Eszközmódosítás áttekintése
Ez a cikk a leltáreszközök módosítását ismerteti. Módosíthatja egy objektum állapotát, külső azonosítót rendelhet hozzá, vagy címkéket alkalmazhat a környezet biztosításához és a leltáradatok használatához. A felhasználók a felderítésük módszere alapján tömegesen is eltávolíthatják az objektumokat a leltárból; A felhasználók például eltávolíthatnak egy magot egy felderítési csoportból, és dönthetnek úgy, hogy eltávolítják a maghoz kapcsolódó kapcsolaton keresztül felderített összes objektumot. Ez a cikk a Defender EASM-ben elérhető összes módosítási lehetőséget ismerteti, valamint ismerteti az eszközök frissítését és a frissítések nyomon követését a Feladatkezelővel.
Objektumok címkézése
A címkék segítségével rendszerezheti a támadási felületet, és testre szabható módon alkalmazhatja az üzleti környezetet. Bármilyen szöveges címkét alkalmazhat az eszközök egy részhalmazára az eszközök csoportosításához és a leltár jobb kihasználásához. Az ügyfelek gyakran kategorizálják azokat az eszközöket, amelyek:
- Nemrég fúzió vagy felvásárlás útján került a szervezet tulajdonjoga alá.
- Megfelelőségi monitorozás megkövetelése.
- A szervezet egy adott üzleti egységének a tulajdonában vannak.
- Egy adott biztonsági rés érinti, amely kockázatcsökkentést igényel.
- Egy adott, a szervezet tulajdonában lévő márkanévhez kapcsolódik.
- A rendszer hozzáadta a készlethez egy adott időtartományon belül.
A címkék szabad formátumú szövegmezők, így bármilyen, a szervezetre vonatkozó használati esethez létrehozhat címkét.
Eszköz állapotának módosítása
A felhasználók módosíthatják az eszköz állapotát is. Az államok segítenek kategorizálni a leltárt a szervezetében betöltött szerepük alapján. A felhasználók a következő állapotok között válthatnak:
- Jóváhagyott leltár: A saját támadási felület egy része; egy olyan elem, amelyért ön közvetlenül felelős.
- Függőség: Olyan infrastruktúra, amely egy harmadik fél tulajdonában van, de a támadási felület része, mivel közvetlenül támogatja a tulajdonban lévő eszközök működését. Előfordulhat például, hogy egy informatikai szolgáltatótól függ a webes tartalom üzemeltetéséhez. Bár a tartomány, a gazdagépnév és a lapok a "Jóváhagyott leltár" részét képezik, érdemes lehet a gazdagépet futtató IP-címet függőségként kezelni.
- Csak figyelés: A támadási felület szempontjából releváns, de nem közvetlenül szabályozott és nem technikai függőségű objektum. Előfordulhat például, hogy a független franchise-vállalkozások vagy a kapcsolódó vállalatokhoz tartozó eszközök "Csak figyelés" címkével vannak ellátva a "Jóváhagyott leltár" helyett a csoportok jelentéskészítési célokra való elkülönítéséhez.
- Jelölt: Olyan eszköz, amely kapcsolatban áll a szervezet ismert kezdőeszközeivel, de nem rendelkezik elég erős kapcsolattal ahhoz, hogy azonnal "Jóváhagyott leltárként" címkézze. Ezeket a jelölt eszközöket manuálisan kell felülvizsgálni a tulajdonjog meghatározásához.
- Vizsgálat szükséges: A "Jelölt" állapothoz hasonló állapot, de ez az érték olyan eszközökre lesz alkalmazva, amelyek manuális vizsgálatot igényelnek az ellenőrzéshez. Ezt a belsőleg létrehozott megbízhatósági pontszámok alapján határozzuk meg, amelyek felmérik az eszközök közötti észlelt kapcsolatok erősségét. Nem jelzi az infrastruktúra és a szervezet közötti pontos kapcsolatát, mivel azt jelzi, hogy az objektum megjelölése további felülvizsgálatot igényel annak meghatározásához, hogyan kell kategorizálni.
