Použití a správa zjišťování

  • Článek

Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) spoléhá na technologii proprietárního zjišťování, která neustále definuje jedinečnou oblast útoků vystavených internetu vaší organizace. Zjišťování vyhledá na internetu prostředky vlastněné vaší organizací a odhalí dříve neznámé a nemonitorované vlastnosti.

Zjištěné prostředky se indexují ve vašem inventáři, aby poskytovaly dynamický systém záznamů webových aplikací, závislostí třetích stran a webové infrastruktury pod správou vaší organizace prostřednictvím jediného podokna.

Než spustíte vlastní zjišťování, přečtěte si téma Co je zjišťování? a seznamte se s klíčovými koncepty zde probíranými.

Přístup k prostoru pro automatizované útoky

Microsoft preventivně nakonfiguroval oblasti útoků mnoha organizací a zmapoval jejich počáteční prostor útoku tím, že zjistil infrastrukturu, která je připojená ke známým prostředkům.

Než vytvoříte vlastní prostor pro útoky a spustíte další zjišťování, doporučujeme vyhledat prostor pro útoky vaší organizace. Tento proces umožňuje rychlý přístup k inventáři, protože Defender EASM aktualizuje data a přidá do prostoru pro útok další prostředky a nedávný kontext.

Při prvním přístupu k instanci Defender EASM vyberte Začínáme v části Obecné a vyhledejte vaši organizaci v seznamu automatizovaných oblastí útoků. Pak v seznamu vyberte svoji organizaci a vyberte Vytvořit můj prostor pro útok.

Snímek obrazovky s předkonfigurovanou obrazovkou výběru oblasti útoku

V tomto okamžiku se zjišťování spustí na pozadí. Pokud jste ze seznamu dostupných organizací vybrali předkonfigurovaný prostor útoku, budete přesměrováni na obrazovku přehledu řídicího panelu, kde můžete zobrazit přehledy o infrastruktuře vaší organizace v režimu Preview.

Projděte si tyto přehledy řídicího panelu a seznamte se s oblastí útoku, když čekáte na zjištění a naplnění dalších prostředků v inventáři. Další informace o tom, jak z těchto řídicích panelů odvodit přehledy, najdete v tématu Principy řídicích panelů.

Ke zjišťování odlehlejších prostředků můžete spustit přizpůsobená zjišťování. Můžete například mít chybějící prostředky. Nebo můžete spravovat jiné entity, které nemusí být zjištěny prostřednictvím infrastruktury, která je jasně propojená s vaší organizací.

Přizpůsobení zjišťování

Vlastní zjišťování jsou ideální, pokud vaše organizace vyžaduje hlubší přehled o infrastruktuře, která nemusí být okamžitě propojená s primárními počátečními prostředky. Odesláním většího seznamu známých prostředků, které budou fungovat jako zjišťovací semena, vrátí modul zjišťování širší fond prostředků. Vlastní zjišťování může vaší organizaci také pomoct najít různorodou infrastrukturu, která může souviset s nezávislými organizačními jednotkami a získanými společnostmi.

Skupiny zjišťování

Vlastní zjišťování jsou uspořádaná do skupin zjišťování. Jsou to nezávislé počáteční clustery, které tvoří jedno spuštění zjišťování a pracují podle vlastních plánů opakování. Skupiny zjišťování můžete uspořádat tak, aby vytyčit prostředky jakýmkoli způsobem, který nejlépe prospívá vaší společnosti a pracovním postupům. Mezi běžné možnosti patří uspořádání odpovědným týmem nebo obchodní jednotkou, značkami nebo pobočkami.

Vytvoření skupiny zjišťování

  1. V podokně úplně vlevo v části Spravovat vyberte Zjišťování.

    Snímek obrazovky znázorňující instanci Defenderu EASM na stránce přehledu se zvýrazněnou částí Spravovat

  2. Na stránce Zjišťování se ve výchozím nastavení zobrazuje seznam skupin zjišťování. Tento seznam je při prvním přístupu k platformě prázdný. Pokud chcete spustit první zjišťování, vyberte Přidat skupinu zjišťování.

    Snímek obrazovky zobrazící obrazovku Zjišťování se zvýrazněnou možností Přidat skupinu zjišťování

  3. Pojmenujte novou skupinu zjišťování a přidejte popis. Pole Opakovaná frekvence umožňuje naplánovat spuštění zjišťování pro tuto skupinu tak, že průběžně vyhledává nové prostředky související s určenými semeny. Výchozí výběr opakování je Týdně. Tuto frekvenci doporučujeme, abyste zajistili, že prostředky vaší organizace budou pravidelně monitorovány a aktualizovány.

    Pro jedno jednorázové spuštění zjišťování vyberte Nikdy. Pokud se později rozhodnete ukončit opakované běhy zjišťování, doporučujeme zachovat výchozí týdenní interval a místo toho vypnout historické monitorování v nastavení skupiny zjišťování.

  4. Vyberte Další: Semena.

    Snímek obrazovky s první stránkou nastavení skupiny zjišťování

  5. Vyberte semena, která chcete použít pro tuto skupinu zjišťování. Semena jsou známé prostředky, které patří vaší organizaci. Platforma Defender EASM tyto entity prohledá a mapuje jejich připojení k jiné online infrastruktuře, aby vytvořila prostor pro útoky.

