Megosztás a következőn keresztül:

Eszközmódosítás áttekintése

  • Cikk

Ez a cikk a leltáreszközök módosítását ismerteti. Módosíthatja egy objektum állapotát, külső azonosítót rendelhet hozzá, vagy címkéket alkalmazhat a környezet biztosításához és a leltáradatok használatához. A felhasználók a felderítésük módszere alapján tömegesen is eltávolíthatják az objektumokat a leltárból; A felhasználók például eltávolíthatnak egy magot egy felderítési csoportból, és dönthetnek úgy, hogy eltávolítják a maghoz kapcsolódó kapcsolaton keresztül felderített összes objektumot. Ez a cikk a Defender EASM-ben elérhető összes módosítási lehetőséget ismerteti, valamint ismerteti az eszközök frissítését és a frissítések nyomon követését a Feladatkezelővel.

Objektumok címkézése

A címkék segítségével rendszerezheti a támadási felületet, és testre szabható módon alkalmazhatja az üzleti környezetet. Bármilyen szöveges címkét alkalmazhat az eszközök egy részhalmazára az eszközök csoportosításához és a leltár jobb kihasználásához. Az ügyfelek gyakran kategorizálják azokat az eszközöket, amelyek:

  • Nemrég fúzió vagy felvásárlás útján került a szervezet tulajdonjoga alá.
  • Megfelelőségi monitorozás megkövetelése.
  • A szervezet egy adott üzleti egységének a tulajdonában vannak.
  • Egy adott biztonsági rés érinti, amely kockázatcsökkentést igényel.
  • Egy adott, a szervezet tulajdonában lévő márkanévhez kapcsolódik.
  • A rendszer hozzáadta a készlethez egy adott időtartományon belül.

A címkék szabad formátumú szövegmezők, így bármilyen, a szervezetre vonatkozó használati esethez létrehozhat címkét.

Screenshot that shows an inventory list view with a filtered Labels column.

Eszköz állapotának módosítása

A felhasználók módosíthatják az eszköz állapotát is. Az államok segítenek kategorizálni a leltárt a szervezetében betöltött szerepük alapján. A felhasználók a következő állapotok között válthatnak:

  • Jóváhagyott leltár: A saját támadási felület egy része; egy olyan elem, amelyért ön közvetlenül felelős.
  • Függőség: Olyan infrastruktúra, amely egy harmadik fél tulajdonában van, de a támadási felület része, mivel közvetlenül támogatja a tulajdonban lévő eszközök működését. Előfordulhat például, hogy egy informatikai szolgáltatótól függ a webes tartalom üzemeltetéséhez. Bár a tartomány, a gazdagépnév és a lapok a "Jóváhagyott leltár" részét képezik, érdemes lehet a gazdagépet futtató IP-címet függőségként kezelni.
  • Csak figyelés: A támadási felület szempontjából releváns, de nem közvetlenül szabályozott és nem technikai függőségű objektum. Előfordulhat például, hogy a független franchise-vállalkozások vagy a kapcsolódó vállalatokhoz tartozó eszközök "Csak figyelés" címkével vannak ellátva a "Jóváhagyott leltár" helyett a csoportok jelentéskészítési célokra való elkülönítéséhez.
  • Jelölt: Olyan eszköz, amely kapcsolatban áll a szervezet ismert kezdőeszközeivel, de nem rendelkezik elég erős kapcsolattal ahhoz, hogy azonnal "Jóváhagyott leltárként" címkézze. Ezeket a jelölt eszközöket manuálisan kell felülvizsgálni a tulajdonjog meghatározásához.
  • Vizsgálat szükséges: A "Jelölt" állapothoz hasonló állapot, de ez az érték olyan eszközökre lesz alkalmazva, amelyek manuális vizsgálatot igényelnek az ellenőrzéshez. Ezt a belsőleg létrehozott megbízhatósági pontszámok alapján határozzuk meg, amelyek felmérik az eszközök közötti észlelt kapcsolatok erősségét. Nem jelzi az infrastruktúra és a szervezet közötti pontos kapcsolatát, mivel azt jelzi, hogy az objektum megjelölése további felülvizsgálatot igényel annak meghatározásához, hogyan kell kategorizálni.

