Partager via

Vue d’ensemble de la modification des ressources

  • Article

Cet article explique comment modifier les ressources d’inventaire. Vous pouvez modifier l’état d’une ressource, affecter un ID externe ou appliquer des étiquettes pour fournir un contexte et utiliser des données d’inventaire. Les utilisateurs peuvent également supprimer des ressources de leur inventaire en bloc en fonction de la méthode avec laquelle ils ont été découverts ; Par exemple, les utilisateurs peuvent supprimer une valeur initiale d’un groupe de découverte et choisir de supprimer les ressources découvertes via une connexion à cette valeur initiale. Cet article décrit toutes les options de modification disponibles dans Defender EASM et décrit comment mettre à jour les ressources et suivre les mises à jour avec le Gestionnaire des tâches.

Étiqueter les ressources

Les étiquettes vous aident à organiser votre surface d’attaque et à appliquer le contexte métier de manière personnalisable. Vous pouvez appliquer n’importe quelle étiquette de texte à un sous-ensemble de ressources pour regrouper des ressources et améliorer l’utilisation de votre inventaire. Les clients catégorisent généralement les ressources suivantes :

  • Vous êtes récemment sous la propriété de votre organisation par le biais d’une fusion ou d’une acquisition.
  • Exiger la surveillance de la conformité.
  • Sont détenus par une unité commerciale spécifique dans leur organisation.
  • Sont affectés par une vulnérabilité spécifique qui nécessite une atténuation.
  • Se rapportez à une marque particulière appartenant à l’organisation.
  • Ont été ajoutés à votre inventaire dans un intervalle de temps spécifique.

Les étiquettes sont des champs de texte de formulaire libre. Vous pouvez donc créer une étiquette pour tout cas d’usage qui s’applique à votre organisation.

Screenshot that shows an inventory list view with a filtered Labels column.

Modifier l’état d’une ressource

Les utilisateurs peuvent également modifier l’état d’une ressource. Les états permettent de classer votre inventaire en fonction de leur rôle dans votre organisation. Les utilisateurs peuvent basculer entre les états suivants :

  • Inventaire approuvé : une partie de votre surface d’attaque détenue ; un élément dont vous êtes directement responsable.
  • Dépendance : Infrastructure détenue par un tiers, mais qui fait partie de votre surface d’attaque, car elle prend directement en charge l’opération de vos ressources détenues. Par exemple, vous pouvez dépendre d’un fournisseur informatique pour héberger votre contenu web. Bien que le domaine, le nom d’hôte et les pages font partie de votre « Inventaire approuvé », vous souhaiterez peut-être traiter l’adresse IP exécutant l’hôte comme une « dépendance ».
  • Surveiller uniquement : ressource pertinente pour votre surface d’attaque, mais qui n’est ni directement contrôlée ni une dépendance technique. Par exemple, des franchisés indépendants ou des ressources appartenant à des sociétés associées peuvent être étiquetés « Surveiller uniquement » plutôt qu’« Inventaire approuvé » pour séparer les groupes à des fins de création de rapports.
  • Candidat : ressource qui a une relation avec les ressources initiales connues de votre organisation, mais qui n’a pas une connexion suffisante pour l’étiqueter immédiatement comme « Inventaire approuvé ». Ces biens candidats doivent être examinés manuellement pour déterminer la propriété.
  • Nécessite une investigation : un état similaire aux états « Candidats », mais cette valeur est appliquée aux ressources qui nécessitent une investigation manuelle pour valider. Cela est déterminé en fonction de nos scores de confiance générés en interne qui évaluent la force des connexions détectées entre les ressources. Cela n’indique pas la relation exacte de l’infrastructure à l’organisation autant que le fait que cette ressource a été marquée comme nécessitant une révision supplémentaire pour déterminer la façon dont elle doit être catégorisée.

