Condividi tramite


Informazioni sui dettagli degli asset

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) analizza frequentemente tutti gli asset di inventario e raccoglie metadati contestuali affidabili che alimentano Surface Insights. Questi dati possono anche essere visualizzati in modo più granulare nella pagina dei dettagli dell'asset. I dati forniti cambiano a seconda del tipo di asset. Ad esempio, la piattaforma fornisce dati Whois univoci per domini, host e indirizzi IP. Fornisce i dati dell'algoritmo di firma per i certificati SSL (Secure Sockets Layer).

Questo articolo descrive come visualizzare e interpretare i dati estesi raccolti da Microsoft per ogni asset di inventario. Definisce questi metadati per ogni tipo di asset e spiega come le informazioni dettagliate derivate da esso consentono di gestire il comportamento di sicurezza dell'infrastruttura online.

Per altre informazioni, vedere Informazioni sugli asset di inventario per acquisire familiarità con i concetti chiave indicati in questo articolo.

Visualizzazione riepilogo dettagli asset

È possibile visualizzare la pagina dei dettagli dell'asset per qualsiasi asset selezionandone il nome dall'elenco di inventario. Nel riquadro sinistro di questa pagina è possibile visualizzare un riepilogo degli asset che fornisce informazioni chiave su tale asset specifico. Questa sezione include principalmente i dati che si applicano a tutti i tipi di asset, anche se in alcuni casi sono disponibili più campi. Per altre informazioni sui metadati forniti per ogni tipo di asset nella sezione di riepilogo, vedere il grafico seguente.

Screenshot che mostra una pagina dei dettagli dell'asset con il riquadro di riepilogo evidenziato.

Informazioni generali

Questa sezione include informazioni di alto livello fondamentali per comprendere immediatamente le risorse. La maggior parte di questi campi si applica a tutti gli asset. Questa sezione può includere anche informazioni specifiche di uno o più tipi di asset.

Nome Definizione Tipi di cespite
Nome del cespite Nome di un asset. Tutte le date
UUID Questa etichetta a 128 bit rappresenta l'identificatore univoco universale (UUID) per l'asset. Tutte le date
Aggiunta all'inventario Data in cui un asset è stato aggiunto all'inventario, indipendentemente dal fatto che sia stato aggiunto automaticamente allo stato inventario approvato o che si trova in un altro stato, ad esempio Candidato. Tutte le date
Ultimo aggiornamento Data dell'ultimo aggiornamento dell'asset da parte di un utente manuale, ad esempio apportando una modifica dello stato o una rimozione di asset. Tutte le date
ID esterno Valore ID esterno aggiunto manualmente. Tutte le date
Status Stato dell'asset all'interno del sistema RiskIQ. Le opzioni includono Inventario approvato, Candidato, Dipendenze o Richiede indagine. Tutte le date
Prima visualizzazione (Global Security Graph) Data della prima analisi dell'asset da parte di Microsoft e aggiunta all'entità Global Security Graph completa. Tutte le date
Ultima visualizzazione (Global Security Graph) Data in cui Microsoft ha analizzato più di recente l'asset. Tutte le date
Scoperto in Indica la data di creazione del gruppo di individuazione che ha rilevato l'asset. Tutte le date
Country Il paese di origine rilevato per questo asset. Tutte le date
Provincia Stato o provincia di origine rilevata per questo asset. Tutte le date
Città Città di origine rilevata per questo asset. Tutte le date
Nome Whois Nome associato a un record Whois. Host
Email Whois Indirizzo di posta elettronica di contatto principale in un record Whois. Host
Organizzazioni Whois Organizzazione elencata in un record Whois. Host
Registrar Whois Registrar elencato in un record Whois. Host
Server dei nomi Whois Server dei nomi elencati in un record Whois. Host
Certificato rilasciato Data di emissione di un certificato. Certificato SSL
Il certificato scade Data di scadenza di un certificato. Certificato SSL
Numero di serie Numero di serie associato a un certificato SSL. Certificato SSL
Versione SSL Versione di SSL registrata dal certificato. Certificato SSL
Algoritmo della chiave del certificato Algoritmo di chiave usato per crittografare il certificato SSL. Certificato SSL
Dimensioni della chiave del certificato Numero di bit in una chiave del certificato SSL. Certificato SSL
OID dell’algoritmo di firma elettronica OID che identifica l'algoritmo hash usato per firmare la richiesta di certificato. Certificato SSL
Autofirmato Indica se il certificato SSL è stato autofirmato. Certificato SSL

Rete

Le informazioni seguenti sull'indirizzo IP forniscono più contesto sull'uso dell'indirizzo IP.

