Vysvětlení podrobností o prostředku
Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) často kontroluje všechny inventarizační prostředky a shromažďuje robustní kontextová metadata, která využívají Přehledy zařízení Attack Surface. Tato data se také dají zobrazit podrobněji na stránce s podrobnostmi o prostředku. Poskytnutá data se mění v závislosti na typu assetu. Platforma například poskytuje jedinečná data Kdo is pro domény, hostitele a IP adresy. Poskytuje data algoritmu podpisu pro certifikáty SSL (Secure Sockets Layer).
Tento článek popisuje, jak zobrazit a interpretovat expansivní data shromážděná Microsoftem pro každý z vašich inventářových prostředků. Tato metadata definuje pro každý typ prostředku a vysvětluje, jak vám můžou přehledy odvozené z něj pomoct při správě stavu zabezpečení online infrastruktury.
Další informace najdete v tématu Vysvětlení prostředků inventáře, abyste se seznámili s klíčovými koncepty uvedenými v tomto článku.
Souhrnné zobrazení podrobností o aktivech
Stránku s podrobnostmi o aktivu pro libovolný prostředek můžete zobrazit tak, že v seznamu inventáře vyberete její název. V levém podokně této stránky můžete zobrazit souhrn aktiv, který poskytuje klíčové informace o daném prostředku. Tato část primárně obsahuje data, která platí pro všechny typy prostředků, i když jsou v některých případech k dispozici více polí. Další informace o metadatech zadaných pro každý typ prostředku v souhrnné části najdete v následujícím grafu.
Obecné informace
Tato část obsahuje základní informace, které jsou klíčové pro pochopení vašich prostředků na první pohled. Většina těchto polí se vztahuje na všechny prostředky. Tato část může obsahovat také informace specifické pro jeden nebo více typů prostředků.
Název | definice | Typy majetku |
---|---|---|
Název prostředku | Název aktiva. | Všechny |
UUID | Tento 128bitový popisek představuje univerzální jedinečný identifikátor (UUID) prostředku. | Všechny |
Přidáno do inventáře | Datum, kdy byl prostředek přidán do inventáře, ať už byl automaticky přidán do schváleného stavu inventáře nebo v jiném stavu, jako je Kandidát. | Všechny |
Poslední aktualizace | Datum, kdy ruční uživatel naposledy aktualizoval prostředek (například provedením změny stavu nebo odebrání majetku). | Všechny |
Externí ID | Hodnota externího ID byla přidána ručně. | Všechny |
Stav | Stav aktiva v rámci systému RiskIQ. Mezi možnosti patří Schválené inventáře, Kandidát, Závislosti nebo Vyžaduje šetření. | Všechny |
První zobrazení (Global Security Graph) | Datum, kdy Microsoft aktivum poprvé naskenuje a přidal do komplexního globálního grafu zabezpečení. | Všechny |
Naposledy vidět (Global Security Graph) | Datum, kdy Společnost Microsoft aktivum naposledy naskenuje. | Všechny |
Zjištěno dne | Označuje datum vytvoření skupiny zjišťování, která detekovala prostředek. | Všechny |
Země/oblast | Země původu zjistila pro tento prostředek. | Všechny |
Stát/kraj | Pro tento majetek byl zjištěn stát nebo provincie původu. | Všechny |
Město | Město původu zjistila pro tento majetek. | Všechny |
název Kdo is | Název přidružený k záznamu Kdo is. | Hostitelský počítač |
e-mail Kdo is | Primární kontaktní e-mail v záznamu Kdo is. | Hostitelský počítač |
organizace Kdo is | Uvedená organizace v záznamu Kdo is. | Hostitelský počítač |
registrátor Kdo is | Uvedený registrátor v záznamu Kdo is. | Hostitelský počítač |
názvové servery Kdo is | Uvedené názvové servery v záznamu Kdo is. | Hostitelský počítač |
Vystavený certifikát | Datum vydání certifikátu. | Certifikát SSL |
Platnost certifikátu vyprší. | Datum vypršení platnosti certifikátu. | Certifikát SSL |
Sériové číslo | Sériové číslo přidružené k certifikátu SSL. | Certifikát SSL |
Verze PROTOKOLU SSL | Verze protokolu SSL, kterou certifikát zaregistroval. | Certifikát SSL |
Algoritmus klíče certifikátu | Algoritmus klíče použitý k šifrování certifikátu SSL. | Certifikát SSL |
Velikost klíče certifikátu | Počet bitů v klíči certifikátu SSL. | Certifikát SSL |
Identifikátor algoritmu podpisu | Identifikátor identifikátoru, který identifikuje algoritmus hash použitý k podepsání žádosti o certifikát. | Certifikát SSL |
Podepsaný svým držitelem | Určuje, jestli byl certifikát SSL podepsaný svým držitelem. | Certifikát SSL |
Síť
Následující informace o IP adrese poskytují další kontext týkající se použití IP adresy.
