Använda och hantera identifiering

Microsoft Defender – hantering av extern attackyta (Defender EASM) förlitar sig på egenutvecklad identifieringsteknik för att kontinuerligt definiera organisationens unika internetexponerade attackyta. Identifiering söker igenom Internet efter tillgångar som ägs av din organisation för att upptäcka tidigare okända och oövervakade egenskaper.

Identifierade tillgångar indexeras i din inventering för att tillhandahålla ett dynamiskt system för registrering av webbprogram, tredjepartsberoenden och webbinfrastruktur under organisationens hantering via en enda fönsterruta.

Innan du kör en anpassad identifiering kan du läsa Vad är identifiering? för att förstå de viktiga begrepp som beskrivs här.

Få åtkomst till din automatiska attackyta

Microsoft har i förebyggande syfte konfigurerat attackytorna i många organisationer och mappat deras första attackyta genom att identifiera infrastruktur som är ansluten till kända tillgångar.

Vi rekommenderar att du söker efter organisationens attackyta innan du skapar en anpassad attackyta och kör andra identifieringar. Den här processen gör att du snabbt kan komma åt ditt lager när Defender EASM uppdaterar data och lägger till fler tillgångar och den senaste kontexten till din attackyta.

När du först kommer åt din Defender EASM instans väljer du Komma igång i avsnittet Allmänt för att söka efter din organisation i listan över automatiska attackytor. Välj sedan din organisation i listan och välj Skapa min attackyta.

Skärmbild som visar en förkonfigurerad skärm för val av attackyta.

Nu körs identifieringen i bakgrunden. Om du har valt en förkonfigurerad attackyta i listan över tillgängliga organisationer omdirigeras du till instrumentpanelens översiktsskärm där du kan visa insikter om organisationens infrastruktur i förhandsgranskningsläge.

Granska de här instrumentpanelsinsikterna för att bekanta dig med din attackyta medan du väntar på att fler tillgångar ska identifieras och fyllas i i inventeringen. Mer information om hur du härleder insikter från dessa instrumentpaneler finns i Förstå instrumentpaneler.

Du kan köra anpassade identifieringar för att identifiera avvikande tillgångar. Du kanske till exempel saknar tillgångar. Eller så kanske du har andra entiteter att hantera som kanske inte identifieras via infrastruktur som är tydligt länkad till din organisation.

Anpassa identifiering

Anpassade identifieringar är idealiska om din organisation kräver djupare insyn i infrastrukturen som kanske inte omedelbart länkas till dina primära startvärdestillgångar. Genom att skicka en större lista över kända tillgångar som ska fungera som identifieringsfrön returnerar identifieringsmotorn en bredare pool med tillgångar. Anpassad identifiering kan också hjälpa din organisation att hitta olika infrastrukturer som kan relatera till oberoende affärsenheter och förvärvade företag.

Identifieringsgrupper

Anpassade identifieringar är ordnade i identifieringsgrupper. De är oberoende startkluster som utgör en enda identifieringskörning och fungerar enligt sina egna upprepningsscheman. Du organiserar dina identifieringsgrupper för att definiera tillgångar på det sätt som bäst gynnar ditt företag och dina arbetsflöden. Vanliga alternativ är att organisera av ansvarigt team eller affärsenhet, varumärken eller dotterbolag.

Skapa en identifieringsgrupp

  1. I den vänstra rutan under Hantera väljer du Identifiering.

    Skärmbild som visar en Defender EASM instans på översiktssidan med avsnittet Hantera markerat.

  2. På sidan Identifiering visas din lista över identifieringsgrupper som standard. Den här listan är tom när du först kommer åt plattformen. Om du vill köra din första identifiering väljer du Lägg till identifieringsgrupp.

    Skärmbild som visar identifieringsskärmen med Lägg till identifieringsgrupp markerad.

  3. Ge den nya identifieringsgruppen ett namn och lägg till en beskrivning. Med fältet Återkommande frekvens kan du schemalägga identifieringskörningar för den här gruppen genom att kontinuerligt söka efter nya tillgångar relaterade till de avsedda fröna. Standardvalet för upprepning är Varje vecka. Vi rekommenderar den här kadensen för att säkerställa att organisationens tillgångar övervakas och uppdateras rutinmässigt.

    För en enda engångsidentifieringskörning väljer du Aldrig. Vi rekommenderar att du behåller standardtaktet Weekly eftersom identifieringen är utformad för att kontinuerligt identifiera nya tillgångar som är relaterade till din kända infrastruktur. Du kan redigera upprepningsfrekvensen senare genom att välja alternativet "Redigera" från valfri informationssida för identifieringsgrupp.

  4. Välj Nästa: Frön.

    Skärmbild som visar den första sidan i konfigurationen av identifieringsgruppen.