Nome Definizione Tipi di cespite
Record del server dei nomi Tutti i server dei nomi rilevati nell'asset. Indirizzo IP
Record del server di posta Tutti i server di posta rilevati nell'asset. Indirizzo IP
Blocchi IP Blocco IP che contiene l'asset dell'indirizzo IP. Indirizzo IP
ASN ASN associato a un asset. Indirizzo IP

Informazioni sul blocco

I dati seguenti sono specifici dei blocchi IP e forniscono informazioni contestuali sull'uso.

Nome Definizione Tipi di cespite
CIDR Routing interdominio (CIDR) senza classi per un blocco IP. Blocco IP
Nome rete Nome di rete associato al blocco IP. Blocco IP
Nome organizzazione Nome dell'organizzazione trovato nelle informazioni di registrazione per il blocco IP. Blocco IP
ID organizzazione ID organizzazione trovato nelle informazioni di registrazione per il blocco IP. Blocco IP
ASN ASN associato a un blocco IP. Blocco IP
Country Paese di origine rilevato nelle informazioni di registrazione Whois per il blocco IP. Blocco IP

Oggetto

I dati seguenti sono specifici dell'oggetto (ovvero l'entità protetta) associata a un certificato SSL.

Nome Definizione Tipi di cespite
Nome comune Nome comune dell'autorità di certificazione del soggetto del certificato SSL. Certificato SSL
Nomi alternativi Qualsiasi nome comune alternativo per l'oggetto del certificato SSL. Certificato SSL
Nome organizzazione L'organizzazione collegata all'oggetto del certificato SSL. Certificato SSL
Unità organizzativa Metadati facoltativi che indicano il reparto all'interno di un'organizzazione responsabile del certificato. Certificato SSL
Località Indica la città in cui si trova l'organizzazione. Certificato SSL
Country Indica il paese in cui si trova l'organizzazione. Certificato SSL
Provincia Indica lo stato o la provincia in cui si trova l'organizzazione. Certificato SSL

Autorità di certificazione

I dati seguenti sono specifici dell'autorità emittente di un certificato SSL.

Nome Definizione Tipi di cespite
Nome comune Nome comune dell'emittente del certificato. Certificato SSL
Nomi alternativi Qualsiasi altro nome dell'emittente. Certificato SSL
Nome organizzazione Nome dell'organizzazione che ha orchestrato il rilascio di un certificato. Certificato SSL
Unità organizzativa Altre informazioni sull'organizzazione che ha emesso il certificato. Certificato SSL

Schede dati

Nel riquadro più a destra della pagina dei dettagli dell'asset gli utenti possono accedere a dati più estesi correlati all'asset selezionato. Questi dati sono organizzati in una serie di schede categorizzate. Le schede dei metadati disponibili cambiano a seconda del tipo di asset visualizzato.

Alcune schede visualizzano un interruttore "Solo recenti" nell'angolo superiore destro. Per impostazione predefinita, Defender EASM visualizza tutti i dati raccolti per ogni asset, incluse le osservazioni cronologiche che potrebbero non essere in esecuzione attivamente sulla superficie di attacco corrente. Anche se questo contesto cronologico è molto utile per determinati casi d'uso, l'interruttore "Solo recenti" limiterà tutti i risultati nella pagina Dettagli asset a quelli osservati più di recente nell'asset. È consigliabile usare l'interruttore "Solo recenti" quando si desidera visualizzare solo i dati che rappresentano lo stato corrente dell'asset per scopi di correzione.

