Microsoft Defender 外部攻撃面管理 (Defender EASM) では、Microsoft 独自の検出テクノロジを使用して、organization固有のインターネットで公開される攻撃領域を継続的に定義します。 Defender EASM検出機能は、organizationが所有する既知の資産をスキャンして、以前は不明で監視されていないプロパティを明らかにします。 検出された資産は、organizationのインベントリにインデックスが作成されます。 Defender EASMを使用すると、organizationの管理下にある Web アプリケーション、サードパーティの依存関係、Web インフラストラクチャの動的なレコード システムが 1 つのビューで提供されます。
![[検出の追加] ウィンドウのスクリーンショット。](media/discovery-configuration.png)
Defender EASM検出プロセスを通じて、organizationは絶えず変化するデジタル攻撃面を積極的に監視できます。 発生したリスクとポリシー違反を特定できます。
多くの脆弱性プログラムでは、ファイアウォールの外側に可視性がありません。 データ侵害の主な原因である外部のリスクと脅威を認識しません。
同時に、デジタルの成長は、エンタープライズ セキュリティ チームの保護能力を上回り続けます。 デジタル イニシアチブと一般的過ぎの "シャドウ IT" は、ファイアウォールの外側に拡大する攻撃面につながります。 このペースでは、コントロール、保護、コンプライアンスの要件を検証することはほぼ不可能です。
Defender EASMがないと、脆弱性を特定して削除することはほぼ不可能であり、スキャナーがファイアウォールを越えて到達して完全な攻撃面を評価することはできません。
メカニズム
organizationの攻撃面の包括的なマッピングを作成するには、最初に既知の資産 (シード) を取り込むDefender EASM。 検出シードは再帰的にスキャンされ、シードへの接続を通じてより多くのエンティティを検出します。
最初のシードは、Microsoft によってインデックスが作成された次のいずれかの種類の Web インフラストラクチャである場合があります。
- ドメイン
- IP アドレス ブロック
- Hosts
- 連絡先のEmail
- 自律システム名 (ASN)
- Whois 組織
シード以降、システムは他のオンライン インフラストラクチャ項目との関連付けを検出して、organizationが所有する他の資産を検出します。 このプロセスにより、最終的に攻撃面全体のインベントリが作成されます。 検出プロセスでは、探索シードが中央ノードとして使用されます。 その後、攻撃面の周囲に向かって外側に分岐します。 シードに直接接続されているすべてのインフラストラクチャ項目を識別し、最初の接続セット内の各項目に関連するすべての項目を識別します。 このプロセスは、organizationの管理責任の端に達するまで繰り返され、拡張されます。
たとえば、Contoso のインフラストラクチャ内のすべての項目を検出するには、ドメイン contoso.comを初期キーストーン シードとして使用します。 このシードから、次のソースを参照し、次のリレーションシップを派生させることができます。
| データ ソース | Contoso との関係が可能なアイテム |
|---|---|
| Whois レコード | 登録に使用されたのと同じ連絡先メールまたは登録者organizationに登録されているその他のドメイン名contoso.com |
| Whois レコード |
@contoso.comメール アドレスに登録されているすべてのドメイン名 |
| Whois レコード | と同じネーム サーバーに関連付けられている他のドメイン contoso.com |
| DNS レコード | Contoso が所有するドメイン上のすべての監視対象ホストと、それらのホストに関連付けられている Web サイト |
| DNS レコード | ホストが異なるが、同じ IP ブロックに解決されるドメイン |
| DNS レコード | Contoso 所有のドメイン名に関連付けられているメール サーバー |
| SSL 証明書 | 各ホストに接続されているすべての Secure Sockets Layer (SSL) 証明書と、同じ SSL 証明書を使用するその他のホスト |
| ASN レコード | Contoso のドメイン名上のホストに接続されている IP ブロックと同じ ASN に関連付けられているその他の IP ブロック (それらに解決されるすべてのホストとドメインを含む) |
