Defender EASM 개요
Microsoft Defender EASM(Defender 외부 공격 표면 관리)은 디지털 공격 표면을 지속적으로 검색하고 매핑하여 온라인 인프라의 외부를 보여 줍니다. 이러한 가시성을 통해 보안 및 IT 팀은 알 수 없는 것을 식별하고, 위험의 우선 순위를 지정하며, 위협을 제거하고, 취약성 및 노출 제어 기능을 방화벽 너머로 확장할 수 있습니다. 공격 표면 인사이트에서는 취약성과 인프라 데이터를 활용하여 조직의 주요 관심 영역을 보여 줍니다.
검색 및 인벤토리
Microsoft의 독점 검색 기술은 알려진 합법적 자산에 대한 연결이 관찰된 인프라를 재귀적으로 검색하여 해당 인프라와 조직의 관계에 대해 유추하며 이전에 알려지지 않고 모니터링되지 않은 속성을 검색합니다. 이러한 알려진 합법적인 자산을 검색 '씨앗'이라고 합니다. Defender EASM은 먼저 이러한 선택한 엔터티에 대한 강력한 연결을 검색하여 더 많은 연결을 공개하고 궁극적으로 공격 표면을 컴파일합니다.
Defender EASM에는 다음과 같은 종류의 자산 검색이 포함됩니다.
- 도메인
- 호스트 이름
- 웹 페이지
- IP 블록
- IP 주소
- ASN
- SSL 인증서
- WHOIS 연락처
검색된 자산은 Defender EASM 인벤토리에서 인덱싱 및 분류되어 조직의 관리를 받는 모든 웹 인프라에 대한 동적 레코드를 제공합니다. 자산은 최근(현재 활성) 또는 이전으로 분류되며 웹 애플리케이션과 타사 종속성, 기타 자산 연결을 포함할 수 있습니다.
대시보드
Defender EASM은 사용자가 온라인 인프라와 조직에 대한 주요 위험을 빠르게 이해하는 데 도움이 되는 일련의 대시보드를 제공합니다. 이러한 대시보드는 취약성, 규정 준수, 보안 예방 조치 등 특정 위험 영역에 대한 인사이트를 제공하도록 설계되었습니다. 이러한 인사이트를 통해 고객은 조직에 가장 큰 위험을 초래하는 공격 표면의 구성 요소를 신속하게 해결하는 데 도움을 받을 수 있습니다.
자산 관리
고객은 인벤토리를 필터링하여 가장 관심 있는 특정 인사이트를 표시할 수 있습니다. 필터링은 사용자가 특정 자산 하위 집합에 액세스할 수 있도록 하는 유연성과 사용자 지정 수준을 제공합니다. 이를 통해 인프라 사용 중단에 연결하는 자산을 검색하든, 새 클라우드 리소스를 식별하든 상관없이 특정 사용 사례에 따라 Defender EASM 데이터를 활용할 수 있습니다.
사용자 권한
소유자 또는 기여자 역할이 할당된 사용자는 Defender EASM 리소스 및 그 안에 있는 인벤토리 자산을 만들고, 삭제하고, 편집할 수 있습니다. 이러한 역할은 플랫폼에서 제공되는 모든 기능을 활용할 수 있습니다. 읽기 권한자 역할이 할당된 사용자는 Defender EASM 데이터를 볼 수 있지만 인벤토리 자산 또는 리소스 자체를 만들거나 삭제하거나 편집할 수 없습니다.
데이터 보존, 가용성 및 프라이버시
Microsoft Defender 외부 공격 표면 관리는 전역 데이터와 고객별 데이터를 모두 포함합니다. 기본 인터넷 데이터는 글로벌 Microsoft 데이터입니다. 고객이 적용한 레이블은 고객 데이터로 간주됩니다. 모든 고객 데이터는 고객이 선택한 지역에 저장됩니다.
보안을 위해 Microsoft는 사용자가 로그인할 때 사용자의 IP 주소를 수집합니다. 이 데이터는 최대 30일간 저장되지만, 제품의 잠재적 사기성 또는 악의적인 사용을 조사하는 데 필요한 경우 더 오래 저장될 수 있습니다.
지역 다운 시나리오의 경우 영향을 받는 지역의 고객만 가동 중지 시간을 경험합니다.
Microsoft 규정 준수 프레임워크를 사용하려면 해당 조직이 더 이상 Microsoft의 고객이 되지 않는 180일 이내에 모든 고객 데이터를 삭제해야 합니다. 여기에는 데이터베이스 백업과 같은 오프라인 위치의 고객 데이터 스토리지도 포함됩니다. 리소스가 삭제되면 팀에서 복원할 수 없습니다. 고객 데이터는 75일 동안 데이터 저장소에 보존되지만 실제 리소스는 복원할 수 없습니다. 75일이 지나면 고객 데이터가 영구적으로 삭제됩니다.