Identificar y supervisar recursos externos con la Administración de superficie expuesta a ataques externos de Microsoft Defender

  • 7 minutos

Microsoft Defender External Attack Surface Management (Defender EASM) detecta y asigna continuamente la superficie expuesta a ataques digitales para proporcionar una visión externa de la infraestructura en línea. Esta visibilidad permite a los equipos de seguridad y TI identificar elementos desconocidos, priorizar el riesgo, eliminar amenazas y ampliar el control de vulnerabilidades y exposición además que con el firewall. Se genera información sobre las superficies expuestas a ataques aprovechando los datos de vulnerabilidad y la infraestructura para mostrar las áreas clave de interés para la organización.

Screenshot showing the Microsoft Defender External Attack Surface Management dashboard.

Detección e inventario

La tecnología de detección propiedad de Microsoft busca de forma recurrente infraestructura con conexiones observadas a recursos legítimos conocidos para hacer inferencias sobre la relación de esa infraestructura con la organización y descubrir propiedades que antes ni se conocían ni se supervisaban. Estos recursos legítimos conocidos se denominan "inicializaciones" de detección; Defender EASM detecta primero las conexiones sólidas con estas entidades seleccionadas y repite para revelar más conexiones y, en última instancia, compilar la superficie expuesta a ataques.

Defender EASM incluye la detección de los siguientes tipos de recursos:

  • Dominios
  • Nombres de host
  • Páginas web
  • Bloqueos de IP
  • Direcciones IP
  • ASN
  • Certificados SSL
  • Contactos de WHOIS

Screenshot showing the Defender EASM add discovery group page.

Paneles

Defender EASM proporciona una serie de paneles que ayudan a los usuarios a comprender rápidamente su infraestructura en línea y cualquier riesgo clave para su organización. Estos paneles están diseñados para proporcionar información sobre áreas específicas de riesgo, incluidas las vulnerabilidades, el cumplimiento y la higiene de la seguridad. Esta información ayuda a los clientes a abordar rápidamente los componentes de su superficie expuesta a ataques que suponen el mayor riesgo para la organización.

Screenshot showing the Microsoft Defender External Attack Surface Management Security posture page.

Administración de recursos

Los clientes pueden filtrar su inventario para exponer la información específica que más les interesa. El filtrado ofrece un nivel de flexibilidad y personalización que permite a los usuarios acceder a un subconjunto específico de recursos. Esto permite aprovechar los datos de Defender EASM según su caso de uso específico, ya sea para buscar recursos que se conectan a infraestructura en desuso o para identificar nuevos recursos en la nube.

Screenshot showing the Microsoft Defender External Attack Surface Management inventory page.

Permisos de usuario

Los usuarios a los que se han asignado roles de propietario o colaborador pueden crear, eliminar y editar recursos de la EASM de Defender y los recursos de inventario que contiene. Estos roles pueden usar toda la funcionalidad disponible en la plataforma. Los usuarios a los que se ha asignado el rol Lector pueden ver los datos de la EASM de Defender, pero no pueden crear, eliminar ni editar recursos de inventario o el propio recurso.

Residencia de los datos, disponibilidad y privacidad

Microsoft Defender External Attack Surface Management contiene datos globales y datos específicos del cliente. Los datos subyacentes de Internet son datos globales de Microsoft; las etiquetas aplicadas por los clientes se consideran datos de cliente. Todos los datos de cliente se almacenan en la región que este prefiera.

Con fines de seguridad, Microsoft recopila las direcciones IP de los usuarios cuando inician sesión. Estos datos se almacenan durante un máximo de 30 días, pero pueden almacenarse más tiempo si es necesario para investigar posibles usos fraudulentos o malintencionados del producto.

En el caso de un escenario de región fuera de servicio, solo los clientes de la región afectada experimentarán el tiempo de inactividad.

El marco de cumplimiento de Microsoft requiere que todos los datos del cliente se eliminen en un plazo de 180 días a partir de que esa organización deje de ser cliente de Microsoft. Esto también incluye el almacenamiento de datos del cliente en ubicaciones sin conexión, como copias de seguridad de bases de datos. Una vez eliminado un recurso, nuestros equipos no pueden restaurarlo. Los datos del cliente se conservarán en nuestros almacenes de datos durante 75 días, pero no se puede restaurar el recurso real. Después del período de 75 días, los datos del cliente se eliminarán permanentemente.