Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Voraussetzungen
Bevor Sie dieses Tutorial abschließen, lesen Sie die Artikel Was ist Ermittlung? und Verwenden und Verwalten der Ermittlung , um die wichtigsten Konzepte zu verstehen, die in diesem Artikel erwähnt werden.
Zugriff auf Ihre automatisierte Angriffsfläche
Microsoft hat die Angriffsflächen vieler Organisationen präemptiv konfiguriert und ihre anfängliche Angriffsfläche zugeordnet, indem infrastrukturell mit bekannten Ressourcen verbunden ist. Es wird empfohlen, dass alle Benutzer nach der Angriffsfläche ihrer organization suchen, bevor sie eine benutzerdefinierte Angriffsfläche erstellen und andere Ermittlungen ausführen. Dieser Prozess ermöglicht es Benutzern, schnell auf ihren Bestand zuzugreifen, da Defender EASM die Daten aktualisiert und Ihrer Angriffsfläche weitere Ressourcen und aktuellen Kontext hinzufügt.
Wählen Sie beim ersten Zugriff auf Ihre Defender EASM instance im Abschnitt AllgemeinErste Schritte aus, um in der Liste der automatisierten Angriffsflächen nach Ihrem organization zu suchen.
Wählen Sie dann Ihre organization aus der Liste aus, und klicken Sie auf Meine Angriffsfläche erstellen.
An diesem Punkt wird die Ermittlung im Hintergrund ausgeführt. Wenn Sie eine vorkonfigurierte Angriffsfläche aus der Liste der verfügbaren Organisationen ausgewählt haben, werden Sie zum Bildschirm Dashboardübersicht weitergeleitet, auf dem Sie Einblicke in die Infrastruktur Ihrer organization im Vorschaumodus anzeigen können. Überprüfen Sie diese Dashboard Erkenntnisse, um sich mit Ihrer Angriffsfläche vertraut zu machen, während Sie darauf warten, dass weitere Ressourcen erkannt und in Ihrem Bestand aufgefüllt werden. Weitere Informationen zum Ableiten von Erkenntnissen aus diesen Dashboards finden Sie im Artikel Grundlegendes zu Dashboards .
Wenn Sie fehlende Ressourcen bemerken oder andere Entitäten verwalten müssen, die möglicherweise nicht über die Infrastruktur ermittelt werden, die eindeutig mit Ihrem organization verknüpft ist, können Sie benutzerdefinierte Ermittlungen ausführen, um diese Ausreißerressourcen zu erkennen.
Anpassen der Ermittlung
Benutzerdefinierte Ermittlungen eignen sich ideal für Organisationen, die einen tieferen Einblick in die Infrastruktur benötigen, die möglicherweise nicht sofort mit ihren primären Seedressourcen verknüpft ist. Durch die Übermittlung einer größeren Liste bekannter Ressourcen, die als Ermittlungssamen verwendet werden sollen, gibt die Ermittlungs-Engine einen größeren Pool von Ressourcen zurück. Die benutzerdefinierte Ermittlung kann Organisationen auch dabei helfen, unterschiedliche Infrastrukturen zu finden, die sich auf unabhängige Geschäftseinheiten und erworbene Unternehmen beziehen können.
Ermittlungsgruppen
Benutzerdefinierte Ermittlungen sind in Ermittlungsgruppen organisiert. Dabei handelt es sich um unabhängige Seedcluster, die einen einzelnen Ermittlungslauf umfassen und nach ihren eigenen Wiederholungszeitplänen arbeiten. Benutzer können sich dafür entscheiden, ihre Ermittlungsgruppen zu organisieren, um Ressourcen in jeder Weise zu trennen, die ihrem Unternehmen und ihren Workflows am besten zugutet. Häufige Optionen sind die Organisation nach verantwortlichem Team/Geschäftsbereich, Marken oder Tochtergesellschaften.
Erstellen einer Ermittlungsgruppe
Wählen Sie den Bereich Ermittlung unter dem Abschnitt Verwalten in der linken Navigationsspalte aus.
Auf dieser Ermittlungsseite wird standardmäßig Ihre Liste der Ermittlungsgruppen angezeigt. Diese Liste ist leer, wenn Sie zum ersten Mal auf die Plattform zugreifen. Um Ihre erste Ermittlung auszuführen, klicken Sie auf Ermittlungsgruppe hinzufügen.
Benennen Sie zunächst Ihre neue Ermittlungsgruppe, und fügen Sie eine Beschreibung hinzu. Mit dem Feld "Wiederkehrende Häufigkeit " können Sie Ermittlungsläufe für diese Gruppe planen und kontinuierlich nach neuen Ressourcen im Zusammenhang mit den angegebenen Samen suchen. Die Standardserienauswahl ist Wöchentlich; Microsoft empfiehlt diesen Rhythmus, um sicherzustellen, dass die Ressourcen Ihrer organization routinemäßig überwacht und aktualisiert werden. Wählen Sie für eine einzelne, einmalige Ermittlungsausführung Nie aus. Es wird jedoch empfohlen, dass Benutzer den wöchentlichen Standardrhythmus beibehalten und stattdessen die Verlaufsüberwachung in ihren Ermittlungsgruppeneinstellungen deaktivieren, wenn sie sich später entscheiden, wiederkehrende Ermittlungsausführungen einzustellen.
Wählen Sie Weiter: Samen aus>.
Wählen Sie als Nächstes die Seeds aus, die Sie für diese Ermittlungsgruppe verwenden möchten. Seeds sind bekannte Ressourcen, die zu Ihrem organization gehören. Die Defender EASM Plattform scannt diese Entitäten und zuordnen ihre Verbindungen mit anderen Onlineinfrastrukturen, um Ihre Angriffsfläche zu erstellen.
Mit der Option Schnellstart können Sie in einer Liste mit vorab aufgefüllten Angriffsflächen nach Ihrem organization suchen. Sie können schnell eine Ermittlungsgruppe basierend auf den bekannten Ressourcen erstellen, die zu Ihrem organization gehören.
Alternativ können Benutzer ihre Samen manuell eingeben. Defender EASM akzeptiert Domänen, IP-Blöcke, Hosts, E-Mail-Kontakte, ASNs und WhoIs-Organisationen als Ausgangswerte. Sie können auch Entitäten angeben, die von der Ressourcenermittlung ausgeschlossen werden sollen, um sicherzustellen, dass sie Ihrem Bestand nicht hinzugefügt werden, wenn sie erkannt werden. Dies ist beispielsweise für Organisationen nützlich, die über Niederlassungen verfügen, die wahrscheinlich mit ihrer zentralen Infrastruktur verbunden sind, aber nicht zu Ihrem organization gehören.
Nachdem Sie Ihre Samen ausgewählt haben, wählen Sie Überprüfen + erstellen aus.
Überprüfen Sie die Gruppeninformationen und die Seedliste, und wählen Sie dann Erstellen & Ausführen aus.
Anschließend gelangen Sie zurück zur Hauptseite ermittlung, auf der Ihre Ermittlungsgruppen angezeigt werden. Sobald Ihre Ermittlungsausführung abgeschlossen ist, können Sie neue Ressourcen sehen, die Ihrem genehmigten Bestand hinzugefügt wurden.