Was ist die Ermittlung?
Übersicht
Microsoft Defender Externe Angriffsflächenverwaltung (Defender EASM) stützt sich auf Ihre unternehmenseigene Ermittlungstechnologie, um kontinuierlich die Angriffsoberfläche Ihre Unternehmens zu definieren, die dem Internet ausgesetzt ist. Die Ermittlung scannt bekannte Ressourcen, die Ihrer Organisation gehören, um zuvor unbekannte und nicht überwachte Eigenschaften aufzudecken. Ermittelte Ressourcen werden im Bestand eines Kunden indiziert, wodurch über eine zentralisierte Benutzeroberfläche ein dynamisches Datensatzsystem aus Webanwendungen, Abhängigkeiten von Drittanbietern und Webinfrastruktur bereitgestellt wird, das der Verwaltung der Organisation unterliegt.
Durch diesen Prozess ermöglicht Microsoft Organisationen die proaktive Überwachung ihrer sich ständig ändernden digitalen Angriffsfläche und das Identifizieren neuer Risiken und Richtlinienverletzungen, sobald diese auftreten. Viele Programme für Sicherheitsrisiken bieten keine Transparenz außerhalb ihrer Firewall, sodass externe Risiken und Bedrohungen nicht wahrgenommen werden, die jedoch die Hauptursache für Datenpannen sind. Gleichzeitig wächst der digitale Bestand schneller, als das Sicherheitsteam des Unternehmens diesen schützen kann. Digitale Initiativen und die häufig vorhandene „Schatten-IT“ führen zu einer vergrößerten Angriffsfläche außerhalb der Firewall. In diesem Tempo ist es fast unmöglich, Kontrollen und Schutzmaßnahmen sowie Complianceanforderungen zu überprüfen. Ohne Defender EASM ist es fast unmöglich, Sicherheitsrisiken zu identifizieren und zu entfernen. Scanner können über die Firewall hinaus nicht die vollständige Angriffsfläche bewerten.
Funktionsweise
Um eine umfassende Zuordnung der Angriffsoberfläche Ihrer Organisation zu erstellen, nimmt sich das System zuerst bekannte Ressourcen („Seeds“) vor. Diese werden rekursiv gescannt, um zusätzliche Entitäten über ihre Verbindungen zu einem Seed zu ermitteln. Ein Ausgangsseed kann eine der folgenden Arten von Webinfrastruktur sein, die von Microsoft indiziert werden:
- Domänen
- IP-Blöcke
- Hosts
- E-Mail-Kontakte
- ASNs
- WhoIs-Organisationen
Das System beginnt mit einem Seed und deckt dann Zuordnungen zu anderen Onlineinfrastrukturen auf, um weitere Ressourcen Ihrer Organisation zu ermitteln. Im Laufe dieses Prozesses wird Ihr Angriffsflächenbestand erstellt. Der Ermittlungsprozess verwendet die Seeds als zentrale Knoten und arbeitet sich nach außen in Richtung der Peripherie Ihrer Angriffsoberfläche vor, indem alle direkt mit dem Seeds verbundenen Infrastrukturen identifiziert werden. Anschließend werden alle Ressourcen identifiziert, die sich auf die einzelnen Ressourcen in der ersten Verbindungsgruppe beziehen – und so weiter. Dieser Prozess wird fortgesetzt, bis die Grenze der Ressourcen erreicht ist, für deren Verwaltung Ihre Organisation verantwortlich ist.
