Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Defender Beheer van externe kwetsbaarheden voor aanvallen (Defender EBKA) maakt gebruik van eigen detectietechnologie van Microsoft om continu het unieke internet blootgestelde aanvalsoppervlak van uw organisatie te definiëren. Met de detectiefunctie Defender EBKA worden bekende assets gescand die eigendom zijn van uw organisatie om eerder onbekende en niet-bewaakte eigenschappen te ontdekken. Gedetecteerde assets worden geïndexeerd in de inventaris van uw organisatie. Defender EBKA biedt u een dynamisch recordsysteem voor webtoepassingen, afhankelijkheden van derden en een webinfrastructuur onder beheer van uw organisatie in één weergave.
Via het Defender EBKA detectieproces kan uw organisatie proactief de voortdurend verschuivende digitale aanvalslaag bewaken. U kunt opkomende risico's en beleidsschendingen identificeren wanneer deze zich voordoen.
Veel programma's voor beveiligingsproblemen zijn niet zichtbaar buiten de firewall. Ze zijn zich niet bewust van externe risico's en bedreigingen, die de primaire bron van gegevensschendingen zijn.
Tegelijkertijd blijft digitale groei het beveiligingsteam van een onderneming beter beschermen. Digitale initiatieven en de veel voorkomende 'schaduw-IT' leiden tot een groeiende kwetsbaarheid voor aanvallen buiten de firewall. In dit tempo is het bijna onmogelijk om controles, beveiligingen en nalevingsvereisten te valideren.
Zonder Defender EBKA is het bijna onmogelijk om beveiligingsproblemen te identificeren en te verwijderen. Scanners kunnen niet verder dan de firewall komen om de volledige kwetsbaarheid voor aanvallen te beoordelen.
Hoe het werkt
Als u een uitgebreide toewijzing wilt maken van het aanvalsoppervlak van uw organisatie, gebruikt Defender EBKA eerst bekende assets (zaden). Detectiezaden worden recursief gescand om meer entiteiten te detecteren via hun verbindingen met zaden.
Een eerste seed kan een van de volgende soorten webinfrastructuur zijn die door Microsoft worden geïndexeerd:
- Domeinen
- IP-adresblokken
- Hosts
- contactpersonen Email
- Autonome systeemnamen (ASN's)
- Whois-organisaties
Beginnend met een seed detecteert het systeem koppelingen met andere onlineinfrastructuuritems om andere assets te detecteren die uw organisatie bezit. Met dit proces wordt uiteindelijk uw hele aanvalsoppervlakinventaris gemaakt. Het detectieproces gebruikt detectiezaden als centrale knooppunten. Vervolgens vertakt het zich naar buiten naar de periferie van uw aanvalsoppervlak. Het identificeert alle infrastructuuritems die rechtstreeks zijn verbonden met de seed en identificeert vervolgens alle items die betrekking hebben op elk item in de eerste set verbindingen. Het proces wordt herhaald en wordt verlengd totdat het de rand van de beheerverantwoordelijkheid van uw organisatie bereikt.
Als u bijvoorbeeld alle items in de infrastructuur van Contoso wilt detecteren, kunt u het domein , contoso.comgebruiken als het eerste keystone-seed. Te beginnen met deze seed kunnen we de volgende bronnen raadplegen en de volgende relaties afleiden:
| Gegevensbron | Items met mogelijke relaties met Contoso |
|---|---|
| Whois-records | Andere domeinnamen die zijn geregistreerd bij dezelfde contactpersoon-e-mail of registrantorganisatie die is gebruikt om te registreren contoso.com |
| Whois-records | Alle domeinnamen die zijn geregistreerd op een e-mailadres @contoso.com |
| Whois-records | Andere domeinen die zijn gekoppeld aan dezelfde naamserver als contoso.com |
| DNS-records | Alle waargenomen hosts in de domeinen die Contoso bezit, en alle websites die aan deze hosts zijn gekoppeld |
| DNS-records | Domeinen met verschillende hosts, maar die worden omgezet in dezelfde IP-blokken |
| DNS-records | E-mailservers die zijn gekoppeld aan contoso-domeinnamen |
| SSL-certificaten | Alle SSL-certificaten (Secure Sockets Layer) die zijn verbonden met elk van de hosts en eventuele andere hosts die gebruikmaken van dezelfde SSL-certificaten |
| ASN-records | Andere IP-blokken die zijn gekoppeld aan dezelfde ASN als de IP-blokken die zijn verbonden met hosts op de domeinnamen van Contoso, inclusief alle hosts en domeinen die worden omgezet in deze blokken |
Door deze set verbindingen op het eerste niveau te gebruiken, kunnen we snel een geheel nieuwe set assets afleiden om te onderzoeken. Voordat Defender EBKA meer recursies uitvoert, wordt bepaald of een verbinding sterk genoeg is om een gedetecteerde entiteit automatisch toe te voegen als Bevestigde inventaris. Voor elk van deze assets voert het detectiesysteem geautomatiseerde recursieve zoekopdrachten uit op basis van alle beschikbare kenmerken om verbindingen op het tweede en derde niveau te vinden. Dit terugkerende proces biedt meer informatie over de online-infrastructuur van een organisatie en detecteert daarom ongelijksoortige assets die anders mogelijk niet worden gedetecteerd en vervolgens bewaakt.
