Přehled úprav aktiv

  • Článek

Tento článek popisuje, jak upravit inventarizační prostředky. Můžete změnit stav prostředku, přiřadit externí ID nebo použít popisky, které vám pomůžou poskytnout kontextová data a používat data inventáře. Uživatelé mohou také hromadně odebrat prostředky ze svého inventáře na základě metody, se kterou byli zjištěni; Uživatelé můžou například odebrat počáteční hodnoty ze skupiny zjišťování a rozhodnout se odebrat všechny prostředky, které byly zjištěny prostřednictvím připojení k tomuto počátečnímu nastavení. Tento článek popisuje všechny možnosti úprav, které jsou k dispozici v programu Defender EASM, a popisuje, jak aktualizovat prostředky a sledovat všechny aktualizace pomocí Správce úloh.

Popisky prostředků

Popisky vám pomůžou uspořádat prostor pro útoky a použít obchodní kontext přizpůsobitelným způsobem. Jakýkoli textový popisek můžete použít na podmnožinu prostředků, abyste seskupily prostředky a mohli lépe využívat inventář. Zákazníci obvykle kategorizují prostředky, které:

  • Nedávno přišli pod vlastnictví vaší organizace prostřednictvím fúze nebo akvizice.
  • Vyžadovat monitorování dodržování předpisů.
  • Vlastní konkrétní organizační jednotka ve své organizaci.
  • Jsou ovlivněny konkrétním ohrožením zabezpečení, které vyžaduje zmírnění rizik.
  • Souvisí s konkrétní značkou vlastněnou organizací.
  • Byly přidány do inventáře v určitém časovém rozsahu.

Popisky jsou bezplatná textová pole formuláře, takže můžete vytvořit popisek pro případ použití, který platí pro vaši organizaci.

Screenshot that shows an inventory list view with a filtered Labels column.

Změna stavu prostředku

Uživatelé můžou také změnit stav prostředku. Státy pomáhají kategorizovat inventář na základě jejich role ve vaší organizaci. Uživatelé můžou přepínat mezi následujícími stavy:

  • Schválený inventář: Část vašeho vlastního prostoru útoku; položka, za kterou jste přímo zodpovědní.
  • Závislost: Infrastruktura vlastněná třetí stranou, ale je součástí vašeho prostoru pro útoky, protože přímo podporuje provoz vašich vlastněných prostředků. Můžete například záviset na poskytovateli IT, který hostuje váš webový obsah. Zatímco doména, název hostitele a stránky by byly součástí vašeho schváleného inventáře, můžete chtít zacházet s IP adresou spuštěnou hostitele jako se závislostí.
  • Pouze monitorování: Prostředek, který je relevantní pro váš prostor útoku, ale není přímo řízený ani technická závislost. Například nezávislé franšízy nebo aktiva patřící souvisejícím společnostem mohou být označeny jako "Pouze monitorování" místo "Schválené inventáře" k oddělení skupin pro účely vytváření sestav.
  • Kandidát: Prostředek, který má nějaký vztah ke známým počátečním prostředkům vaší organizace, ale nemá dostatečně silné připojení, aby ho okamžitě označil jako "Schválený inventář". Tyto kandidátské prostředky je potřeba zkontrolovat ručně, aby bylo možné určit vlastnictví.
  • Vyžaduje šetření: Stav podobný stavům Kandidát, ale tato hodnota se použije u prostředků, které vyžadují ruční šetření k ověření. To se určuje na základě interně vygenerovaných skóre spolehlivosti, které vyhodnocují sílu zjištěných připojení mezi prostředky. Neznačí přesný vztah infrastruktury k organizaci tak, jak označuje, že tento prostředek byl označen příznakem, že vyžaduje další kontrolu, aby bylo možné určit, jak by měla být kategorizována.

