مشاركة عبر


ما هو الاكتشاف؟

يستخدم إدارة الأجزاء المعرضة للهجوم الخارجية في Microsoft Defender (Defender EASM) تقنية اكتشاف الملكية من Microsoft لتحديد سطح الهجوم الفريد الذي تتعرض له مؤسستك عبر الإنترنت باستمرار. تفحص ميزة اكتشاف Defender EASM الأصول المعروفة المملوكة لمؤسستك للكشف عن الخصائص غير المعروفة وغير الخاضعة للمراقبة سابقا. تتم فهرسة الأصول المكتشفة في مخزون مؤسستك. يمنحك Defender EASM نظاما ديناميكيا من السجلات لتطبيقات الويب وتبعيات الجهات الخارجية والبنية الأساسية للويب ضمن إدارة مؤسستك في طريقة عرض واحدة.

لقطة شاشة لجزء Add discovery.

من خلال عملية اكتشاف Defender EASM، يمكن لمؤسستك مراقبة سطح الهجوم الرقمي المتغير باستمرار بشكل استباقي. يمكنك تحديد المخاطر الناشئة وانتهاكات النهج عند ظهورها.

تفتقر العديد من برامج الثغرات الأمنية إلى الرؤية خارج جدار الحماية. فهم غير مدركين للمخاطر والتهديدات الخارجية، وهي المصدر الأساسي لانتهاكات البيانات.

وفي الوقت نفسه، لا يزال النمو الرقمي يتجاوز قدرة فريق أمان المؤسسة على حمايته. تؤدي المبادرات الرقمية و"Shadow IT" الشائعة بشكل مفرط إلى توسيع سطح الهجوم خارج جدار الحماية. بهذه الوتيرة، من المستحيل تقريبا التحقق من صحة عناصر التحكم والحماية ومتطلبات التوافق.

بدون Defender EASM، من المستحيل تقريبا تحديد الثغرات الأمنية والماسحات الضوئية وإزالتها لا يمكن أن تصل إلى ما بعد جدار الحماية لتقييم سطح الهجوم الكامل.

طريقة العمل

لإنشاء تعيين شامل لسطح هجوم مؤسستك، يستوعب Defender EASM أولا الأصول المعروفة (البذور). يتم فحص بذور الاكتشاف بشكل متكرر لاكتشاف المزيد من الكيانات من خلال اتصالاتها بالبذور.

قد تكون القيمة الأولية أي من الأنواع التالية من البنية الأساسية للويب المفهرسة بواسطة Microsoft:

  • المجالات
  • كتل عنوان IP
  • المضيفون
  • جهات اتصال البريد الإلكتروني
  • أسماء النظام المستقلة (ASNs)
  • منظمات Whois

بدءا من القيمة الأولية، يكتشف النظام ارتباطات إلى عناصر البنية الأساسية الأخرى عبر الإنترنت لاكتشاف الأصول الأخرى التي تمتلكها مؤسستك. تؤدي هذه العملية في النهاية إلى إنشاء مخزون سطح الهجوم بالكامل. تستخدم عملية الاكتشاف بذور الاكتشاف كعقد مركزية. ثم تفرع إلى الخارج نحو محيط سطح الهجوم الخاص بك. وهو يحدد جميع عناصر البنية الأساسية المتصلة مباشرة بالبذاءة، ثم يحدد جميع العناصر المتعلقة بكل عنصر في المجموعة الأولى من الاتصالات. تتكرر العملية وتمتد حتى تصل إلى حافة مسؤولية إدارة مؤسستك.

على سبيل المثال، لاكتشاف جميع العناصر في البنية الأساسية ل Contoso، يمكنك استخدام المجال، ، contoso.comكبذراع أساسي أولي. بدءا من هذه البذور، يمكننا استشارة المصادر التالية واشتقاق العلاقات التالية:

Data source العناصر ذات العلاقات المحتملة ب Contoso
سجلات Whois أسماء المجالات الأخرى المسجلة في نفس البريد الإلكتروني لجهة الاتصال أو المؤسسة المسجلة التي تم استخدامها للتسجيل contoso.com
سجلات Whois كافة أسماء المجالات المسجلة في أي @contoso.com عنوان بريد إلكتروني
سجلات Whois المجالات الأخرى المقترنة بنفس خادم الاسم مثل contoso.com
سجلات DNS جميع المضيفين الملحوظين على المجالات التي تمتلكها Contoso وأي مواقع ويب مقترنة بتلك المضيفين
سجلات DNS المجالات التي تحتوي على مضيفين مختلفين، ولكن يتم حلها إلى كتل IP نفسها
سجلات DNS خوادم البريد المقترنة بأسماء المجالات المملوكة لجهة Contoso
شهادات SSL جميع شهادات طبقة مآخذ التوصيل الآمنة (SSL) المتصلة بكل من المضيفين، وأي مضيفين آخرين يستخدمون نفس شهادات SSL
سجلات ASN كتل IP الأخرى المقترنة بنفس ASN مثل كتل IP المتصلة بالمضيفين على أسماء مجالات Contoso، بما في ذلك جميع المضيفين والمجالات التي يتم حلها لهم

باستخدام هذه المجموعة من اتصالات المستوى الأول، يمكننا بسرعة اشتقاق مجموعة جديدة تماما من الأصول للتحقيق فيها. قبل أن يقوم Defender EASM بمزيد من الإعادة، فإنه يحدد ما إذا كان الاتصال قويا بما يكفي لإضافة كيان مكتشف تلقائيا كمخزون مؤكد. لكل من هذه الأصول، يقوم نظام الاكتشاف بتشغيل عمليات بحث تلقائية ومتكررة استنادا إلى جميع السمات المتاحة للعثور على اتصالات من المستوى الثاني والمستوى الثالث. توفر هذه العملية المتكررة المزيد من المعلومات حول البنية الأساسية للمؤسسة عبر الإنترنت، وبالتالي تكتشف أصولا متباينة قد لا يتم اكتشافها ثم مراقبتها.

