Sdílet prostřednictvím

Použití a správa zjišťování

  • Článek

Microsoft Defender Správa externí potenciální oblasti útoku (Defender EASM) spoléhá na proprietární technologii zjišťování, která nepřetržitě definuje jedinečnou plochu útoku vystavenou na internetu vaší organizace. Zjišťování vyhledává na internetu prostředky vlastněné vaší organizací, aby odhalila dříve neznámé a nesledované vlastnosti.

Zjištěné prostředky se indexují v inventáři a poskytují dynamický systém záznamů webových aplikací, závislostí třetích stran a webové infrastruktury v rámci správy vaší organizace prostřednictvím jediného podokna skla.

Než spustíte vlastní zjišťování, přečtěte si téma Co je zjišťování? Abyste porozuměli klíčovým konceptům, které jsou zde popsány.

Přístup k prostoru automatizovaného útoku

Microsoft předem nakonfiguroval možnosti útoku mnoha organizací, které mapují počáteční prostor pro útoky zjišťováním infrastruktury, která je připojená ke známým prostředkům.

Doporučujeme, abyste před vytvořením vlastního prostoru pro útok hledali prostor pro útoky vaší organizace a spustili další zjišťování. Tento proces umožňuje rychlý přístup k inventáři, protože Defender EASM aktualizuje data a přidá do prostoru pro útoky další prostředky a nedávný kontext.

Při prvním přístupu k instanci EASM defenderu vyberte v části Obecné možnost Začínáme a vyhledejte svou organizaci v seznamu automatizovaných útoků. Pak v seznamu zvolte svoji organizaci a vyberte Sestavit můj prostor pro útoky.

Screenshot that shows a preconfigured attack surface selection screen.

V tomto okamžiku se zjišťování spouští na pozadí. Pokud jste vybrali předkonfigurovaný prostor pro útoky ze seznamu dostupných organizací, budete přesměrováni na obrazovku přehledu řídicího panelu, kde můžete zobrazit přehledy o infrastruktuře vaší organizace v režimu Preview.

Projděte si tyto přehledy řídicího panelu a seznamte se s prostorem pro útoky, když budete čekat na zjištění a naplnění dalších prostředků v inventáři. Další informace o tom, jak z těchto řídicích panelů odvodit přehledy, najdete v tématu Principy řídicích panelů.

Můžete spouštět přizpůsobené zjišťování a zjišťovat odlehlé prostředky. Můžete mít například chybějící prostředky. Nebo možná máte další entity ke správě, které nemusí být zjištěny prostřednictvím infrastruktury, která je jasně propojená s vaší organizací.

Přizpůsobení zjišťování

Vlastní zjišťování jsou ideální v případě, že vaše organizace vyžaduje hlubší přehled o infrastruktuře, která nemusí být okamžitě propojena s primárními počátečními prostředky. Odesláním většího seznamu známých prostředků, které budou fungovat jako zjišťovací jádra, vrátí modul zjišťování širší fond prostředků. Vlastní zjišťování může také vaší organizaci pomoct najít různorodou infrastrukturu, která může souviset s nezávislými obchodními jednotkami a získanými společnostmi.

Skupiny zjišťování

Vlastní zjišťování jsou uspořádána do skupin zjišťování. Jsou nezávislé počáteční clustery, které tvoří jedno spuštění zjišťování a pracují s vlastními plány opakování. Skupiny zjišťování uspořádáte tak, aby vymešly prostředky jakýmkoli způsobem, který nejlépe vyhovuje vaší společnosti a pracovním postupům. Mezi běžné možnosti patří uspořádání zodpovědného týmu nebo obchodní jednotky, značek nebo poboček.

Vytvoření skupiny zjišťování

  1. V levém podokně v části Spravovat vyberte Zjišťování.

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. Na stránce Zjišťování se ve výchozím nastavení zobrazuje seznam skupin zjišťování. Tento seznam je prázdný při prvním přístupu k platformě. Pokud chcete spustit první zjišťování, vyberte Přidat skupinu zjišťování.

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. Pojmenujte novou skupinu zjišťování a přidejte popis. Pole Opakovaná frekvence umožňuje naplánovat spuštění zjišťování pro tuto skupinu vyhledáním nových prostředků souvisejících s určenými semeny průběžně. Výchozí výběr opakování je Týdenní. Doporučujeme, aby se zajistilo, že se prostředky vaší organizace pravidelně monitorují a aktualizují.

    U jednoho jednorázového spuštění zjišťování vyberte Nikdy. Doporučujeme ponechat týdenní výchozí četnost, protože zjišťování je navržené tak, aby nepřetržitě objevovala nové prostředky, které souvisejí s vaší známou infrastrukturou. Frekvenci opakování můžete později upravit tak, že na libovolné stránce s podrobnostmi skupiny zjišťování vyberete možnost Upravit.

  4. Vyberte Další: Semena.

    Screenshot that shows the first page of the discovery group setup.

  5. Vyberte semena, která chcete použít pro tuto skupinu zjišťování. Semena jsou známá aktiva, která patří vaší organizaci. Platforma EASM defenderu tyto entity prohledá a mapuje jejich připojení k jiné online infrastruktuře a vytvoří prostor pro útoky. Vzhledem k tomu, že EASM v programu Defender je určen k monitorování prostoru pro útoky z externího hlediska, privátní IP adresy nelze zahrnout jako semena zjišťování.

