Az eszköz részleteinek ismertetése
Microsoft Defender külső támadásifelület-kezelő (Defender EASM) gyakran ellenőrzi az összes leltáreszközt, és olyan robusztus környezetfüggő metaadatokat gyűjt, amelyek az Attack Surface Elemzések működtetik. Ezek az adatok részletesebben is megtekinthetők az eszköz részletei oldalon. A megadott adatok az eszköz típusától függően változnak. A platform például egyedi Whois-adatokat biztosít tartományokhoz, gazdagépekhez és IP-címekhez. Aláírási algoritmusadatokat biztosít a Secure Sockets Layer (SSL) tanúsítványokhoz.
Ez a cikk bemutatja, hogyan tekintheti meg és értelmezheti a Microsoft által az egyes leltáreszközökhöz gyűjtött kiterjedt adatokat. Ez határozza meg ezeket a metaadatokat az egyes eszköztípusokhoz, és elmagyarázza, hogy az abból származó megállapítások hogyan segíthetnek az online infrastruktúra biztonsági helyzetének kezelésében.
További információ: A leltáreszközök ismertetése a cikkben említett alapvető fogalmak megismeréséhez.
Eszközadatok összegzési nézete
Az eszköz adatainak lapját úgy tekintheti meg, hogy kiválasztja annak nevét a leltárlistából. A lap bal oldali ablaktábláján megtekintheti az eszköz összegzését, amely az adott objektumra vonatkozó legfontosabb információkat tartalmazza. Ez a szakasz elsősorban az összes eszköztípusra vonatkozó adatokat tartalmazza, bár bizonyos esetekben több mező érhető el. Az összesítő szakaszban az egyes eszköztípusokhoz megadott metaadatokkal kapcsolatos további információkért tekintse meg az alábbi diagramot.
Általános információk
Ez a szakasz olyan magas szintű információkat tartalmaz, amelyek kulcsfontosságúak az objektumok gyors megértéséhez. A mezők többsége az összes objektumra vonatkozik. Ez a szakasz olyan információkat is tartalmazhat, amelyek egy vagy több eszköztípusra vonatkoznak.
| Név | Definíció | Eszköztípusok |
|---|---|---|
| Eszköz neve | Egy objektum neve. | Összes |
| UUID | Ez a 128 bites címke az objektum univerzálisan egyedi azonosítóját (UUID) jelöli. | Összes |
| Hozzáadva a készlethez | Az az időpont, amikor egy objektumot hozzáadtak a leltárhoz, függetlenül attól, hogy az automatikusan hozzáadva lett-e a jóváhagyott készlet állapotához, vagy egy másik, például jelölt állapotban van. | Összes |
| Utolsó frissítés | Az a dátum, amikor egy manuális felhasználó legutóbb frissítette az objektumot (például állapotmódosítással vagy eszközeltávolítással). | Összes |
| Külső azonosító | Manuálisan hozzáadott külső azonosítóérték. | Összes |
| Állapot | Az eszköz állapota a RiskIQ rendszeren belül. A lehetőségek közé tartozik a jóváhagyott leltár, a jelölt, a függőségek vagy a vizsgálat megkövetelése. | Összes |
| Elsőként látható (Global Security Graph) | Az a dátum, amikor a Microsoft először megvizsgálta az objektumot, és hozzáadta az átfogó Global Security Graphhoz. | Összes |
| Utoljára látható (Global Security Graph) | Az a dátum, amikor a Microsoft legutóbb megvizsgálta az objektumot. | Összes |
| Felderítve: | Az objektumot észlelő felderítési csoport létrehozásának dátumát jelzi. | Összes |
| Ország | Az eszközhöz észlelt származási ország. | Összes |
| Állam/megye | Az eszközhöz észlelt származási állam vagy tartomány. | Összes |
