이 문서에서는 인벤토리 자산을 수정하는 방법을 간략하게 설명합니다. 자산의 상태를 변경하거나, 외부 ID를 할당하거나, 레이블을 적용하여 컨텍스트를 제공하고 인벤토리 데이터를 사용할 수 있습니다. 또한 CVE 및 기타 관찰을 적용할 수 없는 것으로 표시하여 보고된 수에서 제거할 수 있습니다. 검색된 메서드에 따라 인벤토리에서 자산을 대량으로 제거할 수도 있습니다. instance 경우 사용자는 검색 그룹에서 시드를 제거하고 이 시드에 대한 연결을 통해 검색된 자산을 제거하도록 선택할 수 있습니다. 이 문서에서는 Defender EASM 사용할 수 있는 모든 수정 옵션에 대해 설명하고, 자산을 업데이트하고 작업 관리자를 사용하여 업데이트를 추적하는 방법을 간략하게 설명합니다.
레이블 자산
레이블은 공격 표면을 구성하고 사용자 지정 가능한 방식으로 비즈니스 컨텍스트를 적용하는 데 도움이 됩니다. 자산의 하위 집합에 텍스트 레이블을 적용하여 자산을 그룹화하고 인벤토리를 더 잘 사용할 수 있습니다. 고객은 일반적으로 다음과 같은 자산을 분류합니다.
- 최근 합병 또는 인수를 통해 organization 소유권을 획득했습니다.
- 규정 준수 모니터링이 필요합니다.
- organization 특정 사업부가 소유합니다.
- 완화가 필요한 특정 취약성의 영향을 받습니다.
- organization 소유한 특정 브랜드와 관련이 있습니다.
- 특정 시간 범위 내에서 인벤토리에 추가되었습니다.
레이블은 자유 형식 텍스트 필드이므로 organization 적용되는 모든 사용 사례에 대한 레이블을 만들 수 있습니다.
자산의 상태 변경
사용자는 자산의 상태를 변경할 수도 있습니다. 상태는 organization 자신의 역할에 따라 인벤토리를 분류하는 데 도움이 됩니다. 사용자는 다음 상태 간에 전환할 수 있습니다.
- 승인된 인벤토리: 소유 공격 표면의 일부; 직접 담당하는 항목입니다.
- 종속성: 타사에서 소유하지만 소유 자산의 운영을 직접 지원하기 때문에 공격 노출 영역의 일부입니다. 예를 들어 웹 콘텐츠를 호스트하는 IT 공급자에 의존할 수 있습니다. 도메인, 호스트 이름 및 페이지는 "승인된 인벤토리"의 일부이지만 호스트를 실행하는 IP 주소를 "종속성"으로 처리할 수 있습니다.
- 모니터 전용: 공격 표면과 관련이 있지만 organization 의해 직접 제어되지 않는 자산 또는 기술 종속성입니다. 예를 들어 관련 회사에 속한 독립 프랜차이즈 또는 자산은 보고 목적으로 그룹을 구분하기 위해 "승인된 인벤토리"가 아닌 "모니터 전용"으로 레이블이 지정될 수 있습니다.
- 후보: organization 알려진 시드 자산과 어느 정도 관계가 있지만 즉시 "승인된 인벤토리"로 레이블을 지정할 만큼 강력한 연결이 없는 자산입니다. 소유권을 확인하려면 이러한 후보 자산을 수동으로 검토해야 합니다.
- 조사 필요: "후보" 상태와 유사한 상태이지만 이 값은 유효성을 검사하기 위해 수동 조사가 필요한 자산에 적용됩니다. 이는 자산 간의 검색된 연결의 강도를 평가하는 내부적으로 생성된 신뢰도 점수를 기반으로 결정됩니다. 이 자산이 분류 방법을 결정하기 위해 추가 검토가 필요함을 나타내는 만큼 인프라와 organization 정확한 관계를 나타내지는 않습니다.
외부 ID 적용
사용자는 자산에 외부 ID를 적용할 수도 있습니다. 이 작업은 자산 추적, 수정 활동 또는 소유권 모니터링을 위해 여러 솔루션을 사용하는 경우에 유용합니다. Defender EASM 내의 외부 ID를 확인하면 이 서로 다른 자산 정보를 정렬하는 데 도움이 됩니다. 외부 ID 값은 숫자 또는 영숫자일 수 있으며 텍스트 형식으로 입력해야 합니다. 외부 ID도 자산 세부 정보 섹션 내에 표시됩니다.