Název | definice | Typy majetku |
---|---|---|
Záznam názvového serveru | Všechny názvové servery zjištěné v prostředku. | IP adresa |
Záznam poštovního serveru | Všechny poštovní servery detekované v prostředku. | IP adresa |
Bloky IP adres | Blok IP, který obsahuje prostředek IP adresy. | IP adresa |
ASN | ASN přidružené k prostředku. | IP adresa |
Informace o blokování
Následující data jsou specifická pro bloky IP adres a poskytují kontextové informace o jejich použití.
Název | definice | Typy majetku |
---|---|---|
CIDR | CiDR (Classless Inter-Domain Routing) pro blok IP adres. | Blok IP adres |
Název sítě | Název sítě přidružený k bloku PROTOKOLU IP. | Blok IP adres |
Název organizace | Název organizace nalezený v registračních informacích bloku IP. | Blok IP adres |
Kód organizace | ID organizace, které se nachází v registračních informacích pro blok IP. | Blok IP adres |
ASN | ASN přidružený k bloku IP. | Blok IP adres |
Země/oblast | Země původu zjištěná v Kdo is registrační informace pro blok IP adres. | Blok IP adres |
Předmět
Následující data jsou specifická pro subjekt (tj. chráněnou entitu) přidruženou k certifikátu SSL.
Název | definice | Typy majetku |
---|---|---|
Běžný název | Běžný název vystavitele předmětu certifikátu SSL. | Certifikát SSL |
Alternativní názvy | Jakékoli alternativní běžné názvy pro předmět certifikátu SSL. | Certifikát SSL |
Název organizace | Organizace propojená s předmětem certifikátu SSL. | Certifikát SSL |
Organizační jednotka | Volitelná metadata označující oddělení v organizaci, která je zodpovědná za certifikát. | Certifikát SSL |
Lokalita | Označuje město, ve kterém se organizace nachází. | Certifikát SSL |
Země/oblast | Označuje zemi, ve které se organizace nachází. | Certifikát SSL |
Stát/kraj | Označuje stát nebo provincii, kde se organizace nachází. | Certifikát SSL |
Issuer
Následující data jsou specifická pro vystavitele certifikátu SSL.
Název | definice | Typy majetku |
---|---|---|
Běžný název | Běžný název vystavitele certifikátu. | Certifikát SSL |
Alternativní názvy | Jakékoli jiné názvy vystavitele. | Certifikát SSL |
Název organizace | Název organizace, která orchestrovala vydání certifikátu. | Certifikát SSL |
Organizační jednotka | Další informace o organizaci, která certifikát vydala. | Certifikát SSL |
Datové karty
V pravém podokně stránky podrobností o prostředku mají uživatelé přístup k rozsáhlejším datům souvisejícím s vybraným assetem. Tato data jsou uspořádaná do řady karet zařazených do kategorií. Dostupné karty metadat se mění v závislosti na typu prostředku, který si prohlížíte.
Některé karty zobrazují přepínač Poslední jenom v pravém horním rohu. Ve výchozím nastavení defender EASM zobrazí všechna data, která jsme pro každý prostředek shromáždili, včetně historických pozorování, která nemusí být na vašem aktuálním prostoru útoku aktivně spuštěná. I když je tento historický kontext velmi cenný pro určité případy použití, přepínač "Poslední pouze" omezí všechny výsledky na stránce Podrobnosti o aktivech na ty, které byly u prostředku naposledy pozorovány. Pokud chcete zobrazit pouze data, která představují aktuální stav prostředku pro účely nápravy, doporučujeme použít přepínač Poslední.
