Vysvětlení podrobností o prostředku
Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) často kontroluje všechny prostředky inventáře a shromažďuje robustní kontextová metadata, která využívají přehledy oblasti útoku. Tato data je také možné zobrazit podrobněji na stránce s podrobnostmi o prostředku. Poskytnutá data se mění v závislosti na typu prostředku. Platforma například poskytuje jedinečná data Whois pro domény, hostitele a IP adresy. Poskytuje data podpisových algoritmů pro certifikáty SSL (Secure Sockets Layer).
Tento článek popisuje, jak zobrazit a interpretovat rozsáhlé údaje shromážděné Microsoftem pro každý z vašich inventárních prostředků. Definuje tato metadata pro každý typ prostředku a vysvětluje, jak vám přehledy z nich můžou pomoct spravovat stav zabezpečení vaší online infrastruktury.
Další informace najdete v tématu Principy prostředků inventáře , abyste se seznámili s klíčovými koncepty uvedenými v tomto článku.
Zobrazení souhrnu podrobností o aktivech
Stránku s podrobnostmi o aktivu můžete zobrazit tak, že vyberete jeho název ze seznamu inventáře. V levém podokně této stránky můžete zobrazit souhrn prostředků, který poskytuje klíčové informace o daném konkrétním prostředku. Tato část obsahuje především data, která platí pro všechny typy prostředků, i když v některých případech je k dispozici více polí. Další informace o metadatech poskytovaných pro jednotlivé typy prostředků v souhrnné části najdete v následujícím grafu.
Obecné informace
Tato část obsahuje základní informace, které jsou klíčové pro rychlé pochopení vašich prostředků. Většina těchto polí platí pro všechny prostředky. Tato část může také obsahovat informace specifické pro jeden nebo více typů prostředků.
| Name | Definice | Typy prostředků |
|---|---|---|
| Název prostředku | Název prostředku. | Vše |
| UUID | Tento 128bitový popisek představuje universálně jedinečný identifikátor (UUID) prostředku. | Vše |
| Přidáno do inventáře | Datum, kdy byl prostředek přidán do inventáře, ať už byl automaticky přidán do schváleného stavu inventáře , nebo je v jiném stavu, jako je Kandidát. | Vše |
| Naposledy aktualizované | Datum, kdy ruční uživatel naposledy aktualizoval prostředek (například provedením změny stavu nebo odebráním prostředku) | Vše |
| Externí ID | Ručně přidaná hodnota Externí ID. | Vše |
| Stav | Stav prostředku v systému RiskIQ. Mezi možnosti patří Schválený inventář, Kandidát, Závislosti nebo Vyžaduje šetření. | Vše |
| Poprvé vidět (Global Security Graph) | Datum, kdy Microsoft poprvé naskenuje prostředek a přidal ho do komplexního global security graphu. | Vše |
| Poslední výskyt (Global Security Graph) | Datum, kdy Společnost Microsoft naposledy naskenuje prostředek. | Vše |
| Zjistilo se | Označuje datum vytvoření skupiny zjišťování, která aktivum zjistila. | Vše |
| Země | Země původu zjištěná pro toto aktivum. | Vše |
| Stát/kraj | Stát nebo provincie původu zjištěná pro tento prostředek. | Vše |
| City (Město) | Město původu zjištěné pro tento prostředek. | Vše |
| Whois name | Název přidružený k záznamu Whois. | Hostitel |
| Whois email | E-mail primárního kontaktu v záznamu Whois. | Hostitel |
| Whois organization | Organizace uvedená v záznamu Whois | Hostitel |
| Registrátor whois | Uvedený registrátor v záznamu Whois. | Hostitel |
| Whois name servers | Uvedené názvové servery v záznamu Whois. | Hostitel |
| Vydaný certifikát | Datum vydání certifikátu. | Certifikát SSL |
| Platnost certifikátu vyprší. | Datum vypršení platnosti certifikátu | Certifikát SSL |
| Sériové číslo | Sériové číslo přidružené k certifikátu SSL. | Certifikát SSL |
| Verze SSL | Verze PROTOKOLU SSL, ve které byl certifikát zaregistrovaný. | Certifikát SSL |
| Algoritmus klíče certifikátu | Algoritmus klíče použitý k šifrování certifikátu SSL. | Certifikát SSL |
| Velikost klíče certifikátu | Počet bitů v klíči certifikátu SSL. | Certifikát SSL |
| Identifikátor algoritmu podpisu | Identifikátor OID, který identifikuje hashovací algoritmus použitý k podepsání žádosti o certifikát. | Certifikát SSL |
| Podepsaný svým držitelem | Určuje, jestli byl certifikát SSL podepsaný svým držitelem. | Certifikát SSL |
Síť
Následující informace o IP adrese poskytují další kontext o použití IP adresy.