Külső azonosító alkalmazása

A felhasználók külső azonosítót is alkalmazhatnak egy objektumra. Ez akkor hasznos, ha több megoldást alkalmaz az eszközkövetésre, a szervizelési tevékenységekre vagy a tulajdonjog-monitorozásra; Ha külső azonosítókat lát a Defender EASM-ben, az segít a különálló eszközinformációk igazításában. A külső azonosítók lehetnek numerikusak vagy alfanumerikusak, és szöveges formátumban kell megadni. A külső azonosítók az Eszköz részletei szakaszban is megjelennek.

Eszközök módosítása

Az eszközöket a leltárlista és az eszköz részleteinek oldaláról is módosíthatja. Az eszköz adatainak oldaláról módosíthatja egyetlen objektumot. A leltárlista oldaláról egyetlen vagy több objektumot is módosíthat. A következő szakaszok bemutatják, hogyan alkalmazhatja a két készletnézet módosításait a használati esettől függően.

Leltárlista lap

Ha egyszerre több objektumot szeretne frissíteni, módosítsa az eszközöket a leltárlista oldaláról. Az eszközlistát a szűrőparaméterek alapján pontosíthatja. Ez a folyamat segít azonosítani azokat az eszközöket, amelyeket kategorizálni kell a kívánt címkével, külső azonosítóval vagy állapotváltozással. Az eszközök ezen a lapon történő módosításához:

  1. A Microsoft Defender külső támadásifelület-kezelő (Defender EASM) erőforrás bal szélső ablaktábláján válassza az Inventory (Leltár) lehetőséget.

  2. Szűrők alkalmazása a kívánt eredmények létrehozásához. Ebben a példában olyan tartományokat keresünk, amelyek 30 napon belül lejárnak, és megújítást igényelnek. Az alkalmazott címke segítségével gyorsabban érheti el a lejáró tartományokat a szervizelési folyamat egyszerűsítése érdekében. A szükséges eredmények eléréséhez annyi szűrőt alkalmazhat, amennyi szükséges. A szűrőkkel kapcsolatos további információkért tekintse meg a Leltárszűrők áttekintését.

    Screenshot that shows the inventory list view with the Add filter dropdown opened to display the query editor.

  3. A leltárlista szűrése után jelölje be a legördülő listát az Eszköz tábla fejléce melletti jelölőnégyzettel. Ezzel a legördülő listával kiválaszthatja a lekérdezésnek vagy az adott oldalon található eredményeknek megfelelő összes találatot (legfeljebb 25). A Nincs lehetőség törli az összes objektumot. Úgy is dönthet, hogy csak bizonyos találatokat jelöl ki az oldalon az egyes objektumok melletti pipák kiválasztásával.

    Screenshot that shows the inventory list view with the bulk selection dropdown opened.

  4. Válassza az Eszközök módosítása lehetőséget.

  5. A képernyő jobb oldalán megnyíló Eszközök módosítása panelen gyorsan módosíthatja a kijelölt objektumok állapotát. Ebben a példában egy új címkét hoz létre. Válassza az Új címke létrehozása lehetőséget.

  6. Határozza meg a címke nevét és megjelenítse a szöveges értékeket. A címke neve nem módosítható a címke első létrehozása után, de a megjelenítendő szöveg később szerkeszthető. A címke nevét a termék felületén vagy az API-val kérdezi le a rendszer, ezért a módosítások le vannak tiltva, hogy a lekérdezések megfelelően működjenek. A címkenév szerkesztéséhez törölnie kell az eredeti címkét, és létre kell hoznia egy újat.

    Válassza ki az új címke színét, és válassza a Hozzáadás lehetőséget. Ez a művelet visszaviszi az Eszközök módosítása képernyőre.

    Screenshot that shows the Add label pane that displays the configuration fields.

  7. Alkalmazza az új címkét az objektumokra. Kattintson a Címkék hozzáadása szövegmezőbe az elérhető címkék teljes listájának megtekintéséhez. Vagy beírhatja a mezőbe, hogy kulcsszó alapján keressen. Miután kiválasztotta az alkalmazni kívánt címkéket, válassza a Frissítés lehetőséget.

    Screenshot that shows the Modify Asset pane with the newly created label applied.

