Share via

자산 수정 개요

  • 아티클

이 문서에서는 인벤토리 자산을 수정하는 방법을 간략하게 설명합니다. 자산의 상태를 변경하거나, 외부 ID를 할당하거나, 레이블을 적용하여 컨텍스트를 제공하고 인벤토리 데이터를 사용할 수 있습니다. 사용자는 검색된 방법에 따라 인벤토리에서 대량으로 자산을 제거할 수도 있습니다. 예를 들어 사용자는 검색 그룹에서 시드를 제거하고 이 시드에 대한 연결을 통해 검색된 모든 자산을 제거하도록 선택할 수 있습니다. 이 문서에서는 Defender EASM에서 사용할 수 있는 모든 수정 옵션에 대해 설명하고, 작업 관리자를 사용하여 자산을 업데이트하고, 업데이트를 추적하는 방법을 간략하게 설명합니다.

자산 레이블 지정

레이블을 사용하면 공격 표면을 구성하고 사용자 지정 가능한 방식으로 비즈니스 컨텍스트를 적용할 수 있습니다. 자산의 하위 집합에 텍스트 레이블을 적용하여 자산을 그룹화하고 인벤토리를 더 잘 사용할 수 있습니다. 고객은 일반적으로 다음과 같은 자산을 분류합니다.

  • 최근에 합병 또는 인수를 통해 조직의 소유권을 갖게 되었습니다.
  • 규정 준수 모니터링이 필요합니다.
  • 조직의 특정 사업부가 소유하고 있습니다.
  • 완화가 필요한 특정 취약성의 영향을 받습니다.
  • 조직이 소유한 특정 브랜드와 관련이 있습니다.
  • 특정 시간 범위 내에서 인벤토리에 추가되었습니다.

레이블은 자유 형식 텍스트 필드이므로 조직에 적용되는 모든 사용 사례에 대한 레이블을 만들 수 있습니다.

Screenshot that shows an inventory list view with a filtered Labels column.

자산의 상태 변경

사용자는 자산의 상태를 변경할 수도 있습니다. 상태는 조직에서의 역할에 따라 인벤토리를 분류하는 데 도움이 됩니다. 사용자는 다음 상태 간에 전환할 수 있습니다.

  • 승인된 인벤토리: 소유 공격 표면의 일부로, 직접적인 책임이 있는 항목입니다.
  • 종속성: 제3자 소유이지만 소유 자산의 운영을 직접 지원하기 때문에 공격 표면의 일부인 인프라입니다. 예를 들어, 웹 콘텐츠를 호스트하기 위해 IT 공급자에 의존할 수 있습니다. 도메인, 호스트 이름 및 페이지는 "승인된 인벤토리"의 일부이지만 호스트를 실행하는 IP 주소를 "종속성"으로 취급할 수 있습니다.
  • 모니터 전용: 공격 표면과 관련이 있지만 직접 제어되거나 기술적 종속성이 없는 자산입니다. 예를 들어 관련 회사에 속한 독립 프랜차이즈 또는 자산은 보고 목적으로 그룹을 분리하기 위해 "승인된 인벤토리"가 아닌 "모니터 전용"으로 레이블이 지정될 수 있습니다.
  • 후보: 조직의 알려진 시드 자산과 약간의 관계가 있지만 "승인된 인벤토리"로 즉시 레이블을 지정할 만큼 강력한 연결이 없는 자산입니다. 소유권을 결정하려면 이러한 후보 자산을 수동으로 검토해야 합니다.
  • 조사 필요: "후보" 상태와 유사한 상태이지만 이 값은 유효성 검사를 위해 수동 조사가 필요한 자산에 적용됩니다. 이는 내부적으로 생성된 신뢰도 점수를 기반으로 결정되며, 이 점수는 자산 간에 검색된 연결의 강도를 평가합니다. 이는 자산이 분류 방법을 결정하기 위해 추가 검토가 필요함을 나타내지만 조직과 인프라의 정확한 관계를 나타내지는 않습니다.

