次の方法で共有

露出管理の外部攻撃 Surface Management イニシアチブ

Microsoft Defender 外部攻撃面管理 (MDEASM) とMicrosoft セキュリティ露出管理 (MSEM) を統合して、organizationの外部露出の可視性と制御を強化する方法について説明します。 外部攻撃 Surface 管理イニシアチブを使用して MDEASM 分析情報を MSEM に接続することで、organizationまたはベンダーの外部攻撃面に関連するリスクを評価し、露出管理ポータル内でセキュリティ態勢をより効果的に管理できます。

このイニシアチブを使用するには、次の 2 つの方法があります。

  • 事前構築済みフットプリント: 完全な MDEASM サブスクリプションを必要とせずに、定義済みの外部資産セットを使用して、高レベルの分析情報を提供します。
  • MDEASM との完全な統合: 包括的な露出分析と資産レベルの詳細のために、MDEASM サブスクリプションに直接接続します。

事前に構築されたフットプリントでEASM イニシアチブを使用する

イニシアチブを使用したこのアプローチでは、MDEASM サブスクリプションへの完全な接続なしで高レベルの分析情報が提供され、事前に構築されたフットプリントのみがサポートされ、アクティブな MDEASM サブスクリプションは必要ありません。

前提条件: 外部攻撃 Surface イニシアチブを構成するには、 グローバル管理者 ロールまたは コア セキュリティ設定 (管理) アクセス許可が必要です。

  1. [イニシアティブ] ページに移動し、[外部攻撃 Surface Protection] を選択し、[イニシアティブ ページを開く] を選択します。

  2. [データ ソースの接続] に移動して、[設定] タブを開きます。

    注:

    イニシアチブを以前に構成した場合は、[ データ ソースの切り替え ] を選択して、新しいデータで再構成できます。

  3. [検索] を選択して、organizationの事前構築済みフットプリントを検索します

  4. 使用可能な事前構築済みフットプリントの一覧から使用するフットプリントを選択し、[ 接続] を選択します。

事前構築済みのフットプリントを選択するためのサイド パネルEASMスクリーンショット

  1. 最大 1 時間で、選択したフットプリントの高レベルのメトリックとスコアがイニシアティブに設定されます。

    注:

    この方法では、資産レベルの情報と詳細な公開情報は提供されません。

完全な MDEASM 統合でEASMイニシアチブを使用する

前提条件: このアプローチでは、完全な MDEASM サブスクリプション (試用版または有料) が必要であり、包括的な公開分析と資産レベルの詳細が提供されます。 外部攻撃 Surface イニシアチブを構成するには、 グローバル管理者 ロールまたは コア セキュリティ設定 (管理) アクセス許可が必要です。

注:

外部攻撃サーフェス資産はスコープをサポートしていないため、アクセス権を持つすべてのユーザーが収集されたすべてのデータを表示できます。

環境のセットアップ:

MDEASM リソースをデプロイするには、次の手順に従います。

  1. https://portal.azure.comにログインします。
  2. 適切なサブスクリプションとリージョンを使用してリソース グループを作成します。
  3. そのグループ内に MDEASM リソースをデプロイします。「Defender EASM Azure リソースを作成する」を参照してください。 新しいリソースごとに、30 日間の無料試用版が自動的に取得されます。

攻撃対象領域を検出する

攻撃面は、次の 2 つの方法で検出できます。

  1. [作業の開始] オプションを使用して、organizationを検索し、構成済みの攻撃対象領域を構築します。
  2. または、次のように指定してカスタム検出グループを作成します。
  • ドメイン
  • IP ブロックまたはアドレス (必要に応じて 203.0.113.0 などの IP の例を使用)
  • Hosts
  • ASN
  • メール
  • WHOIS organization データ

詳細については、「攻撃対象領域の検出」を参照してください。

ヒント

最も簡単なパスは、ホスト、ドメイン、既知の外部 IP アドレスを指定することです。

イニシアティブを構成する

  1. [イニシアティブ] ページに移動し、[外部攻撃 Surface Protection] を選択し、[イニシアティブ ページを開く] を選択します。

  2. [データ ソースの接続] に移動して、[設定] タブを開きます。

    注:

    イニシアチブを以前に構成した場合は、[ データ ソースの切り替え ] を選択して、新しいデータで再構成できます。

  3. [ Connect your MDEASM workspace]\(MDEASM ワークスペースの接続\) を選択します。

  4. イニシアチブがDefender EASM リソースからデータをプルできるようにするには、Azure にある [概要] ウィンドウのリソースの [Essentials] セクションの値を入力します。

    • リソース名
    • サブスクリプション ID
    • リソース グループ名
    • Region

    EASM イニシアティブのサイド パネルのスクリーンショット

  5. [接続] を選択します。 検証後、データはグラフに流れ始め、メトリックは 32 時間以内に計算されます。

外部攻撃 Surface 評価エンジンによって評価されるさまざまな公開の種類を反映するセキュリティ メトリックを使用して、セキュリティ イニシアチブ データを確認できます。 メトリックを選択して、公開されている資産とその種類などの追加情報を表示します。

また、攻撃面マップを使用してEASMから統合されたデータを調べて、攻撃面に関連する分析情報を明らかにします。 IP アドレス、ドメイン、ホストなど、さまざまな資産を検索し、これらの資産の結果を確認できます。

次の手順