Screenshot che evidenzia l'interruttore

Panoramica

La scheda Panoramica offre più contesto per garantire che informazioni dettagliate significative siano rapidamente identificabili quando si visualizzano i dettagli di un asset. Questa sezione include i dati di individuazione delle chiavi per tutti i tipi di asset. Fornisce informazioni dettagliate su come Microsoft esegue il mapping dell'asset all'infrastruttura nota.

Questa sezione può includere anche widget del dashboard che visualizzano informazioni dettagliate rilevanti per il tipo di asset in questione.

Screenshot che mostra il riquadro Panoramica della pagina dei dettagli dell'asset.

Catena di individuazione

La catena di individuazione delinea le connessioni osservate tra un valore di inizializzazione di individuazione e l'asset. Queste informazioni consentono agli utenti di visualizzare queste connessioni e comprendere meglio il motivo per cui un asset è stato determinato ad appartenere alla propria organizzazione.

Nell'esempio è possibile notare che il dominio di inizializzazione è associato a questo asset tramite il messaggio di posta elettronica di contatto nel record Whois. Lo stesso messaggio di posta elettronica di contatto è stato usato per registrare il blocco IP che include questo particolare asset di indirizzo IP.

Screenshot che mostra la catena di individuazione.

Informazioni di individuazione

Questa sezione fornisce informazioni sul processo usato per rilevare l'asset. Include informazioni sul valore di inizializzazione di individuazione che si connette all'asset e al processo di approvazione.

Le opzioni includono:

  • Inventario approvato: questa opzione indica che la relazione tra il valore di inizializzazione e l'asset individuato è stata abbastanza forte per garantire un'approvazione automatica da parte del sistema Defender EASM.
  • Candidato: questa opzione indica che l'asset ha richiesto l'approvazione manuale da incorporare nell'inventario.
  • Ultima esecuzione dell'individuazione: questa data indica quando il gruppo di individuazione che ha inizialmente rilevato che l'asset è stato usato per un'analisi di individuazione.

Reputazione dell'IP

La scheda reputazione IP visualizza un elenco di potenziali minacce correlate a un determinato indirizzo IP. Questa sezione descrive eventuali attività dannose o sospette rilevate correlate all'indirizzo IP. Queste informazioni sono fondamentali per comprendere l'affidabilità della superficie di attacco. Queste minacce possono aiutare le organizzazioni a individuare vulnerabilità passate o presenti nell'infrastruttura.

I dati sulla reputazione IP di Defender EASM visualizzano le istanze quando l'indirizzo IP è stato rilevato in un elenco di minacce. Ad esempio, il rilevamento recente nell'esempio seguente mostra che l'indirizzo IP è correlato a un host noto per l'esecuzione di un minatore di criptovaluta. Questi dati sono stati derivati da un elenco host sospetto fornito da CoinBlockers. I risultati sono organizzati in base alla data di Ultima visualizzazione per mostrare prima i rilevamenti più rilevanti.

In questo esempio l'indirizzo IP è presente in un numero anomalo di feed di minacce. Queste informazioni indicano che l'asset deve essere analizzato attentamente per evitare attività dannose in futuro.

Screenshot che mostra la scheda reputazione IP della pagina dei dettagli dell'asset.

Servizi

La scheda Servizi è disponibile per gli asset di indirizzo IP, dominio e host. Questa sezione fornisce informazioni sui servizi osservati per l'esecuzione sull'asset. Include indirizzi IP, server di posta elettronica e nomi e porte aperte che corrispondono ad altri tipi di infrastruttura, ad esempio servizi di accesso remoto.

I dati dei servizi di Defender EASM sono fondamentali per comprendere l'infrastruttura che supporta l'asset. Può anche avvisare l'utente delle risorse esposte su Internet aperto che devono essere protette.

Screenshot che mostra la scheda Servizi della pagina dei dettagli dell'asset.