| Város | Az objektumhoz észlelt származási város. | Összes |
| Whois név | Egy Whois-rekordhoz társított név. | Gazdagép |
| Whois e-mail | Az elsődleges kapcsolattartó e-mailje egy Whois-rekordban. | Gazdagép |
| Whois-szervezet | A whois rekordban szereplő szervezet. | Gazdagép |
| Whois-regisztráló | A whois rekordban szereplő regisztráló. | Gazdagép |
| Whois névkiszolgálók | A whois rekordban szereplő névkiszolgálók. | Gazdagép |
| Tanúsítvány kiállítása | A tanúsítvány kiállításának dátuma. | SSL-tanúsítvány |
| A tanúsítvány lejár | A tanúsítvány lejáratának dátuma. | SSL-tanúsítvány |
| Sorszám | Az SSL-tanúsítványhoz társított sorozatszám. | SSL-tanúsítvány |
| SSL-verzió | Az SSL azon verziója, amelyet a tanúsítvány regisztrált. | SSL-tanúsítvány |
| Tanúsítványkulcs-algoritmus | Az SSL-tanúsítvány titkosításához használt kulcsalgoritmus. | SSL-tanúsítvány |
| Tanúsítványkulcs mérete | Az SSL-tanúsítványkulcs bitjeinek száma. | SSL-tanúsítvány |
| Aláírási algoritmus OID | A tanúsítványkérelem aláírásához használt kivonatoló algoritmust azonosító OID. | SSL-tanúsítvány |
| Önaláírt | Azt jelzi, hogy az SSL-tanúsítvány önaláírt volt-e. | SSL-tanúsítvány |
Network (Hálózat)
Az alábbi IP-címadatok további kontextust biztosítanak az IP-cím használatáról.
| Név | Definíció | Eszköztípusok |
|---|---|---|
| Névkiszolgáló rekordja | Az objektumon észlelt névkiszolgálók. | IP-cím |
| Levelezési kiszolgáló rekordja | Az objektumon észlelt levelezési kiszolgálók. | IP-cím |
| IP-címblokkok | Az IP-címegységet tartalmazó IP-blokk. | IP-cím |
| ASN-ek | Az objektumhoz társított ASN. | IP-cím |
Információ letiltása
Az alábbi adatok az IP-blokkokra vonatkoznak, és környezetfüggő információkat nyújtanak azok használatáról.
| Név | Definíció | Eszköztípusok |
|---|---|---|
| CIDR | Az IP-blokk osztály nélküli tartományközi útválasztása (CIDR). | IP-blokk |
| Hálózat neve | Az IP-blokkhoz társított hálózatnév. | IP-blokk |
| Szervezet neve | Az IP-blokk regisztrációs adatai között található szervezetnév. | IP-blokk |
| Szervezeti azonosító | Az IP-blokk regisztrációs adatai között található szervezeti azonosító. | IP-blokk |
| ASN-ek | Az IP-blokkhoz társított ASN. | IP-blokk |
| Ország | Az IP-blokk whois regisztrációs adataiban észlelt származási ország. | IP-blokk |
Tárgy
Az alábbi adatok az SSL-tanúsítványhoz társított tulajdonosra (azaz védett entitásra) vonatkoznak.
| Név | Definíció | Eszköztípusok |
|---|---|---|
| Köznapi név | Az SSL-tanúsítvány tulajdonosának közös neve. | SSL-tanúsítvány |
| Alternatív nevek | Az SSL-tanúsítvány tulajdonosának bármely alternatív köznapi neve. | SSL-tanúsítvány |
| Szervezet neve | Az SSL-tanúsítvány tulajdonosához társított szervezet. | SSL-tanúsítvány |
| Szervezeti egység | Nem kötelező metaadatok, amelyek a tanúsítványért felelős szervezeti részleget jelölik. | SSL-tanúsítvány |
| Elhelyezés | Azt a várost jelöli, ahol a szervezet található. | SSL-tanúsítvány |
| Ország | Azt az országot jelöli, ahol a szervezet található. | SSL-tanúsítvány |
| Állam/megye | Azt az államot vagy tartományt jelöli, ahol a szervezet található. | SSL-tanúsítvány |
Issuer
Az alábbi adatok egy SSL-tanúsítvány kiállítójára vonatkoznak.