أسطح هجوم تلقائية مقابل أسطح هجوم مخصصة

عند استخدام Defender EASM لأول مرة، يمكنك الوصول إلى مخزون تم إنشاؤه مسبقا لمؤسستك لبدء مهام سير العمل بسرعة. في جزء Getting Started ، يمكن للمستخدم البحث عن مؤسسته لملء مخزونه بسرعة استنادا إلى اتصالات الأصول التي تم تحديدها بالفعل بواسطة Defender EASM. نوصي بأن يبحث جميع المستخدمين عن مخزون سطح الهجوم الذي تم إنشاؤه مسبقا لمؤسستهم قبل إنشاء مخزون مخصص.

لإنشاء مخزون مخصص، يمكن للمستخدم إنشاء مجموعات اكتشاف لتنظيم البذور التي يستخدمونها وإدارتها عند تشغيل الاكتشافات. يمكن للمستخدم استخدام مجموعات اكتشاف منفصلة لأتمتة عملية الاكتشاف وتكوين القائمة الأولية وإعداد جداول التشغيل المتكررة.

لقطة شاشة لاستيراد البذور من جزء المؤسسة لإعداد الاكتشاف التلقائي.

المخزون المؤكد مقابل الأصول المرشحة

إذا اكتشف محرك الاكتشاف اتصالا قويا بين أصل محتمل والبذئ الأولي، يقوم النظام تلقائيا بتسمية الأصل مع حالة المخزون المؤكد. نظرا لأن الاتصالات بهذه القيمة الأولية يتم مسحها ضوئيا بشكل متكرر واكتشاف اتصالات من المستوى الثالث أو الرابع، فإن ثقة النظام في ملكية أي أصول تم اكتشافها حديثا تقل. وبالمثل، قد يكتشف النظام الأصول ذات الصلة بمؤسستك ولكن ليست مملوكة لك مباشرة.

لهذه الأسباب، يتم تسمية الأصول المكتشفة حديثا بإحدى الحالات التالية:

اسم الولاية ‏‏الوصف
المخزون المعتمد عنصر يشكل جزءا من سطح الهجوم المملوك. إنه عنصر أنت مسؤول مباشرة عنه.
تبعية البنية الأساسية المملوكة لجهة خارجية، ولكنها جزء من سطح الهجوم لأنها تدعم مباشرة تشغيل الأصول المملوكة. على سبيل المثال، قد تعتمد على موفر تكنولوجيا المعلومات لاستضافة محتوى الويب الخاص بك. سيكون المجال واسم المضيف والصفحات جزءا من المخزون المعتمد، لذلك قد ترغب في التعامل مع عنوان IP الذي يقوم بتشغيل المضيف كتبعية.
المراقبة فقط أصل ذي صلة بسطح الهجوم الخاص بك، ولكنه لا يتم التحكم فيه مباشرة أو التبعية التقنية. على سبيل المثال، قد تسمى الامتيازات المستقلة أو الأصول التي تنتمي إلى الشركات ذات الصلة "مراقبة فقط " بدلا من المخزون المعتمد لفصل المجموعات لأغراض إعداد التقارير.
مرشح أصل له بعض العلاقة بالأصول الأولية المعروفة لمؤسستك، ولكن ليس لديه اتصال قوي بما يكفي لتسمية المخزون المعتمد على الفور. يجب عليك مراجعة أصول المرشحين هذه يدويا لتحديد الملكية.
يتطلب التحقيق حالة مشابهة لحالة المرشح ، ولكن يتم تطبيق هذه القيمة على الأصول التي تتطلب تحقيقا يدويا للتحقق من الصحة. يتم تحديد الحالة بناء على درجات الثقة التي تم إنشاؤها داخليا والتي تقيم قوة الاتصالات المكتشفة بين الأصول. لا يشير إلى العلاقة الدقيقة للبنية الأساسية بالمؤسسة، ولكنه يشير إلى الأصل لمزيد من المراجعة لتحديد كيفية تصنيفها.

عند مراجعة الأصول، نوصي بأن تبدأ بالأصول المسماة Requires Investigation. يتم تحديث تفاصيل الأصول باستمرار وتحديثها بمرور الوقت للحفاظ على خريطة دقيقة لولايات الأصول والعلاقات، والكشف عن الأصول المنشأة حديثا عند ظهورها. تتم إدارة عملية الاكتشاف عن طريق وضع البذور في مجموعات الاكتشاف التي يمكنك جدولتها للتشغيل على أساس متكرر. بعد ملء المخزون، يقوم نظام Defender EASM بمسح أصولك باستمرار باستخدام تقنية المستخدم الظاهري من Microsoft للكشف عن بيانات جديدة ومفصلة حول كل أصل. تفحص العملية محتوى كل صفحة وسلوكها في المواقع القابلة للتطبيق لتوفير معلومات قوية يمكنك استخدامها لتحديد الثغرات الأمنية ومشكلات التوافق والمخاطر المحتملة الأخرى لمؤسستك.