Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Gestão da superfície de ataques externos do Microsoft Defender (GSAE do Defender) utiliza a tecnologia de deteção proprietária da Microsoft para definir continuamente a superfície de ataque exclusiva exposta à Internet da sua organização. A funcionalidade de deteção GSAE do Defender analisa os recursos conhecidos que pertencem à sua organização para descobrir propriedades anteriormente desconhecidas e não monitorizadas. Os recursos detetados são indexados no inventário da sua organização. GSAE do Defender fornece um sistema de registo dinâmico para aplicações Web, dependências de terceiros e infraestrutura Web sob a gestão da sua organização numa única vista.
Através do processo de deteção GSAE do Defender, a sua organização pode monitorizar proativamente a superfície de ataque digital em constante mudança. Pode identificar riscos emergentes e violações de políticas à medida que surgem.
Muitos programas de vulnerabilidade não têm visibilidade fora da firewall. Desconhecem riscos e ameaças externos, que são a principal origem de violações de dados.
Ao mesmo tempo, o crescimento digital continua a ultrapassar a capacidade de proteção de uma equipa de segurança empresarial. As iniciativas digitais e a "TI sombra" excessivamente comum levam a uma superfície de ataque em expansão fora da firewall. A este ritmo, é quase impossível validar controlos, proteções e requisitos de conformidade.
Sem GSAE do Defender, é quase impossível identificar e remover vulnerabilidades e os scanners não podem ir além da firewall para avaliar a superfície de ataque completa.
Como funciona
Para criar um mapeamento abrangente da superfície de ataque da sua organização, GSAE do Defender primeiras entradas de recursos conhecidos (sementes). As sementes de descoberta são digitalizadas recursivamente para descobrir mais entidades através das suas ligações às sementes.
Uma semente inicial pode ser qualquer um dos seguintes tipos de infraestrutura Web indexadas pela Microsoft:
- Domínios
- Blocos de endereços IP
- Anfitriões
- Email contactos
- Nomes de sistema autónomo (ASNs)
- Organizações Whois
A partir de uma semente, o sistema deteta associações a outros itens de infraestrutura online para descobrir outros recursos que a sua organização possui. Este processo, em última análise, cria todo o inventário da superfície de ataque. O processo de deteção utiliza sementes de deteção como nós centrais. Em seguida, ramifica-se para fora em direção à periferia da superfície de ataque. Identifica todos os itens de infraestrutura que estão diretamente ligados à semente e, em seguida, identifica todos os itens relacionados com cada item no primeiro conjunto de ligações. O processo repete-se e prolonga-se até atingir o limite da responsabilidade de gestão da sua organização.
Por exemplo, para detetar todos os itens na infraestrutura da Contoso, pode utilizar o domínio, contoso.com, como a semente de chave-chave inicial. A partir desta semente, podemos consultar as seguintes origens e obter as seguintes relações:
| Origem de dados | Itens com relações possíveis com a Contoso |
|---|---|
| Registos Whois | Outros nomes de domínio registados no mesmo e-mail de contacto ou organização de registo que foi utilizada para registar contoso.com |
| Registos Whois | Todos os nomes de domínio registados em qualquer @contoso.com endereço de e-mail |
| Registos Whois | Outros domínios associados ao mesmo servidor de nomes que contoso.com |
| Registos DNS | Todos os anfitriões observados nos domínios que a Contoso possui e quaisquer sites associados a esses anfitriões |
| Registos DNS | Domínios que têm anfitriões diferentes, mas que são resolvidos para os mesmos blocos IP |
| Registos DNS | Servidores de correio associados a nomes de domínio pertencentes à Contoso |
| Certificados SSL | Todos os certificados SSL (Secure Sockets Layer) que estão ligados a cada um dos anfitriões e quaisquer outros anfitriões que utilizem os mesmos certificados SSL |
| Registos ASN | Outros blocos IP associados ao mesmo ASN que os blocos IP que estão ligados a anfitriões nos nomes de domínio da Contoso, incluindo todos os anfitriões e domínios que são resolvidos para os mesmos |
Ao utilizar este conjunto de ligações de primeiro nível, podemos obter rapidamente um conjunto totalmente novo de recursos para investigar. Antes de GSAE do Defender efetuar mais recursões, determina se uma ligação é suficientemente forte para que uma entidade detetada seja adicionada automaticamente como Inventário Confirmado. Para cada um destes recursos, o sistema de deteção executa pesquisas automatizadas e recursivas com base em todos os atributos disponíveis para encontrar ligações de segundo nível e de terceiro nível. Este processo repetitivo fornece mais informações sobre a infraestrutura online de uma organização e, por conseguinte, deteta recursos diferentes que podem não ser detetados e depois monitorizados.