Použití externího ID

Uživatelé můžou na prostředek použít také externí ID. To je užitečné v situacích, kdy používáte více řešení pro sledování aktiv, nápravné aktivity nebo monitorování vlastnictví; zobrazení všech externích ID v rámci EASM v programu Defender vám pomůže sladit tyto různorodé informace o prostředcích. Hodnoty externího ID můžou být číselné nebo alfanumerické a musí být zadané v textovém formátu. Externí ID se také zobrazují v části Podrobnosti o prostředku.

Úprava prostředků

Prostředky můžete upravit ze stránek se seznamem inventáře i podrobnostmi o aktivech. Změny jednoho prostředku můžete provést na stránce s podrobnostmi o prostředku. Na stránce seznamu inventáře můžete provádět změny jednoho nebo více prostředků. Následující části popisují, jak použít změny ze dvou zobrazení inventáře v závislosti na vašem případu použití.

Stránka se seznamem inventáře

Pokud chcete aktualizovat množství prostředků najednou, měli byste změnit prostředky ze stránky seznamu inventáře. Seznam prostředků můžete upřesnit na základě parametrů filtru. Tento proces vám pomůže identifikovat prostředky, které by měly být zařazeny do kategorií s popiskem, externím ID nebo změnou stavu, kterou chcete použít. Úprava prostředků z této stránky:

  1. V levém podokně prostředku Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) vyberte Inventář.

  2. Použijte filtry k vytvoření zamýšlených výsledků. V tomto příkladu hledáme domény, jejichž platnost vyprší do 30 dnů, které vyžadují prodloužení. Použitý popisek vám pomůže rychleji získat přístup k jakýmkoli doménám s vypršenou platností, aby se zjednodušil proces nápravy. K získání potřebných konkrétních výsledků můžete použít libovolný počet filtrů. Další informace o filtrech najdete v tématu Přehled filtrů inventáře.

    Screenshot that shows the inventory list view with the Add filter dropdown opened to display the query editor.

  3. Po vyfiltrování seznamu zásob zaškrtněte rozevírací seznam podle zaškrtávacího políčka vedle záhlaví tabulky Asset . V tomto rozevíracím seznamu můžete vybrat všechny výsledky, které odpovídají vašemu dotazu nebo výsledkům na konkrétní stránce (až 25). Možnost Žádné vymaže všechny prostředky. Můžete také vybrat pouze konkrétní výsledky na stránce tak, že vyberete jednotlivé značky zaškrtnutí vedle každého prostředku.

    Screenshot that shows the inventory list view with the bulk selection dropdown opened.

  4. Vyberte Upravit prostředky.

  5. V podokně Upravit prostředky, které se otevře na pravé straně obrazovky, můžete rychle změnit stav vybraných prostředků. V tomto příkladu vytvoříte nový popisek. Vyberte Vytvořit nový popisek.

  6. Určete název popisku a zobrazované textové hodnoty. Název popisku nelze po počátečním vytvoření popisku změnit, ale zobrazovaný text můžete později upravit. Název popisku se používá k dotazování na popisek v rozhraní produktu nebo prostřednictvím rozhraní API, takže úpravy jsou zakázané, aby tyto dotazy fungovaly správně. Pokud chcete upravit název popisku, musíte odstranit původní popisek a vytvořit nový.

    Vyberte barvu nového štítku a vyberte Přidat. Tato akce vás vrátí zpět na obrazovku Upravit prostředky .

    Screenshot that shows the Add label pane that displays the configuration fields.

  7. Použijte nový popisek na prostředky. Kliknutím do textového pole Přidat popisky zobrazíte úplný seznam dostupných popisků. Nebo můžete do pole zadat hledaný podle klíčového slova. Po výběru popisků, které chcete použít, vyberte Aktualizovat.

    Screenshot that shows the Modify Asset pane with the newly created label applied.