Külső azonosító alkalmazása
A felhasználók külső azonosítót is alkalmazhatnak egy objektumra. Ez akkor hasznos, ha több megoldást alkalmaz az eszközkövetésre, a szervizelési tevékenységekre vagy a tulajdonjog-monitorozásra; Ha külső azonosítókat lát a Defender EASM-ben, az segít a különálló eszközinformációk igazításában. A külső azonosítók lehetnek numerikusak vagy alfanumerikusak, és szöveges formátumban kell megadni. A külső azonosítók az Eszköz részletei szakaszban is megjelennek.
Eszközök módosítása
Az eszközöket a leltárlista és az eszköz részleteinek oldaláról is módosíthatja. Az eszköz adatainak oldaláról módosíthatja egyetlen objektumot. A leltárlista oldaláról egyetlen vagy több objektumot is módosíthat. A következő szakaszok bemutatják, hogyan alkalmazhatja a két készletnézet módosításait a használati esettől függően.
Leltárlista lap
Ha egyszerre több objektumot szeretne frissíteni, módosítsa az eszközöket a leltárlista oldaláról. Az eszközlistát a szűrőparaméterek alapján pontosíthatja. Ez a folyamat segít azonosítani azokat az eszközöket, amelyeket kategorizálni kell a kívánt címkével, külső azonosítóval vagy állapotváltozással. Az eszközök ezen a lapon történő módosításához:
A Microsoft Defender külső támadásifelület-kezelő (Defender EASM) erőforrás bal szélső ablaktábláján válassza az Inventory (Leltár) lehetőséget.
Szűrők alkalmazása a kívánt eredmények létrehozásához. Ebben a példában olyan tartományokat keresünk, amelyek 30 napon belül lejárnak, és megújítást igényelnek. Az alkalmazott címke segítségével gyorsabban érheti el a lejáró tartományokat a szervizelési folyamat egyszerűsítése érdekében. A szükséges eredmények eléréséhez annyi szűrőt alkalmazhat, amennyi szükséges. A szűrőkkel kapcsolatos további információkért tekintse meg a Leltárszűrők áttekintését.
A leltárlista szűrése után jelölje be a legördülő listát az Eszköz tábla fejléce melletti jelölőnégyzettel. Ezzel a legördülő listával kiválaszthatja a lekérdezésnek vagy az adott oldalon található eredményeknek megfelelő összes találatot (legfeljebb 25). A Nincs lehetőség törli az összes objektumot. Úgy is dönthet, hogy csak bizonyos találatokat jelöl ki az oldalon az egyes objektumok melletti pipák kiválasztásával.
Válassza az Eszközök módosítása lehetőséget.
A képernyő jobb oldalán megnyíló Eszközök módosítása panelen gyorsan módosíthatja a kijelölt objektumok állapotát. Ebben a példában egy új címkét hoz létre. Válassza az Új címke létrehozása lehetőséget.
Határozza meg a címke nevét és megjelenítse a szöveges értékeket. A címke neve nem módosítható a címke első létrehozása után, de a megjelenítendő szöveg később szerkeszthető. A címke nevét a termék felületén vagy az API-val kérdezi le a rendszer, ezért a módosítások le vannak tiltva, hogy a lekérdezések megfelelően működjenek. A címkenév szerkesztéséhez törölnie kell az eredeti címkét, és létre kell hoznia egy újat.
Válassza ki az új címke színét, és válassza a Hozzáadás lehetőséget. Ez a művelet visszaviszi az Eszközök módosítása képernyőre.
Alkalmazza az új címkét az objektumokra. Kattintson a Címkék hozzáadása szövegmezőbe az elérhető címkék teljes listájának megtekintéséhez. Vagy beírhatja a mezőbe, hogy kulcsszó alapján keressen. Miután kiválasztotta az alkalmazni kívánt címkéket, válassza a Frissítés lehetőséget.