관찰을 적용할 수 없음으로 표시
많은 Defender EASM 대시보드는 CVE 데이터를 특징으로 하며, 공격 노출 영역을 지원하는 웹 구성 요소 인프라를 기반으로 잠재적인 취약성에 주의를 기울입니다. instance 경우 CVE는 공격 표면 요약 dashboard 나열되며 잠재적 심각도로 분류됩니다. 이러한 CVE를 조사할 때 일부는 organization 관련이 없는 것으로 판단할 수 있습니다. 이는 흠이 없는 버전의 웹 구성 요소를 실행 중이거나 organization 특정 취약성으로부터 보호하기 위한 다양한 기술 솔루션을 보유하고 있기 때문일 수 있습니다.
CVE 관련 차트의 드릴다운 보기에서 "CSV 보고서 다운로드" 단추 옆에 관찰을 적용할 수 없는 것으로 설정하는 옵션이 있습니다. 이 값을 클릭하면 해당 관찰과 연결된 모든 자산의 인벤토리 목록으로 이동한 다음, 이 페이지에서 모든 관찰을 적용할 수 없는 것으로 표시하도록 선택할 수 있습니다. 실제 변경은 인벤토리 목록 보기 또는 특정 자산에 대한 자산 세부 정보 페이지에서 수행됩니다.
자산을 수정하는 방법
인벤토리 목록 및 자산 세부 정보 페이지에서 자산을 수정할 수 있습니다. 자산 세부 정보 페이지에서 단일 자산을 변경할 수 있습니다. 인벤토리 목록 페이지에서 단일 자산 또는 여러 자산을 변경할 수 있습니다. 다음 섹션에서는 사용 사례에 따라 두 인벤토리 보기의 변경 내용을 적용하는 방법을 설명합니다.
인벤토리 목록 페이지
여러 자산을 한 번에 업데이트하려면 인벤토리 목록 페이지에서 자산을 수정해야 합니다. 필터 매개 변수를 기반으로 자산 목록을 구체화할 수 있습니다. 이 프로세스를 통해 원하는 레이블, 외부 ID 또는 상태 변경으로 분류해야 하는 자산을 식별할 수 있습니다. 이 페이지에서 자산을 수정하려면 다음을 수행합니다.
Microsoft Defender 외부 공격 표면 관리(Defender EASM) 리소스의 맨 왼쪽 창에서 인벤토리를 선택합니다.
필터를 적용하여 원하는 결과를 생성합니다. 이 예제에서는 갱신이 필요한 30일 이내에 만료되는 도메인을 찾고 있습니다. 적용된 레이블을 사용하면 만료되는 도메인에 더 빠르게 액세스하여 수정 프로세스를 간소화할 수 있습니다. 필요한 특정 결과를 얻기 위해 필요한 만큼 필터를 적용할 수 있습니다. 필터에 대한 자세한 내용은 인벤토리 필터 개요를 참조하세요. CVE를 적용할 수 없는 것으로 표시하려는 경우 관련 dashboard 차트 드릴다운은 올바른 필터가 적용된 이 인벤토리 페이지로 직접 라우팅하는 링크를 제공합니다.
인벤토리 목록을 필터링한 후 자산 테이블 헤더 옆의 확인란 옆에 있는 드롭다운을 선택합니다. 이 드롭다운은 쿼리와 일치하는 모든 결과 또는 해당 특정 페이지의 결과(최대 25개)를 선택할 수 있는 옵션을 제공합니다. 없음 옵션은 모든 자산을 지웁니다. 각 자산 옆에 있는 개별 검사 표시를 선택하여 페이지에서 특정 결과만 선택하도록 선택할 수도 있습니다.
자산 수정을 선택합니다.
화면 오른쪽에 열리는 자산 수정 창에서 선택한 자산에 대한 다양한 필드를 빠르게 변경할 수 있습니다. 이 예제에서는 새 레이블을 만듭니다. 새 레이블 만들기를 선택합니다.
레이블 이름을 확인하고 텍스트 값을 표시합니다. 레이블을 처음 만든 후에는 레이블 이름을 변경할 수 없지만 나중에 표시 텍스트를 편집할 수 있습니다. 레이블 이름은 제품 인터페이스 또는 API를 통해 레이블을 쿼리하는 데 사용되므로 이러한 쿼리가 제대로 작동하는지 확인하기 위해 편집을 사용하지 않도록 설정합니다. 레이블 이름을 편집하려면 원래 레이블을 삭제하고 새 레이블을 만들어야 합니다.