Appliquer un ID externe

Les utilisateurs peuvent également appliquer un ID externe à une ressource. Cela est utile dans les situations où vous utilisez plusieurs solutions pour le suivi des ressources, les activités de correction ou la surveillance de la propriété ; Voir les ID externes dans Defender EASM vous aide à aligner ces informations sur les ressources disparates. Les valeurs d’ID externe peuvent être numériques ou alphanumériques et doivent être entrées au format texte. Les ID externes sont également affichés dans la section Détails de la ressource.

Comment modifier des ressources

Vous pouvez modifier des ressources à partir de la liste d’inventaire et des pages de détails des ressources. Vous pouvez apporter des modifications à une ressource unique à partir de la page de détails de la ressource. Vous pouvez apporter des modifications à une ressource unique ou plusieurs ressources à partir de la page liste d’inventaire. Les sections suivantes décrivent comment appliquer des modifications des deux vues d’inventaire en fonction de votre cas d’usage.

Page liste d’inventaire

Vous devez modifier des ressources à partir de la page de liste d’inventaire si vous souhaitez mettre à jour plusieurs ressources à la fois. Vous pouvez affiner votre liste de ressources en fonction des paramètres de filtre. Ce processus vous permet d’identifier les ressources qui doivent être classées avec l’étiquette, l’ID externe ou le changement d’état souhaité. Pour modifier les ressources de cette page :

  1. Dans le volet le plus à gauche de votre ressource Gestion de surface d'attaque externe Microsoft Defender (Defender EASM), sélectionnez Inventaire.

  2. Appliquez des filtres pour produire vos résultats prévus. Dans cet exemple, nous recherchons des domaines qui expirent dans les 30 jours qui nécessitent un renouvellement. L’étiquette appliquée vous permet d’accéder plus rapidement à tous les domaines arrivant à expiration pour simplifier le processus de correction. Vous pouvez appliquer autant de filtres que nécessaire pour obtenir les résultats spécifiques nécessaires. Pour plus d’informations sur les filtres, consultez vue d’ensemble des filtres d’inventaire.

    Screenshot that shows the inventory list view with the Add filter dropdown opened to display the query editor.

  3. Une fois votre liste d’inventaire filtrée, sélectionnez la liste déroulante en regard de la zone case activée en regard de l’en-tête de la table de ressources. Cette liste déroulante vous donne la possibilité de sélectionner tous les résultats correspondant à votre requête ou aux résultats de cette page spécifique (jusqu’à 25). L’option None efface toutes les ressources. Vous pouvez également choisir de sélectionner uniquement des résultats spécifiques sur la page en sélectionnant les marques de case activée individuelles en regard de chaque ressource.

    Screenshot that shows the inventory list view with the bulk selection dropdown opened.

  4. Sélectionnez Modifier les ressources.

  5. Dans le volet Modifier les ressources qui s’ouvre sur le côté droit de votre écran, vous pouvez rapidement modifier l’état des ressources sélectionnées. Pour cet exemple, vous créez une étiquette. Sélectionnez Créer une étiquette.

  6. Déterminez le nom de l’étiquette et affichez les valeurs de texte. Le nom de l’étiquette ne peut pas être modifié après avoir créé l’étiquette initialement, mais le texte d’affichage peut être modifié ultérieurement. Le nom de l’étiquette est utilisé pour interroger l’étiquette dans l’interface de produit ou via l’API. Les modifications sont donc désactivées pour garantir que ces requêtes fonctionnent correctement. Pour modifier un nom d’étiquette, vous devez supprimer l’étiquette d’origine et en créer un nouveau.

    Sélectionnez une couleur pour votre nouvelle étiquette, puis sélectionnez Ajouter. Cette action vous ramène à l’écran Modifier les ressources .

    Screenshot that shows the Add label pane that displays the configuration fields.

  7. Appliquez votre nouvelle étiquette aux ressources. Cliquez dans la zone de texte Ajouter des étiquettes pour afficher la liste complète des étiquettes disponibles. Vous pouvez également taper à l’intérieur de la zone pour effectuer une recherche par mot clé. Après avoir sélectionné les étiquettes que vous souhaitez appliquer, sélectionnez Mettre à jour.

    Screenshot that shows the Modify Asset pane with the newly created label applied.