Indirizzi IP

Questa sezione fornisce informazioni dettagliate su tutti gli indirizzi IP in esecuzione nell'infrastruttura dell'asset. Nella scheda Servizi, Defender EASM fornisce il nome dell'indirizzo IP e le date Prima visualizzazione e Ultima visualizzazione. La colonna Recenti indica se l'indirizzo IP è stato osservato durante l'analisi più recente dell'asset. Se in questa colonna non è presente alcuna casella di controllo, l'indirizzo IP è stato visualizzato nelle analisi precedenti, ma non è attualmente in esecuzione nell'asset.

Screenshot che mostra la sezione Indirizzo IP della pagina dei dettagli dell'asset della scheda Servizi.

Server di posta

In questa sezione viene fornito un elenco di tutti i server di posta in esecuzione nell'asset. Queste informazioni indicano che l'asset è in grado di inviare messaggi di posta elettronica. In questa sezione Defender EASM fornisce il nome del server di posta e le date di Prima visualizzazione e Ultima visualizzazione. La colonna Recenti indica se il server di posta elettronica è stato rilevato durante l'analisi più recente dell'asset.

Screenshot che mostra la sezione Server di posta elettronica della pagina dettagli asset della scheda Servizi.

Server dei nomi

In questa sezione vengono visualizzati tutti i server dei nomi in esecuzione nell'asset per fornire la risoluzione per un host. In questa sezione Defender EASM fornisce il nome del server di posta e le date di Prima visualizzazione e Ultima visualizzazione. La colonna Recenti indica se il server dei nomi è stato rilevato durante l'analisi più recente dell'asset.

Screenshot che mostra la sezione Server dei nomi della pagina dei dettagli dell'asset della scheda Servizi.

Aprire le porte

Questa sezione elenca le porte aperte rilevate nell'asset. Microsoft analizza regolarmente circa 230 porte distinte. Questi dati sono utili per identificare eventuali servizi non protetti che non devono essere accessibili da Internet aperto. Questi servizi includono database, dispositivi IoT e servizi di rete come router e commutatori. È anche utile identificare l'infrastruttura IT shadow o i servizi di accesso remoto non sicuri.

In questa sezione Defender EASM fornisce il numero di porta aperto, una descrizione della porta, l'ultimo stato in cui è stato osservato e le date di Prima visualizzazione e Ultima visualizzazione. La colonna Recenti indica se la porta è stata osservata come aperta durante l'analisi più recente. Defender EASM considera "aperta" una porta quando il sistema può completare correttamente un handshake syn-ack che genera banner attribuiti. Quando è possibile stabilire una connessione TCP ma non è possibile completare la creazione impronta digitale del servizio, la porta viene contrassegnata come "filtrata". Una porta "chiusa" è ancora accessibile, ma non esiste alcun servizio in ascolto sulla porta e quindi nega le connessioni.

Screenshot che mostra la pagina dei dettagli dell'asset Sezione Porte aperte della scheda Servizi.

Tracker

I tracker sono codici o valori univoci presenti nelle pagine Web e spesso vengono usati per tenere traccia dell'interazione dell'utente. Questi codici possono essere usati per correlare un gruppo diverso di siti Web a un'entità centrale. Il set di dati di rilevamento di Microsoft include ID di provider come Google, Yandex, Mixpanel, New Relic e Clicky e continua a crescere.

In questa sezione Defender EASM fornisce il tipo di tracker (ad esempio, GoogleAnalyticsID), il valore dell'identificatore univoco e le date di Prima visualizzazione e Ultima visualizzazione.

Componenti Web

I componenti Web sono dettagli che descrivono l'infrastruttura di un asset come osservato tramite un'analisi Microsoft. Questi componenti forniscono una conoscenza generale delle tecnologie usate nell'asset. Microsoft classifica i componenti specifici e include i numeri di versione quando possibile.

Screenshot che mostra la parte superiore della scheda Componenti Web.

La sezione Componenti Web fornisce la categoria, il nome e la versione del componente e un elenco di eventuali CVE applicabili da correggere. Defender EASM fornisce anche le colonne delle date di Prima visualizzazione e Ultima visualizzazione e una colonna Recenti. Una casella di controllo indica che questa infrastruttura è stata osservata durante l'analisi più recente dell'asset.