  8. A címkék alkalmazásának engedélyezése néhány pillanatig. A folyamat befejezése után megjelenik egy "Kész" értesítés. A lap automatikusan frissül, és megjeleníti az eszközlistát látható címkékkel. A képernyő tetején látható szalagcím megerősíti, hogy a címkék alkalmazva lettek.

    Screenshot that shows the inventory list view with the selected assets now displaying the new label.

Eszköz részletei lap

Egyetlen objektumot is módosíthat az eszköz részleteinek oldaláról. Ez a lehetőség ideális olyan helyzetekben, amikor az eszközöket alaposan át kell vizsgálni a címke vagy az állapotváltozás alkalmazása előtt.

  1. A Defender EASM-erőforrás bal szélső ablaktábláján válassza az Inventory (Leltár) lehetőséget.

  2. Válassza ki azt az objektumot, amelyet módosítani szeretne az eszköz adatainak megnyitásához.

  3. Ezen a lapon válassza az Eszköz módosítása lehetőséget.

    Screenshot that shows the asset details page with the Modify asset button highlighted.

  4. Kövesse az 5–7. lépést a "Leltárlista lap" szakaszban.

  5. Az eszköz részletei oldal frissül, és megjeleníti az újonnan alkalmazott címkét vagy állapotváltozást. A transzparens azt jelzi, hogy az objektum sikeresen frissült.

Címkék módosítása, eltávolítása vagy törlése

A felhasználók eltávolíthatnak egy címkét egy objektumból úgy, hogy ugyanazt az eszközmódosítás panelt érik el a leltárlista vagy az eszköz részletei nézetből. A leltárlista nézetből egyszerre több objektumot is kijelölhet, majd egyetlen műveletben hozzáadhatja vagy eltávolíthatja a kívánt címkét.

Ha magát a címkét szeretné módosítani, vagy törölni szeretne egy címkét a rendszerből:

  1. A Defender EASM-erőforrás bal szélső ablaktábláján válassza a Címkék (előzetes verzió) lehetőséget.

    Screenshot that shows the Labels (Preview) page that enables label management.

    Ezen a lapon megjelenik a Defender EASM-leltár összes címkéje. Előfordulhat, hogy ezen a lapon címkék találhatók a rendszerben, de semmilyen eszközre nem alkalmazhatók aktívan. Ezen a lapon új címkéket is hozzáadhat.

  2. Címke szerkesztéséhez válassza a szerkeszteni kívánt címke Műveletek oszlopában található ceruza ikont. Megnyílik egy panel a képernyő jobb oldalán, ahol módosíthatja a címke nevét vagy színét. Válassza a Frissítés lehetőséget.

  3. Ha el szeretne távolítani egy címkét, válassza a törölni kívánt címke Műveletek oszlopában található kuka ikont. Válassza a Címke eltávolítása lehetőséget.

    Screenshot that shows the Confirm Remove option on the Labels management page.

A Címkék lap automatikusan frissül. A címke el lesz távolítva a listából, és a címkét használó összes objektumból is eltávolítva. A transzparens megerősíti az eltávolítást.

Feladatkezelő és értesítések

A feladat elküldése után egy értesítés megerősíti, hogy a frissítés folyamatban van. Az Azure bármely lapján válassza az értesítés (harang) ikont a legutóbbi feladatokról szóló további információk megtekintéséhez.

Screenshot that shows the Task submitted notification.Screenshot that shows the Notifications pane that displays recent task status.

A Defender EASM rendszere néhány eszköz frissítéséhez másodpercekig vagy percekig is eltarthat, amíg ezrek frissülnek. A Feladatkezelővel ellenőrizheti a folyamatban lévő módosítási tevékenységek állapotát. Ez a szakasz azt ismerteti, hogyan érheti el a Feladatkezelőt, és hogyan használhatja a beküldött frissítések befejezésének jobb megértéséhez.

  1. A Defender EASM-erőforrás bal szélső paneljén válassza a Feladatkezelő lehetőséget.

    Screenshot that shows the Task Manager page with appropriate section in navigation pane highlighted.

  2. Ezen a lapon az összes legutóbbi tevékenység és azok állapota látható. A tevékenységek befejezettként, sikertelenként vagy folyamatban lévőként jelennek meg. Megjelenik egy befejezési százalék és egy folyamatsáv is. Ha további részleteket szeretne látni egy adott tevékenységről, válassza ki a tevékenység nevét. Megnyílik egy ablaktábla a képernyő jobb oldalán, amely további információkat nyújt.