A címkék alkalmazásának engedélyezése néhány pillanatig. A folyamat befejezése után megjelenik egy "Kész" értesítés. A lap automatikusan frissül, és megjeleníti az eszközlistát látható címkékkel. A képernyő tetején látható szalagcím megerősíti, hogy a címkék alkalmazva lettek.
Eszköz részletei lap
Egyetlen objektumot is módosíthat az eszköz részleteinek oldaláról. Ez a lehetőség ideális olyan helyzetekben, amikor az eszközöket alaposan át kell vizsgálni a címke vagy az állapotváltozás alkalmazása előtt.
A Defender EASM-erőforrás bal szélső ablaktábláján válassza az Inventory (Leltár) lehetőséget.
Válassza ki azt az objektumot, amelyet módosítani szeretne az eszköz adatainak megnyitásához.
Ezen a lapon válassza az Eszköz módosítása lehetőséget.
Kövesse az 5–7. lépést a "Leltárlista lap" szakaszban.
Az eszköz részletei oldal frissül, és megjeleníti az újonnan alkalmazott címkét vagy állapotváltozást. A transzparens azt jelzi, hogy az objektum sikeresen frissült.
Címkék módosítása, eltávolítása vagy törlése
A felhasználók eltávolíthatnak egy címkét egy objektumból úgy, hogy ugyanazt az eszközmódosítás panelt érik el a leltárlista vagy az eszköz részletei nézetből. A leltárlista nézetből egyszerre több objektumot is kijelölhet, majd egyetlen műveletben hozzáadhatja vagy eltávolíthatja a kívánt címkét.
Ha magát a címkét szeretné módosítani, vagy törölni szeretne egy címkét a rendszerből:
A Defender EASM-erőforrás bal szélső ablaktábláján válassza a Címkék (előzetes verzió) lehetőséget.
Ezen a lapon megjelenik a Defender EASM-leltár összes címkéje. Előfordulhat, hogy ezen a lapon címkék találhatók a rendszerben, de semmilyen eszközre nem alkalmazhatók aktívan. Ezen a lapon új címkéket is hozzáadhat.
Címke szerkesztéséhez válassza a szerkeszteni kívánt címke Műveletek oszlopában található ceruza ikont. Megnyílik egy panel a képernyő jobb oldalán, ahol módosíthatja a címke nevét vagy színét. Válassza a Frissítés lehetőséget.
Ha el szeretne távolítani egy címkét, válassza a törölni kívánt címke Műveletek oszlopában található kuka ikont. Válassza a Címke eltávolítása lehetőséget.
A Címkék lap automatikusan frissül. A címke el lesz távolítva a listából, és a címkét használó összes objektumból is eltávolítva. A transzparens megerősíti az eltávolítást.
Feladatkezelő és értesítések
A feladat elküldése után egy értesítés megerősíti, hogy a frissítés folyamatban van. Az Azure bármely lapján válassza az értesítés (harang) ikont a legutóbbi feladatokról szóló további információk megtekintéséhez.
A Defender EASM rendszere néhány eszköz frissítéséhez másodpercekig vagy percekig is eltarthat, amíg ezrek frissülnek. A Feladatkezelővel ellenőrizheti a folyamatban lévő módosítási tevékenységek állapotát. Ez a szakasz azt ismerteti, hogyan érheti el a Feladatkezelőt, és hogyan használhatja a beküldött frissítések befejezésének jobb megértéséhez.
A Defender EASM-erőforrás bal szélső paneljén válassza a Feladatkezelő lehetőséget.
Ezen a lapon az összes legutóbbi tevékenység és azok állapota látható. A tevékenységek befejezettként, sikertelenként vagy folyamatban lévőként jelennek meg. Megjelenik egy befejezési százalék és egy folyamatsáv is. Ha további részleteket szeretne látni egy adott tevékenységről, válassza ki a tevékenység nevét. Megnyílik egy ablaktábla a képernyő jobb oldalán, amely további információkat nyújt.