  8. Počkejte chvíli, než se popisky použijí. Po dokončení procesu se zobrazí oznámení Dokončeno. Stránka se automaticky aktualizuje a zobrazí seznam prostředků se zobrazenými popisky. Nápis v horní části obrazovky potvrzuje, že se štítky použily.

    Screenshot that shows the inventory list view with the selected assets now displaying the new label.

Stránka s podrobnostmi o aktivech

Jeden prostředek můžete také upravit ze stránky s podrobnostmi o aktivu. Tato možnost je ideální pro situace, kdy je potřeba důkladně zkontrolovat prostředky před provedením změny popisku nebo stavu.

  1. V levém podokně prostředku EASM defenderu vyberte Inventář.

  2. Výběrem konkrétního prostředku, který chcete upravit, otevřete stránku s podrobnostmi o prostředku.

  3. Na této stránce vyberte Upravit asset.

    Screenshot that shows the asset details page with the Modify asset button highlighted.

  4. Postupujte podle kroků 5 až 7 v části Stránka seznam zásob.

  5. Stránka s podrobnostmi o prostředku se aktualizuje a zobrazí nově použitý popisek nebo změnu stavu. Banner indikuje, že se asset úspěšně aktualizoval.

Úprava, odebrání nebo odstranění popisků

Uživatelé můžou z prostředku odebrat popisek tak, že z zobrazení podrobností o inventáři nebo v zobrazení podrobností o prostředku přistupují ke stejnému podoknu Upravit prostředek. V zobrazení seznamu zásob můžete vybrat více prostředků najednou a potom přidat nebo odebrat požadovaný popisek v jedné akci.

Úprava samotného popisku nebo odstranění popisku ze systému:

  1. V levém podokně prostředku EASM v programu Defender vyberte Popisky (Preview).

    Screenshot that shows the Labels (Preview) page that enables label management.

    Na této stránce se zobrazí všechny popisky v inventáři EASM Defenderu. Popisky na této stránce můžou existovat v systému, ale aktivně se neaplikují na žádné prostředky. Na této stránce můžete také přidat nové popisky.

  2. Pokud chcete upravit popisek, vyberte ikonu tužky ve sloupci Akce popisku, který chcete upravit. Otevře se podokno na pravé straně obrazovky, kde můžete změnit název nebo barvu popisku. Vyberte Aktualizovat.

  3. Pokud chcete odebrat popisek, vyberte ikonu koše ve sloupci Akce popisku, který chcete odstranit. Vyberte Odebrat popisek.

    Screenshot that shows the Confirm Remove option on the Labels management page.

Stránka Popisky se automaticky aktualizuje. Popisek se odebere ze seznamu a odebere se také ze všech prostředků, které měly použitý popisek. Nápis potvrdí odebrání.

Správce úloh a oznámení

Po odeslání úkolu oznámení potvrdí, že aktualizace probíhá. Na libovolné stránce v Azure vyberte ikonu oznámení (zvonek) a zobrazte další informace o nedávných úkolech.

Screenshot that shows the Task submitted notification.Screenshot that shows the Notifications pane that displays recent task status.

Aktualizace tisíců může trvat několik sekund, než systém EASM v programu Defender aktualizuje několik prostředků nebo minut. Pomocí Správce úloh můžete zkontrolovat stav probíhajících úkolů úprav. Tato část popisuje, jak získat přístup ke Správci úloh a jak ho používat k lepšímu pochopení dokončení odeslaných aktualizací.

  1. V levém podokně prostředku EASM defenderu vyberte Správce úloh.

    Screenshot that shows the Task Manager page with appropriate section in navigation pane highlighted.

  2. Na této stránce se zobrazí všechny vaše poslední úkoly a jejich stav. Úkoly jsou uvedené jako Dokončené, Neúspěšné nebo Probíhající. Zobrazí se také procento dokončení a indikátor průběhu. Pokud chcete zobrazit další podrobnosti o konkrétním úkolu, vyberte název úkolu. Otevře se podokno na pravé straně obrazovky s dalšími informacemi.