| Név | Definíció | Eszköztípusok |
|---|---|---|
| Köznapi név | A tanúsítvány kiállítójának köznapi neve. | SSL-tanúsítvány |
| Alternatív nevek | A kiállító egyéb nevei. | SSL-tanúsítvány |
| Szervezet neve | A tanúsítvány kiállítását vezénylő szervezet neve. | SSL-tanúsítvány |
| Szervezeti egység | A tanúsítványt kiállító szervezettel kapcsolatos egyéb információk. | SSL-tanúsítvány |
Adatfülek
Az eszközadatok lap jobb oldali ablaktábláján a felhasználók több, a kijelölt objektumhoz kapcsolódó, kiterjedtebb adatot érhetnek el. Ezek az adatok kategorizált lapok sorozatában találhatók. Az elérhető metaadatok lapjai a megtekintett objektum típusától függően változnak.
Egyes lapok a jobb felső sarokban a "Csak legutóbbiak" kapcsolót jelenítik meg. Alapértelmezés szerint a Defender EASM megjeleníti az egyes objektumokhoz gyűjtött összes adatot, beleértve azokat az előzménymegfigyeléseket is, amelyek nem feltétlenül futnak aktívan az aktuális támadási felületen. Bár ez az előzménykörnyezet nagyon hasznos bizonyos használati esetekhez, a "Csak legutóbbiak" kapcsoló az Eszköz részletei oldalon található összes eredményt az eszközben legutóbb megfigyelt eredményekre korlátozza. Javasoljuk, hogy a "Csak legutóbbiak" kapcsolót használja, ha csak az eszköz aktuális állapotát jelölő adatokat szeretné megtekinteni szervizelési célokra.
Áttekintés
Az Áttekintés lap több kontextust biztosít annak biztosításához, hogy a jelentős megállapítások gyorsan azonosíthatók legyenek egy objektum részleteinek megtekintésekor. Ez a szakasz az összes eszköztípus kulcsfelderítési adatait tartalmazza. Betekintést nyújt abba, hogy a Microsoft hogyan képezi le az objektumot az ön ismert infrastruktúrájához.
Ez a szakasz olyan irányítópult-vezérlőket is tartalmazhat, amelyek az adott eszköztípus szempontjából releváns elemzéseket vizualizálnak.
Felderítési lánc
A felderítési lánc felvázolja a felderítési mag és az objektum közötti megfigyelt kapcsolatokat. Ezek az információk segítenek a felhasználóknak vizualizálni ezeket a kapcsolatokat, és jobban megérteni, hogy miért határozták meg, hogy egy objektum a szervezetéhez tartozik.
A példában láthatja, hogy a magtartomány ehhez az objektumhoz van kötve a Whois rekordban lévő kapcsolattartó e-mailen keresztül. Ugyanezzel a kapcsolattartó e-mail-címmel regisztrálták az adott IP-címegységet tartalmazó IP-blokkot.
Felderítési információk
Ez a szakasz az objektum észleléséhez használt folyamatról nyújt információt. Információkat tartalmaz az objektumhoz csatlakozó felderítési magról és a jóváhagyási folyamatról.
A lehetőségek a következők:
- Jóváhagyott leltár: Ez a beállítás azt jelzi, hogy a mag és a felderített objektum közötti kapcsolat elég erős volt ahhoz, hogy a Defender EASM rendszer automatikusan jóváhagyja.
- Jelölt: Ez a beállítás azt jelzi, hogy az eszköz manuális jóváhagyást igényelt a leltárba való beépítéséhez.
- Utolsó felderítés futtatása: Ez a dátum azt jelzi, hogy az objektumot eredetileg észlelő felderítési csoportot mikor használták utoljára felderítési vizsgálatra.
