자산 세부 정보 이해
Microsoft Defender EASM(외부 공격 표면 관리)은 모든 인벤토리 자산을 자주 검색하고 공격 표면 인사이트를 지원하는 강력한 컨텍스트 메타데이터를 수집합니다. 이 데이터는 자산 세부 정보 페이지에서 더 세분화하여 볼 수도 있습니다. 제공된 데이터는 자산 유형에 따라 변경됩니다. 예를 들어 플랫폼은 도메인, 호스트 및 IP 주소의 고유한 Whois 데이터를 제공합니다. 또한 SSL(Secure Sockets Layer) 인증서의 서명 알고리즘 데이터를 제공합니다.
이 문서에서는 각 인벤토리 자산에 대해 Microsoft에서 수집한 광범위한 데이터를 보고 해석하는 방법을 설명합니다. 각 자산 유형에 대해 이 메타데이터를 정의하고 이 메타데이터에서 파생된 인사이트를 통해 온라인 인프라의 보안 태세를 관리하는 데 어떻게 도움이 되는지 설명합니다.
자세한 내용은 인벤토리 자산 이해를 참조하여 이 문서에 언급된 주요 개념을 숙지하세요.
자산 세부 정보 요약 보기
인벤토리 목록에서 해당 이름을 선택하여 자산의 자산 세부 정보 페이지를 볼 수 있습니다. 이 페이지의 왼쪽 창에서 해당 특정 자산에 대한 주요 정보를 제공하는 자산 요약을 볼 수 있습니다. 이 섹션에는 주로 모든 자산 유형에 적용되는 데이터가 포함되지만 경우에 따라 더 많은 필드를 사용할 수 있습니다. 요약 섹션의 각 자산 유형에 제공되는 메타데이터에 대한 자세한 내용은 다음 차트를 참조하세요.
일반 정보
이 섹션에는 자산을 한눈에 이해하는 데 중요한 개략적인 정보가 포함되어 있습니다. 이러한 필드의 대부분은 모든 자산에 적용됩니다. 이 섹션에는 하나 이상의 자산 유형과 관련된 정보가 포함될 수도 있습니다.
| 이름 | 정의 | 자산 유형 |
|---|---|---|
| 자산 이름 | 자산의 이름입니다. | 모두 |
| UUID | 이 128비트 레이블은 자산에 대한 UUID(Universally Unique Identifier)를 나타냅니다. | 모두 |
| 인벤토리에 추가됨 | 자산이 자동으로 승인된 인벤토리 상태이거나 다른 상태(예: 후보)인 인벤토리에 추가되었던 자산 날짜입니다. | 모두 |
| 마지막으로 업데이트한 날짜 | 수동 사용자가 마지막으로 자산을 업데이트한(예: 상태 변경 또는 자산 제거) 날짜입니다. | 모두 |
| 외부 ID | 수동으로 추가된 외부 ID 값입니다. | 모두 |
| 상태 | RiskIQ 시스템 내 자산의 상태입니다. 옵션에는 승인된 인벤토리, 후보, 종속성 또는 조사 필요가 포함됩니다. | 모두 |
| 처음으로 본 항목(글로벌 보안 그래프) | Microsoft에서 자산을 처음 검사하여 포괄적인 글로벌 보안 그래프에 추가한 날짜입니다. | 모두 |
| 마지막으로 본 항목(글로벌 보안 그래프) | Microsoft에서 가장 최근에 자산을 검사한 날짜입니다. | 모두 |
| 검색 날짜 | 자산을 검색한 검색 그룹의 만든 날짜를 나타냅니다. | 모두 |
| Country | 이 자산이 검색된 원본의 국가입니다. | 모두 |
| 시/도 | 이 자산이 검색된 원본의 주 또는 지방입니다. | 모두 |
| City | 이 자산이 검색된 원본 도시입니다. | 모두 |
| Whois 이름 | Whois 레코드와 연결된 이름입니다. | Host |
| Whois 이메일 | Whois 레코드의 기본 연락처 메일입니다. | Host |