    Snímek obrazovky znázorňující stránku počátečního výběru nastavení skupiny zjišťování

    Možnost Rychlý start umožňuje vyhledat vaši organizaci v seznamu předem vyplněných oblastí útoku. Můžete rychle vytvořit skupinu zjišťování na základě známých prostředků, které patří vaší organizaci.

    Snímek obrazovky znázorňující výstup stránky výběru plochy před útokem v seznamu počátečních dat

    Snímek obrazovky se stránkou výběru předem připravené oblasti útoku

    Případně můžete semena zadat ručně. Defender EASM přijímá názvy organizací, domény, bloky IP adres, hostitele, e-mailové kontakty, asn a organizace whois jako počáteční hodnoty.

    Můžete také zadat entity, které se mají ze zjišťování prostředků vyloučit, aby se zajistilo, že se při zjištění nepřidají do vašeho inventáře. Vyloučení jsou například užitečná pro organizace, které mají pobočky, které budou pravděpodobně připojené ke své centrální infrastruktuře, ale nepatří do jejich organizace.

    Po výběru semen vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte informace o skupině a seznam počátečních položek a vyberte Vytvořit & spuštění.

    Snímek obrazovky s obrazovkou Zkontrolovat a vytvořit

    Vrátíte se na hlavní stránku zjišťování, na které se zobrazují skupiny zjišťování. Po dokončení spuštění zjišťování se do schváleného inventáře přidají nové prostředky.

Zobrazení a úprava skupin zjišťování

Skupiny zjišťování můžete spravovat z hlavní stránky Zjišťování . Ve výchozím zobrazení se zobrazí seznam všech skupin zjišťování a některá klíčová data o každé z nich. V zobrazení seznamu vidíte počet semen, plán opakování, datum posledního spuštění a datum vytvoření pro každou skupinu.

Snímek obrazovky se skupinami zjišťování

Výběrem libovolné skupiny zjišťování zobrazíte další informace, upravíte skupinu nebo zahájíte nový proces zjišťování.

Historie spuštění

Stránka podrobností skupiny zjišťování obsahuje historii spuštění pro skupinu. Tato část zobrazuje klíčové informace o každém spuštění zjišťování, které bylo provedeno u konkrétní skupiny semen. Sloupec Stav označuje, jestli je spuštění probíhající, dokončené nebo neúspěšné. Tato část obsahuje také časová razítka spuštění a dokončení a počet všech nových prostředků přidaných do inventáře po tomto konkrétním spuštění zjišťování. Tento počet zahrnuje všechny prostředky vložené do inventáře bez ohledu na stav nebo fakturovatelný stav.

Historie spuštění je uspořádaná podle počátečních prostředků, které byly zkontrolovány během běhu zjišťování. Pokud chcete zobrazit seznam příslušných semen, vyberte Podrobnosti. V pravé části obrazovky se otevře podokno se seznamem všech semen a vyloučení podle druhu a názvu.

Snímek obrazovky s historií spuštění pro skupinu zjišťování

Zobrazení semen a vyloučení

Na stránce Zjišťování se ve výchozím nastavení zobrazuje seznam skupin zjišťování, ale můžete také zobrazit seznamy všech semen a vyloučených entit z této stránky. Výběrem karty zobrazíte seznam všech semen nebo vyloučení, která posílají vaše skupiny zjišťování.

Semena

V zobrazení počátečního seznamu se zobrazí počáteční hodnoty se třemi sloupci: Typ, Název zdroje a Skupiny zjišťování. Pole Typ zobrazuje kategorii počátečního prostředku. Nejběžnějšími semeny jsou domény, hostitelé a bloky IP adres. Můžete také použít e-mailové kontakty, sítě ASN, běžné názvy certifikátů nebo organizace Whois.

Název zdroje je hodnota, která byla zadána do příslušného pole typu při vytváření skupiny zjišťování. Poslední sloupec zobrazuje seznam skupin zjišťování, které používají počáteční hodnotu. Na každou hodnotu můžete kliknout a přejdete na stránku podrobností pro danou skupinu zjišťování.

Při zadávání semen nezapomeňte ověřit odpovídající formát pro každou položku. Když uložíte skupinu zjišťování, platforma spustí řadu ověřovacích kontrol a upozorní vás na chybně nakonfigurovaná semena. Například bloky IP adres by měly být vstupní podle síťové adresy (například začátek rozsahu IP adres).

Snímek obrazovky se zobrazením Semena na stránce zjišťování

Vyloučení

Podobně můžete vybrat kartu Vyloučení a zobrazit seznam entit vyloučených ze skupiny zjišťování. Tyto prostředky se nebudou používat jako zjišťová semena ani se nepřidají do inventáře. Vyloučení mají vliv pouze na budoucí spuštění zjišťování pro jednotlivé skupiny zjišťování.

Pole Typ zobrazuje kategorii vyloučené entity. Název zdroje je hodnota, která byla zadána do příslušného pole typu při vytváření skupiny zjišťování. Poslední sloupec zobrazuje seznam skupin zjišťování, ve kterých se toto vyloučení vyskytuje. Na každou hodnotu můžete kliknout a přejdete na stránku podrobností pro danou skupinu zjišťování.

Další kroky