I componenti Web vengono classificati in base alla relativa funzione.

Componente Web Esempi
Hosting Provider hostingprovider.com
Server Apache
Server DNS. ISC BIND
Archivi dati MySQL, ElasticSearch, MongoDB
Accesso remoto OpenSSH, Interfaccia di amministrazione Microsoft, Netscaler Gateway
Scambio di dati Pure-FTPd
Internet delle cose (IoT) HP Deskjet, Linksys Camera, Sonos
Server di posta elettronica ArmorX, Lotus Domino, Symantec Messaging Gateway
Dispositivo di rete Cisco Router, Motorola WAP, ZyXEL Modem
Controllo compilazione Linear eMerge, ASI Controls Weblink, Optergy

Osservazioni

La scheda Osservazione visualizza tutte le informazioni dettagliate del dashboard Priorità superficie di attacco relative all'asset. Queste priorità possono includere:

  • CVE critici.
  • Associazioni note all'infrastruttura compromessa.
  • Uso della tecnologia deprecata.
  • Violazioni delle procedure consigliate dell'infrastruttura.
  • Problemi di conformità.

Per altre informazioni sulle osservazioni, vedere Informazioni sui dashboard. Per ogni osservazione, Defender EASM fornisce il nome dell'osservazione, lo classifica per tipo, assegna una priorità ed elenca sia i punteggi CVSS v2 che v3, se applicabile.

La scheda Osservazioni include due tabelle: Osservazioni e Osservazioni non applicabili. Tutte le osservazioni attive considerate "recenti" all'interno della superficie di attacco si troveranno nella tabella Osservazioni, mentre la tabella Osservazioni non applicabili elenca tutte le osservazioni contrassegnate manualmente come non applicabili o determinate dal sistema come non più applicabili. Per contrassegnare le osservazioni come non applicabili ed escluderle dai conteggi del dashboard, è sufficiente selezionare le osservazioni desiderate e fare clic su "Imposta come non applicabile". Le osservazioni scompariranno immediatamente dalla tabella Osservazioni attive e verranno invece visualizzate nella tabella "Osservazioni non applicabili". È possibile annullare questa modifica in qualsiasi momento selezionando le osservazioni pertinenti da questa tabella e selezionando "Imposta come applicabile".

Screenshot che mostra la scheda Osservazioni con più CVE selezionate per essere contrassegnate come non applicabili.

Asset connessi

Gli asset connessi consentono agli utenti di collegare graficamente e raccogliere informazioni sugli asset per l'analisi investigativa. È possibile esplorare l'ambiente e le sue relazioni intricate tramite mapping delle relazioni, che offrono visualizzazioni chiare e concise. Ciò consente di identificare le connessioni nascoste e i potenziali percorsi di attacco. Eseguendo visivamente il mapping delle relazioni tra asset e vulnerabilità, è possibile comprendere la complessità dell'ambiente e prendere decisioni ben informate per migliorare il comportamento di sicurezza e applicare punti di soffocamento in modo efficace.

Screenshot che mostra la scheda Asset connessi.

In questa pagina tutti gli asset connessi all'asset specificato vengono identificati in un elenco. L'elenco fornisce informazioni chiave su ogni criterio, tra cui:

  • Asset: l'asset connesso identificato.
  • Tipo: il tipo di asset.
  • Stato: lo stato dell'asset.
  • Etichette: eventuali etichette associate all'asset.
  • Prima visualizzazione: quando l'asset è stato individuato per la prima volta.
  • Ultima visualizzazione: data dell'ultima identificazione dell'asset.

Da questa pagina è possibile modificare o rimuovere asset connessi. È anche possibile ordinare o filtrare l'elenco di asset per classificare ulteriormente l'elenco di asset connessi. È anche possibile scaricare un report CSV degli asset elencati. Tutti i filtri applicati si rifletteranno sull'esportazione CSV.