새 레이블의 색을 선택하고 추가를 선택합니다. 이 작업을 수행하면 자산 수정 화면으로 돌아갑니다.
자산에 새 레이블을 적용합니다. 레이블 추가 텍스트 상자 내부를 클릭하여 사용 가능한 레이블의 전체 목록을 봅니다. 또는 상자 안에 를 입력하여 키워드(keyword) 검색할 수 있습니다. 적용할 레이블을 선택한 후 업데이트를 선택합니다.
레이블을 적용할 수 있도록 몇 분 정도 허용합니다. 프로세스가 완료되면 "완료됨" 알림이 표시됩니다. 페이지가 자동으로 새로 고쳐지고 레이블이 표시된 자산 목록이 표시됩니다. 화면 맨 위에 있는 배너는 레이블이 적용되었는지 확인합니다.
자산 세부 정보 페이지
자산 세부 정보 페이지에서 단일 자산을 수정할 수도 있습니다. 이 옵션은 레이블 또는 상태 변경이 적용되기 전에 자산을 철저히 검토해야 하는 경우에 적합합니다.
Defender EASM 리소스의 맨 왼쪽 창에서 인벤토리를 선택합니다.
수정할 특정 자산을 선택하여 자산 세부 정보 페이지를 엽니다.
이 페이지에서 자산 수정을 선택합니다.
"인벤토리 목록 페이지" 섹션의 5~7단계를 따릅니다.
자산 세부 정보 페이지가 새로 고쳐지고 새로 적용된 레이블 또는 상태 변경 내용이 표시됩니다. 배너는 자산이 성공적으로 업데이트되었음을 나타냅니다.
레이블 수정, 제거 또는 삭제
사용자는 인벤토리 목록 또는 자산 세부 정보 보기에서 동일한 자산 수정 창에 액세스하여 자산에서 레이블을 제거할 수 있습니다. 인벤토리 목록 보기에서 한 번에 여러 자산을 선택한 다음 한 작업에서 원하는 레이블을 추가하거나 제거할 수 있습니다.
레이블 자체를 수정하거나 시스템에서 레이블을 삭제하려면 다음을 수행합니다.
Defender EASM 리소스의 맨 왼쪽 창에서 레이블(미리 보기)을 선택합니다.
이 페이지에는 Defender EASM 인벤토리 내의 모든 레이블이 표시됩니다. 이 페이지의 레이블은 시스템에 있을 수 있지만 자산에 적극적으로 적용되지는 않습니다. 이 페이지에서 새 레이블을 추가할 수도 있습니다.
레이블을 편집하려면 편집하려는 레이블의 작업 열에서 연필 아이콘을 선택합니다. 화면 오른쪽에 레이블의 이름이나 색을 수정할 수 있는 창이 열립니다. 업데이트를 선택합니다.
레이블을 제거하려면 삭제하려는 레이블의 작업 열에서 휴지통 아이콘을 선택합니다. 레이블 제거를 선택합니다.
레이블 페이지가 자동으로 새로 고쳐집니다. 레이블은 목록에서 제거되고 레이블이 적용된 자산에서도 제거됩니다. 배너가 제거를 확인합니다.
관찰을 적용할 수 없음으로 표시
관찰은 다른 수동 변경에 대해 동일한 "자산 수정" 화면에서 적용할 수 없는 것으로 표시될 수 있지만 자산 세부 정보의 관찰 탭에서 이러한 업데이트를 수행할 수도 있습니다. 관찰 탭에는 관찰 및 신뢰할 수 없는 관찰이라는 두 개의 테이블이 있습니다. 공격 표면 내에서 "최근"으로 확인된 모든 활성 관찰은 관찰 테이블에 있는 반면, 적용할 수 없는 관찰 테이블에는 수동으로 적용할 수 없는 것으로 표시되었거나 시스템에 의해 더 이상 적용되지 않도록 결정된 관찰이 나열되어 있습니다. 관찰을 적용할 수 없는 것으로 표시하여 특정 관찰을 dashboard 개수에서 제외하려면 원하는 관찰을 선택하고 "적용할 수 없는 것으로 설정"을 클릭하기만 하면 됩니다. 이러한 관찰은 활성 관찰 테이블에서 즉시 사라지고 대신 "적용할 수 없는 관찰" 테이블에 표시됩니다. 이 테이블에서 관련 관찰 사항을 선택하고 "해당하는 경우 설정"을 선택하여 언제든지 이 변경 내용을 되돌리기 수 있습니다.