외부 ID 적용

사용자는 자산에 외부 ID를 적용할 수도 있습니다. 이는 자산 추적, 수정 활동 또는 소유권 모니터링을 위해 여러 솔루션을 사용하는 경우에 유용합니다. Defender EASM 내에서 외부 ID를 확인하면 이 서로 다른 자산 정보를 정렬하는 데 도움이 됩니다. 외부 ID 값은 숫자 또는 영숫자일 수 있으며 텍스트 형식으로 입력해야 합니다. 외부 ID도 자산 세부 정보 섹션 내에 표시됩니다.

자산을 수정하는 방법

인벤토리 목록과 자산 세부 정보 페이지 모두에서 자산을 수정할 수 있습니다. 자산 세부 정보 페이지에서 단일 자산을 변경할 수 있습니다. 인벤토리 목록 페이지에서 단일 자산 또는 여러 자산을 변경할 수 있습니다. 다음 섹션에서는 사용 사례에 따라 두 인벤토리 보기의 변경 내용을 적용하는 방법을 설명합니다.

인벤토리 목록 페이지

여러 자산을 한 번에 업데이트하려면 인벤토리 목록 페이지에서 자산을 수정해야 합니다. 필터 매개 변수를 기반으로 자산 목록을 구체화할 수 있습니다. 이 프로세스를 통해 레이블, 외부 ID 또는 원하는 상태 변경으로 분류해야 하는 자산을 식별할 수 있습니다. 이 페이지에서 자산을 수정하려면 다음을 수행합니다.

  1. Microsoft Defender EASM(외부 공격 표면 관리) 리소스의 맨 왼쪽 창에서 인벤토리를 선택합니다.

  2. 필터를 적용하여 원하는 결과를 생성합니다. 이 예제에서는 갱신이 필요한 30일 이내에 만료되는 도메인을 찾고 있습니다. 적용된 레이블을 사용하면 만료되는 도메인에 더 빠르게 액세스하여 수정 프로세스를 간소화할 수 있습니다. 필요한 특정 결과를 얻기 위해 필요한 만큼 필터를 적용할 수 있습니다. 필터에 대한 자세한 내용은 인벤토리 필터 개요를 참조하세요.

    Screenshot that shows the inventory list view with the Add filter dropdown opened to display the query editor.

  3. 인벤토리 목록을 필터링한 후 Asset 테이블 헤더 옆의 확인란으로 드롭다운을 선택합니다. 이 드롭다운에서는 쿼리와 일치하는 모든 결과 또는 해당 특정 페이지의 결과(최대 25개)를 선택할 수 있는 옵션을 제공합니다. 없음 옵션은 모든 자산을 지웁니다. 각 자산 옆에 있는 개별 확인 표시를 선택하여 페이지에서 특정 결과만 선택하도록 선택할 수도 있습니다.

    Screenshot that shows the inventory list view with the bulk selection dropdown opened.

  4. 자산 수정을 선택합니다.

  5. 화면 오른쪽에 열리는 자산 수정 창에서 선택한 자산의 상태를 빠르게 변경할 수 있습니다. 이 예제에서는 새 레이블을 만듭니다. 새 레이블 만들기를 선택합니다.

  6. 레이블 이름을 결정하고 텍스트 값을 표시합니다. 레이블을 처음 만든 후에는 레이블 이름을 변경할 수 없지만 표시 텍스트는 나중에 편집할 수 있습니다. 레이블 이름은 제품 인터페이스 또는 API를 통해 레이블을 쿼리하는 데 사용되므로 이러한 쿼리가 제대로 작동하도록 편집할 수 없습니다. 레이블 이름을 편집하려면 원래 레이블을 삭제하고 새 레이블을 만들어야 합니다.

    새 레이블의 색을 선택하고 추가를 선택합니다. 이 작업을 수행하면 자산 수정 화면으로 돌아갑니다.

    Screenshot that shows the Add label pane that displays the configuration fields.

  7. 자산에 새 레이블을 적용합니다. 레이블 추가 텍스트 상자 내부를 클릭하여 사용 가능한 레이블의 전체 목록을 봅니다. 또는 상자 안에 입력하여 키워드로 검색할 수 있습니다. 적용할 레이블을 선택한 후 업데이트를 선택합니다.