この一連の最初のレベルの接続を使用することで、調査する全く新しい資産セットをすばやく派生させることができます。 Defender EASMより多くの再帰を実行する前に、検出されたエンティティを確認済みインベントリとして自動的に追加するのに十分な接続が確立されているかどうかを判断します。 これらの各資産について、検出システムは、使用可能なすべての属性に基づいて自動化された再帰的な検索を実行して、第 2 レベルおよび第 3 レベルの接続を検索します。 この反復的なプロセスでは、organizationのオンライン インフラストラクチャに関する詳細情報が提供されるため、検出されて監視されない可能性がある異種資産が検出されます。
自動攻撃面とカスタマイズされた攻撃面
Defender EASMを初めて使用するときは、organizationの事前構築済みインベントリにアクセスして、ワークフローをすばやく開始できます。 [はじめに] ウィンドウで、ユーザーは自分のorganizationを検索して、Defender EASMによって既に識別されている資産接続に基づいてインベントリをすばやく設定できます。 すべてのユーザーがカスタム インベントリを作成する前に、organizationの事前構築済みの攻撃面インベントリを検索することをお勧めします。
カスタマイズされたインベントリを構築するために、ユーザーは探索グループを作成して、検出の実行時に使用するシードを整理および管理できます。 ユーザーは、個別の検出グループを使用して、検出プロセスを自動化し、シード リストを構成し、繰り返し実行スケジュールを設定できます。
![[organization ペインからシードをインポートして自動検出を設定する] のスクリーンショット。](media/discovery-add-group.png)
確認済み在庫と候補資産
検出エンジンが潜在的な資産と初期シードの間の強力な接続を検出すると、資産に状態 が [確認済みインベントリ] と自動的にラベル付けされます。 このシードへの接続が反復的にスキャンされ、第 3 レベルまたは第 4 レベルの接続が検出されると、新しく検出された資産の所有権に対するシステムの信頼度が低下します。 同様に、システムは、organizationに関連する資産を検出しますが、ユーザーが直接所有しているわけではありません。
このような理由から、新しく検出された資産には、次のいずれかの状態のラベルが付けられます。
| 状態名 | 説明 |
|---|---|
| 承認済みインベントリ | 所有している攻撃面の一部であるアイテム。 これは、直接責任を負うアイテムです。 |
| 依存関係 | サード パーティが所有するインフラストラクチャですが、所有する資産の操作を直接サポートするため、攻撃対象の一部です。 たとえば、WEB コンテンツをホストする IT プロバイダーに依存する場合があります。 ドメイン、ホスト名、ページは承認済みインベントリの一部であるため、ホストを実行する IP アドレスを依存関係として扱う必要がある場合があります。 |
| 監視のみ | 攻撃面に関連する資産ですが、直接制御されていない資産や技術的な依存関係ではありません。 たとえば、関連する会社に属する独立したフランチャイズまたは資産には、レポート目的でグループを分離するために、承認済み在庫ではなくモニターのみというラベルが付けられる場合があります。 |
| 候補 | organizationの既知のシード資産と何らかの関係があるが、承認されたインベントリにすぐにラベルを付けるのに十分な強い接続を持たない資産。 所有権を決定するには、これらの候補資産を手動で確認する必要があります。 |
| 調査が必要 | Candidate 状態に似た状態ですが、この値は、検証に手動で調査する必要がある資産に適用されます。 状態は、資産間の検出された接続の強度を評価する、内部で生成された信頼度スコアに基づいて決定されます。 インフラストラクチャとorganizationとの正確な関係は示されませんが、資産にフラグを設定して、どのように分類するかを判断するために、より多くのレビューを行います。 |
資産を確認するときは、[ 調査が必要] というラベルの資産から開始することをお勧めします。 資産の詳細は、資産の状態とリレーションシップの正確なマップを維持し、新しく作成された資産を明らかにするために、時間の経過と伴って継続的に更新されます。 検出プロセスは、繰り返し実行するようにスケジュールできる検出グループにシードを配置することによって管理されます。 インベントリが設定されると、Defender EASM システムは、Microsoft 仮想ユーザー テクノロジを使用して資産を継続的にスキャンし、各資産に関する新しい詳細なデータを明らかにします。 このプロセスでは、該当するサイトの各ページのコンテンツと動作を調べて、脆弱性、コンプライアンスの問題、その他の潜在的なリスクを特定するために使用できる堅牢な情報をorganizationに提供します。