작업 관리자 및 알림
작업이 제출된 후 알림은 업데이트가 진행 중임을 확인합니다. Azure 페이지에서 알림(종) 아이콘을 선택하여 최근 작업에 대한 자세한 정보를 확인합니다.
Defender EASM 시스템은 수천 개의 자산을 업데이트하는 데 몇 초 또는 몇 분이 걸릴 수 있습니다. 작업 관리자를 사용하여 진행 중인 수정 작업의 상태 검사 수 있습니다. 이 섹션에서는 작업 관리자에 액세스하고 이를 사용하여 제출된 업데이트의 완료를 더 잘 이해하는 방법을 간략하게 설명합니다.
Defender EASM 리소스의 맨 왼쪽 창에서 작업 관리자를 선택합니다.
이 페이지에는 모든 최근 작업 및 해당 상태 표시됩니다. 작업은 완료됨, 실패 또는 진행 중으로 나열됩니다. 완료율 및 진행률 표시줄도 나타납니다. 특정 작업에 대한 자세한 내용을 보려면 작업 이름을 선택합니다. 화면 오른쪽에 추가 정보를 제공하는 창이 열립니다.
새로 고침을 선택하여 작업 관리자에서 모든 항목의 최신 상태 확인합니다.
레이블 필터링
인벤토리의 자산에 레이블을 지정한 후 인벤토리 필터를 사용하여 특정 레이블이 적용된 모든 자산 목록을 검색할 수 있습니다.
Defender EASM 리소스의 맨 왼쪽 창에서 인벤토리를 선택합니다.
필터 추가를 선택합니다.
필터 드롭다운 목록에서 레이블을 선택합니다. 연산자를 선택하고 옵션 드롭다운 목록에서 레이블을 선택합니다. 다음 예제에서는 단일 레이블을 검색하는 방법을 보여줍니다. In 연산자를 사용하여 여러 레이블을 검색할 수 있습니다. 필터에 대한 자세한 내용은 인벤토리 필터 개요를 참조하세요.
적용을 선택합니다. 인벤토리 목록 페이지는 조건에 맞는 모든 자산을 다시 로드하고 표시합니다.
자산 체인 기반 관리
경우에 따라 검색된 수단을 기반으로 여러 자산을 한 번에 제거할 수 있습니다. 예를 들어 검색 그룹 내의 특정 시드가 organization 관련되지 않은 자산을 끌어온 것을 확인하거나 더 이상 사용자 의도에 속하지 않는 자회사와 관련된 자산을 제거해야 할 수 있습니다. 이러한 이유로 Defender EASM 검색 체인에서 원본 엔터티 및 모든 자산 "다운스트림"을 제거하는 기능을 제공합니다. 다음 세 가지 방법으로 연결된 자산을 삭제할 수 있습니다.
- 시드 기반 관리: 사용자는 한 때 검색 그룹에 포함되었던 시드를 삭제하여 지정된 시드에 대한 관찰된 연결을 통해 인벤토리에 도입된 모든 자산을 제거할 수 있습니다. 이 메서드는 특정 수동으로 입력된 시드로 인해 원치 않는 자산이 인벤토리에 추가되었음을 확인할 수 있는 경우에 유용합니다.
- 검색 체인 관리: 사용자는 검색 체인 내에서 자산을 식별하고 삭제하여 해당 엔터티에서 검색한 자산을 동시에 제거할 수 있습니다. 검색은 재귀 프로세스입니다. 시드를 검사하여 지정된 시드에 직접 연결된 새 자산을 식별한 다음 새로 검색된 엔터티를 계속 검사하여 더 많은 연결을 공개합니다. 이 삭제 방법은 검색 그룹이 제대로 구성되었지만 새로 검색된 자산과 해당 엔터티에 연결하여 인벤토리로 가져온 자산을 제거해야 하는 경우에 유용합니다. 검색 그룹 설정 및 지정된 시드를 검색 체인의 "상단"으로 간주합니다. 이 삭제 방법을 사용하면 중간에서 자산을 제거할 수 있습니다.
