Defender EASM の概要

  • [アーティクル]

"Microsoft Defender External Attack Surface Management (Defender EASM)" は、オンライン インフラストラクチャの外部への露出を示すために、デジタル攻撃対象領域を継続的に検出してマップします。 このように可視化することで、セキュリティ チームと IT チームは、不明な領域を特定し、リスクの優先順位を付け、脅威を排除し、ファイアウォールを越えて脆弱性と露出の制御を拡張することができます。 Attack Surface Insights は、脆弱性とインフラストラクチャのデータを利用して、組織にとって重要な関心領域を示すために生成されます。

Screenshot of Overview Dashboard

検出とインベントリ

Microsoft 独自の検出テクノロジは、既知の正当な資産への接続が確認されるインフラストラクチャを繰り返し検索します。これにより、そのインフラストラクチャと組織の関係に関する推論を行い、以前には不明で監視されていなかった資産を発見します。 これらの既知の正当な資産は、検出 "シード" と呼ばれます。Defender EASM は、まず、これらの選択されたエンティティへの強力な接続を繰り返し検出して、より多くの接続を発見し、最終的に Attack Surface をコンパイルします。

Defender EASM には、次の種類の資産の検出が含まれています。

  • ドメイン
  • ホスト名
  • Web ページ
  • IP ブロック
  • IP アドレス
  • ASN
  • SSL 証明書
  • WHOIS 連絡先

Screenshot of Discovery View

検出された資産は、インデックスが付けられ、Defender EASM インベントリ内で分類されます。これにより、組織の管理下にあるすべての Web インフラストラクチャの動的な記録が提供されます。 資産は、(現在アクティブである) 最新資産または履歴資産として分類されます。Web アプリケーション、サード パーティの依存関係、およびその他の資産接続を含めることができます。

ダッシュボード

Defender EASM には、ユーザーがオンライン インフラストラクチャと組織に対する重要なリスクを迅速に理解するために役立つ一連のダッシュボードが用意されています。 これらのダッシュボードは、脆弱性、コンプライアンス、セキュリティの検疫など、特定のリスク領域に関する分析情報を提供するように設計されています。 これらの分析情報は、組織に最大のリスクをもたらす攻撃対象領域のコンポーネントにお客様が迅速に対処するために役立ちます。

Screenshot of Dashboard View

資産の管理

お客様は、インベントリをフィルター処理して、最も関心のある特定の分析情報を表示できます。 フィルター処理は、一定のレベルの柔軟性を備え、カスタマイズが可能です。これにより、ユーザーは資産の特定のサブセットにアクセスできます。 これにより、特定のユース ケースに応じて Defender EASM データを利用でき、非推奨のインフラストラクチャに接続している資産を検索したり、新しいクラウド リソースを識別したりできます。

Screenshot of Inventory View

ユーザーのアクセス許可

所有者ロールまたは共同作成者ロールが割り当てられているユーザーは、Defender EASM リソースとその中のインベントリ資産を作成、削除、編集できます。 これらのロールは、プラットフォームで提供されるすべての機能を利用できます。 閲覧者ロールが割り当てられているユーザーは、Defender EASM データを表示できますが、インベントリ資産またはリソース自体を作成、削除、編集することはできません。

データの保存場所、可用性、プライバシー

Microsoft Defender External Attack Surface Management には、グローバル データと顧客固有データの両方が含まれます。 基になるインターネット データはグローバル Microsoft データです。お客様によって適用されたラベルは、顧客データと見なされます。 すべての顧客データは、お客様が選択したリージョンに格納されます。

セキュリティ上の目的で、Microsoft は、ユーザーのログイン時に IP アドレスを収集します。 このデータは最大 30 日間保管されますが、製品の不正使用または悪意のある使用の可能性を調査するために必要な場合は、さらに長期間保管されることがあります。

リージョン ダウン シナリオの場合、影響を受けるリージョンの顧客のみがダウンタイムを経験します。

Microsoft コンプライアンス フレームワークでは、該当の組織が Microsoft の顧客でなくなってから 180 日以内に、すべての顧客データを削除する必要があります。 これには、データベース バックアップなど、オフラインの場所に保存されている顧客データも含まれます。 一度削除されたリソースを Microsoft チームが復元することはできません。 顧客データは 75 日間データ ストアに保存されますが、実際のリソースを復元することはできません。  75 日が経過すると、顧客データは完全に削除されます。  

次のステップ