    Screenshot that shows the seed selection page of the discovery group setup.

    Možnost Rychlý start umožňuje vyhledat vaši organizaci v seznamu předem vyplněných prostorů útoku. Skupinu zjišťování můžete rychle vytvořit na základě známých prostředků, které patří vaší organizaci.

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    Alternativně můžete ručně zadat semena. EaSM v programu Defender přijímá názvy organizací, domény, bloky IP adres, hostitele, e-mailové kontakty, asn a Kdo is organizace jako počáteční hodnoty.

    Můžete také zadat entity, které se mají vyloučit ze zjišťování prostředků, aby se zajistilo, že se při zjištění nepřidají do vašeho inventáře. Vyloučení jsou například užitečná pro organizace, které mají pobočky, které budou pravděpodobně propojeny s jejich centrální infrastrukturou, ale nepatří do organizace.

    Po výběru semen vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte informace o skupině a počáteční seznam a vyberte Vytvořit a spustit.

    Screenshot that shows the Review + Create screen.

    Vrátíte se zpět na hlavní stránku zjišťování, která zobrazuje vaše skupiny zjišťování. Po dokončení spuštění zjišťování se do schváleného inventáře přidají nové prostředky.

Zobrazení a úprava skupin zjišťování

Skupiny zjišťování můžete spravovat na hlavní stránce zjišťování . Ve výchozím zobrazení se zobrazí seznam všech skupin zjišťování a několik klíčových dat o jednotlivých skupinách zjišťování. V zobrazení seznamu můžete zobrazit počet semen, plán opakování, datum posledního spuštění a datum vytvoření pro každou skupinu.

Screenshot that shows the discovery groups screen.

Výběrem libovolné skupiny zjišťování zobrazíte další informace, upravíte skupinu nebo zahájíte nový proces zjišťování.

Historie běhů

Stránka podrobností skupiny zjišťování obsahuje historii spuštění skupiny. Tato část zobrazuje klíčové informace o každém spuštění zjišťování, které bylo provedeno v konkrétní skupině semen. Sloupec Stav označuje, jestli je spuštění probíhající, dokončené nebo neúspěšné. Tato část obsahuje také časová razítka zahájení a dokončení a počet všech nových prostředků přidaných do inventáře po tomto konkrétním spuštění zjišťování. Tento počet zahrnuje všechny prostředky zahrnuté do inventáře bez ohledu na stav stavu nebo fakturovatelný stav.

Historie spuštění je uspořádána počátečními prostředky, které byly zkontrolovány během spuštění zjišťování. Pokud chcete zobrazit seznam příslušných semen, vyberte Podrobnosti. Vpravo na obrazovce se otevře podokno se seznamem všech semen a vyloučení podle druhu a názvu.

Screenshot that shows the run history for the discovery group screen.

Zobrazení semen a vyloučení

Na stránce Zjišťování se standardně zobrazuje seznam skupin zjišťování, ale můžete také zobrazit seznamy všech semen a vyloučených entit z této stránky. Výběrem karty zobrazíte seznam všech semen nebo vyloučení, které umožňují vaše skupiny zjišťování.

Semena

Zobrazení počátečního seznamu zobrazuje počáteční hodnoty se třemi sloupci: Typ, Název zdroje a Skupiny zjišťování. Pole Typ zobrazuje kategorii počátečního prostředku. Nejběžnějšími semeny jsou domény, hostitelé a bloky IP adres. Můžete také použít e-mailové kontakty, sítě ASN, běžné názvy certifikátů nebo organizace Kdo is.

Název zdroje je hodnota, která byla zadána do příslušného pole typu při vytváření skupiny zjišťování. Poslední sloupec zobrazuje seznam skupin zjišťování, které používají počáteční hodnotu. Každá hodnota se dá kliknout a přejde na stránku podrobností pro danou skupinu zjišťování.

Při zadávání semen nezapomeňte ověřit odpovídající formát pro každou položku. Když skupinu zjišťování uložíte, platforma spustí řadu kontrol ověření a upozorní vás na chybně nakonfigurovaná semena. Bloky IP adres by například měly být vstupní podle síťové adresy (například začátek rozsahu IP adres).

Screenshot that shows the Seeds view of a discovery page.

Vyloučení

Podobně můžete vybrat kartu Vyloučení a zobrazit seznam entit, které byly vyloučeny ze skupiny zjišťování. Tyto prostředky se nebudou používat jako semena zjišťování ani se nebudou přidávat do inventáře. Vyloučení mají vliv jenom na budoucí spuštění zjišťování pro jednotlivé skupiny zjišťování.

Pole Typ zobrazuje kategorii vyloučené entity. Název zdroje je hodnota, která byla zadána do příslušného pole typu při vytváření skupiny zjišťování. Poslední sloupec zobrazuje seznam skupin zjišťování, ve kterých se toto vyloučení nachází. Každá hodnota se dá kliknout a přejde na stránku podrobností pro danou skupinu zjišťování.

Další kroky