Partager via

Utiliser et gérer la découverte

  • Article

Gestion de surface d'attaque externe Microsoft Defender (Defender EASM) s’appuie sur la technologie de découverte propriétaire pour définir en permanence la surface d’attaque unique exposée à Internet de votre organisation. La découverte recherche sur Internet des ressources détenues par votre organisation pour découvrir des propriétés précédemment inconnues et non surveillées.

Les ressources découvertes sont indexées dans votre inventaire pour fournir un système dynamique d’enregistrement des applications web, des dépendances tierces et de l’infrastructure web sous la gestion de votre organisation via un seul volet de verre.

Avant d’exécuter une découverte personnalisée, consultez Qu’est-ce que la découverte ? pour comprendre les concepts clés abordés ici.

Accéder à votre surface d’attaque automatisée

Microsoft a préemptivement configuré les surfaces d’attaque de nombreuses organisations, en mappant leur surface d’attaque initiale en découvrant l’infrastructure connectée aux ressources connues.

Nous vous recommandons de rechercher la surface d’attaque de votre organisation avant de créer une surface d’attaque personnalisée et d’exécuter d’autres découvertes. Ce processus vous permet d’accéder rapidement à votre inventaire lorsque Defender EASM actualise les données et ajoute des ressources et un contexte récent à votre surface d’attaque.

Lorsque vous accédez d’abord à votre instance Defender EASM, sélectionnez Prise en main dans la section Général pour rechercher votre organisation dans la liste des surfaces d’attaque automatisées. Choisissez ensuite votre organisation dans la liste, puis sélectionnez Générer ma surface d’attaque.

Screenshot that shows a preconfigured attack surface selection screen.

À ce stade, la découverte s’exécute en arrière-plan. Si vous avez sélectionné une surface d’attaque préconfigurée dans la liste des organisations disponibles, vous êtes redirigé vers l’écran de vue d’ensemble du tableau de bord où vous pouvez afficher des insights sur l’infrastructure de votre organisation en mode Préversion.

Passez en revue ces insights de tableau de bord pour vous familiariser avec votre surface d’attaque lorsque vous attendez que d’autres ressources soient découvertes et remplies dans votre inventaire. Pour plus d’informations sur la façon de dériver des insights de ces tableaux de bord, consultez Comprendre les tableaux de bord.

Vous pouvez exécuter des découvertes personnalisées pour détecter les ressources hors norme. Par exemple, vous avez peut-être des ressources manquantes. Ou peut-être avez-vous d’autres entités à gérer qui peuvent ne pas être découvertes via l’infrastructure qui est clairement liée à votre organisation.

Personnaliser la découverte

Les découvertes personnalisées sont idéales si votre organisation nécessite une visibilité plus approfondie de l’infrastructure qui peut ne pas être immédiatement liée à vos ressources initiales principales. En soumettant une plus grande liste de ressources connues pour fonctionner en tant que graines de découverte, le moteur de découverte retourne un plus large pool de ressources. La découverte personnalisée peut également aider votre organisation à trouver une infrastructure disparate susceptible d’être liée aux unités commerciales indépendantes et aux entreprises acquises.

Groupes de découvertes

Les découvertes personnalisées sont organisées en groupes de découverte. Il s’agit de clusters d’amorçage indépendants qui composent une seule exécution de découverte et fonctionnent selon leurs propres planifications de périodicité. Vous organisez vos groupes de découverte pour délimiter les ressources de manière optimale pour votre entreprise et vos flux de travail. Les options courantes incluent l’organisation par l’équipe responsable ou l’unité commerciale, les marques ou les filiales.

Créer un groupe de découverte

  1. Dans le volet le plus à gauche, sous Gérer, sélectionnez Découverte.

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. La page Découverte affiche par défaut votre liste de groupes de découverte. Cette liste est vide lorsque vous accédez d’abord à la plateforme. Pour exécuter votre première découverte, sélectionnez Ajouter un groupe de découvertes.

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. Nommez votre nouveau groupe de découverte et ajoutez une description. Le champ Fréquence périodique vous permet de planifier des exécutions de découverte pour ce groupe en recherchant de nouvelles ressources liées aux graines désignées en continu. La sélection de périodicité par défaut est Hebdomadaire. Nous vous recommandons cette cadence pour vous assurer que les ressources de votre organisation sont régulièrement surveillées et mises à jour.

    Pour une exécution unique de découverte, sélectionnez Jamais. Nous vous recommandons de conserver la cadence hebdomadaire par défaut, car la découverte est conçue pour découvrir en permanence de nouvelles ressources liées à votre infrastructure connue. Vous pouvez modifier la fréquence de périodicité ultérieurement en sélectionnant l’option « Modifier » dans n’importe quelle page de détails du groupe de découverte.

  4. Sélectionnez Suivant : Graines.

    Screenshot that shows the first page of the discovery group setup.

