مشاركة عبر

اكتشاف سطح الهجوم

  • مقالة

المتطلبات الأساسية

قبل إكمال هذا البرنامج التعليمي، راجع مقالات ما هو الاكتشاف؟ واستخدام وإدارة الاكتشاف لفهم المفاهيم الرئيسية المذكورة في هذه المقالة.

الوصول إلى سطح الهجوم التلقائي

قامت Microsoft بتكوين أسطح الهجوم للعديد من المؤسسات بشكل استباقي، وتعيين سطح الهجوم الأولي الخاص بها عن طريق اكتشاف البنية الأساسية المتصلة بالأصول المعروفة. يوصى بأن يبحث جميع المستخدمين عن سطح هجوم مؤسستهم قبل إنشاء سطح هجوم مخصص وتشغيل اكتشافات أخرى. تمكن هذه العملية المستخدمين من الوصول بسرعة إلى مخزونهم حيث يقوم Defender EASM بتحديث البيانات، وإضافة المزيد من الأصول والسياق الأخير إلى جهاز Attack Surface.

  1. عند الوصول لأول مرة إلى مثيل Defender EASM، حدد "Getting Started" في قسم "General" للبحث عن مؤسستك في قائمة أسطح الهجوم التلقائية.

  2. ثم حدد مؤسستك من القائمة وانقر فوق "إنشاء جهاز Surface الهجومي".

Screenshot of pre-configured attack surface option

عند هذه النقطة، يتم تشغيل الاكتشاف في الخلفية. إذا حددت جهاز Surface هجوم تم تكوينه مسبقا من قائمة المؤسسات المتوفرة، فستتم إعادة توجيهك إلى شاشة نظرة عامة على لوحة المعلومات حيث يمكنك عرض رؤى حول البنية الأساسية لمؤسستك في وضع المعاينة. راجع رؤى لوحة المعلومات هذه لتصبح على دراية بجهاز Attack Surface أثناء انتظار اكتشاف أصول إضافية وتعبئتها في المخزون الخاص بك. اقرأ مقالة فهم لوحات المعلومات لمزيد من المعلومات حول كيفية اشتقاق الرؤى من لوحات المعلومات هذه.

إذا لاحظت أي أصول مفقودة أو كان لديك كيانات أخرى لإدارة قد لا يتم اكتشافها من خلال البنية الأساسية المرتبطة بشكل واضح بمؤسستك، يمكنك اختيار تشغيل اكتشافات مخصصة للكشف عن هذه الأصول المتطرفة.

تخصيص الاكتشاف

الاكتشافات المخصصة مثالية للمؤسسات التي تتطلب رؤية أعمق للبنية الأساسية التي قد لا تكون مرتبطة مباشرة بموجوداتها الأولية. من خلال تقديم قائمة أكبر من الأصول المعروفة للعمل كبذور اكتشاف، سيعيد محرك الاكتشاف مجموعة أوسع من الأصول. يمكن أن يساعد الاكتشاف المخصص أيضا المؤسسات في العثور على بنية أساسية متباينة قد تتعلق بوحدات الأعمال المستقلة والشركات المكتسبة.

مجموعات الاكتشاف

يتم تنظيم الاكتشافات المخصصة في مجموعات الاكتشاف. إنها مجموعات أولية مستقلة تتضمن تشغيل اكتشاف واحد وتعمل على جداول التكرار الخاصة بها. يمكن للمستخدمين اختيار تنظيم مجموعات الاكتشاف الخاصة بهم لتحديد الأصول بأي طريقة تفيد شركتك ومهام سير العمل بشكل أفضل. تشمل الخيارات الشائعة التنظيم من قبل فريق/وحدة أعمال مسؤولة أو علامات تجارية أو شركات فرعية.

إنشاء مجموعة اكتشاف

  1. حدد لوحة Discovery ضمن قسم Manage في عمود التنقل الأيسر.

    Screenshot of EASM instance from overview page with manage section highlighted

  2. تعرض صفحة الاكتشاف هذه قائمة مجموعات الاكتشاف بشكل افتراضي. ستكون هذه القائمة فارغة عند الوصول إلى النظام الأساسي لأول مرة. لتشغيل اكتشافك الأول، انقر فوق إضافة مجموعة اكتشاف.

    Screenshot of Discovery screen with “add disco group” highlighted

  3. أولا، قم بتسمية مجموعة الاكتشاف الجديدة وإضافة وصف. يسمح لك حقل التكرار المتكرر بجدولة عمليات تشغيل الاكتشاف لهذه المجموعة، والمسح بحثا عن أصول جديدة تتعلق بالبذور المعينة على أساس مستمر. تحديد التكرار الافتراضي هو أسبوعيا؛ توصي Microsoft بهذا ال إيقاع لضمان مراقبة أصول مؤسستك وتحديثها بشكل روتيني. لتشغيل اكتشاف واحد لمرة واحدة، حدد أبدا. ومع ذلك، نوصي المستخدمين بالاحتفاظ بال إيقاع الأسبوعية الافتراضية وبدلا من ذلك إيقاف تشغيل المراقبة التاريخية ضمن إعدادات مجموعة الاكتشاف الخاصة بهم إذا قرروا لاحقا إيقاف عمليات تشغيل الاكتشاف المتكررة.

    حدد Next: Seeds >

    Screenshot of first page of disco group setup

  4. بعد ذلك، حدد البذور التي تريد استخدامها لمجموعة الاكتشاف هذه. البذور هي الأصول المعروفة التي تنتمي إلى مؤسستك؛ يقوم النظام الأساسي Defender EASM بمسح هذه الكيانات ضوئيا، وتعيين اتصالاتها بالبنية الأساسية الأخرى عبر الإنترنت لإنشاء جهاز Attack Surface.

    Screenshot of seed selection page of disco group setup

    يتيح لك خيار البدء السريع البحث عن مؤسستك في قائمة أسطح الهجوم التي تم ملؤها مسبقا. يمكنك إنشاء مجموعة اكتشاف بسرعة استنادا إلى الأصول المعروفة التي تنتمي إلى مؤسستك.

    Screenshot of pre-baked attack surface selection page, then output in seed list

    بدلا من ذلك، يمكن للمستخدمين إدخال بذورهم يدويا. يقبل Defender EASM المجالات وكتل IP والمضيفين وجهات اتصال البريد الإلكتروني وASNs والمؤسسات روبوت Who Is كقيم أولية. يمكنك أيضا تحديد كيانات لاستبعادها من اكتشاف الأصول للتأكد من عدم إضافتها إلى المخزون الخاص بك إذا تم اكتشافها. على سبيل المثال، هذا مفيد للمؤسسات التي لديها فروع من المحتمل أن تكون متصلة بالبنية الأساسية المركزية الخاصة بها، ولكنها لا تنتمي إلى مؤسستك.

    بمجرد تحديد بذورك، حدد Review + Create.

  5. راجع معلومات المجموعة والقائمة الأولية، ثم حدد إنشاء وتشغيل.

    Screenshot of review + create screen

ثم يتم نقلك مرة أخرى إلى صفحة الاكتشاف الرئيسية التي تعرض مجموعات الاكتشاف الخاصة بك. بمجرد اكتمال تشغيل الاكتشاف الخاص بك، يمكنك مشاهدة الأصول الجديدة المضافة إلى المخزون المعتمد.

الخطوات التالية