- 검색 그룹 관리: 사용자는 이 검색 그룹을 통해 전체 검색 그룹 및 인벤토리에 도입된 모든 자산을 제거할 수 있습니다. 이는 전체 검색 그룹이 더 이상 organization 적용할 수 없는 경우에 유용합니다. instance 경우 자회사와 관련된 자산을 구체적으로 검색하는 검색 그룹이 있을 수 있습니다. 이 자회사가 더 이상 organization 관련이 없는 경우 자산 체인 기반 관리를 활용하여 해당 검색 그룹을 통해 인벤토리로 가져온 모든 자산을 삭제할 수 있습니다.
Defender EASM 제거된 자산을 볼 수 있습니다. "보관됨" 상태의 자산에 대한 인벤토리 목록을 필터링하기만 하면 됩니다.
초기값 기반 삭제
처음에 지정된 검색 시드 중 하나가 더 이상 검색 그룹에 포함되지 않아야 한다고 결정할 수 있습니다. 시드는 더 이상 organization 관련이 없거나 합법적인 소유 자산보다 더 많은 거짓 긍정을 가져올 수 있습니다. 이 경우 검색 그룹에서 시드를 제거하여 향후 검색 실행에서 시드가 사용되지 않도록 방지하면서 과거에 지정된 시드를 통해 인벤토리에 가져온 자산을 동시에 제거할 수 있습니다.
시드를 기반으로 대량 제거를 수행하려면 적절한 검색 그룹 세부 정보 페이지로 라우팅하고 "검색 그룹 편집"을 클릭합니다. 프롬프트에 따라 시드 페이지에 도달하고 목록에서 문제가 있는 시드를 제거합니다. "검토 + 업데이트"를 선택하면 지정된 시드를 통해 검색된 모든 자산도 제거된다는 경고가 표시됩니다. "업데이트" 또는 "업데이트 & 실행"을 선택하여 삭제를 완료합니다.
검색 체인 기반 삭제
다음 예제에서는 공격 표면 요약 dashboard 안전하지 않은 로그인 양식을 발견했다고 상상해 보십시오. 조사는 organization 소유한 것으로 보이지 않는 호스트로 라우팅됩니다. 자세한 내용은 자산 세부 정보 페이지를 참조하세요. 검색 체인을 검토할 때 해당 도메인이 승인된 비즈니스 엔터티를 등록하는 데도 사용된 직원의 회사 전자 메일 주소를 사용하여 등록되었기 때문에 호스트가 인벤토리로 가져온 것을 알게 됩니다.
이 경우 초기 검색 시드(회사 도메인)는 여전히 합법적이므로 검색 체인에서 문제가 있는 자산을 제거해야 합니다. 연락처 전자 메일에서 체인 삭제를 수행할 수 있지만, 대신 이 직원에게 등록된 개인 도메인에 연결된 모든 항목을 제거하여 Defender EASM 나중에 해당 전자 메일 주소에 등록된 다른 도메인에 대해 경고합니다. 검색 체인에서 이 개인 도메인을 선택하여 자산 세부 정보 페이지를 봅니다. 이 보기에서 "검색 체인에서 제거"를 선택하여 인벤토리에서 자산을 제거하고 개인 도메인에 대한 관찰된 연결로 인해 인벤토리로 가져온 모든 자산을 제거합니다. 자산 및 모든 다운스트림 자산의 제거를 확인한 다음 이 작업으로 제거된 다른 자산의 요약된 목록이 표시됩니다. "검색 체인 제거"를 선택하여 대량 제거를 확인합니다.
검색 그룹 삭제
전체 검색 그룹 및 그룹을 통해 검색된 모든 자산을 삭제해야 할 수 있습니다. instance 경우 회사는 더 이상 모니터링할 필요가 없는 자회사를 판매했을 수 있습니다. 사용자는 검색 관리 페이지에서 검색 그룹을 삭제할 수 있습니다. 검색 그룹 및 모든 관련 자산을 제거하려면 목록에서 적절한 그룹 옆에 있는 휴지통 아이콘을 선택합니다. 이 작업으로 제거될 자산의 요약을 나열하는 경고가 표시됩니다. 검색 그룹의 삭제를 확인하려면 및 모든 관련 자산에서 "검색 그룹 제거"를 선택합니다.
