Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender – hantering av extern attackyta (Defender EASM) använder Microsofts egenutvecklade identifieringsteknik för att rekursivt söka efter infrastruktur genom observerade anslutningar till kända legitima tillgångar (identifieringsfrön). Här dras slutsatser om infrastrukturens relation till organisationen för att upptäcka tidigare okända och oövervakade egenskaper.
Defender EASM identifiering innehåller följande typer av tillgångar:
- Domäner
- IP-adressblock
- Värddatorer
- Email kontakter
- Autonomt systemnummer (ASN)
- Whois-organisationer
Dessa tillgångstyper utgör din attackytans inventering i Defender EASM. Lösningen identifierar externt riktade tillgångar som exponeras för det öppna Internet utanför det traditionella brandväggsskyddet. De externa tillgångarna måste övervakas och underhållas för att minimera riskerna och förbättra organisationens säkerhetsstatus. Defender EASM aktivt identifierar och övervakar tillgångarna och visar sedan viktiga insikter som hjälper dig att effektivt åtgärda eventuella säkerhetsrisker i din organisation.
Tillgångstillstånd
Alla tillgångar är märkta med något av följande tillstånd:
| Tillståndsnamn | Beskrivning |
|---|---|
| Godkänd inventering | Ett objekt som är en del av din ägda attackyta. Det är ett objekt som du är direkt ansvarig för. |
| Beroende | Infrastruktur som ägs av en tredje part, men som är en del av din attackyta eftersom den har direkt stöd för driften av dina ägda tillgångar. Du kan till exempel vara beroende av en IT-provider för att vara värd för ditt webbinnehåll. Domänen, värdnamnet och sidorna skulle ingå i din godkända inventering, så du kanske vill behandla IP-adressen som kör värden som ett beroende. |
| Endast övervakare | En tillgång som är relevant för din attackyta, men den är inte direkt kontrollerad eller ett tekniskt beroende. Oberoende franchisetagare eller tillgångar som tillhör relaterade företag kan till exempel märkas som Endast övervakare i stället för Godkänd inventering för att separera grupperna i rapporteringssyfte. |
| Kandidat | En tillgång som har en viss relation till organisationens kända startvärdestillgångar, men som inte har en tillräckligt stark anslutning för att omedelbart märka den som godkänd inventering. Du måste granska dessa kandidattillgångar manuellt för att fastställa ägarskapet. |
| Kräver undersökning | Ett tillstånd som liknar kandidatstaten , men det här värdet tillämpas på tillgångar som kräver manuell undersökning för att validera. Tillståndet bestäms baserat på våra internt genererade förtroendepoäng som utvärderar styrkan hos identifierade anslutningar mellan tillgångar. Det anger inte infrastrukturens exakta relation till organisationen, men den flaggar tillgången för mer granskning för att avgöra hur den ska kategoriseras. |
Hantera olika tillgångstillstånd
Dessa tillgångstillstånd bearbetas och övervakas unikt för att säkerställa att du har tydlig insyn i dina mest kritiska tillgångar som standard. Till exempel representeras tillgångar i tillståndet Godkänd inventering alltid i instrumentpanelsdiagram, och de genomsöks dagligen för att säkerställa dataåterhämtning. Alla andra typer av tillgångar ingår inte i instrumentpanelsdiagram som standard. Men du kan justera dina lagerfilter för att visa tillgångar i olika tillstånd efter behov. På samma sätt genomsöks kandidatstatens tillgångar endast under identifieringsprocessen. Om dessa typer av tillgångar ägs av din organisation är det viktigt att granska dessa tillgångar och ändra deras tillstånd till Godkänd inventering.
Spåra lagerändringar
Din attackyta förändras ständigt. Defender EASM kontinuerligt analyserar och uppdaterar ditt lager för att säkerställa noggrannhet. Tillgångar läggs ofta till och tas bort från lagret, så det är viktigt att spåra dessa ändringar för att förstå din attackyta och identifiera viktiga trender. Instrumentpanelen för inventeringsändringar ger en översikt över dessa ändringar. Du kan enkelt visa antalet "tillagda" och "borttagna" för varje tillgångstyp. Du kan filtrera instrumentpanelen efter två datumintervall: antingen de senaste 7 dagarna eller de senaste 30 dagarna. En mer detaljerad vy över lagerändringar finns i avsnittet Ändringar efter datum på instrumentpanelen.
