Megosztás a következőn keresztül:

A felderítés használata és kezelése

  • Cikk

Microsoft Defender külső támadásifelület-kezelő (Defender EASM) a saját fejlesztésű felderítési technológiára támaszkodik, amely folyamatosan meghatározza a szervezet egyedi, internetes támadási felületét. A Discovery az interneten megkeresi a szervezet tulajdonában lévő eszközöket, hogy felderítse a korábban ismeretlen és nem figyelt tulajdonságokat.

A felderített objektumok indexelve vannak a leltárban, így a szervezet felügyelete alatt álló webalkalmazások, külső függőségek és webes infrastruktúra dinamikus rendszerét biztosíthatja egyetlen üvegablakon keresztül.

Mielőtt egyéni felderítést futtatna, tekintse meg a Mi a felderítés? című témakört az itt tárgyalt főbb fogalmak megismeréséhez.

Az automatizált támadási felület elérése

A Microsoft előre konfigurálta számos szervezet támadási felületét, és feltérképezte a kezdeti támadási felületüket az ismert eszközökhöz kapcsolódó infrastruktúra felderítésével.

Javasoljuk, hogy egyéni támadási felület létrehozása és más felderítési eredmények futtatása előtt keresse meg a szervezet támadási felületét. Ez a folyamat lehetővé teszi a leltár gyors elérését, mivel a Defender EASM frissíti az adatokat, és további eszközöket és a legutóbbi környezetet ad hozzá a támadási felülethez.

Amikor először éri el a Defender EASM-példányt, az Általános szakaszban az Első lépések lehetőséget választva keresse meg a szervezetét az automatizált támadási felületek listájában. Ezután válassza ki a szervezetét a listából, és válassza a Build my Attack Surface (Támadási felület létrehozása) lehetőséget.

Screenshot that shows a preconfigured attack surface selection screen.

Ezen a ponton a felderítés a háttérben fut. Ha egy előre konfigurált támadási felületet választott ki az elérhető szervezetek listájából, a rendszer átirányítja az irányítópult áttekintési képernyőjére, ahol előnézeti módban tekintheti meg a szervezet infrastruktúrájára vonatkozó megállapításokat.

Tekintse át ezeket az irányítópult-elemzéseket, hogy megismerkedjen a támadási felülettel, miközben megvárja, amíg további objektumok lesznek felderítve és feltöltve a leltárban. Az irányítópultok elemzési módjáról további információt az irányítópultok ismertetése című témakörben talál.

A kiugró értékek észleléséhez testreszabott felderítéseket futtathat. Előfordulhat például, hogy hiányoznak az eszközök. Vagy előfordulhat, hogy más olyan entitásokkal is rendelkezik, amelyeket nem lehet felderíteni a szervezethez egyértelműen kapcsolódó infrastruktúrán keresztül.

A felderítés testreszabása

Az egyéni felfedezések ideálisak, ha a szervezet mélyebb betekintést igényel az infrastruktúrába, amely nem feltétlenül kapcsolódik azonnal az elsődleges magegységekhez. A felderítési magként működő ismert eszközök nagyobb listájának elküldésével a felderítési motor szélesebb eszközkészletet ad vissza. Az egyéni felderítés segíthet a szervezetnek abban is, hogy különálló infrastruktúrát keressen, amely független üzleti egységekhez és beolvasott vállalatokhoz kapcsolódhat.

Felderítési csoportok

Az egyéni felfedezések felderítési csoportokba vannak rendezve. Önálló magfürtök, amelyek egyetlen felderítési futtatást alkotnak, és a saját ismétlődési ütemezésük szerint működnek. A felderítési csoportokat úgy rendszerezheti, hogy az objektumokat bármilyen módon a legjobban kihasználhassa a vállalat és a munkafolyamatok számára. A gyakori lehetőségek közé tartozik a felelős csapat vagy üzleti egység, márkák vagy leányvállalatok szervezése.

Felderítési csoport létrehozása

  1. A bal szélső panel Kezelés csoportjában válassza a Felderítés lehetőséget.

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. A Felderítés lapon alapértelmezés szerint megjelenik a felderítési csoportok listája. Ez a lista üres, amikor először éri el a platformot. Az első felderítés futtatásához válassza a Felderítési csoport hozzáadása lehetőséget.

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. Nevezze el az új felderítési csoportot, és adjon hozzá egy leírást. Az Ismétlődő gyakoriság mező lehetővé teszi a felderítési futtatások ütemezését ehhez a csoporthoz a kijelölt magokhoz kapcsolódó új eszközök folyamatos keresésével. Az alapértelmezett ismétlődési beállítás a Heti. Ezt az ütemet javasoljuk annak érdekében, hogy a szervezet eszközeit rutinszerűen monitorozzák és frissítjék.

    Egyszeri felderítés futtatásához válassza a Soha lehetőséget. Javasoljuk, hogy tartsa meg a heti alapértelmezett ütemezést, mivel a felderítés célja, hogy folyamatosan felderítse az ismert infrastruktúrához kapcsolódó új eszközöket. Az ismétlődési gyakoriságot később is szerkesztheti, ha a "Szerkesztés" lehetőséget választja bármely Felderítési csoport részletei lapon.

  4. Válassza a Következő: Magok lehetőséget.

    Screenshot that shows the first page of the discovery group setup.

