Teilen über

Verwenden und Verwalten der Ermittlung

  • Artikel

Microsoft Defender External Attack Surface Management (Defender EASM) basiert auf proprietärer Ermittlungstechnologie, um kontinuierlich die einzigartige internetgeschützte Angriffsfläche Ihrer Organisation zu definieren. Die Ermittlung überprüft das Internet auf Ressourcen, die Ihrer Organisation gehören, um zuvor unbekannte und nicht überwachte Eigenschaften aufzudecken.

Ermittelte Ressourcen werden in Ihrem Bestand indiziert, um ein dynamisches System der Aufzeichnung von Webanwendungen, Abhängigkeiten von Drittanbietern und Webinfrastruktur unter der Verwaltung Ihrer Organisation über einen einzigen Glasbereich bereitzustellen.

Bevor Sie eine benutzerdefinierte Ermittlung ausführen, lesen Sie "Was ist Discovery?" , um die hier erläuterten Schlüsselkonzepte zu verstehen.

Zugreifen auf Ihre automatisierte Angriffsfläche

Microsoft hat die Angriffsflächen vieler Organisationen vorab konfiguriert, indem sie ihre anfängliche Angriffsfläche zuordnen, indem Sie die Infrastruktur ermitteln, die mit bekannten Ressourcen verbunden ist.

Es wird empfohlen, nach der Angriffsfläche Ihrer Organisation zu suchen, bevor Sie eine benutzerdefinierte Angriffsfläche erstellen und andere Entdeckungen ausführen. Mit diesem Prozess können Sie schnell auf Ihr Inventar zugreifen, da Defender EASM die Daten aktualisiert und ihrer Angriffsfläche weitere Ressourcen und neuere Kontexte hinzufügt.

Wenn Sie zum ersten Mal auf Ihre Defender EASM-Instanz zugreifen, wählen Sie im Abschnitt "Allgemein" die Option "Erste Schritte" aus, um in der Liste der automatisierten Angriffsflächen nach Ihrer Organisation zu suchen. Wählen Sie dann Ihre Organisation aus der Liste aus, und wählen Sie "Mein Angriffsfläche erstellen" aus.

Screenshot that shows a preconfigured attack surface selection screen.

An diesem Punkt wird die Ermittlung im Hintergrund ausgeführt. Wenn Sie eine vorkonfigurierte Angriffsfläche aus der Liste der verfügbaren Organisationen ausgewählt haben, werden Sie zum Dashboardübersichtsbildschirm umgeleitet, auf dem Sie Einblicke in die Infrastruktur Ihrer Organisation im Vorschaumodus anzeigen können.

Überprüfen Sie diese Dashboard-Einblicke, um sich mit Ihrer Angriffsfläche vertraut zu machen, während Sie warten, bis weitere Ressourcen gefunden und in Ihrem Bestand aufgefüllt werden. Weitere Informationen zum Ableiten von Erkenntnissen aus diesen Dashboards finden Sie unter "Grundlegendes zu Dashboards".

Sie können angepasste Ermittlungen ausführen, um Ausreißerressourcen zu erkennen. Beispielsweise fehlen Ressourcen. Oder Vielleicht haben Sie andere Entitäten zu verwalten, die möglicherweise nicht über Infrastruktur ermittelt werden, die eindeutig mit Ihrer Organisation verknüpft ist.

Anpassen der Ermittlung

Benutzerdefinierte Entdeckungen sind ideal, wenn Ihre Organisation tiefere Einblicke in die Infrastruktur erfordert, die möglicherweise nicht sofort mit Ihren primären Seed-Ressourcen verknüpft ist. Durch die Übermittlung einer größeren Liste bekannter Objekte, die als Discovery-Samen verwendet werden sollen, gibt das Discoverymodul einen breiteren Pool von Ressourcen zurück. Benutzerdefinierte Ermittlungen können Ihrer Organisation auch helfen, eine unterschiedliche Infrastruktur zu finden, die sich auf unabhängige Geschäftseinheiten und erworbene Unternehmen beziehen kann.

Ermittlungsgruppen

Benutzerdefinierte Entdeckungen sind in Ermittlungsgruppen organisiert. Hierbei handelt es sich um unabhängige Seedcluster, die eine einzelne Ermittlungsausführung umfassen und auf eigenen Wiederholungszeitplänen basieren. Sie organisieren Ihre Ermittlungsgruppen so, dass Ressourcen auf die beste Weise von Ihrem Unternehmen und Ihren Workflows abgegrenzt werden. Zu den allgemeinen Optionen gehören die Organisation durch das verantwortliche Team oder die Geschäftseinheit, Marken oder Tochtergesellschaften.