    Screenshot that shows the Modify Asset pane with the newly created label applied.

  8. 레이블이 적용될 때까지 잠시 기다리세요. 프로세스가 완료되면 "완료됨" 알림이 표시됩니다. 페이지가 자동으로 새로 고쳐지고 레이블이 표시된 자산 목록이 표시됩니다. 화면 맨 위에 있는 배너는 레이블이 적용되었음을 확인합니다.

    Screenshot that shows the inventory list view with the selected assets now displaying the new label.

자산 세부 정보 페이지

자산 세부 정보 페이지에서 단일 자산을 수정할 수도 있습니다. 이 옵션은 레이블 또는 상태 변경이 적용되기 전에 자산을 철저히 검토해야 하는 경우에 적합합니다.

  1. Defender EASM 리소스의 맨 왼쪽 창에서 인벤토리를 선택합니다.

  2. 수정하려는 특정 자산을 선택하여 자산 세부 정보 페이지를 엽니다.

  3. 이 페이지에서 자산 수정을 선택합니다.

    Screenshot that shows the asset details page with the Modify asset button highlighted.

  4. "인벤토리 목록 페이지" 섹션에서 5~7단계를 수행합니다.

  5. 자산 세부 정보 페이지가 새로 고쳐지고 새로 적용된 레이블 또는 상태 변경 내용이 표시됩니다. 배너는 자산이 성공적으로 업데이트되었음을 나타냅니다.

레이블 수정, 제거 또는 삭제

사용자는 인벤토리 목록 또는 자산 세부 정보 보기에서 동일한 자산 수정 창에 액세스하여 자산에서 레이블을 제거할 수 있습니다. 인벤토리 목록 뷰에서 한 번에 여러 자산을 선택한 다음 한 번의 작업으로 원하는 레이블을 추가하거나 제거할 수 있습니다.

레이블 자체를 수정하거나 시스템에서 레이블을 삭제하려면 다음을 수행합니다.

  1. Defender EASM 리소스의 맨 왼쪽 창에서 레이블(미리 보기)를 선택합니다.

    Screenshot that shows the Labels (Preview) page that enables label management.

    이 페이지에는 Defender EASM 인벤토리 내의 모든 레이블이 표시됩니다. 이 페이지의 레이블은 시스템에 있을 수 있지만 자산에 적극적으로 적용되지는 않습니다. 이 페이지에서 새 레이블을 추가할 수도 있습니다.

  2. 레이블을 편집하려면 편집할 레이블의 작업 열에서 연필 아이콘을 선택합니다. 화면 오른쪽에서 레이블의 이름이나 색을 수정할 수 있는 창이 열립니다. 업데이트를 선택합니다.

  3. 레이블을 제거하려면 삭제할 레이블의 작업 열에서 휴지통 아이콘을 선택합니다. 레이블 제거를 선택합니다.

    Screenshot that shows the Confirm Remove option on the Labels management page.

레이블 페이지가 자동으로 새로 고쳐집니다. 레이블이 목록에서 제거되고 레이블이 적용된 자산에서도 제거됩니다. 배너가 제거를 확인합니다.

작업 관리자 및 알림

작업이 제출되면 업데이트가 진행 중임을 알리는 알림이 표시됩니다. Azure의 모든 페이지에서 알림(종) 아이콘을 선택하여 최근 작업에 대한 자세한 정보를 확인합니다.

Screenshot that shows the Task submitted notification.Screenshot that shows the Notifications pane that displays recent task status.

Defender EASM 시스템은 소수의 자산을 업데이트하는 데 몇 초가 걸리거나 수천 개의 자산을 업데이트하는 데 몇 분이 걸릴 수 있습니다. 작업 관리자를 사용하여 진행 중인 수정 작업의 상태를 확인할 수 있습니다. 이 섹션에서는 작업 관리자에 액세스하고 이를 사용하여 제출된 업데이트의 완료를 더 잘 이해하는 방법을 간략하게 설명합니다.

  1. Defender EASM 리소스의 맨 왼쪽 창에서 작업 관리자를 선택합니다.

    Screenshot that shows the Task Manager page with appropriate section in navigation pane highlighted.