Geautomatiseerde versus aangepaste aanvalsoppervlakken
Wanneer u Defender EBKA voor het eerst gebruikt, hebt u toegang tot een vooraf samengestelde inventaris voor uw organisatie om snel een kickstart te maken met uw werkstromen. In het deelvenster Aan de slag kan een gebruiker zoeken naar de organisatie om snel zijn inventaris te vullen op basis van assetverbindingen die al zijn geïdentificeerd door Defender EBKA. We raden alle gebruikers aan om te zoeken naar de vooraf gemaakte aanvalsexeventaris van hun organisatie voordat ze een aangepaste inventaris maken.
Om een aangepaste inventaris te maken, kan een gebruiker detectiegroepen maken om de zaden te organiseren en beheren die ze gebruiken wanneer ze detecties uitvoeren. De gebruiker kan afzonderlijke detectiegroepen gebruiken om het detectieproces te automatiseren, de seed-lijst te configureren en terugkerende uitvoeringsschema's in te stellen.
Bevestigde voorraad versus kandidaatactiva
Als de detectie-engine een sterke verbinding detecteert tussen een potentiële asset en de initiële seed, labelt het systeem de asset automatisch met de status Bevestigde inventaris. Als de verbindingen met deze seed iteratief worden gescand en verbindingen op het derde of vierde niveau worden gedetecteerd, neemt het vertrouwen van het systeem in het eigendom van nieuw gedetecteerde assets af. Op dezelfde manier kan het systeem assets detecteren die relevant zijn voor uw organisatie, maar niet rechtstreeks eigendom van u zijn.
Om deze redenen worden nieuw gedetecteerde assets gelabeld met een van de volgende statussen:
| Statusnaam | Beschrijving |
|---|---|
| Goedgekeurde inventaris | Een item dat deel uitmaakt van uw eigen aanvalsoppervlak. Het is een item waarvoor u rechtstreeks verantwoordelijk bent. |
| Afhankelijkheid | Infrastructuur die eigendom is van een derde partij, maar die deel uitmaakt van uw aanvalsoppervlak, omdat deze de werking van uw assets in eigendom rechtstreeks ondersteunt. U kunt bijvoorbeeld afhankelijk zijn van een IT-provider om uw webinhoud te hosten. Het domein, de hostnaam en de pagina's maken deel uit van uw goedgekeurde inventaris, dus misschien wilt u het IP-adres dat de host uitvoert als een afhankelijkheid behandelen. |
| Alleen bewaken | Een asset die relevant is voor uw aanvalsoppervlak, maar niet rechtstreeks wordt beheerd of een technische afhankelijkheid is. Onafhankelijke franchisenemers of activa die deel uitmaken van gerelateerde bedrijven, kunnen bijvoorbeeld het label Alleen bewaken krijgen in plaats van Goedgekeurde voorraad om de groepen te scheiden voor rapportagedoeleinden. |
| Kandidaat | Een asset die een bepaalde relatie heeft met de bekende seed-assets van uw organisatie, maar die niet sterk genoeg is om het onmiddellijk te labelen als Goedgekeurde inventaris. U moet deze kandidaat-assets handmatig controleren om het eigendom te bepalen. |
| Onderzoek vereist | Een status die vergelijkbaar is met de status Kandidaat , maar deze waarde wordt toegepast op assets waarvoor handmatig onderzoek nodig is om te valideren. De status wordt bepaald op basis van onze intern gegenereerde betrouwbaarheidsscores die de sterkte van gedetecteerde verbindingen tussen assets beoordelen. Het geeft niet de exacte relatie van de infrastructuur met de organisatie aan, maar markeert de asset voor meer controle om te bepalen hoe deze moet worden gecategoriseerd. |
Wanneer u assets beoordeelt, raden we u aan te beginnen met assets met het label Onderzoek vereist. Assetdetails worden in de loop van de tijd voortdurend vernieuwd en bijgewerkt om een nauwkeurige kaart van assetstatussen en relaties te behouden en om nieuw gemaakte assets te ontdekken wanneer ze zich voordoen. Het detectieproces wordt beheerd door zaden te plaatsen in detectiegroepen die u op terugkerende basis kunt uitvoeren. Nadat een inventaris is ingevuld, scant het Defender EBKA-systeem voortdurend uw assets met behulp van microsoft-technologie voor virtuele gebruikers om nieuwe, gedetailleerde gegevens over elke asset te ontdekken. Het proces onderzoekt de inhoud en het gedrag van elke pagina op toepasselijke sites om robuuste informatie te bieden die u kunt gebruiken om beveiligingsproblemen, nalevingsproblemen en andere potentiële risico's voor uw organisatie te identificeren.