| Whois 조직 | Whois 레코드에 나와 있는 조직입니다. | Host |
| Whois 등록자 | Whois 레코드에 나와 있는 등록자입니다. | Host |
| Whois 이름 서버 | Whois 레코드에 나와 있는 이름 서버입니다. | Host |
| 인증서 발행됨 | 인증서가 발급된 날짜입니다. | SSL 인증서 |
| 인증서 만료 | 인증서가 만료되는 날짜입니다. | SSL 인증서 |
| 일련 번호 | SSL 인증서와 연결된 일련 번호입니다. | SSL 인증서 |
| SSL 버전 | 인증서가 등록된 SSL 버전입니다. | SSL 인증서 |
| 인증서 키 알고리즘 | SSL 인증서를 암호화하는 데 사용되는 키 알고리즘입니다. | SSL 인증서 |
| 인증서 키 크기 | SSL 인증서 키의 비트 수입니다. | SSL 인증서 |
| 서명 알고리즘 OID | 인증서 요청에 서명하는 데 사용되는 해시 알고리즘을 식별하는 OID입니다. | SSL 인증서 |
| 자체 서명 | SSL 인증서가 자체 서명되었는지 여부를 나타냅니다. | SSL 인증서 |
네트워크
다음 IP 주소 정보는 IP 사용에 대한 추가 컨텍스트를 제공합니다.
| 이름 | 정의 | 자산 유형 |
|---|---|---|
| 이름 서버 레코드 | 자산에서 검색된 모든 이름 서버입니다. | IP 주소 |
| 메일 서버 레코드 | 자산에서 검색된 모든 메일 서버입니다. | IP 주소 |
| IP 블록 | IP 주소 자산을 포함하는 IP 블록입니다. | IP 주소 |
| ASN | 자산과 연결된 ASN입니다. | IP 주소 |
블록 정보
다음 데이터는 IP 블록과 관련이 있으며 해당 사용에 대한 컨텍스트 정보를 제공합니다.
| 이름 | 정의 | 자산 유형 |
|---|---|---|
| CIDR | IP 블록의 CIDR(Classless Inter-Domain Routing)입니다. | IP 블록 |
| 네트워크 이름 | IP 블록에 연결된 네트워크 이름입니다. | IP 블록 |
| 조직 이름 | IP 블록의 등록 정보에 있는 조직 이름입니다. | IP 블록 |
| 조직 ID | IP 블록의 등록 정보에 있는 조직 ID입니다. | IP 블록 |
| ASN | IP 블록과 연결된 ASN입니다. | IP 블록 |
| Country | IP 블록에 대한 Whois 등록 정보에서 검색된 원본 국가입니다. | IP 블록 |
Subject
다음 데이터는 SSL 인증서와 연결된 주체(즉, 보호된 엔터티)와 관련되어 있습니다.
| 이름 | 정의 | 자산 유형 |
|---|---|---|
| 일반 이름 | SSL 인증서 주체의 발급자 일반 이름입니다. | SSL 인증서 |
| 대체 이름 | SSL 인증서의 주체에 대한 다른 일반 이름입니다. | SSL 인증서 |
| 조직 이름 | SSL 인증서의 주체에 연결된 조직입니다. | SSL 인증서 |
| 조직 단위 | 인증서를 담당하는 조직 내의 부서를 나타내는 선택적 메타데이터입니다. | SSL 인증서 |
| 지역성 | 조직이 있는 도시를 표시합니다. | SSL 인증서 |
| Country | 조직이 있는 국가를 표시합니다. | SSL 인증서 |
| 시/도 | 조직이 있는 주 또는 지방을 표시합니다. | SSL 인증서 |
Issuer
다음 데이터는 SSL 인증서의 발급자와 관련되어 있습니다.
