Microsoft Defender 外部攻撃面管理 (Defender EASM) は、デジタル攻撃面を継続的に検出してマップし、オンライン インフラストラクチャの外部ビューを提供します。
Defender EASMは、セキュリティチームと IT チームが、未知の情報を特定し、リスクの優先順位を付け、脅威を排除し、ファイアウォールを越えて脆弱性と露出の制御を拡張するのに役立つ、重要な可視性を提供します。 攻撃表面の分析情報は、脆弱性とインフラストラクチャ データを使用して、organizationに関する重要な懸念事項を示すことによって生成されます。
![Defender EASMの [概要] ダッシュボードを示すスクリーンショット。](media/overview.png)
検出とインベントリ
Microsoft 独自の検出テクノロジは、既知の正当な資産への観察された接続を通じてインフラストラクチャを再帰的に検索します。 これにより、そのインフラストラクチャとorganizationとの関係に関する推論が行われ、以前は不明で監視されていないプロパティが明らかになります。 これらの既知の正当な資産は、 検出シードと呼ばれます。 Defender EASM最初に、選択したエンティティへの強力な接続を検出した後、再帰して、より多くの接続を明らかにし、最終的に攻撃面をコンパイルします。
Defender EASM検出には、次の種類の資産が含まれます。
- ドメイン
- IP アドレス ブロック
- Hosts
- 連絡先のEmail
- 自律システム番号 (ASN)
- Whois 組織
![[検出] ウィンドウのスクリーンショット。](media/overview-discovery.png)
検出された資産は、管理下にある Web インフラストラクチャ全体の動的なレコードを提供するために、Defender EASM インベントリにインデックスが作成され、分類されます。 資産は、 最近 (現在アクティブ) または 履歴として分類されます。 Web アプリケーション、サード パーティの依存関係、およびその他の資産接続を含めることができます。
ダッシュボード
Defender EASMは、ダッシュボードを使用して、オンライン インフラストラクチャとorganizationに対する主要なリスクをすばやく理解するのに役立ちます。 ダッシュボードは、脆弱性、コンプライアンス、セキュリティの検疫など、リスクの特定の領域に関する分析情報を提供するように設計されています。 これらの分析情報は、organizationに最大のリスクをもたらす攻撃面のコンポーネントにすばやく対処するのに役立ちます。
![ダッシュボードと [セキュリティ体制] ウィンドウのスクリーンショット。](media/overview-dashboard.png)
資産管理
インベントリをフィルター処理して、自分とorganizationにとって最も重要な分析情報を表示できます。 フィルター処理を使用すると、資産の特定のサブセットにアクセスするのに役立つ柔軟性とカスタマイズが提供されます。 また、フィルター処理では、非推奨のインフラストラクチャに接続する資産を検索する場合でも、新しいクラウド リソースを識別する場合でも、特定のユース ケースで機能するデータDefender EASMが設定されます。
![[インベントリ] ウィンドウのスクリーンショット。](media/overview-inventory.png)
ユーザーのアクセス許可
所有者ロールまたは共同作成者ロールが割り当てられているorganizationのユーザーは、リソースとリソース内のインベントリ資産Defender EASM作成、削除、編集できます。 所有者ロールと共同作成者ロールには、プラットフォームのすべての機能と機能を使用するアクセス許可があります。
閲覧者ロールが割り当てられているユーザーは、Defender EASMデータを表示できますが、リソースまたはインベントリ資産を作成、削除、または編集することはできません。
Defender EASMでは、Azure Lighthouse 経由など、テナント間リソース アクセスはサポートされていません。 Defender EASMリソースにアクセスするには、リソースが配置されているテナントに直接認証する必要があります。
データ所在地、可用性、プライバシー
Microsoft Defender EASMには、グローバル データと顧客固有のデータの両方が含まれます。 基になるインターネット データは、Microsoft を使用して作成されたグローバル データです。 顧客が適用するラベルは、顧客データと見なされます。 顧客データは、選択したリージョンに格納されます。
セキュリティ上の目的で、Microsoft はユーザーがサインインするときにユーザーの IP アドレスを収集します。 IP アドレスは最大 30 日間保存されますが、製品の潜在的な詐欺または悪意のある使用を調査する必要がある場合は、長く保存できます。
Azure リージョンがダウンしている場合は、そのリージョンのDefender EASMのお客様のみが影響を受ける可能性があります。 他のAzureリージョンのサービスとデータは引き続きアクティブです。
organizationが Microsoft の顧客ではなくなった場合、Microsoft コンプライアンス フレームワークでは、顧客のすべてのデータを 180 日以内に削除する必要があります。 このポリシーには、データベース バックアップなど、オフラインの場所に格納されている顧客データが含まれます。 リソースが削除されると、チームはリソースを復元できません。 顧客データは、さらに 75 日間データ ストアに保持されますが、実際のリソースは復元できません。 75 日間が経過すると、顧客データは完全に削除されます。