Um beispielsweise die Infrastruktur von Contoso zu analysieren, können Sie die Domäne, contoso.com, als Ausgangsseed verwenden. Beginnend bei diesem Seed könnten Sie die folgenden Quellen konsultieren und die folgenden Beziehungen ableiten:
| Datenquelle | Beispiel |
|---|---|
| Whois-Datensätze | Andere Domänennamen, die in der Kontakt-E-Mail oder Organisation registriert sind, die zum Registrieren von contoso.com verwendet wurde, gehören wahrscheinlich auch zu Contoso. |
| Whois-Datensätze | Alle Domänennamen, die bei einer beliebigen E-Mail-Adresse mit @contoso.com registriert sind, gehören wahrscheinlich auch zu Contoso. |
| Whois-Datensätze | Andere Domänen, die demselben Namenserver zugeordnet sind wie contoso.com, gehören möglicherweise auch zu Contoso. |
| DNS-Datensätze | Sie können davon ausgehen, dass Contoso auch alle beobachteten Hosts auf den Domänen des Unternehmens besitzt, und alle Websites, die diesen Hosts zugeordnet sind. |
| DNS-Datensätze | Domänen mit anderen Hosts, die in dieselben IP-Blöcke aufgelöst werden, gehören möglicherweise auch zu Contoso, wenn die Organisation den IP-Block besitzt. |
| DNS-Datensätze | E-Mail-Server, die Domänennamen im Besitz von Contoso zugeordnet sind, gehören auch zu Contoso. |
| SSL-Zertifikate | Contoso besitzt wahrscheinlich auch alle SSL-Zertifikate, die mit jedem dieser Hosts und anderen Hosts verbunden sind, die dieselben SSL-Zertifikate verwenden. |
| ASN-Datensätze | Andere IP-Blöcke, die derselben ASN zugeordnet sind wie die IP-Blöcke, mit denen Hosts auf den Domänennamen von Contoso verbunden sind, gehören möglicherweise auch zu Contoso – genau wie alle Hosts und Domänen, die in diese aufgelöst werden. |
Mithilfe dieser Verbindungen ersten Grades können Sie schnell neue Ressourcen ableiten, die untersucht werden sollen. Bevor Sie weitere Rekursionen ausführen, bestimmt Microsoft, ob eine Verbindung stark genug ist, damit eine ermittelte Entität automatisch zu Ihrem bestätigten Bestand hinzugefügt werden kann. Für jede dieser Ressourcen führt das Ermittlungssystem automatisierte, rekursive Suchvorgänge basierend auf allen verfügbaren Attributen aus, um Verbindungen zweiten und dritten Grades zu finden. Dieser sich wiederholende Prozess liefert weitere Informationen über die Onlineinfrastruktur einer Organisation. Es werden also verschiedene Ressourcen ermittelt, die möglicherweise nicht erkannt und infolgedessen auch nicht anderweitig überwacht wurden.
Automatisierte und benutzerdefinierte Angriffsflächen im Vergleich
Bei der ersten Verwendung von Defender EASM können Sie auf einen vordefinierten Bestand für Ihre Organisation zugreifen, um Ihre Workflows schnell einzurichten. Auf der Seite „Erste Schritte“ können Benutzer nach ihrer Organisation suchen, um ihren Bestand schnell auf der Grundlage der Ressourcenverbindungen aufzufüllen, die bereits von Microsoft identifiziert wurden. Es wird empfohlen, dass alle Benutzer vor dem Erstellen eines benutzerdefinierten Bestands nach der vordefinierten Angriffsfläche ihrer Organisation suchen.
Um einen benutzerdefinierten Bestand zu erstellen, erstellen Benutzer*innen Ermittlungsgruppen, um die Seeds zu organisieren und zu verwalten, die sie beim Ausführen von Ermittlungen verwenden. Separate Ermittlungsgruppen ermöglichen es Benutzer*innen, den Ermittlungsprozess zu automatisieren, wodurch die Seedliste und der Zeitplan für wiederkehrende Ausführung konfiguriert werden.