| 이름 | 정의 | 자산 유형 |
|---|---|---|
| 일반 이름 | 인증서 발급자의 일반 이름입니다. | SSL 인증서 |
| 대체 이름 | 발급자의 다른 이름입니다. | SSL 인증서 |
| 조직 이름 | 인증서 문제를 오케스트레이션한 조직의 이름입니다. | SSL 인증서 |
| 조직 단위 | 인증서를 발급한 조직에 대한 기타 정보입니다. | SSL 인증서 |
데이터 탭
사용자는 자산 세부 정보 페이지의 맨 오른쪽 창에서 선택한 자산과 관련된 더욱 광범위한 데이터에 액세스할 수 있습니다. 이 데이터는 일련의 분류된 탭으로 구성됩니다. 사용 가능한 메타데이터 탭은 사용자는 보고 있는 자산 유형에 따라 변경됩니다.
특정 탭의 오른쪽 위에 "최근 항목만" 토글이 표시됩니다. 기본적으로 Defender EASM은 현재 공격 표면에서 적극적으로 실행되지 않을 수 있는 기록 관찰을 포함하여 각 자산에 대해 수집한 모든 데이터를 표시합니다. 이 기록 컨텍스트는 특정 사용 사례에 매우 유용하지만 "최근 항목만" 토글은 자산 세부 정보 페이지의 모든 결과를 자산에서 가장 최근에 관찰된 결과로 제한합니다. 수정을 위해 자산의 현재 상태를 나타내는 데이터만 보려면 "최근 항목만" 토글을 사용하는 것이 좋습니다.
개요
개요 탭은 자산 세부 정보를 볼 때 중요한 인사이트를 빠르게 식별할 수 있도록 더 많은 컨텍스트를 제공합니다. 이 섹션에는 모든 자산 유형에 대한 키 검색 데이터가 포함되어 있습니다. 이러한 데이터는 Microsoft가 알려진 인프라에 자산을 매핑하는 방법에 대한 인사이트를 제공합니다.
이 섹션에는 해당 자산 유형과 관련된 인사이트를 시각화하는 대시보드 위젯도 포함될 수 있습니다.
검색 체인
검색 체인은 검색 시드와 자산 간의 관찰된 연결을 간략하게 설명합니다. 이 정보는 사용자가 이러한 연결을 시각화하고 자산이 조직에 속한 것으로 결정된 이유를 더 잘 이해하는 데 도움이 됩니다.
예제에서는 초기 도메인이 Whois 레코드의 연락처 이메일을 통해 이 자산에 연결되어 있음을 알 수 있습니다. 동일한 연락처 메일이 이 특정 IP 주소 자산을 포함하는 IP 블록을 등록하는 데 사용되었습니다.
검색 정보
이 섹션에서는 자산을 검색하는 데 사용되는 프로세스 관련 정보를 제공합니다. 여기에는 자산에 연결하는 검색 시드에 대한 정보와 승인 프로세스가 포함됩니다.
표시되는 옵션은 다음과 같습니다.
- 승인된 인벤토리: 이 옵션은 Defender EASM 시스템의 자동 승인을 보증할 수 있을 만큼 시드 자산과 검색된 자산 간의 관계가 강력했음을 나타냅니다.
- 후보: 이 옵션은 프로세스가 자산이 인벤토리에 통합되기 위해 수동 승인이 필요했음을 나타냅니다.
- 마지막 검색 실행: 이 날짜는 처음에 자산을 감지한 검색 그룹이 검색 검사에 마지막으로 사용된 시기를 나타냅니다.
IP 평판
IP 평판 탭에는 지정된 IP 주소와 관련된 잠재적 위협 목록이 표시됩니다. 이 섹션에서는 IP 주소와 관련되어 검색된 악의적이거나 의심스러운 활동을 간략하게 설명합니다. 이 정보는 사용자 고유의 공격 표면의 신뢰성을 이해하는 데 중요합니다. 이러한 위협은 조직이 인프라의 과거 또는 현재 취약성을 파악하는 데 도움이 될 수 있습니다.