Přehled
Karta Přehled poskytuje další kontext, abyste měli jistotu, že při zobrazení podrobností o prostředku jsou důležité přehledy rychle identifikovatelné. Tato část obsahuje klíčová data zjišťování pro všechny typy prostředků. Poskytuje přehled o tom, jak Microsoft mapuje prostředek na vaši známou infrastrukturu.
Tato část může obsahovat také widgety řídicího panelu, které vizualizují přehledy relevantní pro daný typ prostředku.
Řetěz zjišťování
Řetěz zjišťování popisuje pozorovaná připojení mezi počátečním obdobím zjišťování a assetem. Tyto informace pomáhají uživatelům vizualizovat tato připojení a lépe pochopit, proč se zjistilo, že prostředek patří do organizace.
V tomto příkladu vidíte, že počáteční doména je svázaná s tímto assetem prostřednictvím kontaktního e-mailu v záznamu Kdo is. Stejný kontaktní e-mail se použil k registraci bloku IP adres, který obsahuje tento konkrétní prostředek IP adresy.
Informace o zjišťování
Tato část obsahuje informace o procesu, který se používá k detekci prostředku. Obsahuje informace o počátečním stavu zjišťování, které se připojí k prostředku a procesu schválení.
K dispozici jsou následující možnosti:
- Schválený inventář: Tato možnost označuje, že vztah mezi počátečním a zjištěným assetem byl dostatečně silný, aby mohl systém EASM defenderu automaticky schválit.
- Kandidát: Tato možnost označuje, že prostředek, který má být začleněn do inventáře, vyžaduje ruční schválení.
- Poslední spuštění zjišťování: Toto datum označuje, kdy se skupina zjišťování, která původně zjistila prostředek, naposledy využila ke kontrole zjišťování.
Reputace IP
Na kartě Reputace IP se zobrazí seznam potenciálních hrozeb souvisejících s danou IP adresou. Tato část popisuje všechny zjištěné škodlivé nebo podezřelé aktivity, které souvisejí s IP adresou. Tyto informace jsou klíčem k pochopení důvěryhodnosti vašeho vlastního prostoru útoku. Tyto hrozby můžou organizacím pomoct odhalit ohrožení zabezpečení v jejich infrastruktuře nebo odhalit ohrožení zabezpečení.
Data reputace IP adresy DEFENDER EASM zobrazují instance, když byla IP adresa zjištěna v seznamu hrozeb. Například nedávná detekce v následujícím příkladu ukazuje, že IP adresa se vztahuje k hostiteli, kterému se říká, že běží miner kryptografie. Tato data byla odvozena z podezřelého seznamu hostitelů, který poskytl CoinBlockers. Výsledky jsou uspořádané podle data posledního zobrazení , aby se jako první zobrazily nejrelevavantnější detekce.
V tomto příkladu se IP adresa nachází na neobvykle vysokém počtu informačních kanálů hrozeb. Tyto informace značí, že by měl být prostředek důkladně prošetřen, aby se zabránilo škodlivé aktivitě v budoucnu.
Služby
Karta Služby je k dispozici pro PROSTŘEDKY IP adresy, domény a hostitele. Tato část obsahuje informace o službách, u kterých se zjistilo, že na prostředku běží. Zahrnuje IP adresy, názvy a poštovní servery a otevřené porty, které odpovídají jiným typům infrastruktury (například službám vzdáleného přístupu).
Data služeb EASM defenderu jsou klíčem k pochopení infrastruktury, která využívá váš prostředek. Může vás také upozornit na prostředky, které jsou vystaveny na otevřeném internetu, které by měly být chráněny.
Adresy IP
Tato část poskytuje přehled o všech IP adresách spuštěných v infrastruktuře prostředku. Na kartě Služby poskytuje Defender EASM název IP adresy a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byla BĚHEM poslední kontroly prostředku zjištěna IP adresa. Pokud v tomto sloupci není žádné zaškrtávací políčko, IP adresa se zobrazila v předchozích kontrolách, ale aktuálně na prostředku neběží.
