검색 사용 및 관리
Microsoft Defender EASM(외부 공격 표면 관리)은 독점 검색 기술을 사용하여 조직의 고유한 인터넷 노출 공격 표면을 지속적으로 정의합니다. 검색은 조직 소유의 인터넷 자산을 검사하여 이전에 알려지지 않았고 모니터링되지 않은 속성을 발견합니다.
검색된 자산은 인벤토리에 인덱싱되어 조직에서 단일 창을 통해 관리하는 웹 애플리케이션, 타사 종속성 및 웹 인프라의 동적 레코드 시스템을 제공합니다.
사용자 지정 검색을 실행하기 전에 여기서 설명하는 주요 개념을 이해하려면 검색이란?을 참조하세요.
자동화된 공격 노출 영역 액세스
Microsoft는 알려진 자산에 연결된 인프라를 검색하고 초기 공격 표면을 매핑하여 많은 조직의 공격 표면을 선제적으로 구성했습니다.
사용자 지정 공격 노출 영역을 만들고 다른 검색을 실행하기 전에 조직의 공격 노출 영역을 검색하는 것이 좋습니다. 이 프로세스를 사용하면 Defender EASM이 데이터를 새로 고치고 공격 화면에 더 많은 자산과 최근 컨텍스트를 추가하기 때문에 인벤토리에 빠르게 액세스할 수 있습니다.
Defender EASM 인스턴스에 처음 액세스할 때 일반 섹션에서 시작을 선택하여 자동화된 공격 표면 목록에서 조직을 검색합니다. 그런 다음 목록에서 조직을 선택하고 내 공격 표면 빌드를 선택합니다.
이 시점에서 검색은 백그라운드에서 실행됩니다. 사용 가능한 조직 목록에서 미리 구성된 공격 표면을 선택한 경우 미리 보기 모드에서 조직의 인프라에 대한 인사이트를 볼 수 있는 대시보드 개요 화면으로 리디렉션됩니다.
더 많은 자산이 검색되고 인벤토리에 채워질 때까지 기다리는 동안 이러한 대시보드 인사이트를 검토하여 공격 표면에 익숙해지도록 합니다. 이러한 대시보드에서 인사이트를 파생하는 방법에 대한 자세한 내용은 대시보드 이해를 참조하세요.
사용자 지정된 검색을 실행하여 이상값 자산을 검색할 수 있습니다. 예를 들어, 자산이 누락되었을 수 있습니다. 또는 조직에 명확하게 연결된 인프라를 통해 검색되지 않을 수 있는 다른 엔터티를 관리할 수 있습니다.
검색 사용자 지정
사용자 지정 검색은 조직에서 기본 시드 자산에 즉시 연결되지 않을 수 있는 인프라에 대한 심층적인 가시성이 필요한 경우에 적합합니다. 검색 시드로 작동하기 위해 알려진 자산의 더 큰 목록을 제출하면 검색 엔진은 더 넓은 자산 풀을 반환합니다. 또한 사용자 지정 검색은 조직이 독립적인 사업부 및 인수한 회사와 관련될 수 있는 서로 다른 인프라를 찾는 데 도움이 될 수 있습니다.
검색 그룹
사용자 지정 검색은 검색 그룹으로 구성됩니다. 단일 검색 실행을 구성하고 자체 되풀이 일정에 따라 작동하는 독립적인 시드 클러스터입니다. 검색 그룹을 구성하여 회사와 워크플로에 가장 적합한 방식으로 자산을 설명합니다. 일반적인 옵션으로는 책임 있는 팀 또는 사업부, 브랜드 또는 자회사별 구성이 포함됩니다.
검색 그룹 만들기
맨 왼쪽 창의 관리 아래에서 검색을 선택합니다.
이 검색 페이지에는 기본적으로 검색 그룹 목록이 표시됩니다. 이 목록은 플랫폼에 처음 액세스할 때 비어 있습니다. 첫 번째 검색을 실행하려면 검색 그룹 추가를 선택합니다.
새 검색 그룹의 이름을 지정하고 설명을 추가합니다. 되풀이 빈도 필드를 사용하면 지정된 시드와 관련된 새 자산을 지속적으로 스캔하여 이 그룹에 대한 검색 실행을 예약할 수 있습니다. 되풀이 선택 기본값은 주간입니다. 조직의 자산이 정기적으로 모니터링 및 업데이트되도록 하려면 이 주기를 권장합니다.
일회성 검색 실행의 경우 하지 않음을 선택합니다. 검색은 알려진 인프라와 관련된 새 자산을 지속적으로 검색하도록 설계되므로 기본 주기를 주간으로 유지하는 것이 좋습니다. 나중에 검색 그룹 세부 정보 페이지에서 "편집" 옵션을 선택하여 되풀이 빈도를 편집할 수 있습니다.
다음: 시드를 선택합니다.
이 검색 그룹에 사용할 시드를 선택합니다. 시드는 조직에 속한 알려진 자산입니다. Defender EASM 플랫폼은 이러한 엔터티를 검사하고 다른 온라인 인프라에 연결을 매핑하여 공격 표면을 만듭니다. Defender EASM은 외부 관점에서 공격 표면을 모니터링하기 위한 것이므로 개인 IP 주소는 검색 시드에 포함될 수 없습니다.