Defender EASM IP 평판 데이터는 위협 목록에서 IP 주소가 검색되었을 때 인스턴스를 표시합니다. 예를 들어 다음 예제의 최근 검색은 IP 주소가 암호 화폐 광부를 실행하는 것으로 알려진 호스트와 관련이 있음을 보여 줍니다. 이 데이터는 CoinBlockers에서 제공하는 의심스러운 호스트 목록에서 파생되었습니다. 결과는 마지막으로 본 날짜별로 구성되며 가장 관련성이 높은 검색을 먼저 표시합니다.
이 예제에서는 비정상적으로 많은 수의 위협 피드에 IP 주소가 존재합니다. 이 정보는 향후 악의적인 활동을 방지하기 위해 자산을 철저히 조사해야 함을 나타냅니다.
Services
서비스 탭은 IP 주소, 도메인, 호스트 자산에 사용할 수 있습니다. 이 섹션에서는 자산에서 실행되는 것으로 관찰된 서비스에 대한 정보를 제공합니다. 여기에는 IP 주소, 이름 및 메일 서버, 다른 유형의 인프라(예: 원격 액세스 서비스)에 해당하는 개방형 포트가 포함됩니다.
Defender EASM의 서비스 데이터는 자산을 구동하는 인프라를 이해하는 데 핵심적인 요소입니다. 또한 보호해야 하는 개방형 인터넷에 노출되는 리소스에 대해 경고할 수도 있습니다.
IP 주소
이 섹션에서는 자산의 인프라에서 실행되는 모든 IP 주소에 대한 인사이트를 제공합니다. 서비스 탭에서 Defender EASM은 IP 주소의 이름과 처음 본 날짜 및 마지막으로 본 날짜를 제공합니다. 최근 열은 자산의 가장 최근 검사 중에 IP 주소가 관찰되었는지 여부를 나타냅니다. 이 열에 확인란이 없다면 IP 주소를 이전 검사에서 볼 수 있었지만 현재는 자산에서 실행되고 있지 않는 상태임을 의미합니다.
메일 서버
이 섹션에서는 자산에서 실행 중인 메일 서버의 목록을 제공합니다. 이 정보는 자산이 이메일을 보낼 수 있음을 나타냅니다. 이 섹션에서 Defender EASM은 메일 서버의 이름과 처음 본 날짜 및 마지막으로 본 날짜를 제공합니다. 최근 열은 자산의 가장 최근 검색 중에 메일 서버가 검색되었는지 여부를 나타냅니다.
이름 서버
이 섹션에서는 자산에서 실행되는 이름 서버를 표시하여 호스트 해결 방법을 제공합니다. 이 섹션에서 Defender EASM은 메일 서버의 이름과 처음 본 날짜 및 마지막으로 본 날짜를 제공합니다. 최근 열은 자산의 가장 최근 검색 중에 이름 서버가 검색되었는지 여부를 나타냅니다.
포트 열기
이 섹션에서는 자산에서 검색된 열린 포트를 나열합니다. Microsoft는 정기적으로 약 230개의 고유 포트를 검사합니다. 이 데이터는 개방형 인터넷에서 액세스할 수 없는 비보안 서비스를 식별하는 데 유용합니다. 이러한 서비스에는 데이터베이스, IoT 디바이스, 그리고 라우터, 스위치 등의 네트워크 서비스가 포함됩니다. 섀도 IT 인프라 또는 안전하지 않은 원격 액세스 서비스를 식별하는 데도 유용합니다.
이 섹션에서 Defender EASM은 개방형 포트 번호, 포트에 대한 설명, 관찰된 마지막 상태 및 처음 본 날짜 및 마지막으로 본 날짜를 제공합니다. 최근 열은 가장 최근 검사 중에 포트가 개방형으로 관찰되었는지 여부를 나타냅니다.