  8. Laissez quelques instants pour que les étiquettes soient appliquées. Une fois le processus terminé, vous voyez une notification « Terminée ». La page actualise et affiche automatiquement votre liste de ressources avec les étiquettes visibles. Une bannière en haut de l’écran confirme que vos étiquettes ont été appliquées.

    Screenshot that shows the inventory list view with the selected assets now displaying the new label.

Page détails de la ressource

Vous pouvez également modifier une ressource unique à partir de la page détails de la ressource. Cette option est idéale pour les situations où les ressources doivent être soigneusement examinées avant l’application d’une étiquette ou d’un changement d’état.

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Inventaire.

  2. Sélectionnez la ressource spécifique que vous souhaitez modifier pour ouvrir la page des détails de la ressource.

  3. Dans cette page, sélectionnez Modifier la ressource.

    Screenshot that shows the asset details page with the Modify asset button highlighted.

  4. Suivez les étapes 5 à 7 dans la section « Page Liste d’inventaire ».

  5. La page détails de la ressource actualise et affiche l’étiquette ou la modification d’état nouvellement appliquée. Une bannière indique que la ressource a été correctement mise à jour.

Modifier, supprimer ou supprimer des étiquettes

Les utilisateurs peuvent supprimer une étiquette d’une ressource en accédant au même volet Modifier la ressource à partir de la liste d’inventaire ou de l’affichage des détails de la ressource. Dans l’affichage liste d’inventaire, vous pouvez sélectionner plusieurs ressources à la fois, puis ajouter ou supprimer l’étiquette souhaitée dans une seule action.

Pour modifier l’étiquette elle-même ou supprimer une étiquette du système :

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Étiquettes (préversion).

    Screenshot that shows the Labels (Preview) page that enables label management.

    Cette page affiche toutes les étiquettes de votre inventaire Defender EASM. Les étiquettes de cette page peuvent exister dans le système, mais elles ne sont pas appliquées activement aux ressources. Vous pouvez également ajouter de nouvelles étiquettes à partir de cette page.

  2. Pour modifier une étiquette, sélectionnez l’icône de crayon dans la colonne Actions de l’étiquette que vous souhaitez modifier. Un volet s’ouvre sur le côté droit de votre écran, où vous pouvez modifier le nom ou la couleur d’une étiquette. Sélectionnez Mettre à jour.

  3. Pour supprimer une étiquette, sélectionnez l’icône de corbeille dans la colonne Actions de l’étiquette que vous souhaitez supprimer. Sélectionnez Supprimer l’étiquette.

    Screenshot that shows the Confirm Remove option on the Labels management page.

La page Étiquettes est automatiquement actualisée. L’étiquette est supprimée de la liste et également supprimée de toutes les ressources auxquelles l’étiquette a été appliquée. Une bannière confirme la suppression.

Gestionnaire de tâches et notifications

Une fois qu’une tâche est envoyée, une notification confirme que la mise à jour est en cours. Dans n’importe quelle page d’Azure, sélectionnez l’icône de notification (cloche) pour afficher plus d’informations sur les tâches récentes.

Screenshot that shows the Task submitted notification.Screenshot that shows the Notifications pane that displays recent task status.

Le système DEFENDER EASM peut prendre quelques secondes pour mettre à jour quelques ressources ou quelques minutes pour mettre à jour des milliers. Vous pouvez utiliser le Gestionnaire des tâches pour case activée sur l’état de toutes les tâches de modification en cours. Cette section explique comment accéder au Gestionnaire des tâches et l’utiliser pour mieux comprendre l’achèvement des mises à jour soumises.

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Gestionnaire des tâches.

    Screenshot that shows the Task Manager page with appropriate section in navigation pane highlighted.

  2. Cette page affiche toutes vos tâches récentes et leur état. Les tâches sont répertoriées comme Terminées, Ayant échoué ou En cours. Un pourcentage d’achèvement et une barre de progression s’affichent également. Pour plus d’informations sur une tâche spécifique, sélectionnez le nom de la tâche. Un volet s’ouvre sur le côté droit de votre écran qui fournit plus d’informations.

