Detección de la superficie expuesta a ataques
Prerrequisitos
Antes de completar este tutorial, consulte los artículos ¿Qué es la detección? y Uso y administración de la detección para comprender los conceptos clave mencionados en este artículo.
Acceso a la superficie expuesta a ataques automatizada
Microsoft ha configurado de forma preventiva las superficies expuestas a ataques de muchas organizaciones, asignando su superficie de ataque inicial mediante la detección de la infraestructura conectada a recursos conocidos. Se recomienda que todos los usuarios busquen la superficie expuesta a ataques de su organización antes de crear una superficie de ataque personalizada y ejecutar detecciones adicionales. Este proceso permite a los usuarios acceder rápidamente a su inventario a medida que EASM de Defender actualiza los datos, agregando recursos adicionales y contexto reciente a la superficie expuesta a ataques.
Al acceder por primera vez a la instancia de EASM de Defender, seleccione "Introducción" en la sección "General" para buscar su organización en la lista de superficies de ataque automatizadas.
A continuación, seleccione su organización en la lista y haga clic en "Compilar mi superficie expuesta a ataques".
En este momento, la detección se ejecuta en segundo plano. Si seleccionó una superficie expuesta a ataques preconfigurada en la lista de organizaciones disponibles, se le redirigirá a la pantalla Información general del panel, donde podrá ver información sobre la infraestructura de la organización en modo de vista previa. Revise esta información del panel para familiarizarse con la Superficie expuesta a ataques a medida que espere a que se detecten y rellenen recursos adicionales en el inventario. Lea el artículo Descripción de los paneles para obtener más información sobre cómo derivar información de estos paneles.
Si observa que faltan activos o tiene otras entidades para administrar que puedan no detectarse a través de la infraestructura claramente vinculada a su organización, puede optar por ejecutar detecciones personalizadas para detectar estos recursos atípicos.
Personalización de la detección
Las detecciones personalizadas son ideales para las organizaciones que requieren una mayor visibilidad de la infraestructura que pueda no estar vinculada inmediatamente a sus recursos de inicialización principales. Al enviar una lista mayor de recursos conocidos para funcionar como valores de inicialización de detección, el motor de detección devolverá un grupo más amplio de recursos. La detección personalizada también puede ayudar a las organizaciones a encontrar una infraestructura dispar que pueda relacionarse con unidades de negocio independientes y empresas adquiridas.
Grupos de detección
Las detecciones personalizadas se organizan en grupos de detección. Se trata de clústeres de inicialización independientes que componen una sola ejecución de detección y funcionan con sus propias programaciones de periodicidad. Los usuarios pueden optar por organizar sus grupos de detección para delinear los recursos de la manera que mejor se adapte a sus empresas y flujos de trabajo. Entre las opciones comunes se incluyen la organización por equipo responsable o unidad de negocio, por marcas o por subsidiarias.
Creación de un grupo de detección
Seleccione el panel Detección en la sección Administrar de la columna de navegación izquierda.
Esta página de detección muestra la lista de grupos de detección de forma predeterminada. Esta lista estará vacía cuando acceda por primera vez a la plataforma. Para ejecutar la primera detección, haga clic en Agregar grupo de detección.
En primer lugar, asigne un nombre al nuevo grupo de detección y agregue una descripción. El campo Frecuencia periódica permite programar ejecuciones de detección para este grupo, buscando nuevos recursos relacionados con los valores de inicialización designados de forma continua. La selección de periodicidad predeterminada es Semanal; Microsoft recomienda esta cadencia para asegurarse de que los recursos de la organización se supervisan y actualizan de forma rutinaria. Para una sola ejecución de detección única, seleccione Nunca. Sin embargo, se recomienda que los usuarios mantengan la cadencia predeterminada Semanal y, en su lugar, desactiven la supervisión histórica dentro de la configuración del grupo de detección si más adelante deciden interrumpir las ejecuciones de detección recurrentes.
Seleccione Siguiente: Valores de inicialización >
A continuación, seleccione los valores de inicialización que desea usar para este grupo de detección. Los valores de inicialización son activos conocidos que pertenecen a su organización; La plataforma EASM de Defender examina estas entidades, asignando sus conexiones a otra infraestructura en línea para crear la superficie expuesta a ataques.
La opción Inicio rápido le permite buscar su organización en una lista de superficies expuestas a ataques rellenadas previamente. Puede crear rápidamente un grupo de detección basado en los activos conocidos que pertenecen a su organización.
Como alternativa, los usuarios pueden introducir manualmente los valores de inicialización. Defender EASM acepta dominios, bloques IP, hosts, contactos de correo electrónico, ASN y organizaciones WhoIs como valores de inicialización. También puede especificar entidades que se excluirán de la detección de activos para asegurarse de que no se agregan al inventario si se detectan. Por ejemplo, esto es útil para las organizaciones que tienen subsidiarias que probablemente se conectarán a su infraestructura central, pero que no pertenecen a su organización.
Una vez seleccionados los valores de inicialización, seleccione Revisar y crear.
Revise la información del grupo y la lista de inicialización y, a continuación, seleccione Crear y ejecutar.
A continuación, volverá a la página de detección principal que muestra los grupos de detección. Una vez completada la ejecución de la detección, verá nuevos activos agregados al inventario aprobado.