IP hírneve
Az IP-hírnév lap egy adott IP-címmel kapcsolatos lehetséges fenyegetések listáját jeleníti meg. Ez a szakasz az IP-címhez kapcsolódó észlelt rosszindulatú vagy gyanús tevékenységeket ismerteti. Ezek az információk kulcsfontosságúak a saját támadási felület megbízhatóságának megértéséhez. Ezek a fenyegetések segíthetnek a szervezeteknek feltárni az infrastruktúrájuk korábbi vagy jelenlegi biztonsági réseit.
A Defender EASM IP-hírnevének adatai megjelenítik a példányokat, amikor az IP-címet észlelték egy fenyegetéslistában. Az alábbi példában látható legutóbbi észlelés például azt mutatja, hogy az IP-cím egy olyan gazdagéphez kapcsolódik, amelyről ismert, hogy kriptovaluta-bányászt futtat. Ezek az adatok a CoinBlockers által biztosított gyanús gazdagéplistából származnak. Az eredmények az Utolsó látható dátum szerint vannak rendszerezve, hogy először a legrelevánsabb észlelések jelenjenek meg.
Ebben a példában az IP-cím rendellenesen nagy számú fenyegetéscsatornán található. Ezek az információk azt jelzik, hogy az objektumot alapos vizsgálatnak kell alávetni a rosszindulatú tevékenységek jövőbeni megakadályozása érdekében.
Szolgáltatások
A Szolgáltatások lap ip-címhez, tartományhoz és gazdagépegységekhez érhető el. Ez a szakasz az objektumon futó szolgáltatásokról nyújt információt. Ide tartoznak az IP-címek, a név- és levelezési kiszolgálók, valamint a más típusú infrastruktúrának (például távelérési szolgáltatásoknak) megfelelő portok.
A Defender EASM szolgáltatási adatai kulcsfontosságúak az objektumot működtető infrastruktúra megértéséhez. Emellett figyelmeztetheti a nyílt interneten közzétett erőforrásokra is, amelyeket védeni kell.
IP-címek
Ez a szakasz az eszköz infrastruktúráján futó IP-címekről nyújt betekintést. A Szolgáltatások lapon a Defender EASM megadja az IP-cím nevét, valamint az Elsőként látható és az Utolsó látott dátumokat. A Legutóbbi oszlop azt jelzi, hogy az IP-címet megfigyelték-e az eszköz legutóbbi vizsgálata során. Ha ebben az oszlopban nincs jelölőnégyzet, az IP-cím a korábbi vizsgálatokban volt látható, de jelenleg nem fut az eszközön.
Levelezési kiszolgálók
Ez a szakasz az objektumon futó levelezési kiszolgálók listáját tartalmazza. Ezek az információk azt jelzik, hogy az objektum képes e-maileket küldeni. Ebben a szakaszban a Defender EASM megadja a levelezési kiszolgáló nevét, valamint az Elsőként látható és az Utolsó látott dátumokat. A Legutóbbi oszlop azt jelzi, hogy a rendszer észlelte-e a levelezési kiszolgálót az objektum legutóbbi vizsgálata során.
Névkiszolgálók
Ez a szakasz az eszközön futó névkiszolgálókat jeleníti meg a gazdagépek megoldásához. Ebben a szakaszban a Defender EASM megadja a levelezési kiszolgáló nevét, valamint az Elsőként látható és az Utolsó látott dátumokat. A Legutóbbi oszlop azt jelzi, hogy a névkiszolgálót észlelték-e az objektum legutóbbi vizsgálata során.
Nyitott portok
Ez a szakasz az objektumon észlelt nyitott portokat sorolja fel. A Microsoft rendszeresen körülbelül 230 különböző portot vizsgál. Ezek az adatok hasznosak az olyan nem biztonságos szolgáltatások azonosításához, amelyeknek nem kellene elérhetőnek lenniük a nyílt internetről. Ezek a szolgáltatások közé tartoznak az adatbázisok, az IoT-eszközök és a hálózati szolgáltatások, például az útválasztók és a kapcsolók. Az árnyékinfrastruktúra vagy a nem biztonságos távelérési szolgáltatások azonosításában is hasznos.