  3. Válassza a Frissítés lehetőséget a Feladatkezelő összes elemének legújabb állapotának megtekintéséhez.

Címkék szűrése

Miután felcímkézett elemeket a leltárban, leltárszűrőkkel lekérheti az adott címkével ellátott összes eszköz listáját.

  1. A Defender EASM-erőforrás bal szélső ablaktábláján válassza az Inventory (Leltár) lehetőséget.

  2. Válassza a Szűrő hozzáadása lehetőséget.

  3. Válassza a Címkék lehetőséget a Szűrő legördülő listából. Jelöljön ki egy operátort, és válasszon egy címkét a lehetőségek legördülő listájából. Az alábbi példa bemutatja, hogyan kereshet egyetlen címkét. Az In operátorral több címkét is kereshet. A szűrőkkel kapcsolatos további információkért tekintse meg a leltárszűrők áttekintését.

    Screenshot that shows the query editor used to apply filters, displaying the Labels filter with possible label values in a dropdown list.

  4. Válassza az Alkalmazás lehetőséget. A leltárlista lapja újra betöltődik, és megjeleníti az összes olyan objektumot, amely megfelel a feltételeknek.

Eszközláncalapú felügyelet

Egyes esetekben előfordulhat, hogy a felderített eszközök alapján egyszerre több objektumot is el szeretne távolítani. Megállapíthatja például, hogy egy felderítési csoport egy adott magja olyan eszközöket vont be, amelyek nem relevánsak a szervezet számára, vagy el kell távolítania egy olyan leányvállalathoz kapcsolódó eszközöket, amelyek már nem tartoznak a saját hatásköre alá. Ezért a Defender EASM lehetővé teszi a forrás entitás és a felderítési láncban lévő összes "alsóbb rétegbeli" objektum eltávolítását. A csatolt objektumokat az alábbi három módszerrel törölheti:

  • Magalapú felügyelet: a felhasználók törölhetik a felderítési csoportba korábban belefoglalt magokat, és eltávolíthatják a leltárba bevezetett összes objektumot a megadott maghoz való megfigyelt kapcsolaton keresztül. Ez a módszer akkor hasznos, ha megállapíthatja, hogy egy adott manuálisan bevitt vetőmag nem kívánt eszközöket adott hozzá a készlethez.
  • Felderítési lánc kezelése: a felhasználók azonosíthatnak egy objektumot egy felderítési láncon belül, és törölhetik azt, ezzel egyidejűleg eltávolítva az entitás által felderített összes objektumot. A felderítés rekurzív folyamat; megvizsgálja a magokat, hogy azonosítsa a kijelölt magokhoz közvetlenül kapcsolódó új eszközöket, majd továbbra is vizsgálja az újonnan felfedezett entitásokat, hogy további kapcsolatokat tárjon fel. Ez a törlési módszer akkor hasznos, ha a felderítési csoport megfelelően van konfigurálva, de el kell távolítania egy újonnan felderített objektumot és az entitáshoz társítással leltárba vett összes objektumot. Fontolja meg a felderítési csoport beállításait és a kijelölt magokat a felderítési lánc "felső részének"; Ez a törlési módszer lehetővé teszi az objektumok középről való eltávolítását.
  • Felderítési csoport kezelése: a felhasználók eltávolíthatják a teljes felderítési csoport(ok) és a leltárba bevezetett összes objektumot ezen a felderítési csoporton keresztül. Ez akkor hasznos, ha egy teljes felderítési csoport már nem alkalmazható a szervezetre. Előfordulhat például, hogy rendelkezik egy felderítési csoporttal, amely kifejezetten egy leányvállalathoz kapcsolódó eszközöket keres. Ha ez a leányvállalat már nem releváns a szervezet számára, az eszközláncalapú felügyelettel törölheti a leltárba vett összes eszközt a felderítési csoporton keresztül.

Továbbra is megtekintheti az eltávolított objektumokat a Defender EASM-ben; egyszerűen szűrje a leltárlistát az "Archivált" állapotú objektumokra.

