Del via

Eksternt initiativ til styring af angrebsoverfladen inden for styring af eksponering

Udforsk, hvordan du integrerer Ekstern angrebsoverfladeadministration til Microsoft Defender (MDEASM) med Microsoft Security Exposure Management (MSEM) for at forbedre synligheden af og kontrollen over din organisations eksterne eksponeringer. Ved at forbinde MDEASM-indsigter med MSEM ved hjælp af initiativet External Attack Surface Management kan du vurdere den risiko, der er forbundet med din organisations eller leverandørs eksterne angrebsoverflade, og administrere din sikkerhedsholdning mere effektivt på portalen Styring af eksponering.

Der er to måder at bruge dette initiativ på:

  • Færdigbygget fodaftryk: Giver indsigt på højt niveau ved hjælp af et foruddefineret sæt eksterne aktiver uden at kræve et fuldt MDEASM-abonnement.
  • Fuld integration med MDEASM: Opretter direkte forbindelse til dit MDEASM-abonnement for at få omfattende eksponeringsanalyse og oplysninger på aktivniveau.

Brug af EASM initiativ med færdigbygget fodaftryk

Denne fremgangsmåde med initiativet giver indsigt på højt niveau uden en fuld forbindelse til MDEASM-abonnementet og understøtter kun færdigbyggede fodaftryk og kræver ikke et aktivt MDEASM-abonnement.

Forudsætninger: Hvis du vil konfigurere dit eksterne Angrebsoverfladeinitiativ, skal du have rollen Global administrator eller Kernesikkerhedsindstillinger (administrer) tilladelser.

  1. Gå til siden Initiativer , vælg beskyttelse mod ekstern angrebsoverflade, og vælg derefter siden Åbn initiativ.

  2. Gå til Opret forbindelse til datakilde for at åbne fanen Indstillinger.

    Bemærk!

    Hvis du tidligere har konfigureret initiativet, kan du vælge Skift datakilde for at konfigurere den igen med nye data.

  3. Vælg Søg efter organisationens færdigbyggede fodaftryk.

  4. Vælg det fodaftryk, du vil bruge, på listen over tilgængelige færdigbyggede fodaftryk, og vælg Opret forbindelse.

Skærmbillede af sidepanelet til EASM færdigbyggede valg af fodaftryk

  1. På op til 1 time udfyldes initiativet med målepunkter på højt niveau og resultater fra det valgte fodaftryk.

    Bemærk!

    Denne fremgangsmåde indeholder ikke oplysninger på aktivniveau og detaljerede eksponeringsoplysninger.

Brug af EASM-initiativet med fuld MDEASM-integration

Forudsætninger: Denne fremgangsmåde kræver et fuldt MDEASM-abonnement (prøveversion eller betalt) og giver omfattende eksponeringsanalyse og oplysninger på aktivniveau. Hvis du vil konfigurere dit eksterne Angrebsoverfladeinitiativ, skal du have rollen Global administrator eller Kernesikkerhedsindstillinger (administrere).

Bemærk!

Eksterne ressourcer til angrebsoverfladen understøtter ikke omfang, så alle brugere med adgang kan se alle indsamlede data.

Miljøkonfiguration:

Hvis du vil installere en MDEASM-ressource, skal du følge disse trin:

  1. Log på https://portal.azure.com.
  2. Opret en ressourcegruppe med det relevante abonnement og område.
  3. Udrul en MDEASM-ressource i denne gruppe, se Opret en Defender EASM Azure-ressource. Hver ny ressource får automatisk en gratis 30-dages prøveversion.

Oplev angrebsoverfladen

Du kan finde din angrebsoverflade på to måder:

  1. Brug indstillingen Introduktion til at søge efter din organisation og oprette en forudkonfigureret angrebsoverflade.
  2. Du kan også oprette en brugerdefineret registreringsgruppe ved at angive:
  • Domæner
  • IP-blokke eller -adresser (brug eksempel IP-adresser, f.eks. 203.0.113.0, hvis det er nødvendigt)
  • Værter
  • ASN'er
  • Mails
  • WHOIS-organisationsdata

Du kan finde flere oplysninger under Registrering af din angrebsoverflade

Tip

Den nemmeste sti er at angive en vært, et domæne og alle kendte eksterne IP-adresser.

Konfigurer initiativet

  1. Gå til siden Initiativer , vælg beskyttelse mod ekstern angrebsoverflade, og vælg derefter siden Åbn initiativ.

  2. Gå til Opret forbindelse til datakilde for at åbne fanen Indstillinger.

    Bemærk!

    Hvis du tidligere har konfigureret initiativet, kan du vælge Skift datakilde for at konfigurere den igen med nye data.

  3. Vælg Opret forbindelse til dit MDEASM-arbejdsområde.

  4. Hvis du vil aktivere initiativet til at hente data fra din Defender EASM ressource, skal du angive værdierne i sektionen Essentials for din ressource i ruden Oversigt, der findes i Azure.

    • Ressourcenavn
    • Abonnements-id
    • Navn på ressourcegruppe
    • Region

    Skærmbillede af sidepanelet til EASM initiativ

  5. Vælg Opret forbindelse. Efter valideringen begynder data at strømme ind i grafen, og målepunkter beregnes inden for 32 timer.

Du kan gennemse dine data på sikkerhedsinitiativet via sikkerhedsmålinger, der afspejler forskellige eksponeringstyper, som vurderet af programmet til vurdering af eksterne angrebsoverflader. Vælg en metrikværdi for at få vist yderligere oplysninger, f.eks. de viste aktiver og deres typer.

Udforsk også de data, der er integreret fra EASM ved hjælp af kortet over angrebsoverfladen for at få indsigt, der er relateret til din angrebsoverflade. Du kan søge efter forskellige aktiver, f.eks. IP-adresser, domæner, værter og meget mere, og gennemse resultaterne af disse aktiver.

Næste trin