Bestätigter Bestand und Ressourcenkandidaten im Vergleich
Wenn die Ermittlungs-Engine eine starke Verbindung zwischen einer potenziellen Ressourcen und dem Ausgangsseed erkennt, schließt das System diese Ressource automatisch in den „bestätigten Bestand“ einer Organisation ein. Da die Verbindungen zu diesem Seed iterativ gescannt werden, um Verbindungen dritten oder vierten Grades zu ermitteln, ist das Vertrauen des Systems in den Besitz aller neu entdeckten Ressourcen niedriger. Ebenso kann das System Ressourcen erkennen, die für Ihre Organisation relevant sind, aber sich möglicherweise nicht direkt in deren Besitz befinden.
Aus diesen Gründen wird neu entdeckten Ressourcen einer der folgenden Status zugewiesen:
| Name des Zustands | Beschreibung |
|---|---|
| Genehmigter Bestand | Ein Teil der Angriffsfläche in Ihrem Besitz und ein Element, für das Sie direkt verantwortlich sind |
| Abhängigkeit | Infrastruktur, die im Besitz eines Drittanbieters ist, aber Teil Ihrer Angriffsfläche ist, da sie den Betrieb Ihrer eigenen Ressourcen direkt unterstützt. Sie können z. B. von einem IT-Anbieter abhängig sein, um Ihre Webinhalte zu hosten. Während die Domäne, der Hostname und die Websites Teil Ihres genehmigten Bestands sind, sollte die IP-Adresse für den Host als Abhängigkeit behandelt werden. |
| Nur überwachen | Eine Ressource, die für Ihre Angriffsfläche relevant ist, aber weder direkt kontrolliert wird noch eine technische Abhängigkeit ist. Beispielsweise können unabhängige Franchises oder Ressourcen, die zu verbundenen Unternehmen gehören, mit „Nur überwachen“ anstatt mit „Genehmigter Bestand“ bezeichnet werden, um diese beiden Gruppen zu Berichtszwecken zu trennen. |
| Kandidat | Eine Ressource, die in Beziehung zu den bekannten Seedressourcen Ihrer Organisation steht, aber deren Verbindung nicht stark genug für die sofortige Bezeichnung „Genehmigter Bestand“ ist. Diese Ressourcenkandidaten müssen manuell überprüft werden, um den Besitz zu ermitteln. |
| Untersuchung erforderlich | Dieser Status ähnelt dem Status „Kandidat“, wird jedoch auf Ressourcen angewendet, für deren Validierung eine manuelle Untersuchung erforderlich ist. Dies wird basierend auf unseren intern generierten Konfidenzbewertungen bestimmt, die die Stärke der erkannten Verbindungen zwischen Ressourcen beurteilt. Diese geben nicht die genaue Beziehung der Infrastruktur zu der Organisation an, sondern vor allem, dass diese Ressource für eine zusätzliche Überprüfung gekennzeichnet wurde, um zu bestimmen, wie sie kategorisiert werden soll. |
Beim Überprüfen von Ressourcen wird empfohlen, mit den Ressourcen zu beginnen, die mit der Bezeichnung „Erfordert Untersuchung“ gekennzeichnet sind. Ressourcendetails werden im Laufe der Zeit kontinuierlich aktualisiert, um eine genaue Zuordnung der Ressourcenstatus und -beziehungen zu erhalten, sowie um neue Ressourcen direkt bei der Erstellung zu ermitteln. Der Ermittlungsprozess wird verwaltet, indem Seeds in Ermittlungsgruppen eingeteilt werden, die auf wiederkehrender Basis erneut ausgeführt werden können. Sobald ein Bestand aufgefüllt wurde, scannt das Defender EASM-System Ihre Ressourcen kontinuierlich mit der virtuellen Benutzertechnologie von Microsoft, um neue, detaillierte Daten zu jeder einzelnen zu ermitteln. Dieser Prozess untersucht den Inhalt und das Verhalten jeder Seite innerhalb der Websites, auf die der Prozess anwendbar ist. So werden nützliche Informationen bereitgestellt, die verwendet werden können, um Sicherheitsrisiken, Complianceprobleme und andere potenzielle Risiken für Ihre Organisation zu identifizieren.