  2. 이 페이지에는 모든 최근 작업과 해당 상태가 표시됩니다. 작업은 완료됨, 실패함 또는 진행 중으로 나열됩니다. 완료율과 진행률 표시줄도 나타납니다. 특정 작업에 대한 자세한 내용을 보려면 작업 이름을 선택합니다. 화면 오른쪽에 추가 정보를 제공하는 창이 열립니다.

  3. 새로 고침을 선택하여 작업 관리자에 있는 모든 항목의 최신 상태를 확인합니다.

레이블 필터링

인벤토리의 자산에 레이블을 지정한 후에는 인벤토리 필터를 사용하여 특정 레이블이 적용된 모든 자산 목록을 검색할 수 있습니다.

  1. Defender EASM 리소스의 맨 왼쪽 창에서 인벤토리를 선택합니다.

  2. 필터 추가를 선택합니다.

  3. 필터 드롭다운 목록에서 레이블을 선택합니다. 연산자를 선택하고 옵션 드롭다운 목록에서 레이블을 선택합니다. 다음 예제에서는 단일 레이블을 검색하는 방법을 보여줍니다. In 연산자를 사용하여 여러 레이블을 검색할 수 있습니다. 필터에 대한 자세한 내용은 인벤토리 필터 개요를 참조하세요.

    Screenshot that shows the query editor used to apply filters, displaying the Labels filter with possible label values in a dropdown list.

  4. 적용을 선택합니다. 인벤토리 목록 페이지가 다시 로드되고 조건과 일치하는 모든 자산이 표시됩니다.

자산 체인 기반 관리

경우에 따라 검색된 수단에 따라 여러 자산을 한 번에 제거할 수 있습니다. 예를 들어 검색 그룹 내의 특정 시드가 조직과 관련이 없는 자산을 가져왔는지 확인하거나, 더 이상 범위의 속하지 않는 자회사와 관련된 자산을 제거해야 할 수 있습니다. 이러한 이유로 Defender EASM은 검색 체인에서 원본 엔터티 및 자산 "다운스트림"을 제거하는 기능을 제공합니다. 다음 세 가지 방법으로 연결된 자산을 삭제할 수 있습니다.

  • 시드 기반 관리: 사용자는 이전에 검색 그룹에 포함된 시드를 삭제하여 지정된 시드에 대한 관찰된 연결을 통해 인벤토리에 도입된 모든 자산을 제거할 수 있습니다. 이 메서드는 수동으로 입력된 특정 시드로 인해 원치 않는 자산이 인벤토리에 추가되는 것을 확인할 수 있는 경우에 유용합니다.
  • 검색 체인 관리: 사용자는 검색 체인 내에서 자산을 식별하고 삭제할 수 있으며 동시에 해당 엔터티에서 검색한 자산을 제거할 수 있습니다. 검색은 재귀 프로세스입니다. 시드를 스캔하여 지정된 시드에 직접 연결된 새 자산을 식별한 다음, 새로 검색된 엔터티를 계속 스캔하여 더 많은 연결을 표시합니다. 이 삭제 방법은 검색 그룹이 제대로 구성된 경우에 유용하지만 새로 검색된 자산 및 해당 엔터티에 연결하여 인벤토리로 가져온 모든 자산을 제거해야 합니다. 검색 그룹 설정 및 지정된 시드를 검색 체인의 "상단"으로 간주합니다. 이 삭제 방법을 사용하면 중간에서 자산을 제거할 수 있습니다.
  • 검색 그룹 관리: 사용자는 전체 검색 그룹과 이 검색 그룹을 통해 인벤토리에 도입된 모든 자산을 제거할 수 있습니다. 이는 전체 검색 그룹이 조직에 더 이상 적용되지 않는 경우에 유용합니다. 예를 들어 자회사와 관련된 자산을 구체적으로 검색하는 검색 그룹이 있을 수 있습니다. 이 자회사가 더 이상 조직과 관련이 없는 경우 자산 체인 기반 관리를 활용하여 해당 검색 그룹을 통해 인벤토리로 가져온 모든 자산을 삭제할 수 있습니다.