추적기
추적기는 웹 페이지 내에서 발견되는 고유한 코드 또는 값이며 사용자 상호 작용을 추적하는 데 자주 사용됩니다. 이러한 코드를 사용하여 서로 다른 웹 사이트 그룹을 중앙 엔터티와 상호 연결할 수 있습니다. Microsoft의 추적기 데이터 세트에는 Google, Yandex, Mixpanel, New Relic, Clicky와 같은 공급자의 ID가 포함되어 있으며 계속 늘어나고 있습니다.
이 섹션에서 Defender EASM은 추적기 유형(예: GoogleAnalyticsID), 고유 식별자 값, 처음 본 날짜 및 마지막으로 본 날짜를 제공합니다.
웹 구성 요소
웹 구성 요소는 Microsoft 검사를 통해 관찰된 자산의 인프라를 설명하는 세부 정보입니다. 이러한 구성 요소는 자산에 사용되는 기술에 대한 높은 수준의 이해를 제공합니다. Microsoft는 특정 구성 요소를 분류하고 가능한 경우 버전 번호를 포함합니다.
웹 구성 요소 섹션에서는 구성 요소의 범주, 이름, 버전뿐만 아니라 수정해야 하는 적용 가능한 CVE 목록을 제공합니다. 또한 Defender EASM은 처음 본 날짜 및 마지막으로 본 날짜 열과최근 열을 제공합니다. 확인란은 자산의 가장 최근 검사 중에 이 인프라가 관찰되었음을 나타냅니다.
웹 구성 요소는 해당 함수에 따라 분류됩니다.
| 웹 구성 요소 | 예제 |
|---|---|
| 호스팅 공급자 | hostingprovider.com |
| 서버 | Apache |
| DNS 서버 | ISC BIND |
| 데이터 저장소 | MySQL, ElasticSearch, MongoDB |
| 원격 액세스 | OpenSSH, Microsoft 관리 센터, Netscaler Gateway |
| 데이터 교환 | Pure-FTPd |
| IoT(사물 인터넷) | HP Deskjet, Linksys Camera, Sonos |
| 메일 서버 | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| 네트워크 디바이스 | Cisco Router, Motorola WAP, ZyXEL Modem |
| 빌드 제어 | 선형 eMerge, ASI 컨트롤 웹링크, Optergy |
관측
관찰 탭은 자산과 관련된 공격 표면 우선 순위 대시보드의 모든 인사이트를 표시합니다. 이러한 우선 순위에는 다음이 포함될 수 있습니다.
- 중요 CVE
- 손상된 인프라에 대한 알려진 연결
- 사용되지 않는 기술 사용
- 인프라 모범 사례 위반
- 규정 준수 문제
관찰에 대한 자세한 내용은 대시보드 이해를 참조하세요. 각 관찰에 대해 Defender EASM은 관찰의 이름을 제공하고, 유형별로 분류하고, 우선 순위를 할당하며, 해당하는 경우 CVSS v2 및 v3 점수를 모두 나열합니다.
리소스
리소스 탭은 페이지 또는 호스트 자산에서 실행되는 JavaScript 리소스에 대한 인사이트를 제공합니다. 호스트에 적용할 수 있는 경우 이러한 리소스는 해당 호스트의 모든 페이지에서 실행되는 JavaScript를 나타내기 위해 집계됩니다. 이 섹션에서는 조직에서 이러한 리소스를 완전히 파악하고 변경 내용을 검색할 수 있도록 각 자산에서 검색된 JavaScript의 인벤토리를 제공합니다.
Defender EASM은 리소스 URL과 호스트, MD5 값, 처음 본 날짜 및 마지막으로 본 날짜를 제공하여 조직이 인벤토리 전체에서 JavaScript 리소스 사용을 효과적으로 모니터링할 수 있도록 지원합니다.