| Name | Definice | Typy prostředků |
|---|---|---|
| Záznam názvového serveru | Všechny názvové servery zjištěné u prostředku. | IP adresa |
| Záznam poštovního serveru | Všechny poštovní servery zjištěné u prostředku. | IP adresa |
| Bloky IP adres | Blok IP adresy, který obsahuje prostředek IP adresy. | IP adresa |
| ASN | ASN přidružené k prostředku. | IP adresa |
Informace o blokování
Následující data jsou specifická pro bloky IP adres a poskytují kontextové informace o jejich použití.
| Name | Definice | Typy prostředků |
|---|---|---|
| CIDR | Classless Inter-Domain Routing (CIDR) pro blok IP. | Blok IP adres |
| Název sítě | Název sítě přidružený k bloku IP adres. | Blok IP adres |
| Název organizace | Název organizace, který najdete v registračních informacích pro blok IP adres. | Blok IP adres |
| ID organizace | ID organizace, které najdete v registračních informacích pro blok IP adres. | Blok IP adres |
| ASN | ASN přidružené k bloku IP adres. | Blok IP adres |
| Země | Země původu zjištěná v registračních informacích whois pro blok IP. | Blok IP adres |
Předmět
Následující data jsou specifická pro subjekt (tj. chráněnou entitu) přidružený k certifikátu SSL.
| Name | Definice | Typy prostředků |
|---|---|---|
| Běžný název | Běžný název vystavitele předmětu certifikátu SSL. | Certifikát SSL |
| Alternativní názvy | Jakékoli alternativní běžné názvy pro předmět certifikátu SSL. | Certifikát SSL |
| Název organizace | Organizace propojená s předmětem certifikátu SSL. | Certifikát SSL |
| Organizační jednotka | Volitelná metadata označující oddělení v rámci organizace, které je za certifikát zodpovědné. | Certifikát SSL |
| Lokalita | Označuje město, kde se organizace nachází. | Certifikát SSL |
| Země | Označuje zemi, ve které se organizace nachází. | Certifikát SSL |
| Stát/kraj | Označuje stát nebo provincii, kde se organizace nachází. | Certifikát SSL |
Vystavitel
Následující data jsou specifická pro vystavitele certifikátu SSL.
| Name | Definice | Typy prostředků |
|---|---|---|
| Běžný název | Běžný název vystavitele certifikátu. | Certifikát SSL |
| Alternativní názvy | Jakékoli jiné názvy vystavitele. | Certifikát SSL |
| Název organizace | Název organizace, která orchestrovala vydání certifikátu. | Certifikát SSL |
| Organizační jednotka | Další informace o organizaci, která certifikát vydala. | Certifikát SSL |
Datové karty
V pravém podokně stránky podrobností o prostředku mají uživatelé přístup k rozsáhlejším datům souvisejícím s vybraným assetem. Tato data jsou uspořádaná do řady karet zařazených do kategorií. Dostupné karty metadat se mění v závislosti na typu prostředku, který si prohlížíte.
Přehled
Karta Přehled poskytuje další kontext, aby bylo možné rychle identifikovat důležité přehledy při zobrazení podrobností prostředku. Tato část obsahuje data zjišťování klíčů pro všechny typy prostředků. Poskytuje přehled o tom, jak Microsoft mapuje prostředek na vaši známou infrastrukturu.