  5. Välj de frön som du vill använda för den här identifieringsgruppen. Frön är kända tillgångar som tillhör din organisation. Den Defender EASM plattformen genomsöker dessa entiteter och mappar deras anslutningar till annan onlineinfrastruktur för att skapa din attackyta. Eftersom Defender EASM är avsedd att övervaka din attackyta från ett externt perspektiv kan privata IP-adresser inte inkluderas som identifieringsfrön.

    Skärmbild som visar startsidan för identifieringsgruppens konfiguration.

    Med alternativet Snabbstart kan du söka efter din organisation i en lista över förifyllda attackytor. Du kan snabbt skapa en identifieringsgrupp baserat på de kända tillgångar som tillhör din organisation.

    Skärmbild som visar utdata från sidan för val av förbakad attackyta i en startlista.

    Skärmbild som visar sidan för val av förbakad attackyta.

    Alternativt kan du manuellt mata in dina frön. Defender EASM accepterar organisationsnamn, domäner, IP-block, värdar, e-postkontakter, ASN och Whois-organisationer som startvärden.

    Du kan också ange entiteter som ska undantas från tillgångsidentifiering för att säkerställa att de inte läggs till i inventeringen om de identifieras. Undantag är till exempel användbara för organisationer som har dotterbolag som sannolikt kommer att anslutas till sin centrala infrastruktur, men som inte tillhör deras organisation.

    När dina frön har valts väljer du Granska + skapa.

  6. Granska gruppinformationen och startlistan och välj Skapa & Kör.

    Skärmbild som visar skärmen Granska + skapa.

    Du kommer tillbaka till huvudsidan för identifiering som visar dina identifieringsgrupper. När identifieringskörningen är klar ser du att nya tillgångar har lagts till i den godkända inventeringen.

Visa och redigera identifieringsgrupper

Du kan hantera dina identifieringsgrupper från huvudsidan för identifiering . Standardvyn visar en lista över alla dina identifieringsgrupper och några viktiga data om var och en. Från listvyn kan du se antalet frön, upprepningsschema, senaste körningsdatum och skapat datum för varje grupp.

Skärmbild som visar skärmen för identifieringsgrupper.

Välj en identifieringsgrupp om du vill visa mer information, redigera gruppen eller starta en ny identifieringsprocess.

Körningshistorik

Informationssidan för identifieringsgruppen innehåller körningshistoriken för gruppen. Det här avsnittet visar viktig information om varje identifieringskörning som utfördes på den specifika gruppen med frön. Kolumnen Status anger om körningen är Pågående, Slutförd eller Misslyckad. Det här avsnittet innehåller även tidsstämplar som startats och slutförts och antalet nya tillgångar som lagts till i inventeringen efter den specifika identifieringskörningen. Det här antalet inkluderar alla tillgångar som förs in i lagret, oavsett status för tillstånd eller fakturerbar status.

Körningshistoriken organiseras av de startvärdestillgångar som genomsöktes under identifieringskörningen. Om du vill se en lista över tillämpliga frön väljer du Information. Ett fönster öppnas till höger på skärmen som visar en lista över alla frön och undantag efter typ och namn.

Skärmbild som visar körningshistoriken för identifieringsgruppens skärm.

Visa frön och undantag

Identifieringssidan är som standard en listvy över identifieringsgrupper, men du kan också visa listor över alla frön och undantagna entiteter från den här sidan. Välj endera flik för att visa en lista över alla frön eller undantag som driver dina identifieringsgrupper.

Frön

Vyn seed list visar startvärdesvärden med tre kolumner: Typ, Källnamn och Identifieringsgrupper. Fältet Typ visar kategorin för startvärdestillgången. De vanligaste fröna är domäner, värdar och IP-block. Du kan också använda e-postkontakter, ASN:er, vanliga certifikatnamn eller Whois-organisationer.

Källnamnet är det värde som angavs i lämplig typruta när du skapade identifieringsgruppen. Den sista kolumnen visar en lista över identifieringsgrupper som använder fröet. Varje värde är klickbart och tar dig till informationssidan för identifieringsgruppen.

När du matar in frön bör du kontrollera lämpligt format för varje post. När du sparar identifieringsgruppen kör plattformen en serie valideringskontroller och varnar dig om eventuella felkonfigurerade frön. IP-block bör till exempel matas in efter nätverksadress (till exempel början av IP-intervallet).

Skärmbild som visar vyn Frön för en identifieringssida.

Undantag

På samma sätt kan du välja fliken Undantag för att se en lista över entiteter som har exkluderats från identifieringsgruppen. Dessa tillgångar kommer inte att användas som identifieringsfrön eller läggas till i inventeringen. Undantag påverkar endast framtida identifieringskörningar för en enskild identifieringsgrupp.

Fältet Typ visar kategorin för den exkluderade entiteten. Källnamnet är det värde som angavs i lämplig typruta när du skapade identifieringsgruppen. Den sista kolumnen visar en lista över identifieringsgrupper där det här undantaget finns. Varje värde är klickbart och tar dig till informationssidan för identifieringsgruppen.

Nästa steg

  • Last updated on