Superfícies de ataque automatizadas vs. personalizadas
Quando utiliza GSAE do Defender pela primeira vez, pode aceder a um inventário pré-criado para a sua organização iniciar rapidamente os seus fluxos de trabalho. No painel Introdução, um utilizador pode procurar a organização para preencher rapidamente o inventário com base nas ligações de recursos já identificadas pelo GSAE do Defender. Recomendamos que todos os utilizadores procurem o inventário de superfície de ataque pré-criado da organização antes de criarem um inventário personalizado.
Para criar um inventário personalizado, um utilizador pode criar grupos de deteção para organizar e gerir as sementes que utiliza quando executa deteções. O utilizador pode utilizar grupos de deteção separados para automatizar o processo de deteção, configurar a lista de sementes e configurar agendas de execução recorrentes.
Inventário confirmado vs. recursos candidatos
Se o motor de deteção detetar uma ligação forte entre um potencial ativo e a semente inicial, o sistema etiqueta automaticamente o elemento com o estado Inventário Confirmado. À medida que as ligações a esta semente são analisadas iterativamente e as ligações de terceiro nível ou de quarto nível são detetadas, a confiança do sistema na propriedade de quaisquer recursos recentemente detetados diminui. Da mesma forma, o sistema pode detetar recursos relevantes para a sua organização, mas que não pertencem diretamente a si.
Por estes motivos, os recursos recém-detetados estão etiquetados com um dos seguintes estados:
| Nome do estado | Descrição |
|---|---|
| Inventário Aprovado | Um item que faz parte da sua superfície de ataque. É um item pelo qual é diretamente responsável. |
| Dependência | A infraestrutura que pertence a terceiros, mas que faz parte da superfície de ataque, porque suporta diretamente o funcionamento dos seus bens. Por exemplo, pode depender de um fornecedor de TI para alojar o seu conteúdo Web. O domínio, o nome do anfitrião e as páginas fariam parte do inventário aprovado, pelo que poderá querer tratar o endereço IP que executa o anfitrião como uma dependência. |
| Monitorizar Apenas | Um recurso relevante para a superfície de ataque, mas que não é controlado diretamente ou uma dependência técnica. Por exemplo, os franchisados independentes ou os ativos que pertencem a empresas relacionadas podem ser identificados como Apenas Monitor em vez de Inventário Aprovado para separar os grupos para fins de relatórios. |
| Candidato | Um recurso que tem alguma relação com os recursos de sementes conhecidos da sua organização, mas que não tem uma ligação suficientemente forte para o etiquetar imediatamente como Inventário Aprovado. Tem de rever manualmente estes recursos candidatos para determinar a propriedade. |
| Requer Investigação | Um estado semelhante ao estado Candidato , mas este valor é aplicado a recursos que requerem investigação manual para validar. O estado é determinado com base nas nossas classificações de confiança geradas internamente que avaliam a força das ligações detetadas entre recursos. Não indica a relação exata da infraestrutura com a organização, mas sinaliza o recurso para uma análise mais detalhada para determinar como deve ser categorizado. |
Quando rever recursos, recomendamos que comece com os recursos identificados como Requer Investigação. Os detalhes dos recursos são atualizados e atualizados continuamente ao longo do tempo para manter um mapa preciso de estados e relações de ativos e para descobrir recursos criados recentemente à medida que surgem. O processo de deteção é gerido ao colocar sementes em grupos de deteção que pode agendar para execução em simultâneo. Depois de um inventário ser preenchido, o sistema de GSAE do Defender analisa continuamente os seus recursos através da tecnologia de utilizador virtual da Microsoft para descobrir dados novos e detalhados sobre cada recurso. O processo examina o conteúdo e o comportamento de cada página nos sites aplicáveis para fornecer informações robustas que pode utilizar para identificar vulnerabilidades, problemas de conformidade e outros riscos potenciais para a sua organização.