Erstellen einer Ermittlungsgruppe

  1. Wählen Sie im bereich ganz links unter "Verwalten" die Option "Ermittlung" aus.

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. Auf der Seite "Ermittlung" wird ihre Liste der Ermittlungsgruppen standardmäßig angezeigt. Diese Liste ist leer, wenn Sie zum ersten Mal auf die Plattform zugreifen. Um Die erste Ermittlung auszuführen, wählen Sie "Discoverygruppe hinzufügen" aus.

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. Benennen Sie Ihre neue Ermittlungsgruppe, und fügen Sie eine Beschreibung hinzu. Mit dem Feld "Wiederkehrende Häufigkeit " können Sie Ermittlungsläufe für diese Gruppe planen, indem Sie kontinuierlich nach neuen Ressourcen im Zusammenhang mit den festgelegten Samen suchen. Die Standardserienauswahl ist wöchentlich. Wir empfehlen diese Häufigkeit, um sicherzustellen, dass die Ressourcen Ihrer Organisation routinemäßig überwacht und aktualisiert werden.

    Wenn Sie nur eine einmalige Ermittlungsausführung benötigen, wählen Sie Nie aus. Es wird empfohlen, den wöchentlichen Standardrhythmus beizubehalten, da die Ermittlung darauf ausgelegt ist, ständig neue Ressourcen zu entdecken, die mit Ihrer bekannten Infrastruktur zusammenhängen. Sie können die Wiederholungshäufigkeit später bearbeiten, indem Sie die Option "Bearbeiten" auf einer beliebigen Discovery-Gruppendetailseite auswählen.

  4. Wählen Sie "Weiter" aus : Samen.

    Screenshot that shows the first page of the discovery group setup.

  5. Wählen Sie die Samen aus, die Sie für diese Ermittlungsgruppe verwenden möchten. Samen sind bekannte Ressourcen, die zu Ihrer Organisation gehören. Die Defender EASM-Plattform überprüft diese Entitäten und ordnet ihre Verbindungen mit anderen Onlineinfrastrukturen zu, um Ihre Angriffsfläche zu erstellen. Da Defender EASM ihre Angriffsfläche aus externer Sicht überwachen soll, können private IP-Adressen nicht als Ermittlungssamen eingeschlossen werden.

    Screenshot that shows the seed selection page of the discovery group setup.

    Mit der Option "Schnellstart " können Sie in einer Liste der vorgefüllten Angriffsflächen nach Ihrer Organisation suchen. Sie können schnell eine Ermittlungsgruppe basierend auf den bekannten Ressourcen erstellen, die zu Ihrer Organisation gehören.

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    Alternativ können Sie Ihre Samen manuell eingeben. Defender EASM akzeptiert Organisationsnamen, do Standard s, IP-Blöcke, Hosts, E-Mail-Kontakte, ASNs und Wer organisationen als Ausgangswerte.

    Sie können auch Entitäten angeben, die von der Ressourcenermittlung ausgeschlossen werden sollen, um sicherzustellen, dass sie Ihrem Bestand nicht hinzugefügt werden, wenn sie erkannt werden. Ausschlüsse sind z. B. nützlich für Organisationen mit Tochtergesellschaften, die wahrscheinlich mit ihrer zentralen Infrastruktur verbunden sind, aber nicht zu ihrer Organisation gehören.

    Nachdem Ihre Samen ausgewählt wurden, wählen Sie "Überprüfen" + "Erstellen" aus.

  6. Überprüfen Sie Ihre Gruppeninformationen und Die Startliste, und wählen Sie "Erstellen und Ausführen" aus.

    Screenshot that shows the Review + Create screen.

    Sie gelangen zurück zur Standard Discovery-Seite, auf der Ihre Ermittlungsgruppen angezeigt werden. Nachdem die Ermittlungsausführung abgeschlossen ist, sehen Sie neue Ressourcen, die Ihrem genehmigten Bestand hinzugefügt wurden.

Anzeigen und Bearbeiten von Ermittlungsgruppen

Sie können Ihre Ermittlungsgruppen über die Standard Discovery-Seite verwalten. Die Standardansicht zeigt eine Liste aller Ihrer Ermittlungsgruppen und einige wichtige Daten zu jeder Gruppe. In der Listenansicht können Sie die Anzahl der Samen, den Serienzeitplan, das Datum der letzten Ausführung und das Erstellungsdatum für jede Gruppe anzeigen.

