Descripción de los recursos de inventario
Información general
La tecnología de detección propietaria de Microsoft busca de forma recursiva la infraestructura con conexiones observadas a recursos legítimos conocidos (p.ej. Valores de inicialización para detección) para hacer inferencias sobre la relación de esa infraestructura con la organización y descubrir propiedades que antes ni se conocían ni se supervisaban.
Defender EASM incluye la detección de los siguientes tipos de recursos:
- Dominios
- Bloqueos de IP
- Hosts
- Contactos de correo electrónico
- ASN
- Organizaciones WHOIS
Estos tipos de recursos componen el inventario de superficie expuesta a ataques en EASM de Defender. Esta solución detecta activos orientados externamente que se exponen a Internet abierto fuera de la protección tradicional del firewall; deben supervisarse y mantenerse para minimizar el riesgo y mejorar la posición de seguridad de una organización. Administración de superficie expuesta a ataques externos de Microsoft Defender (EASM de Defender) detecta y supervisa activamente estos recursos y, a continuación, muestra información clave que ayuda a los clientes a abordar eficazmente las vulnerabilidades de su organización.
Estado de los recursos
Todos los recursos se etiquetan como uno de los siguientes estados:
Nombre del estado | Descripción |
---|---|
Inventario aprobado | Una parte de la superficie expuesta a ataques de su propiedad; un elemento del que usted es directamente responsable. |
Dependencia | Infraestructura que es propiedad de un tercero, pero que forma parte de la superficie expuesta a ataques porque permite directamente el funcionamiento de los recursos de su propiedad. Por ejemplo, puede depender de un proveedor de TI para hospedar el contenido web. Aunque el dominio, el nombre de host y las páginas formarían parte del "Inventario aprobado", es posible que desee tratar la dirección IP que ejecuta el host como "Dependencia". |
Solo supervisar | Un recurso que es relevante para la superficie expuesta a ataques, pero que no está controlado directamente ni es una dependencia técnica. Por ejemplo, las franquicias independientes o los activos que pertenecen a empresas relacionadas pueden etiquetarse como "Solo supervisar" en lugar de "Inventario aprobado" para separar los grupos y poder ejecutar informes correctamente. |
Candidato | Un recurso que tiene alguna relación con los recursos de inicialización conocidos de su organización, pero no tiene una conexión lo suficientemente fuerte como para etiquetarlo inmediatamente como "Inventario aprobado". Estos recursos candidatos se deben revisar manualmente para determinar su propiedad. |
Requiere investigación | Un estado similar a los estados "Candidato", pero este valor se aplica a los recursos que requieren una investigación manual para su validación. Esto se determina en función de nuestras puntuaciones de confianza generadas internamente que evalúan la intensidad de las conexiones detectadas entre los recursos. No indica la relación exacta de la infraestructura con la organización, más bien indica que este recurso se ha marcado como que requiere revisión adicional para determinar cómo se debe clasificar. |
Control de diferentes estados de recursos
Estos estados de recursos se procesan y supervisan de forma única para garantizar que los clientes tengan una visibilidad clara de los recursos más críticos de forma predeterminada. Por ejemplo, los recursos de "Inventario aprobado" siempre se representan en los gráficos de paneles y se examinan diariamente para garantizar la recency de los datos. El resto de tipos de recursos no se incluyen en los gráficos de paneles de forma predeterminada; sin embargo, los usuarios pueden ajustar sus filtros de inventario para ver los recursos en diferentes estados según sea necesario. Del mismo modo, los recursos "Candidatos" solo se examinan durante el proceso de detección; es importante revisar estos recursos y cambiar su estado a "Inventario aprobado" si son propiedad de su organización.
Seguimiento de cambios de inventario
La superficie expuesta a ataques cambia constantemente, por lo que Defender EASM analiza y actualiza continuamente el inventario para aumentar la precisión. Los recursos se agregan y quitan con frecuencia del inventario, por lo que es importante seguir estos cambios para comprender la superficie expuesta a ataques e identificar tendencias clave. El panel de cambios de inventario proporciona información general sobre estos cambios, mostrando los recuentos "agregados" y "eliminados" para cada tipo de recurso. Puede filtrar el panel por dos intervalos de fechas: los últimos 7 días o los últimos 30 días. Para obtener una vista más detallada de estos cambios de inventario, consulte la sección "Cambios por fecha".