  5. Válassza ki a felderítési csoporthoz használni kívánt magokat. A magok olyan ismert objektumok, amelyek a szervezethez tartoznak. A Defender EASM platform megvizsgálja ezeket az entitásokat, és leképezi kapcsolataikat más online infrastruktúrához a támadási felület létrehozásához. Mivel a Defender EASM célja a támadási felület külső szemszögből történő monitorozása, a magánhálózati IP-címek nem vehetők fel felderítési magként.

    Screenshot that shows the seed selection page of the discovery group setup.

    A Gyors üzembe helyezés lehetőséggel megkeresheti a szervezetét az előre feltöltött támadási felületek listájában. Gyorsan létrehozhat felderítési csoportot a szervezethez tartozó ismert eszközök alapján.

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    Másik lehetőségként manuálisan is beírhatja a magokat. A Defender EASM a szervezetneveket, tartományokat, IP-blokkokat, gazdagépeket, e-mail-kapcsolattartókat, ASN-eket és Whois-szervezeteket fogadja el magértékként.

    Megadhatja azt is, hogy az objektumfelderítésből kizárandó entitások ne legyenek hozzáadva a készlethez, ha észlelik őket. A kizárások például olyan szervezetek számára hasznosak, amelyek olyan leányvállalatokkal rendelkeznek, amelyek valószínűleg csatlakoznak a központi infrastruktúrájukhoz, de nem tartoznak a szervezetükhöz.

    Miután kiválasztotta a magokat, válassza a Véleményezés + Létrehozás lehetőséget.

  6. Tekintse át a csoportinformációkat és a maglistát, és válassza a Létrehozás és futtatás lehetőséget.

    Screenshot that shows the Review + Create screen.

    A rendszer visszavesz a felderítési csoportokat megjelenítő fő felderítési lapra. A felderítési futtatás befejezése után új eszközök kerülnek a jóváhagyott leltárba.

Felderítési csoportok megtekintése és szerkesztése

A felderítési csoportokat a fő felderítési oldalon kezelheti. Az alapértelmezett nézetben megjelenik az összes felderítési csoport listája, valamint néhány fontos adat az egyes csoportokról. A listanézetből láthatja az egyes csoportok magjainak számát, ismétlődési ütemezését, utolsó futtatási dátumát és létrehozási dátumát.

Screenshot that shows the discovery groups screen.

Válasszon ki egy felderítési csoportot további információk megtekintéséhez, a csoport szerkesztéséhez vagy új felderítési folyamat elindításához.

Futtatási előzmények

A felderítési csoport részleteinek lapja a csoport futtatási előzményeit tartalmazza. Ez a szakasz az adott magcsoporton végrehajtott felderítési futtatásokkal kapcsolatos legfontosabb információkat jeleníti meg. Az Állapot oszlop azt jelzi, hogy a futtatás folyamatban van-e, befejeződött vagy sikertelen. Ez a szakasz a megkezdett és befejezett időbélyegeket, valamint az adott felderítési futtatás után hozzáadott összes új objektum számát is tartalmazza. Ez a szám az összes leltárba vett eszközt tartalmazza, állapottól és számlázható állapottól függetlenül.

A futtatási előzményeket a felderítési futtatás során beolvasott kezdőeszközök rendszerezik. Az alkalmazható magok listájának megtekintéséhez válassza a Részletek lehetőséget. Megnyílik egy panel a képernyő jobb oldalán, amely az összes magot és kizárást természetben és név szerint listázza.

Screenshot that shows the run history for the discovery group screen.

Magok és kizárások megtekintése

A Felderítési lap alapértelmezés szerint a felderítési csoportok listanézete, de ezen a lapon az összes mag és kizárt entitás listáját is megtekintheti. A lap bármelyikével megtekintheti a felderítési csoportokat hatalmon lévő összes magot vagy kizárást.

Magok

A maglista nézet három oszlopban jeleníti meg a magértékeket: Típus, Forrásnév és Felderítési csoportok. A Típus mező megjeleníti a kezdőeszköz kategóriáját. A leggyakoribb magok a tartományok, gazdagépek és IP-blokkok. Használhat e-mail-névjegyeket, ASN-eket, tanúsítványneveket vagy Whois-szervezeteket is.

A forrásnév az az érték, amelyet a felderítési csoport létrehozásakor a megfelelő típusmezőbe adott be. Az utolsó oszlopban a magot használó felderítési csoportok listája látható. Minden érték kattintható, és a felderítési csoport részletes lapjára viszi.

Amikor magokat ad meg, ne felejtse el ellenőrizni az egyes bejegyzések megfelelő formátumát. A felderítési csoport mentésekor a platform ellenőrzési ellenőrzések sorozatát futtatja, és riasztásokat küld a helytelenül konfigurált magokról. Az IP-blokkokat például hálózati cím alapján kell megadni (például az IP-tartomány kezdetét).

Screenshot that shows the Seeds view of a discovery page.

Kizárások

Hasonlóképpen a Kizárások lapra kattintva megtekintheti a felderítési csoportból kizárt entitások listáját. Ezek az eszközök nem lesznek felderítési magok, és nem lesznek hozzáadva a leltárhoz. A kizárások csak az egyes felderítési csoportok későbbi felderítési futtatásait érintik.

A Típus mező a kizárt entitás kategóriáját jeleníti meg. A forrásnév az az érték, amelyet a felderítési csoport létrehozásakor a megfelelő típusmezőbe adott be. Az utolsó oszlop azoknak a felderítési csoportoknak a listáját jeleníti meg, ahol ez a kizárás jelen van. Minden érték kattintható, és a felderítési csoport részletes lapjára viszi.

Következő lépések