Poštovní servery
Tato část obsahuje seznam všech poštovních serverů, které běží na prostředku. Tyto informace značí, že prostředek může odesílat e-maily. V této části poskytuje EASM Defenderu název poštovního serveru a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byl poštovní server zjištěn během poslední kontroly prostředku.
Názvové servery
V této části se zobrazí všechny názvové servery spuštěné na prostředku, které poskytují překlad hostitele. V této části poskytuje EASM Defenderu název poštovního serveru a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byl názvový server zjištěn během poslední kontroly prostředku.
Otevřené porty
V této části jsou uvedeny všechny otevřené porty zjištěné u prostředku. Microsoft pravidelně kontroluje přibližně 230 různých portů. Tato data jsou užitečná k identifikaci nezabezpečených služeb, které by neměly být přístupné z otevřeného internetu. Mezi tyto služby patří databáze, zařízení IoT a síťové služby, jako jsou směrovače a přepínače. Je také užitečné identifikovat stínovou infrastrukturu IT nebo nezabezpečené služby vzdáleného přístupu.
V této části poskytuje EASM v programu Defender číslo otevřeného portu, popis portu, poslední stav, ve které byl zjištěn, a data prvního zobrazení a data posledního zobrazení. Sloupec Poslední označuje, jestli byl port během poslední kontroly zjištěn jako otevřený.
Snímače
Sledování jsou jedinečné kódy nebo hodnoty nalezené na webových stránkách a často se používají ke sledování interakce uživatelů. Tyto kódy lze použít ke korelaci různorodé skupiny webů s centrální entitou. Datová sada sledování Microsoftu zahrnuje ID od poskytovatelů, jako je Google, Yandex, Mixpanel, New Relic a Clicky, a pokračuje v růstu.
V této části poskytuje Defender EASM typ sledování (například GoogleAnalyticsID), jedinečnou hodnotu identifikátoru a data Prvního zobrazení a Data posledního zobrazení.
Webové komponenty
Webové komponenty jsou podrobnosti, které popisují infrastrukturu prostředku, jak je pozorováno při kontrole Microsoftu. Tyto komponenty poskytují základní znalosti o technologiích používaných na prostředku. Společnost Microsoft kategorizuje konkrétní součásti a pokud je to možné, zahrne čísla verzí.
Část Webové komponenty obsahuje kategorii, název a verzi komponenty a seznam všech použitelných CVE, které by se měly napravit. EaSM v programu Defender také poskytuje sloupce s prvními zobrazenýmia naposledy zobrazenými kalendářními daty a nedávným sloupcem. Zaškrtávací políčko označuje, že tato infrastruktura byla zjištěna během poslední kontroly prostředku.
Webové komponenty jsou kategorizovány na základě jejich funkce.
Webová komponenta | Příklady |
---|---|
Poskytovatel hostingu | hostingprovider.com |
Server | Apache |
Server DNS | ISC BIND |
Úložiště dat | MySQL, ElasticSearch, MongoDB |
Vzdálený přístup | OpenSSH, Microsoft Správa Center, Netscaler Gateway |
Výměnu dat. | Pure-FTPd |
Internet věcí (IoT) | HP Deskjet, Linksys Kamera, Sonos |
E-mailový server | ArmorX, Lotus Domino, Symantec Messaging Gateway |
Síťové zařízení | Směrovač Cisco, Motorola WAP, ZyXEL Modem |
Ovládací prvek budovy | Lineární eMerge, ASI Controls Weblink, Optergy |
Pozorování
Na kartě Pozorování se zobrazí všechny přehledy z řídicího panelu Priority prostoru útoku, který se týká prostředku. Mezi tyto priority patří:
- Kritické cve.
- Známá přidružení k ohrožené infrastruktuře.
- Použití zastaralé technologie
- Porušení osvědčených postupů infrastruktury
- Problémy s dodržováním předpisů
Další informace opozorováních Pro každé pozorování poskytuje Defender EASM název pozorování, kategorizuje ho podle typu, přiřadí prioritu a uvádí skóre CVSS v2 i v3, pokud je to možné.
