Partager via

Découverte de votre surface d’attaque

  • Article

Prérequis

Avant de suivre ce tutoriel, consultez les articles Qu’est-ce que la découverte ? et Utiliser et gérer la découverte pour comprendre les concepts clés mentionnés dans cet article.

Accéder à votre surface d’attaque automatisée

Microsoft a, de manière anticipée, configuré les surfaces d’attaque de nombreuses organisations, mappant leur surface d’attaque initiale en découvrant l’infrastructure connectée aux ressources connues. Il est recommandé à tous les utilisateurs de rechercher la surface d’attaque de leur organisation avant de créer une surface d’attaque personnalisée et d’exécuter d’autres découvertes. Cela permet aux utilisateurs d’accéder rapidement à leur inventaire lorsque Defender EASM actualise les données, en ajoutant davantage de ressources et un contexte récent à votre surface d’attaque.

  1. Lorsque vous accédez pour la première fois à votre instance Defender EASM, sélectionnez « Prise en main » dans la section « Général » pour rechercher votre organisation dans la liste des surfaces d’attaque automatisées.

  2. À partir de cette liste, sélectionnez ensuite votre organisation, puis cliquez sur « Générer ma surface d’attaque ».

Screenshot of pre-configured attack surface option

À ce stade, la découverte s’exécute en arrière-plan. Si vous avez sélectionné une surface d’attaque préconfigurée dans la liste des organisations disponibles, vous êtes redirigé vers l’écran Vue d’ensemble du tableau de bord dans lequel vous pouvez afficher des insights sur l’infrastructure de votre organisation en mode préversion. Passez en revue ces insights de tableau de bord pour vous familiariser avec votre surface d’attaque lorsque vous attendez que des ressources supplémentaires soient découvertes et répertoriées dans votre inventaire. Pour plus d’informations sur la façon de dériver des insights à partir de ces tableaux de bord, lisez l’article Présentation des tableaux de bord.

Si vous remarquez des ressources manquantes ou que d’autres entités peuvent ne pas être découvertes par le biais de l’infrastructure clairement liée à votre organisation, vous pouvez choisir d’exécuter des découvertes personnalisées pour détecter ces ressources hors norme.

Personnaliser la découverte

Les découvertes personnalisées sont idéales pour les organisations qui ont besoin d’une visibilité plus approfondie de l’infrastructure qui peut ne pas être immédiatement liée à leurs ressources principales initiales. En soumettant une plus grande liste de ressources connues pour fonctionner comme seeds de découverte, le moteur de découverte renverra un pool de ressources plus large. La découverte personnalisée peut également aider les organisations à trouver une infrastructure disparate qui peut être liée à des unités commerciales indépendantes et des entreprises acquises.

Groupes de découvertes

Les découvertes personnalisées sont organisées en groupes de découvertes. Il s’agit de clusters d’amorçage indépendants qui composent une seule exécution de découverte et fonctionnent selon leurs propres planifications de périodicité. Les utilisateurs peuvent choisir d’organiser leurs groupes de découverte pour délimiter les ressources de la manière la plus adaptée à leur entreprise et à leurs flux de travail. Les options courantes incluent l’organisation par une équipe responsable, une unité commerciale, des marques ou des filiales.

Créer un groupe de découvertes

  1. Sélectionnez le panneau Découverte sous la section Gérer dans la colonne de navigation de gauche.

    Screenshot of EASM instance from overview page with manage section highlighted

  2. Cette page de découverte affiche votre liste de groupes de découvertes par défaut. Lorsque vous accédez pour la première fois à la plateforme, cette liste est vide lorsque vous accédez. Pour exécuter votre première découverte, cliquez sur Ajouter un groupe de découvertes.

    Screenshot of Discovery screen with “add disco group” highlighted

  3. Tout d’abord, nommez votre nouveau groupe de découvertes et ajoutez une description. Le champ Fréquence récurrente vous permet de planifier des exécutions de découverte pour ce groupe, de manière à rechercher de nouvelles ressources liées aux seeds désignés en continu. La sélection de la récurrence par défaut est Hebdomadaire ; Microsoft recommande cette fréquence pour vous assurer que les ressources de votre organisation soient régulièrement surveillées et mises à jour. Pour une exécution unique de découverte, sélectionnez Jamais. Toutefois, nous recommandons aux utilisateurs de conserver la fréquence hebdomadaire par défaut et de désactiver plutôt la surveillance historique dans leurs paramètres de groupe de découvertes s’ils décident ultérieurement d’interrompre les exécutions de découverte récurrentes.

    Sélectionnez Suivant : Seeds >

    Screenshot of first page of disco group setup

  4. Ensuite, sélectionnez les seeds que vous souhaitez utiliser pour ce groupe de découvertes. Les seeds sont des ressources connues qui appartiennent à votre organisation ; la plateforme Defender EASM analyse ces entités, en mappant leurs connexions à une autre infrastructure en ligne pour créer votre Surface d’attaque.

    Screenshot of seed selection page of disco group setup

    L’option Démarrage rapide vous permet de rechercher votre organisation dans une liste de surfaces d’attaque préremplies. Vous pouvez créer rapidement un groupe de découvertes en fonction des ressources connues appartenant à votre organisation.

    Screenshot of pre-baked attack surface selection page, then output in seed list

    Les utilisateurs peuvent également entrer manuellement leurs seeds. Defender EASM accepte des domaines, des blocs IP, des hôtes, des contacts de messagerie, des ASN et des organisations WhoIs comme valeurs initiales. Vous pouvez également spécifier des entités à exclure de la découverte de ressources pour vous assurer qu’elles ne soient pas ajoutées à votre inventaire si elles sont détectées. Par exemple, cela est utile pour les organisations qui ont des filiales qui seront probablement connectées à leur infrastructure centrale, mais qui n’appartiennent pas à votre organisation.

    Une fois vos seeds ont sélectionnées, sélectionnez Vérifier + Créer.

  5. Passez en revue les informations de votre groupe et la liste de départs, puis sélectionnez Créer et exécuter.

    Screenshot of review + create screen

Vous êtes ensuite redirigé vers la page de découverte principale qui affiche vos groupes de découverte. Une fois votre exécution de découverte terminée, vous pourrez voir de nouvelles ressources ajoutées à votre inventaire confirmé.

Étapes suivantes