Panoramica di Defender EASM
Gestione della superficie di attacco esterna di Microsoft Defender individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online. Questa visibilità consente ai team IT e alla sicurezza di identificare sconosciuti, classificare in ordine di priorità i rischi, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell'esposizione oltre il firewall. Surface Insights sugli attacchi viene generato sfruttando le vulnerabilità e i dati dell'infrastruttura per illustrare le aree chiave di preoccupazione per l'organizzazione.
Individuazione e inventario
La tecnologia di individuazione proprietaria di Microsoft cerca in modo ricorsivo l'infrastruttura con connessioni osservate a asset legittimi noti per fare inferenze sulla relazione dell'infrastruttura con l'organizzazione e scoprire proprietà precedentemente sconosciute e non monitorate. Queste risorse legittime note sono denominate valori di inizializzazione dell’individuazione; Defender EASM individua innanzitutto le connessioni forti a queste entità selezionate, quindi usa la ricorsione per svelare altre connessioni e, infine, per compilare la superficie di attacco.
Defender EASM include l'individuazione dei tipi di asset seguenti:
- Domini
- Blocchi IP
- Hosts
- Contatti e-mail
- ASN
- Organizzazioni WHOIS
Gli asset individuati vengono indicizzati e classificati nell'inventario di Defender EASM, fornendo un record dinamico di tutte le infrastrutture Web nella gestione dell'organizzazione. Gli asset sono classificati come recenti (attualmente attivi) o cronologici e possono includere applicazioni Web, dipendenze di terze parti e altre connessioni di asset.
Dashboard
Defender EASM offre una serie di dashboard che consentono agli utenti di comprendere rapidamente l'infrastruttura online e i rischi principali per l'organizzazione. Questi dashboard sono progettati per fornire informazioni dettagliate su aree specifiche di rischio, tra cui vulnerabilità, conformità e igiene della sicurezza. Queste informazioni dettagliate consentono ai clienti di affrontare rapidamente i componenti della superficie di attacco che rappresentano il rischio maggiore per l'organizzazione.
Gestione degli asset
I clienti possono filtrare l'inventario per visualizzare le informazioni dettagliate specifiche a cui si preoccupano di più. Il filtro offre un livello di flessibilità e personalizzazione che consente agli utenti di accedere a un subset specifico di asset. Ciò consente di sfruttare i dati di Defender EASM in base al caso d'uso specifico, indipendentemente dal fatto che la ricerca di asset che si connettono all'infrastruttura deprecata o l'identificazione di nuove risorse cloud.
Autorizzazioni utenti
Gli utenti ai quali vengono assegnati i ruoli di Proprietario o Collaboratore possono creare, eliminare e modificare le risorse di Defender EASM e le risorse dell’inventario al suo interno. Questi ruoli possono usare tutte le funzionalità offerte nella piattaforma. Gli utenti ai quali viene assegnato il ruolo di Lettore possono visualizzare i dati di Defender EASM, ma non possono creare, eliminare o modificare le risorse dell’inventario o la risorsa stessa.
Residenza e disponibilità dei dati e diritto alla protezione dei dati personali
La Gestione della superficie di attacco esterna di Microsoft Defender contiene dati globali e dati specifici dei clienti. I dati Internet sottostanti sono dati Microsoft globali; le etichette applicate dai clienti sono considerate dati dei clienti. Tutti i dati dei clienti vengono archiviati nell'area geografica scelta dal cliente.
Per motivi di sicurezza, Microsoft raccoglie gli indirizzi IP degli utenti al momento dell’accesso. Tali dati vengono archiviati per un massimo di 30 giorni, ma potrebbero essere archiviati per un periodo più a lungo se fosse necessario per analizzare potenziali usi fraudolenti o dannosi del prodotto.
Nel caso di un'area geografica inattiva, solo i clienti nell'area interessata riscontrano tempi di inattività.
Il framework di conformità Microsoft richiede l'eliminazione di tutti i dati dei clienti entro 180 giorni se un'organizzazione non è più cliente di Microsoft. Ciò include anche l'archiviazione dei dati dei clienti in posizioni offline, ad esempio i backup del database. Quando una risorsa viene eliminata, non può essere ripristinata dai team. I dati dei clienti vengono conservati negli archivi dati per 75 giorni, tuttavia la risorsa effettiva non potrà essere ripristinata. Dopo il periodo di 75 giorni, i dati dei clienti verranno eliminati definitivamente.