  3. Výběrem možnosti Aktualizovat zobrazíte nejnovější stav všech položek ve Správci úloh.

Filtrování popisků

Po označení prostředků v inventáři můžete pomocí filtrů inventáře načíst seznam všech prostředků s použitým konkrétním popiskem.

  1. V levém podokně prostředku EASM defenderu vyberte Inventář.

  2. Vyberte Přidat filtr.

  3. V rozevíracím seznamu Filtr vyberte Popisky. Vyberte operátor a v rozevíracím seznamu možností vyberte popisek. Následující příklad ukazuje, jak vyhledat jeden popisek. Pomocí operátoru In můžete vyhledat více popisků. Další informace o filtrech najdete v přehledu filtrů inventáře.

    Screenshot that shows the query editor used to apply filters, displaying the Labels filter with possible label values in a dropdown list.

  4. Vyberte Použít. Stránka seznamu inventáře se znovu načte a zobrazí všechny prostředky, které odpovídají vašim kritériím.

Správa založená na řetězech prostředků

V některých případech můžete chtít odebrat více prostředků najednou na základě prostředků, se kterými byly zjištěny. Můžete například určit, že určité počáteční hodnoty ve skupině zjišťování načítá prostředky, které nejsou relevantní pro vaši organizaci, nebo možná budete muset odebrat prostředky, které souvisejí s dceřinou společností, která už není v rámci vašeho purview. Z tohoto důvodu nabízí Defender EASM možnost odebrat zdrojovou entitu a všechny prostředky "podřízené" v řetězci zjišťování. Propojené prostředky můžete odstranit pomocí následujících tří metod:

  • Základní správa: Uživatelé mohou odstranit počáteční hodnoty, které byly dříve zahrnuty do skupiny zjišťování, a odebrat všechny prostředky, které byly zavedeny do inventáře prostřednictvím pozorovaného připojení k zadané počáteční sadě. Tato metoda je užitečná, když zjistíte, že konkrétní ručně zadané počáteční hodnoty způsobily přidání nežádoucích prostředků do inventáře.
  • Správa řetězu zjišťování: Uživatelé můžou identifikovat prostředek v rámci řetězu zjišťování a odstranit ho a současně odebrat všechny prostředky zjištěné danou entitou. Zjišťování je rekurzivní proces; skenuje semena k identifikaci nových prostředků přímo přidružených k těmto určeným semenům a pak pokračuje ve skenování nově zjištěných entit, aby odhalila více spojení. Tento přístup k odstranění je užitečný, pokud je vaše skupina zjišťování správně nakonfigurovaná, ale potřebujete odebrat nově zjištěný prostředek a všechny prostředky, které jsou do inventáře přeneseny přidružením k dané entitě. Zvažte nastavení skupiny zjišťování a určená semena jako "horní" vašeho řetězce zjišťování; tento přístup odstranění umožňuje odebrat prostředky ze středu.
  • Správa skupiny zjišťování: Uživatelé můžou odebrat celé skupiny zjišťování a všechny prostředky, které byly zavedeny do inventáře prostřednictvím této skupiny zjišťování. To je užitečné, když se už celá skupina zjišťování nevztahuje na vaši organizaci. Můžete mít například skupinu zjišťování, která konkrétně hledá prostředky související s dceřinou společností. Pokud už tato pobočka není pro vaši organizaci relevantní, můžete využít správu na základě řetězu prostředků k odstranění všech prostředků přenesených do inventáře prostřednictvím této skupiny zjišťování.

V programu Defender EASM můžete stále zobrazit odebrané prostředky; jednoduše vyfiltrujte seznam inventáře pro prostředky ve stavu Archivované.