  3. Sélectionnez Actualiser pour afficher l’état le plus récent de tous les éléments dans le Gestionnaire des tâches.

Filtre pour les étiquettes

Après avoir étiqueté des ressources dans votre inventaire, vous pouvez utiliser des filtres d’inventaire pour récupérer une liste de toutes les ressources avec une étiquette spécifique appliquée.

  1. Dans le volet le plus à gauche de votre ressource Defender EASM, sélectionnez Inventaire.

  2. Sélectionnez Ajouter un filtre.

  3. Sélectionnez Étiquettes dans la liste déroulante Filtre . Sélectionnez un opérateur et choisissez une étiquette dans la liste déroulante des options. L’exemple suivant montre comment rechercher une étiquette unique. Vous pouvez utiliser l’opérateur In pour rechercher plusieurs étiquettes. Pour plus d’informations sur les filtres, consultez la vue d’ensemble des filtres d’inventaire.

    Screenshot that shows the query editor used to apply filters, displaying the Labels filter with possible label values in a dropdown list.

  4. Sélectionnez Appliquer. La page liste d’inventaire recharge et affiche toutes les ressources qui correspondent à vos critères.

Gestion basée sur la chaîne de ressources

Dans certains cas, vous souhaiterez peut-être supprimer plusieurs ressources à la fois en fonction des moyens avec lesquels elles ont été découvertes. Par exemple, vous pouvez déterminer qu’une valeur initiale particulière au sein d’un groupe de découverte a extrait des ressources qui ne sont pas pertinentes pour votre organisation ou que vous devrez peut-être supprimer des ressources liées à une filiale qui n’est plus sous votre purview. Pour cette raison, Defender EASM offre la possibilité de supprimer l’entité source et toutes les ressources « en aval » dans la chaîne de découverte. Vous pouvez supprimer des ressources liées avec les trois méthodes suivantes :

  • Gestion basée sur les valeurs initiales : les utilisateurs peuvent supprimer une valeur initiale précédemment incluse dans un groupe de découverte, en supprimant toutes les ressources introduites dans l’inventaire par le biais d’une connexion observée à la valeur initiale spécifiée. Cette méthode est utile lorsque vous pouvez déterminer qu’une valeur initiale entrée manuelle spécifique a entraîné l’ajout de ressources non souhaitées à l’inventaire.
  • Gestion de la chaîne de découverte : les utilisateurs peuvent identifier une ressource au sein d’une chaîne de découverte et la supprimer simultanément, supprimant simultanément toutes les ressources découvertes par cette entité. La découverte est un processus récursif ; il analyse les graines pour identifier les nouvelles ressources directement associées à ces graines désignées, puis continue à analyser les entités nouvellement découvertes pour dévoiler davantage de connexions. Cette approche de suppression est utile lorsque votre groupe de découverte est correctement configuré, mais vous devez supprimer une ressource nouvellement découverte et toutes les ressources introduites dans l’inventaire par association à cette entité. Considérez les paramètres de votre groupe de découverte et les graines désignées comme étant le « top » de votre chaîne de découverte ; cette approche de suppression vous permet de supprimer des ressources du milieu.
  • Gestion des groupes de découverte : les utilisateurs peuvent supprimer l’ensemble des groupes de découverte et toutes les ressources introduites dans l’inventaire via ce groupe de découverte. Cela est utile lorsqu’un groupe de découverte entier n’est plus applicable à votre organisation. Par exemple, vous pouvez avoir un groupe de découverte qui recherche spécifiquement des ressources liées à une filiale. Si cette filiale n’est plus pertinente pour votre organisation, vous pouvez tirer parti de la gestion basée sur la chaîne d’actifs pour supprimer toutes les ressources introduites dans l’inventaire par le biais de ce groupe de découverte.

Vous pouvez toujours afficher les ressources supprimées dans Defender EASM ; filtrez simplement votre liste d’inventaire pour les ressources dans l’état « Archivé ».