SSL 인증서
인증서는 SSL을 통해 브라우저와 웹 서버 간의 통신을 보호하는 데 사용됩니다. 인증서를 사용하면 전송 중인 중요한 데이터를 읽거나, 변조하거나, 위조할 수 없습니다. Defender EASM의 이 섹션에는 문제 및 만료 날짜와 같은 주요 데이터를 포함하여 자산에서 검색된 모든 SSL 인증서가 나열됩니다.
Whois
Whois 프로토콜은 인터넷 리소스의 등록 및 소유권과 관련된 데이터를 저장하는 데이터베이스를 쿼리하고 응답하는 데 사용됩니다. Whois에는 Defender EASM의 도메인, 호스트, IP 주소, IP 블록에 적용할 수 있는 주요 등록 데이터가 포함되어 있습니다. Whois 데이터 탭에서 Microsoft는 자산의 레지스트리와 연결된 강력한 양의 정보를 제공합니다.
다음 필드는 Whois 탭의 값 섹션에 포함되어 있습니다.
| 필드 | 설명 |
|---|---|
| Whois 서버 | ICANN 공인 등록 기관에서 등록된 엔터티에 대한 최신 정보를 얻기 위해 설정한 서버입니다. |
| 등록자 | 서비스를 사용하여 자산을 등록한 회사입니다. 인기 있는 등록 기관에는 GoDaddy, Namecheap, HostGator가 있습니다. |
| 도메인 상태 | 레지스트리에서 설정한 도메인의 모든 상태입니다. 이러한 상태는 도메인이 등록자에서 삭제 또는 전송을 보류 중이거나 인터넷에서 활성 상태임을 나타낼 수 있습니다. 이 필드는 자산의 제한 사항을 나타낼 수도 있습니다. 예를 들어 클라이언트 삭제 금지는 등록자가 자산을 삭제할 수 없음을 나타냅니다. |
| 전자 메일 | 등록자가 제공한 모든 연락처 메일 주소입니다. Whois를 사용하면 등록자가 연락처 유형을 지정할 수 있습니다. 옵션에는 관리, 기술, 등록자 및 등록자 연락처가 포함됩니다. |
| 이름 | 제공된 경우 등록자의 이름입니다. |
| 조직 | 등록된 엔터티를 담당하는 조직입니다. |
| 번지 | 제공된 경우 등록자의 주소입니다. |
| City | 제공된 경우 등록자의 주소에 나와 있는 도시입니다. |
| State(상태) | 제공된 경우 등록자의 주소에 나와 있는 상태입니다. |
| Postal code | 제공된 경우 등록자의 주소에 나와 있는 우편 번호입니다. |
| Country | 제공된 경우 등록자의 주소에 나와 있는 국가입니다. |
| 휴대폰 | 제공된 경우 등록자 연락처와 연결된 전화번호입니다. |
| 이름 서버 | 등록된 엔터티와 연결된 모든 이름 서버입니다. |
많은 조직에서 레지스트리 정보에 난독 처리를 선택합니다. 연락처 이메일 주소가 @anonymised.email로 끝나는 경우도 있습니다. 이 자리 표시자는 실제 연락처 주소 대신 사용됩니다. 등록 구성 중에는 많은 필드가 선택 사항이므로 빈 값이 있는 필드는 등록자가 포함하지 않았습니다.
변경 내용
"변경 내용" 탭에는 시간이 지남에 따라 자산에 적용된 수정 내용 목록이 표시됩니다. 이 정보는 시간 경과에 따른 이러한 변경 내용을 추적하고 자산의 수명 주기를 더욱 효과적으로 이해하는 데 도움이 됩니다. 이 탭에는 다양한 변경 내용이 표시됩니다(자산 상태, 레이블, 외부 ID를 포함하지만 이에 국한되지 않음). 각 변경에 대해 변경 및 타임스탬프를 구현한 사용자를 나열합니다.