Tato část může také obsahovat widgety řídicího panelu, které vizualizují přehledy relevantní pro daný typ prostředku.
Řetěz zjišťování
Řetězec zjišťování popisuje pozorovaná připojení mezi počátečním seedem zjišťování a assetem. Tyto informace pomáhají uživatelům tato připojení vizualizovat a lépe pochopit, proč bylo zjištěno, že prostředek patří do jejich organizace.
V příkladu můžete vidět, že počáteční doména je svázaná s tímto assetem prostřednictvím kontaktního e-mailu v jeho záznamu Whois. Stejný kontaktní e-mail se použil k registraci bloku IP adres, který obsahuje tento konkrétní prostředek IP adresy.
Informace o zjišťování
Tato část obsahuje informace o procesu, který se používá k detekci prostředku. Obsahuje informace o počátečním sadě zjišťování, které se připojuje k prostředku, a o schvalovacím procesu.
Vaše možnosti jsou:
- Schválený inventář: Tato možnost označuje, že vztah mezi počátečním a zjištěným assetem byl dostatečně silný, aby bylo možné automaticky schválit systémem Defender EASM.
- Kandidát: Tato možnost označuje, že prostředek vyžaduje ruční schválení, aby byl začleněn do inventáře.
- Poslední spuštění zjišťování: Toto datum označuje, kdy byla skupina zjišťování, která původně detekovala prostředek, naposledy využita pro kontrolu zjišťování.
Reputace IP adresy
Na kartě Reputace IP adresy se zobrazí seznam potenciálních hrozeb souvisejících s danou IP adresou. Tato část popisuje všechny zjištěné škodlivé nebo podezřelé aktivity související s IP adresou. Tyto informace jsou klíčem k pochopení důvěryhodnosti vašeho vlastního prostoru pro útoky. Tyto hrozby můžou organizacím pomoct odhalit minulou nebo současnou chybu zabezpečení v jejich infrastruktuře.
Data reputace IP adresy Defender EASM zobrazují instance, když byla IP adresa zjištěna v seznamu hrozeb. Nedávné zjištění v následujícím příkladu například ukazuje, že IP adresa souvisí s hostitelem, o kterém je známo, že spouští miner kryptoměny. Tato data byla odvozena ze seznamu podezřelých hostitelů, který poskytl CoinBlockers. Výsledky jsou uspořádané podle data posledního zobrazení , aby se jako první zobrazily nejrelevantní detekce.
V tomto příkladu se IP adresa nachází v neobvykle vysokém počtu informačních kanálů hrozeb. Tyto informace indikují, že prostředek by měl být důkladně prošetřen, aby se zabránilo škodlivým aktivitám v budoucnu.
Služby
Karta Služby je k dispozici pro IP adresu, doménu a prostředky hostitele. Tato část obsahuje informace o službách, u kterých se zjistilo, že na prostředku běží. Zahrnuje IP adresy, názvové a poštovní servery a otevřené porty, které odpovídají jiným typům infrastruktury (například službám vzdáleného přístupu).
Data služeb Defender EASM jsou klíčem k pochopení infrastruktury, která pohání vaše prostředky. Může vás také upozornit na prostředky vystavené na otevřeném internetu, které by měly být chráněné.
IP adresy
Tato část poskytuje přehled o všech IP adresách spuštěných v infrastruktuře prostředku. Na kartě Služby zadá Defender EASM název IP adresy a data První zobrazení a Naposledy zhlédli . Sloupec Poslední označuje, jestli byla IP adresa zjištěna během poslední kontroly prostředku. Pokud v tomto sloupci není žádné zaškrtávací políčko, IP adresa se zobrazila při předchozích kontrolách, ale v současné době na prostředku neběží.
Poštovní servery
Tato část obsahuje seznam všech poštovních serverů, které jsou spuštěné na prostředku. Tyto informace označují, že prostředek je schopen odesílat e-maily. V této části defender EASM uvádí název poštovního serveru a data První zobrazení a Naposledy vidět . Sloupec Poslední označuje, jestli byl poštovní server zjištěn během poslední kontroly prostředku.
