Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender External Attack Surface Management (Defender EASM) basiert auf proprietärer Ermittlungstechnologie, um die einzigartige angriffsfläche Ihres organization kontinuierlich zu definieren. Die Ermittlung überprüft das Internet auf Ressourcen, die sich im Besitz Ihrer organization befinden, um zuvor unbekannte und nicht überwachte Eigenschaften aufzudecken.
Ermittelte Ressourcen werden in Ihrem Bestand indiziert, um ein dynamisches System der Aufzeichnung von Webanwendungen, Abhängigkeiten von Drittanbietern und Webinfrastruktur unter der Verwaltung Ihrer organization über einen zentralen Bereich bereitzustellen.
Bevor Sie eine benutzerdefinierte Ermittlung ausführen, lesen Sie Was ist Ermittlung? , um die wichtigsten Konzepte zu verstehen, die hier erläutert werden.
Zugriff auf Ihre automatisierte Angriffsfläche
Microsoft hat die Angriffsflächen vieler Organisationen präemptiv konfiguriert und deren anfängliche Angriffsfläche zugeordnet, indem infrastrukturell ermittelt wird, die mit bekannten Ressourcen verbunden ist.
Es wird empfohlen, dass Sie nach der Angriffsfläche Ihrer organization suchen, bevor Sie eine benutzerdefinierte Angriffsfläche erstellen und andere Ermittlungen ausführen. Mit diesem Prozess können Sie schnell auf Ihren Bestand zugreifen, da Defender EASM die Daten aktualisiert und Ihrer Angriffsfläche weitere Ressourcen und aktuellen Kontext hinzufügt.
Wenn Sie zum ersten Mal auf Ihre Defender EASM instance zugreifen, wählen Sie im Abschnitt AllgemeinErste Schritte aus, um in der Liste der automatisierten Angriffsflächen nach Ihrem organization zu suchen. Wählen Sie dann Ihre organization aus der Liste aus, und wählen Sie Meine Angriffsfläche erstellen aus.
An diesem Punkt wird die Ermittlung im Hintergrund ausgeführt. Wenn Sie eine vorkonfigurierte Angriffsfläche aus der Liste der verfügbaren Organisationen ausgewählt haben, werden Sie zum Dashboard Übersichtsbildschirm weitergeleitet, auf dem Sie Einblicke in die Infrastruktur Ihres organization im Vorschaumodus anzeigen können.
Überprüfen Sie diese Dashboard Erkenntnisse, um sich mit Ihrer Angriffsfläche vertraut zu machen, während Sie warten, bis weitere Ressourcen in Ihrem Bestand gefunden und aufgefüllt werden. Weitere Informationen zum Ableiten von Erkenntnissen aus diesen Dashboards finden Sie unter Verstehen von Dashboards.
Sie können benutzerdefinierte Ermittlungen ausführen, um Ausreißerressourcen zu erkennen. Es kann z. B. vorkommen, dass Ressourcen fehlen. Oder Sie müssen andere Entitäten verwalten, die möglicherweise nicht über eine Infrastruktur ermittelt werden, die eindeutig mit Ihrem organization verknüpft ist.
Anpassen der Ermittlung
Benutzerdefinierte Ermittlungen sind ideal, wenn Ihre organization einen tieferen Einblick in die Infrastruktur erfordert, die möglicherweise nicht sofort mit Ihren primären Seedressourcen verknüpft ist. Durch die Übermittlung einer größeren Liste bekannter Ressourcen, die als Ermittlungssamen verwendet werden sollen, gibt die Ermittlungs-Engine einen größeren Pool von Ressourcen zurück. Die benutzerdefinierte Ermittlung kann Ihren organization bei der Suche nach unterschiedlicher Infrastruktur helfen, die sich auf unabhängige Geschäftseinheiten und erworbene Unternehmen beziehen kann.
Ermittlungsgruppen
Benutzerdefinierte Ermittlungen sind in Ermittlungsgruppen organisiert. Dabei handelt es sich um unabhängige Seedcluster, die einen einzelnen Ermittlungslauf umfassen und nach ihren eigenen Wiederholungszeitplänen arbeiten. Sie organisieren Ihre Ermittlungsgruppen, um Ressourcen auf die weise zu definieren, von der Ihr Unternehmen und Ihre Workflows am besten profitieren. Häufige Optionen sind die Organisation durch das zuständige Team oder die zuständige Geschäftseinheit, Marken oder Tochtergesellschaften.