Risorse

La scheda Risorse fornisce informazioni dettagliate su qualsiasi risorsa JavaScript in esecuzione in qualsiasi pagina o asset host. Se applicabile a un host, queste risorse vengono aggregate per rappresentare JavaScript in esecuzione in tutte le pagine dell'host. Questa sezione fornisce un inventario del codice JavaScript rilevato in ogni asset in modo che l'organizzazione abbia visibilità completa su queste risorse e possa rilevare eventuali modifiche.

Defender EASM fornisce l'URL della risorsa, l'host delle risorse, il valore MD5 e le date di primo rilevamento e ultima visualizzazione per aiutare le organizzazioni a monitorare efficacemente l'uso delle risorse JavaScript nell'inventario.

Screenshot che mostra la scheda Risorse.

certificati SSL

I certificati vengono usati per proteggere le comunicazioni tra un browser e un server Web tramite SSL. l'uso dei certificati garantisce che i dati sensibili in transito non possano essere letti, manomessi o contraffatti. Questa sezione di Defender EASM elenca tutti i certificati SSL rilevati nell'asset, inclusi i dati delle chiavi, ad esempio le date di emissione e scadenza.

Screenshot che mostra la scheda Certificati SSL.

Whois

Il protocollo Whois viene usato per eseguire query e rispondere ai database che archiviano i dati correlati alla registrazione e alla proprietà delle risorse Internet. Whois contiene i dati di registrazione della chiave che possono essere applicati a domini, host, indirizzi IP e blocchi IP in Defender EASM. Nella scheda dati Whois Microsoft fornisce una notevole quantità di informazioni associate al Registro di sistema dell'asset.

Screenshot che mostra la scheda Whois Values.

I campi seguenti sono inclusi nella tabella nella sezione Valori della scheda Whois.

Campo Descrizione
Server Whois Un server configurato da un registrar ICANN accreditato per acquisire informazioni aggiornate sulle entità registrate con esso.
Registrar Società il cui servizio è stato usato per registrare un asset. I registrar più diffusi includono GoDaddy, Namecheap e HostGator.
Stato del dominio Qualsiasi stato per un dominio impostato dal Registro di sistema. Questi stati possono indicare che un dominio è in attesa di eliminazione o trasferimento dal registrar o è attivo su Internet. Questo campo può anche indicare le limitazioni di un asset. Ad esempio, Eliminazione client non consentita indica che il registrar non è in grado di eliminare l'asset.
E-mail Qualsiasi indirizzo di posta elettronica di contatto fornito dal registrante. Whois consente ai registranti di specificare il tipo di contatto. Le opzioni includono contatti amministrativi, tecnici, registranti e registrar.
Nome Nome di un registrante, se specificato.
Organizzazione L'organizzazione responsabile dell'entità registrata.
Via Indirizzo stradale per il registrante, se specificato.
Città Città elencata nell'indirizzo per il registrante, se specificato.
Provincia Stato elencato nell'indirizzo della strada per il registrante, se specificato.
Postal code Codice postale elencato nell'indirizzo per il registrante, se specificato.
Country Paese elencato nell'indirizzo per il registrante, se specificato.
il numero Numero di telefono associato a un contatto registrante, se specificato.
Server dei nomi Qualsiasi server dei nomi associato all'entità registrata.

Molte organizzazioni scelgono di offuscare le informazioni del Registro di sistema. A volte gli indirizzi di posta elettronica di contatto terminano in @anonymised.email. Questo segnaposto viene usato invece di un indirizzo di contatto reale. Molti campi sono facoltativi durante la configurazione della registrazione, quindi qualsiasi campo con un valore vuoto non è stato incluso dal registrante.

Cronologia modifiche

Nella scheda "Cronologia modifiche" viene visualizzato un elenco di modifiche applicate a un asset nel tempo. Queste informazioni consentono di tenere traccia di queste modifiche nel tempo e di comprendere meglio il ciclo di vita dell'asset. In questa scheda vengono visualizzate diverse modifiche, tra cui gli stati degli asset, le etichette e gli ID esterni. Per ogni modifica, viene elencato l'utente che ha implementato la modifica e un timestamp.

Screenshot che mostra la scheda Cronologia modifiche.

Passaggi successivi