A leltáreszközök ismertetése
Áttekintés
A Microsoft saját fejlesztésű felderítési technológiája rekurzív módon keres olyan infrastruktúrát, amely kapcsolatban áll az ismert törvényes eszközökkel (pl. felderítési "magokkal") annak érdekében, hogy következtetéseket vonjon le az infrastruktúra szervezettel való kapcsolatáról, és feltárja a korábban ismeretlen és nem figyelt tulajdonságokat.
A Defender EASM a következő típusú objektumok felderítését tartalmazza:
- Tartományok
- Hosts
- Oldalak
- IP-blokkok
- IP-címek
- Autonóm rendszerszámok (ASN-ek)
- SSL-tanúsítványok
- WHOIS-névjegyek
Ezek az eszköztípusok alkotják a Támadási felület leltárát a Defender EASM-ben. Ez a megoldás felderíti azokat a külső eszközökét, amelyek a hagyományos tűzfalvédelemen kívül vannak elérhetővé téve a nyílt interneten; monitorozni és karbantartani kell őket a kockázatok minimalizálása és a szervezet biztonsági helyzetének javítása érdekében. Microsoft Defender külső támadásifelület-kezelő (Defender EASM) aktívan felderíti és figyeli ezeket az eszközöket, majd feltárja azokat a kulcsfontosságú megállapításokat, amelyek segítenek az ügyfeleknek hatékonyan kezelni a szervezet biztonsági réseit.
Eszközállapotok
Minden eszköz a következő állapotok egyikeként van megjelölve:
| Állapot neve | Description |
|---|---|
| Jóváhagyott leltár | A saját támadási felület egy része; egy olyan elem, amelyért Ön közvetlenül felelős. |
| Függőség | Az infrastruktúra, amely egy harmadik fél tulajdonában van, de a támadási felület része, mivel közvetlenül támogatja a saját tulajdonú eszközök működését. Előfordulhat például, hogy egy informatikai szolgáltatótól függ a webes tartalom üzemeltetéséhez. Bár a tartomány, az állomásnév és a lapok a "Jóváhagyott leltár" része lennének, érdemes lehet a gazdagépet futtató IP-címet "Függőségként" kezelni. |
| Csak figyelés | Olyan objektum, amely a támadási felület szempontjából releváns, de nem közvetlenül vezérelhető, és nem is műszaki függőség. Előfordulhat például, hogy a független franchise-k vagy a kapcsolódó vállalatokhoz tartozó eszközök "Csak figyelési" címkével vannak ellátva a "Jóváhagyott leltár" helyett a csoportok jelentéskészítési célokra való elkülönítéséhez. |
| Jelölt | Olyan objektum, amely kapcsolatban áll a szervezet ismert kezdőeszközeivel, de nem rendelkezik elég erős kapcsolattal ahhoz, hogy azonnal "Jóváhagyott leltár" címkével lássa el. Ezeket a jelölt eszközöket manuálisan kell felülvizsgálni a tulajdonjog meghatározásához. |
| Vizsgálatot igényel | A "Jelölt" állapothoz hasonló állapot, de ez az érték olyan eszközökre lesz alkalmazva, amelyek manuális vizsgálatot igényelnek az ellenőrzéshez. Ezt a belsőleg generált megbízhatósági pontszámok alapján határozzuk meg, amelyek felmérik az eszközök közötti észlelt kapcsolatok erősségét. Nem jelzi az infrastruktúra és a szervezet közötti pontos kapcsolatot, mivel azt jelzi, hogy az objektumot további felülvizsgálatra szorulóként jelölték meg annak meghatározásához, hogy hogyan kell kategorizálni. |
Különböző eszközállapotok kezelése
Ezeket az eszközállapotokat a rendszer egyedileg dolgozza fel és figyeli, hogy az ügyfelek alapértelmezés szerint egyértelműen átláthassák a legkritikusabb eszközöket. A "Jóváhagyott leltár" objektumok például mindig irányítópult-diagramokon jelennek meg, és naponta vannak beolvasva az adatok megfelelőségének biztosítása érdekében. Minden más típusú adategység alapértelmezés szerint nem szerepel az irányítópult-diagramokban; A felhasználók azonban igény szerint módosíthatják a készletszűrőket, hogy szükség szerint különböző állapotokban tekinthessék meg az eszközöket. Hasonlóképpen, a "Jelölt" objektumok csak a felderítési folyamat során lesznek beolvasva; Fontos, hogy tekintse át ezeket az eszközöket, és módosítsa az állapotukat "Jóváhagyott leltár" értékre, ha azok a szervezet tulajdonában vannak.
Készletváltozások nyomon követése
A támadási felület folyamatosan változik, ezért a Defender EASM folyamatosan elemzi és frissíti a leltárt a pontosság biztosítása érdekében. Az eszközöket gyakran adnak hozzá és távolítják el a leltárból, ezért fontos nyomon követni ezeket a módosításokat a támadási felület megértéséhez és a főbb trendek azonosításához. A leltárváltozások irányítópultja áttekintést nyújt ezekről a változásokról, és megjeleníti az egyes eszköztípusok "hozzáadott" és "eltávolított" számát. Az irányítópultot két dátumtartomány szerint szűrheti: az elmúlt 7 vagy 30 napra. A készletváltozások részletesebb megtekintéséhez tekintse meg a "Változások dátum szerint" című szakaszt.