Ebben a szakaszban a Defender EASM megadja a nyitott port számát, a port leírását, az utolsó állapotot, amelyben megfigyelték, valamint az Első látható és az Utolsó látható dátumot. A Legutóbbi oszlop azt jelzi, hogy a port nyitva volt-e a legutóbbi vizsgálat során.
Nyomkövetők
A nyomkövetők a weblapokon található egyedi kódok vagy értékek, és gyakran használják a felhasználói interakció nyomon követésére. Ezekkel a kódokkal korrelálhatók a különböző webhelycsoportok egy központi entitással. A Microsoft nyomkövető adatkészlete olyan szolgáltatóktól származó azonosítókat tartalmaz, mint a Google, a Yandex, a Mixpanel, a New Relic és a Clicky, és folyamatosan növekszik.
Ebben a szakaszban a Defender EASM megadja a nyomkövető típusát (például GoogleAnalyticsID), az egyedi azonosító értékét, valamint az Elsőként látható és az Utolsó látott dátumokat.
Webes összetevők
A webes összetevők olyan részletek, amelyek egy eszköz infrastruktúráját írják le a Microsoft-vizsgálat során megfigyelt módon. Ezek az összetevők biztosítják az eszközhöz használt technológiák magas szintű megértését. A Microsoft kategorizálja az egyes összetevőket, és lehetőség szerint verziószámokat is tartalmaz.
A Webösszetevők szakasz tartalmazza az összetevő kategóriáját, nevét és verzióját, valamint a szervizelendő megfelelő CVE-k listáját. A Defender EASM emellett a First seen és a Last seen dátumoszlopokat, valamint a Legutóbbi oszlopot is biztosítja. A jelölőnégyzet azt jelzi, hogy ezt az infrastruktúrát az eszköz legutóbbi vizsgálata során figyelték meg.
A webösszetevők a függvényük alapján vannak kategorizálva.
| Webes összetevő | Példák |
|---|---|
| Tárhelyszolgáltató | hostingprovider.com |
| Kiszolgáló | Apache |
| DNS-kiszolgáló | ISC BIND |
| Adattárolók | MySQL, ElasticSearch, MongoDB |
| Távelérés | OpenSSH, Microsoft Rendszergazda Center, Netscaler Gateway |
| Adatcsere | Pure-FTPd |
| Eszközök internetes hálózata (IoT) | HP Deskjet, Linksys Kamera, Sonos |
| Levelezési kiszolgáló | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Hálózati eszköz | Cisco Router, Motorola WAP, ZyXEL Modem |
| Épületvezérlés | Linear eMerge, ASI Controls Weblink, Optergy |
Megfigyelés
A Megfigyelés lap megjeleníti az objektumhoz tartozó Támadási felület prioritási irányítópultjának minden megállapítását. Ezek a prioritások a következők lehetnek:
- Kritikus CV-k.
- Ismert társítások a sérült infrastruktúrához.
- Elavult technológia használata.
- Az infrastruktúra ajánlott eljárásainak megsértései.
- Megfelelőségi problémák.
A megfigyelésekről további információt az irányítópultok ismertetése című témakörben talál. A Defender EASM minden megfigyeléshez megadja a megfigyelés nevét, típus szerint kategorizálja, prioritást rendel hozzá, és adott esetben a CVSS v2 és v3 pontszámait is felsorolja.
Források
Az Erőforrások lap betekintést nyújt a bármely lapon vagy gazdagépen futó JavaScript-erőforrásokba. Ha egy gazdagépre vonatkozik, ezek az erőforrások összesítve jelennek meg a gazdagép minden lapján futó JavaScript-nek megfelelően. Ez a szakasz leltárt nyújt az egyes objektumokon észlelt JavaScriptről, hogy a szervezet teljes mértékben átláthassa ezeket az erőforrásokat, és észlelhesse a módosításokat.
A Defender EASM biztosítja az erőforrás URL-címét, az erőforrás-gazdagépet, az MD5-értéket, valamint az elsőként látott és utoljára látott dátumokat, hogy a szervezetek hatékonyan figyelhessék a JavaScript-erőforrások használatát a leltárban.
