Informazioni sugli asset di inventario
Panoramica
La tecnologia di individuazione proprietaria di Microsoft cerca in modo ricorsivo l'infrastruttura con connessioni osservate ad asset legittimi noti (ad esempio la scoperta "semi") per creare inferenze sulla relazione dell'infrastruttura all'organizzazione e scoprire le proprietà precedentemente sconosciute e non monitorate.
Defender EASM include l'individuazione dei tipi di asset seguenti:
- Domains
- Hosts
- Pagine
- Blocchi IP
- Indirizzi IP
- Numeri di sistema autonomi (ASN)
- Certificati SSL
- Contatti WHOIS
Questi tipi di asset comprendono l'inventario della superficie di attacco in Defender EASM. Questa soluzione individua gli asset esterni esposti a Internet aperto all'esterno della protezione del firewall tradizionale; devono essere monitorati e mantenuti per ridurre al minimo il rischio e migliorare il comportamento di sicurezza di un'organizzazione. Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) individua e monitora attivamente questi asset, quindi esplora le informazioni chiave che consentono ai clienti di risolvere in modo efficiente eventuali vulnerabilità all'organizzazione.
Stati degli asset
Tutti gli asset vengono etichettati come uno degli stati seguenti:
| Nome dello stato | Descrizione |
|---|---|
| Inventario approvato | Parte della superficie di attacco di proprietà; un elemento per cui sei direttamente responsabile. |
| Dipendenza | Infrastruttura di proprietà di una terza parte, ma fa parte della superficie di attacco perché supporta direttamente l'operazione degli asset di proprietà. Ad esempio, è possibile dipendere da un provider IT per ospitare il contenuto Web. Anche se il dominio, il nome host e le pagine fanno parte dell'"inventario approvato", è possibile considerare l'indirizzo IP che esegue l'host come "Dipendenza". |
| Solo monitoraggio | Un asset rilevante per la superficie di attacco, ma non è controllato direttamente né una dipendenza tecnica. Ad esempio, i franchise indipendenti o gli asset appartenenti a società correlate potrebbero essere etichettati come "Solo monitoraggio" anziché "Inventario approvato" per separare i gruppi a scopo di creazione di report. |
| Candidato | Un asset che ha una relazione con gli asset di inizializzazione noti dell'organizzazione, ma non ha una connessione abbastanza forte per etichettarla immediatamente come "Inventario approvato". Questi asset candidati devono essere esaminati manualmente per determinare la proprietà. |
| Richiede l'indagine | Uno stato simile agli stati "Candidati", ma questo valore viene applicato agli asset che richiedono l'analisi manuale per convalidare. Ciò è determinato in base ai punteggi di attendibilità generati internamente che valutano la forza delle connessioni rilevate tra gli asset. Non indica la relazione esatta dell'infrastruttura all'organizzazione quanto indica che questo asset è stato contrassegnato come richiede una revisione aggiuntiva per determinare come deve essere classificato. |
Gestione di stati di asset diversi
Questi stati di asset vengono elaborati in modo univoco e monitorati per garantire che i clienti abbiano una chiara visibilità sugli asset più critici per impostazione predefinita. Ad esempio, le risorse "Inventario approvato" sono sempre rappresentate nei grafici del dashboard e vengono analizzate ogni giorno per garantire la recency dei dati. Tutti gli altri tipi di asset non sono inclusi nei grafici del dashboard per impostazione predefinita; Tuttavia, gli utenti possono modificare i filtri di inventario per visualizzare gli asset in stati diversi in base alle esigenze. Analogamente, gli asset "Candidati" vengono analizzati solo durante il processo di individuazione; è importante esaminare questi asset e modificare lo stato su "Inventario approvato" se sono di proprietà dell'organizzazione.
Rilevamento delle modifiche dell'inventario
La superficie di attacco cambia costantemente, motivo per cui Defender EASM analizza e aggiorna continuamente l'inventario per garantire l'accuratezza. Gli asset vengono aggiunti e rimossi spesso dall'inventario, quindi è importante tenere traccia di queste modifiche per comprendere la superficie di attacco e identificare le tendenze chiave. Il dashboard delle modifiche dell'inventario fornisce una panoramica di queste modifiche, visualizzando i conteggi "aggiunti" e "rimossi" per ogni tipo di asset. È possibile filtrare il dashboard in base a due intervalli di date: gli ultimi 7 o 30 giorni. Per una visualizzazione più granulare di queste modifiche all'inventario, vedere la sezione "Modifiche per data".
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per