Erstellen einer Ermittlungsgruppe
Wählen Sie im bereich ganz links unter Verwalten die Option Ermittlung aus.
Auf der Seite Ermittlung wird standardmäßig Ihre Liste der Ermittlungsgruppen angezeigt. Diese Liste ist leer, wenn Sie zum ersten Mal auf die Plattform zugreifen. Um Ihre erste Ermittlung auszuführen, wählen Sie Ermittlungsgruppe hinzufügen aus.
Benennen Sie Ihre neue Ermittlungsgruppe, und fügen Sie eine Beschreibung hinzu. Mit dem Feld Wiederkehrende Häufigkeit können Sie Ermittlungsläufe für diese Gruppe planen, indem Sie kontinuierlich nach neuen Ressourcen im Zusammenhang mit den angegebenen Samen suchen. Die Standardserienauswahl ist Wöchentlich. Wir empfehlen diesen Rhythmus, um sicherzustellen, dass die Ressourcen Ihrer organization routinemäßig überwacht und aktualisiert werden.
Wählen Sie für eine einzelne, einmalige Ermittlungsausführung Nie aus. Es wird empfohlen, den wöchentlichen Standardintervall beizubehalten, da die Ermittlung darauf ausgelegt ist, kontinuierlich neue Ressourcen zu ermitteln, die sich auf Ihre bekannte Infrastruktur beziehen. Sie können die Wiederholungshäufigkeit später bearbeiten, indem Sie auf einer beliebigen Detailseite der Ermittlungsgruppe die Option "Bearbeiten" auswählen.
Wählen Sie Weiter: Samen aus.
Wählen Sie die Seeds aus, die Sie für diese Ermittlungsgruppe verwenden möchten. Samen sind bekannte Ressourcen, die zu Ihrem organization gehören. Die Defender EASM Plattform scannt diese Entitäten und ordnet ihre Verbindungen anderen Onlineinfrastrukturen zu, um Ihre Angriffsfläche zu erstellen. Da Defender EASM dazu gedacht ist, Ihre Angriffsfläche aus einer externen Perspektive zu überwachen, können private IP-Adressen nicht als Ermittlungs-Seeds eingeschlossen werden.
Mit der Option Schnellstart können Sie nach Ihrem organization in einer Liste mit bereits aufgefüllten Angriffsflächen suchen. Sie können schnell eine Ermittlungsgruppe basierend auf den bekannten Ressourcen erstellen, die zu Ihrem organization gehören.
Alternativ können Sie Ihre Samen auch manuell eingeben. Defender EASM akzeptiert organization Namen, Domänen, IP-Blöcke, Hosts, E-Mail-Kontakte, ASNs und Whois-Organisationen als Ausgangswerte.
Sie können auch Entitäten angeben, die von der Ressourcenermittlung ausgeschlossen werden sollen, um sicherzustellen, dass sie Ihrem Bestand nicht hinzugefügt werden, wenn sie erkannt werden. Ausschlüsse sind z. B. für Organisationen nützlich, die über Niederlassungen verfügen, die wahrscheinlich mit ihrer zentralen Infrastruktur verbunden sind, aber nicht zu ihren organization gehören.
Nachdem Ihre Samen ausgewählt wurden, wählen Sie Überprüfen + erstellen aus.
Überprüfen Sie die Gruppeninformationen und die Seedliste, und wählen Sie Erstellen & Ausführen aus.
Sie gelangen zurück zur Hauptseite ermittlung, auf der Ihre Ermittlungsgruppen angezeigt werden. Nachdem Ihre Ermittlungsausführung abgeschlossen ist, werden Ihrem genehmigten Bestand neue Ressourcen hinzugefügt.
Anzeigen und Bearbeiten von Ermittlungsgruppen
Sie können Ihre Ermittlungsgruppen auf der Hauptseite Ermittlung verwalten. In der Standardansicht werden eine Liste aller Ermittlungsgruppen und einige wichtige Daten zu jeder Einzelnen angezeigt. In der Listenansicht können Sie die Anzahl der Seeds, den Wiederholungszeitplan, das Datum der letzten Ausführung und das Erstellungsdatum für jede Gruppe anzeigen.