Magalapú törlés

Dönthet úgy, hogy az eredetileg kijelölt felderítési magok egyike már nem szerepelhet a felderítési csoportban. Előfordulhat, hogy a vetőmag már nem releváns a szervezet számára, vagy több hamis pozitív értéket hoz, mint a jogos tulajdonú eszközök. Ebben az esetben eltávolíthatja a magot a felderítési csoportból, hogy megakadályozza a későbbi felderítési futtatásokban való használatát, miközben egyidejűleg eltávolítja a korábban a kijelölt magon keresztül leltárba vett összes objektumot.

Ha mag alapján szeretne tömeges eltávolítást végezni, lépjen a megfelelő Felderítési csoport részletei lapra, és kattintson a "Felderítési csoport szerkesztése" elemre. Az utasításokat követve lépjen a Magok lapra, és távolítsa el a problémás magot a listáról. Amikor a "Véleményezés + frissítés" lehetőséget választja, megjelenik egy figyelmeztetés, amely azt jelzi, hogy a kijelölt magon keresztül felderített összes objektum is törlődik. A törlés befejezéséhez válassza a "Frissítés" vagy a "Frissítés és futtatás" lehetőséget.

Screenshot that shows the Edit Discovery Group page with a warning indicating the removal of a seed and any assets discovered through that seed.

Felderítési láncon alapuló törlés

Az alábbi példában tegyük fel, hogy nem biztonságos bejelentkezési űrlapot talált az Attack Surface Summary irányítópultján. A vizsgálat olyan gazdagépre irányítja, amely úgy tűnik, hogy nem a szervezet tulajdonában van. További információkért tekintse meg az eszköz részleteit tartalmazó oldalt; A Felderítési lánc áttekintésekor megtudhatja, hogy a gazdagép azért lett leltárba véve, mert a megfelelő tartományt egy alkalmazott vállalati e-mail-címével regisztrálták, amely szintén a jóváhagyott üzleti entitások regisztrálásához volt használva.

Screenshot that shows the Asset Details page with the Discovery Chain section highlighted.

Ebben az esetben a kezdeti felderítési mag (a vállalati tartomány) továbbra is jogszerű, ezért ehelyett el kell távolítani egy problémás objektumot a felderítési láncból. Bár végrehajthatjuk a lánc törlését a kapcsolattartó e-mail-címéről, ehelyett úgy döntünk, hogy eltávolítjuk az alkalmazotthoz regisztrált személyes tartományhoz tartozó összeset, hogy a Defender EASM a jövőben értesítsen minket az adott e-mail-címre regisztrált egyéb tartományokról. A felderítési láncban válassza ki ezt a személyes tartományt az eszköz részleteinek megtekintéséhez. Ebben a nézetben válassza az "Eltávolítás a felderítési láncból" lehetőséget az eszköz leltárból való eltávolításához, valamint a személyes tartományhoz való megfigyelt kapcsolat miatt leltárba vett összes objektumot. A rendszer felkéri, hogy erősítse meg az eszköz és az összes alsóbb rétegbeli eszköz eltávolítását, és a művelettel eltávolítandó többi eszköz összegzett listájával jelenik meg. Válassza a "Felderítési lánc eltávolítása" lehetőséget a tömeges eltávolítás megerősítéséhez.

Screenshot that shows the box that prompts users to confirm the removal of the current asset and all downstream assets, with a summary of the other assets that will be removed with this action.

Felderítési csoport törlése

Előfordulhat, hogy törölnie kell a felderítési csoportot, valamint a csoporton keresztül felderített összes objektumot. Előfordulhat például, hogy a vállalat olyan leányvállalatot adott el, amelyet már nem kell figyelni. A felhasználók törölhetik a felderítési csoportokat a Felderítés felügyeleti oldaláról. A felderítési csoport és az összes kapcsolódó eszköz eltávolításához egyszerűen válassza a listában a megfelelő csoport melletti kuka ikont. Figyelmeztetés jelenik meg, amely felsorolja a művelettel eltávolítandó objektumok összegzését. A felderítési csoport törlésének megerősítése; és az összes kapcsolódó objektum esetén válassza a "Felderítési csoport eltávolítása" lehetőséget.

Screenshot that shows the Discovery management page, with the warning box that appears after electing to delete a group highlighted.

Következő lépések