Defender EASM에서 제거된 자산을 계속 볼 수 있습니다. "보관됨" 상태의 자산에 대한 인벤토리 목록을 필터링하기만 하면 됩니다.

시드 기반 삭제

처음에 지정된 검색 시드 중 하나가 더 이상 검색 그룹에 포함되지 않도록 결정할 수 있습니다. 시드는 더 이상 조직과 관련이 없거나 합법적으로 소유한 자산보다 더 많은 가양성을 가져올 수 있습니다. 이 경우 검색 그룹에서 시드를 제거하여 나중에 검색 실행에 사용되지 않도록 하는 동시에 과거에 지정된 시드를 통해 인벤토리로 가져온 자산을 제거할 수 있습니다.

시드에 따라 대량 제거를 수행하려면 적절한 검색 그룹 세부 정보 페이지로 라우팅하고 "검색 그룹 편집"을 클릭합니다. 프롬프트에 따라 시드 페이지에 도달하고 목록에서 문제가 있는 시드를 제거합니다. "검토 + 업데이트"를 선택하면 지정된 시드를 통해 검색된 모든 자산도 제거된다는 경고가 표시됩니다. "업데이트" 또는 "업데이트 및 실행"을 선택하여 삭제를 완료합니다.

Screenshot that shows the Edit Discovery Group page with a warning indicating the removal of a seed and any assets discovered through that seed.

검색 체인 기반 삭제

다음 예제에서는 공격 표면 요약 대시보드에서 안전하지 않은 로그인 양식을 발견했다고 가정해 보겠습니다. 조사 결과 조직에서 소유하지 않은 것으로 보이는 호스트로 라우팅됩니다. 자세한 내용은 자산 세부 정보 페이지를 참조하세요. 검색 체인을 검토하면 승인된 비즈니스 엔터티를 등록하는 데 사용된 직원의 회사 이메일 주소를 사용하여 해당 도메인이 등록되었기 때문에 호스트가 인벤토리로 가져온 것을 알게 됩니다.

Screenshot that shows the Asset Details page with the Discovery Chain section highlighted.

이 경우 초기 검색 초기 시드(회사 도메인)는 여전히 합법적이므로 대신 검색 체인에서 문제가 있는 자산을 제거해야 합니다. 연락처 이메일에서 체인 삭제를 수행할 수 있지만 대신 이 직원에게 등록된 개인 도메인과 관련된 모든 항목을 제거하여 Defender EASM이 향후 해당 이메일 주소에 등록된 다른 도메인에 대해 경고할 수 있도록 선택합니다. 검색 체인에서 이 개인 도메인을 선택하여 자산 세부 정보 페이지를 봅니다. 이 보기에서 "검색 체인에서 제거"를 선택하여 인벤토리에서 자산을 제거하고 개인 도메인에 대한 관찰된 연결로 인해 인벤토리로 가져온 모든 자산을 제거합니다. 자산 및 모든 다운스트림 자산의 제거를 확인하라는 메시지가 표시되고 이 작업으로 제거될 다른 자산의 요약된 목록이 표시됩니다. "검색 체인 제거"를 선택하여 대량 제거를 확인합니다.

Screenshot that shows the box that prompts users to confirm the removal of the current asset and all downstream assets, with a summary of the other assets that will be removed with this action.

검색 그룹 삭제

전체 검색 그룹 및 그룹을 통해 검색된 모든 자산을 삭제해야 할 수도 있습니다. 예를 들어 회사에서 더 이상 모니터링할 필요가 없는 자회사를 매각했을 수 있습니다. 사용자는 검색 관리 페이지에서 검색 그룹을 삭제할 수 있습니다. 검색 그룹 및 모든 관련 자산을 제거하려면 목록에서 해당 그룹 옆에 있는 휴지통 아이콘을 선택하기만 하면 됩니다. 이 작업으로 제거될 자산의 요약을 나열하는 경고가 표시됩니다. 검색 그룹의 삭제를 확인하려면 다음을 수행합니다. 모든 관련 자산에서 "검색 그룹 제거"를 선택합니다.

Screenshot that shows the Discovery management page, with the warning box that appears after electing to delete a group highlighted.

다음 단계