Wählen Sie eine beliebige Ermittlungsgruppe aus, um weitere Informationen anzuzeigen, die Gruppe zu bearbeiten oder einen neuen Ermittlungsprozess zu starten.
Ausführungsverlauf
Die Detailseite der Ermittlungsgruppe enthält den Ausführungsverlauf für die Gruppe. In diesem Abschnitt werden wichtige Informationen zu jeder Ermittlungsausführung angezeigt, die für die spezifische Gruppe von Seeds ausgeführt wurde. Die Spalte Status gibt an, ob die Ausführung in Bearbeitung, Abgeschlossen oder Fehlgeschlagen ist. Dieser Abschnitt enthält auch gestartete und abgeschlossene Zeitstempel sowie die Anzahl aller neuen Ressourcen, die Ihrem Bestand nach dieser bestimmten Ermittlungsausführung hinzugefügt wurden. Diese Anzahl umfasst alle Ressourcen, die in den Bestand aufgenommen werden, unabhängig vom Zustand oder der abrechenbaren status.
Der Ausführungsverlauf ist nach den Seedressourcen organisiert, die während der Ermittlungsausführung überprüft wurden. Wählen Sie Details aus, um eine Liste der anwendbaren Samen anzuzeigen. Auf der rechten Seite des Bildschirms wird ein Bereich geöffnet, in dem alle Seeds und Ausschlüsse nach Art und Name aufgelistet sind.
Anzeigen von Seeds und Ausschlüssen
Auf der Seite Ermittlung wird standardmäßig eine Listenansicht von Ermittlungsgruppen verwendet. Sie können jedoch auch Listen aller Seeds und ausgeschlossenen Entitäten auf dieser Seite anzeigen. Wählen Sie entweder die Registerkarte aus, um eine Liste aller Seeds oder Ausschlüsse anzuzeigen, die Ihre Ermittlungsgruppen verwenden.
Samen
In der Seedlistenansicht werden Startwerte mit drei Spalten angezeigt: Typ, Quellname und Ermittlungsgruppen. Im Feld Typ wird die Kategorie der Seedressource angezeigt. Die häufigsten Seeds sind Domänen, Hosts und IP-Blöcke. Sie können auch E-Mail-Kontakte, ASNs, allgemeine Zertifikatnamen oder Whois-Organisationen verwenden.
Der Quellname ist der Wert, der beim Erstellen der Ermittlungsgruppe in das entsprechende Typfeld eingegeben wurde. Die letzte Spalte zeigt eine Liste der Ermittlungsgruppen, die den Seed verwenden. Jeder Wert ist klickbar und führt Sie zur Detailseite für diese Ermittlungsgruppe.
Denken Sie bei der Eingabe von Seeds daran, das entsprechende Format für jeden Eintrag zu überprüfen. Wenn Sie die Ermittlungsgruppe speichern, führt die Plattform eine Reihe von Validierungsprüfungen aus und warnt Sie über falsch konfigurierte Seeds. Ip-Blöcke sollten beispielsweise von der Netzwerkadresse eingegeben werden (z. B. der Anfang des IP-Adressbereichs).
Ausschlüsse
Ebenso können Sie die Registerkarte Ausschlüsse auswählen, um eine Liste der Entitäten anzuzeigen, die aus der Ermittlungsgruppe ausgeschlossen wurden. Diese Ressourcen werden nicht als Ermittlungssamen verwendet oder Ihrem Bestand hinzugefügt. Ausschlüsse wirken sich nur auf zukünftige Ermittlungsausführungen für eine einzelne Ermittlungsgruppe aus.
Im Feld Typ wird die Kategorie der ausgeschlossenen Entität angezeigt. Der Quellname ist der Wert, der beim Erstellen der Ermittlungsgruppe in das entsprechende Typfeld eingegeben wurde. Die letzte Spalte enthält eine Liste der Ermittlungsgruppen, in denen dieser Ausschluss vorhanden ist. Jeder Wert ist klickbar und führt Sie zur Detailseite für diese Ermittlungsgruppe.