Suppression basée sur la valeur initiale

Vous pouvez décider qu’une de vos graines de découverte initialement désignées ne doit plus être incluse dans un groupe de découverte. L’amorçage peut ne plus être pertinent pour votre organisation, ou il peut apporter plus de faux positifs que des biens appartenant légitimes. Dans ce cas, vous pouvez supprimer la valeur initiale de votre groupe de découverte pour l’empêcher d’être utilisée dans les prochaines exécutions de découverte tout en supprimant simultanément les ressources qui ont été apportées à l’inventaire par le biais de la valeur initiale désignée dans le passé.

Pour effectuer une suppression en bloc en fonction d’une valeur initiale, routez vers la page de détails du groupe de découverte appropriée, puis cliquez sur « Modifier le groupe de découverte ». Suivez les invites pour accéder à la page Graines et supprimez la valeur initiale problématique de la liste. Lorsque vous sélectionnez « Vérifier + mettre à jour », vous verrez un avertissement indiquant que toutes les ressources découvertes par le biais de la valeur initiale désignée seront également supprimées. Sélectionnez « Mettre à jour » ou « Mettre à jour & exécuter » pour terminer la suppression.

Screenshot that shows the Edit Discovery Group page with a warning indicating the removal of a seed and any assets discovered through that seed.

Suppression basée sur la chaîne de découverte

Dans l’exemple suivant, imaginez que vous avez découvert un formulaire de connexion non sécurisé sur votre tableau de bord De synthèse de surface d’attaque. Votre investigation vous route vers un hôte qui ne semble pas être détenu par votre organisation. Vous affichez la page des détails de la ressource pour plus d’informations ; Lors de l’examen de la chaîne de découverte, vous apprenez que l’hôte a été mis en inventaire, car le domaine correspondant a été inscrit à l’aide de l’adresse e-mail d’entreprise d’un employé qui a également été utilisée pour inscrire des entités commerciales approuvées.

Screenshot that shows the Asset Details page with the Discovery Chain section highlighted.

Dans ce cas, la valeur initiale de découverte (le domaine d’entreprise) est toujours légitime. Nous devons donc supprimer au lieu de cela une ressource problématique de la chaîne de découverte. Bien que nous puissions effectuer la suppression de la chaîne de l’e-mail de contact, nous choisirons plutôt de supprimer tout ce qui est associé au domaine personnel inscrit à cet employé afin que Defender EASM nous avertit de tous les autres domaines inscrits à cette adresse e-mail à l’avenir. Dans la chaîne de découverte, sélectionnez ce domaine personnel pour afficher la page des détails de la ressource. Dans cette vue, sélectionnez « Supprimer de la chaîne de découverte » pour supprimer la ressource de votre inventaire, ainsi que toutes les ressources introduites dans l’inventaire en raison d’une connexion observée au domaine personnel. Vous serez invité à confirmer la suppression de la ressource et de toutes les ressources en aval et à présenter une liste récapitulative des autres ressources qui seront supprimées avec cette action. Sélectionnez « Supprimer la chaîne de découverte » pour confirmer la suppression en bloc.

Screenshot that shows the box that prompts users to confirm the removal of the current asset and all downstream assets, with a summary of the other assets that will be removed with this action.

Suppression d’un groupe de découverte

Vous devrez peut-être supprimer et tout le groupe de découverte et toutes les ressources découvertes via le groupe. Par exemple, votre entreprise a peut-être vendu une filiale qui n’a plus besoin d’être surveillée. Les utilisateurs peuvent supprimer des groupes de découverte de la page de gestion de la découverte. Pour supprimer un groupe de découverte et toutes les ressources associées, sélectionnez simplement l’icône corbeille en regard du groupe approprié dans la liste. Vous recevrez un avertissement qui répertorie un résumé des ressources qui seront supprimées avec cette action. Pour confirmer la suppression du groupe de découverte ; et toutes les ressources associées, sélectionnez « Supprimer le groupe de découverte ».

Screenshot that shows the Discovery management page, with the warning box that appears after electing to delete a group highlighted.

Étapes suivantes