Názvové servery
V této části se zobrazí všechny názvové servery, které jsou spuštěné na prostředku, a poskytují tak řešení pro hostitele. V této části defender EASM uvádí název poštovního serveru a data První zobrazení a Naposledy vidět . Sloupec Poslední označuje, jestli byl názvový server zjištěn během poslední kontroly prostředku.
Otevřené porty
Tato část obsahuje seznam všech otevřených portů zjištěných u prostředku. Microsoft pravidelně kontroluje přibližně 230 různých portů. Tato data jsou užitečná k identifikaci nezabezpečených služeb, které by neměly být přístupné z otevřeného internetu. Mezi tyto služby patří databáze, zařízení IoT a síťové služby, jako jsou směrovače a přepínače. Je také užitečné při identifikaci stínové it infrastruktury nebo nezabezpečených služeb vzdáleného přístupu.
V této části Defender EASM poskytuje číslo otevřeného portu, popis portu, poslední stav, ve které byl zjištěn, a data Prvního výskytu a Poslední zobrazení . Sloupec Poslední označuje, jestli byl port během poslední kontroly zjištěn jako otevřený.
Snímače
Sledování jsou jedinečné kódy nebo hodnoty, které se nacházejí na webových stránkách a často se používají ke sledování interakce uživatelů. Tyto kódy lze použít ke korelaci různorodé skupiny webů s centrální entitou. Datová sada sledování microsoftu obsahuje ID od poskytovatelů, jako jsou Google, Yandex, Mixpanel, New Relic a Clicky, a stále roste.
V této části Defender EASM poskytuje typ sledování (například GoogleAnalyticsID), jedinečnou hodnotu identifikátoru a data První zobrazení a Naposledy zhlédli .
Webové komponenty
Webové komponenty jsou podrobnosti, které popisují infrastrukturu prostředku, jak bylo zjištěno při kontrole Microsoftu. Tyto komponenty poskytují základní znalosti o technologiích používaných v prostředku. Microsoft kategorizuje konkrétní komponenty a pokud je to možné, zahrne čísla verzí.
Část Webové součásti obsahuje kategorii, název a verzi komponenty a seznam všech platných KVV, které by měly být napraveny. Defender EASM také poskytuje sloupce Data prvního zobrazení a Poslední zobrazení a sloupec Poslední . Zaškrtávací políčko označuje, že tato infrastruktura byla pozorována během poslední kontroly prostředku.
Webové komponenty jsou kategorizovány na základě jejich funkce.
| Webová komponenta | Příklady |
|---|---|
| Poskytovatel hostingu | hostingprovider.com |
| Server | Apache |
| Server DNS | VAZBA ISC |
| Úložiště dat | MySQL, ElasticSearch, MongoDB |
| Vzdálený přístup | OpenSSH, Microsoft Správa Center, Netscaler Gateway |
| Výměnu dat. | Pure-FTPd |
| Internet věcí (IoT) | HP Deskjet, Linksys Camera, Sonos |
| Email server | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Síťové zařízení | Cisco Router, Motorola WAP, ZyXEL Modem |
| Ovládací prvek sestavení | Lineární eMerge, Asi Controls Weblink, Optergy |
Pozorování
Na kartě Pozorování se zobrazí všechny přehledy z řídicího panelu Priority oblasti útoku, které se týkají daného prostředku. Mezi tyto priority patří:
- Kritické KVTE.
- Známá přidružení k ohrožené infrastruktuře
- Použití zastaralé technologie.
- Porušení osvědčených postupů infrastruktury.
- Problémy s dodržováním předpisů
Další informace o pozorováních najdete v tématu Principy řídicích panelů. Pro každé pozorování poskytuje Defender EASM název pozorování, kategorizuje ho podle typu, přiřadí prioritu a tam, kde je to možné, vypíše skóre CVSS v2 a v3.