  5. Sélectionnez les graines que vous souhaitez utiliser pour ce groupe de découverte. Les semences sont des ressources connues qui appartiennent à votre organisation. La plateforme Defender EASM analyse ces entités et mappe leurs connexions à d’autres infrastructures en ligne pour créer votre surface d’attaque. Étant donné que Defender EASM est destiné à surveiller votre surface d’attaque du point de vue externe, les adresses IP privées ne peuvent pas être incluses en tant que graines de découverte.

    Screenshot that shows the seed selection page of the discovery group setup.

    L’option Démarrage rapide vous permet de rechercher votre organisation dans une liste de surfaces d’attaque préremplies. Vous pouvez rapidement créer un groupe de découverte en fonction des ressources connues appartenant à votre organisation.

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    Vous pouvez également entrer manuellement vos graines. Defender EASM accepte les noms d’organisation, les domaines, les blocs IP, les hôtes, les contacts électroniques, les ASN et les organisations Qui is comme valeurs initiales.

    Vous pouvez également spécifier des entités à exclure de la découverte de ressources pour vous assurer qu’elles ne soient pas ajoutées à votre inventaire si elles sont détectées. Par exemple, les exclusions sont utiles pour les organisations qui ont des filiales qui seront probablement connectées à leur infrastructure centrale, mais qui n’appartiennent pas à leur organisation.

    Une fois vos graines sélectionnées, sélectionnez Vérifier + Créer.

  6. Passez en revue les informations de votre groupe et la liste de départs, puis sélectionnez Créer et exécuter.

    Screenshot that shows the Review + Create screen.

    Vous revenez à la page de découverte principale qui affiche vos groupes de découverte. Une fois votre exécution de découverte terminée, vous voyez les nouvelles ressources ajoutées à votre inventaire approuvé.

Afficher et modifier des groupes de découverte

Vous pouvez gérer vos groupes de découverte à partir de la page de découverte principale. L’affichage par défaut présente la liste de tous vos groupes de découvertes et certaines données clés sur chacun d’eux. Dans l’affichage liste, vous pouvez voir le nombre de graines, de planification de périodicité, de date de dernière exécution et de date de création pour chaque groupe.

Screenshot that shows the discovery groups screen.

Sélectionnez un groupe de découverte pour afficher plus d’informations, modifier le groupe ou lancer un nouveau processus de découverte.

Histor. exéc.

La page Détails du groupe de découverte contient l’historique des exécutions du groupe. Cette section affiche des informations clés sur chaque exécution de découverte effectuée sur le groupe spécifique de graines. La colonne État indique si l’exécution est en cours, terminée ou ayant échoué. Cette section inclut également les horodatages démarrés et terminés et le nombre de nouvelles ressources ajoutées à votre inventaire après cette exécution de découverte particulière. Ce nombre inclut toutes les ressources mises en inventaire, quel que soit l’état ou l’état facturable.

L’historique des exécutions est organisé par les ressources initiales qui ont été analysées pendant l’exécution de la découverte. Pour afficher la liste des graines applicables, sélectionnez Détails. Un volet s’ouvre à droite de votre écran qui répertorie toutes les graines et exclusions par type et par nom.

Screenshot that shows the run history for the discovery group screen.

Afficher les graines et les exclusions

La page Découverte est par défaut une vue de liste des groupes de découverte, mais vous pouvez également afficher les listes de toutes les graines et entités exclues de cette page. Sélectionnez l’onglet pour afficher la liste de toutes les graines ou exclusions qui alimentent vos groupes de découverte.

Graines

La vue de liste initiale affiche les valeurs initiales avec trois colonnes : Type, Nom source et Groupes de découverte. Le champ Type affiche la catégorie de la ressource initiale. Les graines les plus courantes sont des domaines, des hôtes et des blocs IP. Vous pouvez également utiliser des contacts électroniques, des ASN, des noms communs de certificat ou des organisations Qui is.

Le nom de la source est la valeur qui a été entrée dans la zone de type appropriée lorsque vous avez créé le groupe de découverte. La colonne finale affiche une liste de groupes de découverte qui utilisent la valeur initiale. Chaque valeur est cliquable et vous permet d’accéder à la page de détails de ce groupe de découverte.

Lorsque vous entrez des graines, n’oubliez pas de valider le format approprié pour chaque entrée. Lorsque vous enregistrez le groupe de découverte, la plateforme exécute une série de case activée de validation et vous avertit des graines mal configurées. Par exemple, les blocs IP doivent être entrés par adresse réseau (par exemple, le début de la plage d’adresses IP).

Screenshot that shows the Seeds view of a discovery page.

Exclusions

De même, vous pouvez sélectionner l’onglet Exclusions pour afficher la liste des entités qui ont été exclues du groupe de découverte. Ces ressources ne seront pas utilisées comme graines de découverte ou ajoutées à votre inventaire. Les exclusions affectent uniquement les futures exécutions de découverte pour un groupe de découverte individuel.

Le champ Type affiche la catégorie de l’entité exclue. Le nom de la source est la valeur qui a été entrée dans la zone de type appropriée lorsque vous avez créé le groupe de découverte. La colonne finale affiche une liste de groupes de découverte où cette exclusion est présente. Chaque valeur est cliquable et vous permet d’accéder à la page de détails de ce groupe de découverte.

Étapes suivantes