Válassza a Frissítés lehetőséget a Feladatkezelő összes elemének legújabb állapotának megtekintéséhez.
Címkék szűrése
Miután felcímkézett elemeket a leltárban, leltárszűrőkkel lekérheti az adott címkével ellátott összes eszköz listáját.
A Defender EASM-erőforrás bal szélső ablaktábláján válassza az Inventory (Leltár) lehetőséget.
Válassza a Szűrő hozzáadása lehetőséget.
Válassza a Címkék lehetőséget a Szűrő legördülő listából. Jelöljön ki egy operátort, és válasszon egy címkét a lehetőségek legördülő listájából. Az alábbi példa bemutatja, hogyan kereshet egyetlen címkét. Az In operátorral több címkét is kereshet. A szűrőkkel kapcsolatos további információkért tekintse meg a leltárszűrők áttekintését.
Válassza az Alkalmazás lehetőséget. A leltárlista lapja újra betöltődik, és megjeleníti az összes olyan objektumot, amely megfelel a feltételeknek.
Eszközláncalapú felügyelet
Egyes esetekben előfordulhat, hogy a felderített eszközök alapján egyszerre több objektumot is el szeretne távolítani. Megállapíthatja például, hogy egy felderítési csoport egy adott magja olyan eszközöket vont be, amelyek nem relevánsak a szervezet számára, vagy el kell távolítania egy olyan leányvállalathoz kapcsolódó eszközöket, amelyek már nem tartoznak a saját hatásköre alá. Ezért a Defender EASM lehetővé teszi a forrás entitás és a felderítési láncban lévő összes "alsóbb rétegbeli" objektum eltávolítását. A csatolt objektumokat az alábbi három módszerrel törölheti:
- Magalapú felügyelet: a felhasználók törölhetik a felderítési csoportba korábban belefoglalt magokat, és eltávolíthatják a leltárba bevezetett összes objektumot a megadott maghoz való megfigyelt kapcsolaton keresztül. Ez a módszer akkor hasznos, ha megállapíthatja, hogy egy adott manuálisan bevitt vetőmag nem kívánt eszközöket adott hozzá a készlethez.
- Felderítési lánc kezelése: a felhasználók azonosíthatnak egy objektumot egy felderítési láncon belül, és törölhetik azt, ezzel egyidejűleg eltávolítva az entitás által felderített összes objektumot. A felderítés rekurzív folyamat; megvizsgálja a magokat, hogy azonosítsa a kijelölt magokhoz közvetlenül kapcsolódó új eszközöket, majd továbbra is vizsgálja az újonnan felfedezett entitásokat, hogy további kapcsolatokat tárjon fel. Ez a törlési módszer akkor hasznos, ha a felderítési csoport megfelelően van konfigurálva, de el kell távolítania egy újonnan felderített objektumot és az entitáshoz társítással leltárba vett összes objektumot. Fontolja meg a felderítési csoport beállításait és a kijelölt magokat a felderítési lánc "felső részének"; Ez a törlési módszer lehetővé teszi az objektumok középről való eltávolítását.
- Felderítési csoport kezelése: a felhasználók eltávolíthatják a teljes felderítési csoport(ok) és a leltárba bevezetett összes objektumot ezen a felderítési csoporton keresztül. Ez akkor hasznos, ha egy teljes felderítési csoport már nem alkalmazható a szervezetre. Előfordulhat például, hogy rendelkezik egy felderítési csoporttal, amely kifejezetten egy leányvállalathoz kapcsolódó eszközöket keres. Ha ez a leányvállalat már nem releváns a szervezet számára, az eszközláncalapú felügyelettel törölheti a leltárba vett összes eszközt a felderítési csoporton keresztül.
Továbbra is megtekintheti az eltávolított objektumokat a Defender EASM-ben; egyszerűen szűrje a leltárlistát az "Archivált" állapotú objektumokra.
