A Defender EASM áttekintése

  • Cikk

Microsoft Defender külső támadásifelület-kezelő (Defender EASM) folyamatosan felderíti és leképzi a digitális támadási felületet, hogy külső képet biztosítson az online infrastruktúráról. Ez a láthatóság lehetővé teszi, hogy a biztonsági és informatikai csapatok azonosíthassák az ismeretleneket, rangsorolhassák a kockázatokat, kiküszöböljék a fenyegetéseket, és kibővítsék a biztonsági réseket és az expozíciós vezérlést a tűzfalon túl. A Támadási Felület Elemzések a biztonsági rések és az infrastruktúra adatainak használatával jönnek létre, hogy bemutassák a szervezet szempontjából legfontosabb területeket.

Screenshot of Overview Dashboard

Felderítés és leltár

A Microsoft saját fejlesztésű felderítési technológiája rekurzív módon keres olyan infrastruktúrát, amely megfigyelt kapcsolatokkal rendelkezik az ismert jogos eszközökkel, hogy következtetéseket vonjon le az infrastruktúra szervezethez való viszonyáról, és feltárja a korábban ismeretlen és nem figyelt tulajdonságokat. Ezeket az ismert törvényes eszközöket "magoknak" nevezzük; A Defender EASM először erős kapcsolatokat fedez fel ezekhez a kiválasztott entitásokhoz, és újra felfedezi a további kapcsolatokat, és végül lefordítja a támadási felületet.

A Defender EASM a következő típusú eszközök felderítését tartalmazza:

  • Tartományok
  • Gazdagépnevek
  • Weboldalak
  • IP-blokkok
  • IP-címek
  • ASN-ek
  • SSL-tanúsítványok
  • WHOIS-partnerek

Screenshot of Discovery View

A felderített objektumok indexelve és besorolva vannak a Defender EASM-leltárban, így dinamikus rekordot biztosítanak a szervezet felügyelete alatt álló összes webes infrastruktúráról. Az eszközök legutóbbi (jelenleg aktív) vagy korábbiként vannak kategorizálva, és tartalmazhatnak webalkalmazásokat, harmadik féltől származó függőségeket és egyéb eszközkapcsolatokat.

Irányítópultok

A Defender EASM számos irányítópultot biztosít, amelyek segítségével a felhasználók gyorsan megérthetik online infrastruktúrájukat és a szervezetre vonatkozó legfontosabb kockázatokat. Ezeket az irányítópultokat úgy tervezték, hogy betekintést nyújtsanak bizonyos kockázati területekbe, beleértve a biztonsági réseket, a megfelelőséget és a biztonsági higiéniát. Ezek az elemzések segítenek az ügyfeleknek gyorsan kezelni a támadási felület azon összetevőit, amelyek a legnagyobb kockázatot jelentik a szervezet számára.

Screenshot of Dashboard View

Eszközök kezelése

Az ügyfelek szűrhetik a készletüket, hogy feltárják a számukra leginkább fontos megállapításokat. A szűrés rugalmasságot és testreszabást biztosít, amely lehetővé teszi a felhasználók számára, hogy hozzáférjenek az eszközök egy adott részhalmazához. Ez lehetővé teszi, hogy a Defender EASM-adatokat az adott használati esetnek megfelelően használja, függetlenül attól, hogy olyan eszközöket keres, amelyek az elavult infrastruktúrához csatlakoznak, vagy új felhőbeli erőforrásokat azonosítanak.

Screenshot of Inventory View

Felhasználói engedélyek

A tulajdonosi vagy közreműködői szerepkörökhöz hozzárendelt felhasználók létrehozhatják, törölhetik és szerkeszthetik a Defender EASM-erőforrásokat és a benne lévő leltáreszközöket. Ezek a szerepkörök a platformon kínált összes képességet képesek kihasználni. Az Olvasó szerepkörhöz hozzárendelt felhasználók megtekinthetik a Defender EASM-adatokat, de nem tudnak leltáreszközöket vagy magát az erőforrást létrehozni, törölni vagy szerkeszteni.

Adattárolás, rendelkezésre állás és adatvédelem

Microsoft Defender külső támadásifelület-kezelő globális és ügyfélspecifikus adatokat is tartalmaz. A mögöttes internetes adatok globális Microsoft-adatok; az ügyfelek által alkalmazott címkék ügyféladatoknak minősülnek. Minden ügyféladat az ügyfél által választott régióban van tárolva.

Biztonsági okokból a Microsoft összegyűjti a felhasználók IP-címét, amikor bejelentkeznek. Ezek az adatok legfeljebb 30 napig tárolhatók, de szükség esetén hosszabb ideig tárolhatók a termék esetleges csalárd vagy rosszindulatú felhasználásának kivizsgálásához.

Régiós leállás esetén csak az érintett régióban lévő ügyfelek tapasztalnak állásidőt.

A Microsoft megfelelőségi keretrendszere megköveteli, hogy az összes ügyféladatot törölni kell attól számított 180 napon belül, hogy a szervezet már nem a Microsoft ügyfele. Ez magában foglalja az ügyféladatok offline helyeken történő tárolását is, például az adatbázis biztonsági mentéseit. Az erőforrás törlése után a csapatok nem tudják visszaállítani. Az ügyféladatok 75 napig maradnak meg az adattárainkban, de a tényleges erőforrás nem állítható vissza.  A 75 napos időszak után az ügyféladatok véglegesen törlődnek.  

Következő lépések