Zdroje informací
Karta Prostředky poskytuje přehled o všech javascriptových prostředcích spuštěných na libovolné stránce nebo prostředcích hostitele. Pokud je to možné pro hostitele, jsou tyto prostředky agregovány tak, aby představovaly JavaScript spuštěný na všech stránkách na daném hostiteli. Tato část obsahuje inventář JavaScriptu zjištěného u každého prostředku, aby vaše organizace získala úplný přehled o těchto prostředcích a zjistila případné změny.
Defender EASM poskytuje adresu URL prostředku, hostitele prostředku, hodnotu MD5 a data, která se poprvé a naposledy viděla, a pomáhá tak organizacím efektivně monitorovat použití prostředků JavaScriptu v inventáři.
Certifikáty SSL
Certifikáty se používají k zabezpečení komunikace mezi prohlížečem a webovým serverem prostřednictvím protokolu SSL. Používání certifikátů zajišťuje, že citlivá přenášená data nebude možné číst, manipulovat s sebou ani zfalšovat. V této části programu Defender EASM jsou uvedeny všechny certifikáty SSL zjištěné u prostředku, včetně klíčových dat, jako je problém a datum vypršení platnosti.
Whois
Protokol Whois se používá k dotazování a odpovídání na databáze, které ukládají data související s registrací a vlastnictvím internetových prostředků. Whois obsahuje údaje o registraci klíčů, které se můžou vztahovat na domény, hostitele, IP adresy a bloky IP adres v Defenderu EASM. Na kartě Whois data poskytuje Microsoft robustní množství informací přidružených k registru prostředku.
Následující pole jsou zahrnuta v tabulce v části Hodnoty na kartě Whois .
| Pole | Description |
|---|---|
| Whois server | Server vytvořený registrátorem akreditovaným icann za účelem získání aktuálních informací o entitách, které jsou u něj zaregistrované. |
| Registrátor | Společnost, jejíž služba byla použita k registraci majetku. Mezi oblíbené registrátory patří GoDaddy, Namecheap a HostGator. |
| Stav domény | Libovolný stav domény nastavený registrem. Tyto stavy můžou znamenat, že doména čeká na odstranění nebo převod registrátorem nebo je aktivní na internetu. Toto pole může také označovat omezení prostředku. Například možnost Odstranění klienta zakázáno znamená, že registrátor nemůže prostředek odstranit. |
| Všechny kontaktní e-mailové adresy poskytnuté žadatelem o registraci. Whois umožňuje žadateli o registraci zadat typ kontaktu. Mezi možnosti patří kontakty pro správu, technickou, registrátora a registrátora. | |
| Name | Jméno žadatele o registraci, pokud je zadané. |
| Organizace | Organizace zodpovědná za zaregistrovanou entitu. |
| Ulice | Adresa žadatele o registraci, pokud je uvedena. |
| City (Město) | Město uvedené v ulici pro žadatele o registraci, pokud je uvedeno. |
| Stav | Stav uvedený v ulici žadatele o registraci, pokud je uveden. |
| PSČ | PSČ uvedené v poštovní adrese žadatele o registraci, pokud je uvedeno. |
| Země | Země uvedená na adrese žadatele o registraci, pokud je uvedena. |
| Rozložení | Telefonní číslo přidružené k kontaktu žadatele o registraci, pokud je zadané. |
| Názvové servery | Všechny názvové servery přidružené k registrované entitě. |
Mnoho organizací se rozhodne obfuscate své informace v registru. Kontaktní e-mailové adresy někdy končí na @anonymised.email. Tento zástupný symbol se používá místo skutečné kontaktní adresy. Mnoho polí je během konfigurace registrace nepovinných, takže žadatel o registraci nezahrnoval žádné pole s prázdnou hodnotou.
Historie změn
Na kartě Historie změn se zobrazí seznam úprav, které byly u prostředku použity v průběhu času. Tyto informace vám pomůžou sledovat tyto změny v průběhu času a lépe porozumět životnímu cyklu prostředku. Tato karta zobrazuje celou řadu změn, včetně stavů prostředků, popisků a externích ID. Pro každou změnu uvádíme uživatele, který změnu implementoval, a časové razítko.