Magalapú törlés
Dönthet úgy, hogy az eredetileg kijelölt felderítési magok egyike már nem szerepelhet a felderítési csoportban. Előfordulhat, hogy a vetőmag már nem releváns a szervezet számára, vagy több hamis pozitív értéket hoz, mint a jogos tulajdonú eszközök. Ebben az esetben eltávolíthatja a magot a felderítési csoportból, hogy megakadályozza a későbbi felderítési futtatásokban való használatát, miközben egyidejűleg eltávolítja a korábban a kijelölt magon keresztül leltárba vett összes objektumot.
Ha mag alapján szeretne tömeges eltávolítást végezni, lépjen a megfelelő Felderítési csoport részletei lapra, és kattintson a "Felderítési csoport szerkesztése" elemre. Az utasításokat követve lépjen a Magok lapra, és távolítsa el a problémás magot a listáról. Amikor a "Véleményezés + frissítés" lehetőséget választja, megjelenik egy figyelmeztetés, amely azt jelzi, hogy a kijelölt magon keresztül felderített összes objektum is törlődik. A törlés befejezéséhez válassza a "Frissítés" vagy a "Frissítés és futtatás" lehetőséget.
Felderítési láncon alapuló törlés
Az alábbi példában tegyük fel, hogy nem biztonságos bejelentkezési űrlapot talált az Attack Surface Summary irányítópultján. A vizsgálat olyan gazdagépre irányítja, amely úgy tűnik, hogy nem a szervezet tulajdonában van. További információkért tekintse meg az eszköz részleteit tartalmazó oldalt; A Felderítési lánc áttekintésekor megtudhatja, hogy a gazdagép azért lett leltárba véve, mert a megfelelő tartományt egy alkalmazott vállalati e-mail-címével regisztrálták, amely szintén a jóváhagyott üzleti entitások regisztrálásához volt használva.
Ebben az esetben a kezdeti felderítési mag (a vállalati tartomány) továbbra is jogszerű, ezért ehelyett el kell távolítani egy problémás objektumot a felderítési láncból. Bár végrehajthatjuk a lánc törlését a kapcsolattartó e-mail-címéről, ehelyett úgy döntünk, hogy eltávolítjuk az alkalmazotthoz regisztrált személyes tartományhoz tartozó összeset, hogy a Defender EASM a jövőben értesítsen minket az adott e-mail-címre regisztrált egyéb tartományokról. A felderítési láncban válassza ki ezt a személyes tartományt az eszköz részleteinek megtekintéséhez. Ebben a nézetben válassza az "Eltávolítás a felderítési láncból" lehetőséget az eszköz leltárból való eltávolításához, valamint a személyes tartományhoz való megfigyelt kapcsolat miatt leltárba vett összes objektumot. A rendszer felkéri, hogy erősítse meg az eszköz és az összes alsóbb rétegbeli eszköz eltávolítását, és a művelettel eltávolítandó többi eszköz összegzett listájával jelenik meg. Válassza a "Felderítési lánc eltávolítása" lehetőséget a tömeges eltávolítás megerősítéséhez.
Felderítési csoport törlése
Előfordulhat, hogy törölnie kell a felderítési csoportot, valamint a csoporton keresztül felderített összes objektumot. Előfordulhat például, hogy a vállalat olyan leányvállalatot adott el, amelyet már nem kell figyelni. A felhasználók törölhetik a felderítési csoportokat a Felderítés felügyeleti oldaláról. A felderítési csoport és az összes kapcsolódó eszköz eltávolításához egyszerűen válassza a listában a megfelelő csoport melletti kuka ikont. Figyelmeztetés jelenik meg, amely felsorolja a művelettel eltávolítandó objektumok összegzését. A felderítési csoport törlésének megerősítése; és az összes kapcsolódó objektum esetén válassza a "Felderítési csoport eltávolítása" lehetőséget.