Odstranění založené na počátečních edech

Můžete se rozhodnout, že některá z původně určených semen zjišťování by již neměla být zahrnuta do skupiny zjišťování. Počáteční hodnota již nemusí být pro vaši organizaci relevantní nebo může přinést více falešně pozitivních než legitimní vlastněné prostředky. V této situaci můžete ze skupiny zjišťování odebrat počáteční hodnoty, abyste zabránili jeho použití v budoucích spuštěních zjišťování a současně odebrali všechny prostředky, které byly přeneseny do inventáře prostřednictvím určeného počátečního stavu v minulosti.

Pokud chcete provést hromadné odebrání na základě počátečního nastavení, nasměrujte na příslušnou stránku podrobností skupiny zjišťování a klikněte na Upravit skupinu zjišťování. Podle pokynů přejděte na stránku Semena a odeberte problematické počáteční hodnoty ze seznamu. Když vyberete "Zkontrolovat a aktualizovat", zobrazí se také upozornění, které indikuje, že všechny prostředky zjištěné prostřednictvím určeného počátečního souboru budou odebrány. Odstranění dokončíte výběrem možnosti Aktualizovat nebo Spustit.

Screenshot that shows the Edit Discovery Group page with a warning indicating the removal of a seed and any assets discovered through that seed.

Odstranění založené na řetězu zjišťování

V následujícím příkladu si představte, že jste na řídicím panelu Souhrn prostoru útoku objevili nezabezpečený přihlašovací formulář. Vaše šetření vás přesměruje na hostitele, který zřejmě není vlastníkem vaší organizace. Zobrazíte stránku s podrobnostmi o aktivu, kde najdete další informace; při kontrole řetězu zjišťování zjistíte, že hostitel byl přenesen do inventáře, protože odpovídající doména byla zaregistrována pomocí podnikové e-mailové adresy zaměstnance, která byla použita také k registraci schválených obchodních entit.

Screenshot that shows the Asset Details page with the Discovery Chain section highlighted.

V této situaci je počáteční počáteční hodnota zjišťování (podniková doména) stále legitimní, takže musíme místo toho odebrat problematický prostředek z řetězce zjišťování. I když bychom mohli provést řetězové odstranění z kontaktního e-mailu, místo toho se rozhodneme odebrat všechno přidružené k osobní doméně zaregistrované tomuto zaměstnanci, aby nás Defender EASM v budoucnu upozornil na všechny ostatní domény zaregistrované na tuto e-mailovou adresu. V řetězci zjišťování vyberte tuto osobní doménu a zobrazte stránku s podrobnostmi o prostředku. V tomto zobrazení vyberte Odebrat z řetězu zjišťování a odeberte prostředek z inventáře a také všechny prostředky, které se přenesou do inventáře z důvodu pozorovaného připojení k osobní doméně. Budete požádáni o potvrzení odebrání aktiva a všech podřízených prostředků a zobrazí se souhrnný seznam ostatních prostředků, které budou touto akcí odebrány. Výběrem možnosti Odebrat řetěz zjišťování potvrďte hromadné odebrání.

Screenshot that shows the box that prompts users to confirm the removal of the current asset and all downstream assets, with a summary of the other assets that will be removed with this action.

Odstranění skupiny zjišťování

Možná budete muset odstranit celou skupinu zjišťování a všechny prostředky zjištěné prostřednictvím této skupiny. Vaše společnost například mohla prodat dceřinou společnost, kterou už není potřeba monitorovat. Uživatelé mohou odstranit skupiny zjišťování ze stránky správy zjišťování. Pokud chcete odebrat skupinu zjišťování a všechny související prostředky, jednoduše vyberte ikonu koše vedle příslušné skupiny v seznamu. Zobrazí se upozornění, které obsahuje souhrn prostředků, které budou touto akcí odebrány. Potvrzení odstranění skupiny zjišťování; a všechny související prostředky, vyberte Odebrat skupinu zjišťování.

Screenshot that shows the Discovery management page, with the warning box that appears after electing to delete a group highlighted.

Další kroky