Zdroje informací
Karta Prostředky poskytuje přehled o všech javascriptových prostředcích spuštěných na libovolné stránce nebo hostitelských prostředcích. Pokud jde o hostitele, tyto prostředky se agregují tak, aby představovaly JavaScript spuštěný na všech stránkách tohoto hostitele. Tato část obsahuje inventář JavaScriptu zjištěného u každého prostředku, aby vaše organizace získala úplný přehled o těchto prostředcích a zjistila případné změny.
Defender EASM poskytuje adresu URL prostředku, hostitele prostředků, hodnotu MD5 a data prvního zobrazení a data posledního zobrazení, která organizacím pomáhají efektivně monitorovat využití javascriptových prostředků v inventáři.
Certifikáty SSL
Certifikáty slouží k zabezpečení komunikace mezi prohlížečem a webovým serverem prostřednictvím SSL. používání certifikátů zajišťuje, aby citlivá data při přenosu nebyla čtená, manipulována ani zfalšována. V této části programu Defender EASM jsou uvedeny všechny certifikáty SSL zjištěné u prostředku, včetně klíčových dat, jako jsou data problému a data vypršení platnosti.
Kdo is
Protokol Kdo is slouží k dotazování a odpovídání na databáze, které ukládají data související s registrací a vlastnictvím internetových prostředků. Kdo is obsahuje registrační data klíče, která se můžou v EASM v programu Defender vztahovat na domény, hostitele, IP adresy a bloky IP adres. Na kartě Kdo is data poskytuje Společnost Microsoft robustní množství informací přidružených k registru prostředku.
Následující pole jsou zahrnuta v tabulce v části Hodnoty na kartě Kdo is.
Pole | Popis |
---|---|
server Kdo is | Server, který nastavil registrátor ICANN akreditovaný k získání aktuálních informací o entitách, které jsou s ním zaregistrované. |
Registrátor | Společnost, jejíž služba byla použita k registraci majetku. Mezi oblíbené registrátory patří GoDaddy, Namecheap a HostGator. |
Stav domény | Jakýkoli stav domény nastavený registrem. Tyto stavy můžou znamenat, že doména čeká na odstranění nebo převod registrátorem nebo je aktivní na internetu. Toto pole může také znamenat omezení prostředku. Například odstranění klienta zakázáno značí, že registrátor nemůže prostředek odstranit. |
Všechny kontaktní e-mailové adresy poskytnuté registrantem. Kdo is umožňuje registrujícím určit typ kontaktu. Mezi možnosti patří kontakty správce, technického, registrátora a registrátora. | |
Název | Jméno žadatele, pokud je k dispozici. |
Organizace | Organizace odpovědná za zaregistrovanou entitu. |
Ulice | Adresa ulice pro registranta, pokud je k dispozici. |
Město | Město uvedené na ulici pro žadatele, pokud je k dispozici. |
Stav | Stav uvedený v ulici pro žadatele, pokud je k dispozici. |
Postal code | PSČ uvedené na ulici pro registranta, pokud je k dispozici. |
Země/oblast | Země uvedená na ulici pro žadatele, pokud je k dispozici. |
telefonní | Telefonní číslo přidružené k kontaktu žadatele, pokud je k dispozici. |
Názvové servery | Všechny názvové servery přidružené k registrované entitě. |
Mnoho organizací se rozhodlo obfušovat informace o registru. Někdy kontaktní e-mailové adresy končí na @anonymised.email. Tento zástupný symbol se používá místo skutečné adresy kontaktu. Mnoho polí je během konfigurace registrace volitelné, takže registrant nezahrávalo žádné pole s prázdnou hodnotou.
Historie změn
Na kartě Historie změn se zobrazí seznam změn, které byly použity u prostředku v průběhu času. Tyto informace vám pomůžou sledovat tyto změny v průběhu času a lépe porozumět životnímu cyklu prostředku. Tato karta zobrazuje různé změny, včetně stavů prostředků, popisků a externích ID, mimo jiné. Pro každou změnu uvádíme uživatele, který změnu implementoval, a časové razítko.