Zjištění prostoru pro útoky

  • Článek

Požadavky

Před dokončením tohoto kurzu se podívejte na články o zjišťování a používání a správě článků o zjišťování, abyste porozuměli klíčovým konceptům uvedeným v tomto článku.

Přístup k prostoru automatizovaného útoku

Microsoft předem nakonfiguroval možnosti útoku mnoha organizací, které mapují počáteční prostor pro útoky zjišťováním infrastruktury, která je připojená ke známým prostředkům. Před vytvořením vlastního prostoru pro útoky a spouštěním dalších zjišťování doporučujeme, aby všichni uživatelé hledali prostor pro útoky své organizace. Tento proces umožňuje uživatelům rychle získat přístup ke svému inventáři, protože Defender EASM aktualizuje data a přidá do prostoru pro útoky další prostředky a nedávný kontext.

  1. Při prvním přístupu k instanci EASM v programu Defender vyberte v části Obecné možnost Začínáme a vyhledejte svoji organizaci v seznamu automatizovaných útoků.

  2. Pak ze seznamu vyberte svoji organizaci a klikněte na Sestavit můj prostor pro útoky.

Screenshot of pre-configured attack surface option

V tomto okamžiku se zjišťování spouští na pozadí. Pokud jste v seznamu dostupných organizací vybrali předem nakonfigurovaný prostor pro útoky, budete přesměrováni na obrazovku Přehled řídicího panelu, kde můžete zobrazit přehledy o infrastruktuře vaší organizace v režimu preview. Projděte si tyto přehledy řídicího panelu a seznamte se s prostorem pro útoky a počkejte na zjištění a naplnění dalších prostředků v inventáři. Další informace o tom, jak z těchto řídicích panelů odvodit přehledy, najdete v článku Principy řídicích panelů.

Pokud si všimnete chybějících prostředků nebo máte jiné entity ke správě, které nemusí být zjištěny prostřednictvím infrastruktury jasně propojené s vaší organizací, můžete se rozhodnout spustit přizpůsobené zjišťování, aby bylo možné tyto odlehlé prostředky zjistit.

Přizpůsobení zjišťování

Vlastní zjišťování jsou ideální pro organizace, které vyžadují hlubší přehled o infrastruktuře, která nemusí být okamžitě propojena s primárními počátečními prostředky. Odesláním většího seznamu známých prostředků, které budou fungovat jako zjišťovací jádra, vrátí modul zjišťování širší fond prostředků. Vlastní zjišťování může také organizacím pomoct najít různorodou infrastrukturu, která může souviset s nezávislými obchodními jednotkami a získanými společnostmi.

Skupiny zjišťování

Vlastní zjišťování jsou uspořádaná do skupin zjišťování. Jsou nezávislé počáteční clustery, které tvoří jedno spuštění zjišťování a pracují s vlastními plány opakování. Uživatelé se mohou rozhodnout uspořádat své skupiny zjišťování tak, aby delineovaly prostředky jakýmkoli způsobem, který nejlépe přinese jejich firemní a pracovní postupy. Mezi běžné možnosti patří uspořádání zodpovědného týmu/obchodní jednotky, značek nebo poboček.

Vytvoření skupiny zjišťování

  1. V levém navigačním sloupci vyberte panel Zjišťování v části Spravovat.

    Screenshot of EASM instance from overview page with manage section highlighted

  2. Tato stránka zjišťování zobrazuje seznam skupin zjišťování ve výchozím nastavení. Tento seznam bude při prvním přístupu k platformě prázdný. Pokud chcete spustit první zjišťování, klikněte na Přidat skupinu zjišťování.

    Screenshot of Discovery screen with “add disco group” highlighted

  3. Nejprve pojmenujte novou skupinu zjišťování a přidejte popis. Pole Opakovaná frekvence umožňuje naplánovat spuštění zjišťování pro tuto skupinu a průběžně vyhledávat nové prostředky související s určenými semeny. Výchozí výběr opakování je Týdenní; Microsoft doporučuje toto tempo, aby se zajistilo, že se prostředky vaší organizace pravidelně monitorují a aktualizují. U jednoho jednorázového spuštění zjišťování vyberte Nikdy. Doporučujeme ale, aby uživatelé ponechali týdenní výchozí tempo a místo toho vypnuli historické monitorování v nastavení skupiny zjišťování, pokud se později rozhodnou ukončit opakované spuštění zjišťování.

    Vybrat další: Semena >

    Screenshot of first page of disco group setup

  4. Dále vyberte semena, která chcete použít pro tuto skupinu zjišťování. Semena jsou známé prostředky, které patří vaší organizaci; Platforma EASM defenderu tyto entity prohledá a mapuje jejich připojení k jiné online infrastruktuře a vytvoří prostor pro útoky.

    Screenshot of seed selection page of disco group setup

    Možnost Rychlý start umožňuje vyhledat vaši organizaci v seznamu předem naplněných prostorů útoku. Skupinu zjišťování můžete rychle vytvořit na základě známých prostředků patřících vaší organizaci.

    Screenshot of pre-baked attack surface selection page, then output in seed list

    Alternativně můžou uživatelé ručně zadat svá semena. EaSM v programu Defender přijímá domény, bloky IP adres, hostitele, e-mailové kontakty, sítě ASN a organizace Kdo I jako počáteční hodnoty. Můžete také zadat entity, které se mají vyloučit ze zjišťování prostředků, aby se zajistilo, že se při zjištění nepřidají do vašeho inventáře. To je například užitečné pro organizace, které mají pobočky, které budou pravděpodobně propojeny s jejich centrální infrastrukturou, ale nepatří do vaší organizace.

    Jakmile vyberete semena, vyberte Zkontrolovat a vytvořit.

  5. Zkontrolujte informace o skupině a počáteční seznam a pak vyberte Vytvořit a spustit.

    Screenshot of review + create screen

Pak se vrátíte zpět na hlavní stránku zjišťování, která zobrazuje vaše skupiny zjišťování. Po dokončení spuštění zjišťování uvidíte nové prostředky přidané do schváleného inventáře.

Další kroky