SSL-tanúsítványok
A tanúsítványok a böngésző és a webkiszolgáló közötti kommunikáció SSL-en keresztüli védelmére szolgálnak. A tanúsítványok használata biztosítja, hogy az átvitel alatt álló bizalmas adatok ne legyenek olvashatók, nem módosíthatók vagy hamisíthatók. A Defender EASM ezen szakasza felsorolja az eszközön észlelt SSL-tanúsítványokat, beleértve a kulcsadatokat, például a problémát és a lejárati dátumokat.
Whois
A Whois protokoll az internetes erőforrások regisztrációjára és tulajdonjogára vonatkozó adatokat tároló adatbázisok lekérdezésére és megválaszolására szolgál. A Whois olyan kulcsregisztrációs adatokat tartalmaz, amelyek a Defender EASM-ben lévő tartományokra, gazdagépekre, IP-címekre és IP-blokkokra alkalmazhatók. A Whois-adatok lapon a Microsoft robusztus mennyiségű információt biztosít az eszköz beállításjegyzékéhez.
A whois lap Értékek szakaszában az alábbi mezők szerepelnek a táblában.
| Mező | Leírás |
|---|---|
| Whois-kiszolgáló | Egy ICANN-akkreditált regisztráló által létrehozott kiszolgáló, amely naprakész információkat szerez be a vele regisztrált entitásokról. |
| Hivatalvezető | Az a vállalat, amelynek szolgáltatását egy eszköz regisztrálásához használták. A népszerű regisztrálók közé tartozik a GoDaddy, a Namecheap és a HostGator. |
| Tartomány állapota | Tartomány bármely állapota a beállításjegyzék által beállított módon. Ezek az állapotok azt jelezhetik, hogy a tartomány a regisztrátor általi törlésre vagy átvitelre vár, vagy aktív az interneten. Ez a mező az eszköz korlátait is jelentheti. Az ügyfél törlése például azt jelzi, hogy a regisztráló nem tudja törölni az objektumot. |
| A regisztráló által megadott kapcsolattartási e-mail-címek. A Whois lehetővé teszi, hogy a regisztrálók megadják a partnertípust. A lehetőségek közé tartoznak a rendszergazdai, a műszaki, a regisztráló és a regisztrálói kapcsolattartók. | |
| Név | A regisztráló neve, ha meg van adva. |
| Szervezet | A regisztrált entitásért felelős szervezet. |
| Utca | A regisztráló utcacíme, ha meg van adva. |
| Város | A regisztráló utcacímében szereplő város, ha meg van adva. |
| Állapot | A regisztráló utcacímében szereplő állam, ha meg van adva. |
| Irányítószám | Ha meg van adva, a regisztráló utcacímében szereplő irányítószám. |
| Ország | A regisztráló utcacímében szereplő ország, ha meg van adva. |
| Telefonszám | Ha meg van adva a regisztráló kapcsolattartóhoz társított telefonszám. |
| Névkiszolgálók | A regisztrált entitáshoz társított névkiszolgálók. |
Számos szervezet úgy dönt, hogy elrejti a regisztrációs adatbázis adatait. Előfordulhat, hogy a kapcsolattartási e-mail-címek @anonymised.email végződnek. Ezt a helyőrzőt használja a rendszer valós kapcsolattartási cím helyett. A regisztrációs konfiguráció során számos mező megadása nem kötelező, ezért a regisztráló nem tartalmazott üres értéket tartalmazó mezőket.
Változáselőzmények
A "Változáselőzmények" lap megjeleníti az objektumokra idővel alkalmazott módosítások listáját. Ezek az információk segítenek a változások időbeli nyomon követésében és az eszköz életciklusának jobb megértésében. Ez a lap számos módosítást jelenít meg, többek között az eszközállapotokat, a címkéket és a külső azonosítókat. Minden módosítás esetében felsoroljuk a módosítást végrehajtó felhasználót, és egy időbélyeget.