빠른 시작 옵션을 사용하면 미리 채워진 공격 표면 목록에서 조직을 검색할 수 있습니다. 조직에 속한 알려진 자산을 기반으로 검색 그룹을 빠르게 만들 수 있습니다.
또는 시드를 수동으로 입력할 수 있습니다. Defender EASM은 조직 이름, 도메인, IP 블록, 호스트, 메일 연락처, ASN 및 WhoIs 조직을 시드 값으로 허용합니다.
또한 자산 검색에서 제외할 엔터티를 지정하여 검색된 경우 인벤토리에 추가되지 않도록 할 수도 있습니다. 예를 들어 제외는 중앙 인프라에 연결될 가능성이 높지만 조직에 속하지 않는 자회사가 있는 조직에 유용합니다.
시드를 선택한 후 검토 + 만들기를 선택합니다.
그룹 정보 및 시드 목록을 검토한 다음 만들기 및 실행을 선택합니다.
그러면 검색 그룹을 표시하는 기본 검색 페이지로 돌아갑니다. 검색 실행이 완료되면 승인된 인벤토리에 추가된 새 자산이 표시됩니다.
검색 그룹 보기 및 편집
사용자는 기본 검색 페이지에서 검색 그룹을 관리할 수 있습니다. 기본 보기에는 모든 검색 그룹의 목록과 각 검색 그룹에 대한 몇 가지 주요 데이터가 표시됩니다. 목록 보기에서 각 그룹에 대한 시드 수, 되풀이 일정, 마지막 실행 날짜 및 만든 날짜를 볼 수 있습니다.
검색 그룹을 선택하여 자세한 정보를 보거나, 그룹을 편집하거나, 새 검색 프로세스를 시작합니다.
실행 기록
검색 그룹 세부 정보 페이지에는 그룹에 대한 실행 기록이 포함되어 있습니다. 이 섹션은 특정 시드 그룹에서 수행된 각 검색 실행에 대한 주요 정보를 표시합니다. 상태 열은 실행이 진행 중, 완료 또는 실패인지 여부를 나타냅니다. 또한 이 섹션에는 시작 및 완료된 타임스탬프와 특정 검색 실행 후 인벤토리에 추가된 모든 새 자산의 수가 포함됩니다. 이 수에는 상태 또는 청구 가능 상태에 관계없이 인벤토리로 가져온 모든 자산이 포함됩니다.
실행 기록은 검색 실행 중에 스캔된 시드 자산에 의해 구성됩니다. 해당 시드 목록을 보려면 세부 정보를 클릭합니다. 화면 오른쪽에 종류 및 이름별로 모든 시드 및 제외를 나열하는 창이 열립니다.
시드 및 제외 보기
검색 페이지는 기본적으로 검색 그룹의 목록 보기로 설정되지만 이 페이지에서 모든 시드 및 제외된 엔터티 목록을 볼 수도 있습니다. 검색 그룹에 전원을 공급하는 모든 시드 또는 제외 목록을 보려면 각 탭을 선택합니다.
Seeds
시드 목록 보기에는 형식, 원본 이름 및 검색 그룹의 세 열이 있는 시드 값이 표시됩니다. 형식 필드에 시드 자산의 범주가 표시됩니다. 가장 일반적인 시드는 도메인, 호스트 및 IP 블록입니다. 메일 연락처, ASN, 인증서 일반 이름 또는 Whois 조직을 사용할 수도 있습니다.
원본 이름은 검색 그룹을 만들 때 적절한 형식 상자에 입력된 값입니다. 마지막 열에는 시드를 사용하는 검색 그룹 목록이 표시됩니다. 각 값을 클릭할 수 있으며 값을 통해 해당 검색 그룹의 세부 정보 페이지로 이동할 수 있습니다.
시드를 입력할 때 각 항목에 적절한 형식의 유효성을 검사해야 합니다. 검색 그룹을 저장하면 플랫폼은 일련의 유효성 검사를 실행하고 잘못 구성된 시드에 대해 경고합니다. 예를 들어 IP 블록은 네트워크 주소(예: IP 범위의 시작)로 입력되어야 합니다.
제외
마찬가지로 제외 탭을 선택하여 검색 그룹에서 제외된 엔터티 목록을 볼 수 있습니다. 이러한 자산은 검색 시드로 사용되거나 인벤토리에 추가되지 않습니다. 제외는 개별 검색 그룹에 대한 향후 검색 실행에만 영향을 줍니다.
Type 필드에는 제외된 엔터티의 범주가 표시됩니다. 원본 이름은 검색 그룹을 만들 때 적절한 형식 상자에 입력된 값입니다. 마지막 열에는 이 제외가 있는 검색 그룹 목록이 표시됩니다. 각 값을 클릭할 수 있으며 값을 통해 해당 검색 그룹의 세부 정보 페이지로 이동할 수 있습니다.