Screenshot that shows the discovery groups screen.

Wählen Sie eine beliebige Discoverygruppe aus, um weitere Informationen anzuzeigen, die Gruppe zu bearbeiten oder einen neuen Ermittlungsprozess zu starten.

Verlauf

Die Detailseite der Ermittlungsgruppe enthält den Ausführungsverlauf der Gruppe. In diesem Abschnitt werden wichtige Informationen zu den einzelnen Ermittlungsausführungen angezeigt, die für die bestimmte Gruppe von Samen ausgeführt wurden. Die Spalte "Status" gibt an, ob die Ausführung in Bearbeitung, abgeschlossen oder fehlgeschlagen ist. Dieser Abschnitt enthält auch gestartete und abgeschlossene Zeitstempel und eine Anzahl aller neuen Ressourcen, die Ihrem Bestand nach dieser bestimmten Ermittlungsausführung hinzugefügt wurden. Diese Anzahl umfasst alle Vermögenswerte, die in den Bestand gebracht werden, unabhängig vom Status oder dem abrechnenden Status.

Der Ausführungsverlauf wird von den Startressourcen organisiert, die während der Ermittlungsausführung gescannt wurden. Um eine Liste der anwendbaren Samen anzuzeigen, wählen Sie "Details" aus. Auf der rechten Seite des Bildschirms wird ein Bereich geöffnet, in dem alle Samen und Ausschlüsse nach Art und Name aufgelistet sind.

Screenshot that shows the run history for the discovery group screen.

Anzeigen von Samen und Ausschlüssen

Auf der Discoveryseite wird standardmäßig eine Listenansicht von Ermittlungsgruppen angezeigt, Sie können aber auch Listen aller Samen und ausgeschlossenen Entitäten von dieser Seite anzeigen. Wählen Sie eine der Registerkarten aus, um eine Liste aller Samen oder Ausschlüsse anzuzeigen, die Ihre Ermittlungsgruppen ermöglichen.

Samen

In der Startlistenansicht werden Startwerte mit drei Spalten angezeigt: Typ, Quellname und Ermittlungsgruppen. Das Feld "Typ " zeigt die Kategorie der Seed-Ressource an. Die am häufigsten verwendeten Samen sind Standard s, Hosts und IP-Blöcke. Sie können auch E-Mail-Kontakte, ASNs, allgemeine Zertifikatnamen oder Wer is Organisationen verwenden.

Der Quellname ist der Wert, der beim Erstellen der Ermittlungsgruppe in das entsprechende Typfeld eingegeben wurde. In der letzten Spalte wird eine Liste der Ermittlungsgruppen angezeigt, die den Seed verwenden. Jeder Wert ist klickbar und führt Sie zur Detailseite für diese Ermittlungsgruppe.

Denken Sie beim Eingeben von Samen daran, das entsprechende Format für jeden Eintrag zu überprüfen. Wenn Sie die Ermittlungsgruppe speichern, führt die Plattform eine Reihe von Überprüfungsprüfungen aus und benachrichtigt Sie über falsch konfigurierte Samen. Ip-Blöcke sollten z. B. nach Netzwerkadresse eingegeben werden (z. B. der Start des IP-Bereichs).

Screenshot that shows the Seeds view of a discovery page.

Ausschlüsse

Ebenso können Sie die Registerkarte "Ausschlüsse" auswählen, um eine Liste der Entitäten anzuzeigen, die von der Ermittlungsgruppe ausgeschlossen wurden. Diese Ressourcen werden nicht als Discoverysamen verwendet oder zu Ihrem Bestand hinzugefügt. Ausschlüsse wirken sich nur auf zukünftige Ermittlungsläufe für eine einzelne Ermittlungsgruppe aus.

Das Feld "Typ " zeigt die Kategorie der ausgeschlossenen Entität an. Der Quellname ist der Wert, der beim Erstellen der Ermittlungsgruppe in das entsprechende Typfeld eingegeben wurde. In der letzten Spalte wird eine Liste der Ermittlungsgruppen angezeigt, in denen dieser Ausschluss vorhanden ist. Jeder Wert ist klickbar und führt Sie zur Detailseite für diese Ermittlungsgruppe.

Nächste Schritte