen hebben die waarschijnlijk zijn verbonden met hun centrale infrastructuur, maar niet tot hun organisatie behoren.
Nadat uw zaden zijn geselecteerd, selecteert u Beoordelen en maken.
Controleer uw groepsinformatie en seed-lijst en selecteer Maken & Uitvoeren.
U gaat terug naar de hoofdpagina detectie waarop uw detectiegroepen worden weergegeven. Nadat de detectie is uitgevoerd, ziet u dat er nieuwe assets zijn toegevoegd aan uw goedgekeurde inventaris.
Detectiegroepen weergeven en bewerken
U kunt uw detectiegroepen beheren vanaf de hoofdpagina Detectie . In de standaardweergave wordt een lijst weergegeven met al uw detectiegroepen en enkele belangrijke gegevens over elke groep. In de lijstweergave ziet u het aantal zaden, het terugkeerschema, de laatste uitvoeringsdatum en de gemaakte datum voor elke groep.
Selecteer een detectiegroep om meer informatie weer te geven, de groep te bewerken of een nieuw detectieproces te starten.
Uitvoeringsgeschiedenis
De pagina met details van de detectiegroep bevat de uitvoeringsgeschiedenis voor de groep. In deze sectie wordt belangrijke informatie weergegeven over elke detectie-uitvoering die is uitgevoerd op de specifieke groep zaden. De kolom Status geeft aan of de uitvoering wordt uitgevoerd, voltooid of mislukt. Deze sectie bevat ook gestarte en voltooide tijdstempels en een telling van alle nieuwe assets die aan uw inventaris zijn toegevoegd na die specifieke detectieuitvoering. Dit aantal omvat alle activa die in de inventaris zijn opgenomen, ongeacht de status van de staat of de factureerbare status.
De uitvoeringsgeschiedenis wordt ingedeeld op basis van de seed-assets die zijn gescand tijdens de detectie-uitvoering. Als u een lijst met de toepasselijke zaden wilt zien, selecteert u Details. Rechts van het scherm wordt een deelvenster geopend met alle zaden en uitsluitingen op soort en naam.
Zaden en uitsluitingen weergeven
De pagina Detectie is standaard ingesteld op een lijstweergave van detectiegroepen, maar u kunt ook lijsten met alle zaden en uitgesloten entiteiten van deze pagina bekijken. Selecteer een van de tabbladen om een lijst weer te geven met alle zaden of uitsluitingen die uw detectiegroepen mogelijk maken.
Zaden
In de lijstweergave seed worden seed-waarden weergegeven met drie kolommen: Type, Bronnaam en Detectiegroepen. In het veld Type wordt de categorie van de seed-asset weergegeven. De meest voorkomende zaden zijn domeinen, hosts en IP-blokken. U kunt ook e-mailcontactpersonen, ASN's, algemene namen van certificaten of Whois-organisaties gebruiken.
De bronnaam is de waarde die is ingevoerd in het juiste typevak toen u de detectiegroep maakte. In de laatste kolom ziet u een lijst met detectiegroepen die gebruikmaken van de seed. Op elke waarde kan worden geklikt en u gaat naar de detailpagina voor die detectiegroep.
Wanneer u zaden invoert, moet u de juiste indeling voor elke vermelding valideren. Wanneer u de detectiegroep opslaat, voert het platform een reeks validatiecontroles uit en wordt u gewaarschuwd voor onjuist geconfigureerde zaden. IP-blokken moeten bijvoorbeeld worden ingevoerd per netwerkadres (bijvoorbeeld het begin van het IP-bereik).
Uitsluitingen
Op dezelfde manier kunt u het tabblad Uitsluitingen selecteren om een lijst weer te geven met entiteiten die zijn uitgesloten van de detectiegroep. Deze activa worden niet gebruikt als detectiezaden en worden niet toegevoegd aan uw inventaris. Uitsluitingen zijn alleen van invloed op toekomstige detectieuitvoeringen voor een afzonderlijke detectiegroep.
In het veld Type wordt de categorie van de uitgesloten entiteit weergegeven. De bronnaam is de waarde die is ingevoerd in het juiste typevak toen u de detectiegroep maakte. In de laatste kolom ziet u een lijst met detectiegroepen waarin deze uitsluiting aanwezig is. Op elke waarde kan worden geklikt en u gaat naar de detailpagina voor die detectiegroep.