Wat is Discovery?
Overzicht
Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen (Defender EASM) is afhankelijk van onze eigen detectietechnologie om continu het unieke kwetsbaarheid voor aanvallen op internet van uw organisatie te definiëren. Detectie scant bekende assets die eigendom zijn van uw organisatie om eerder onbekende en niet-bewaakte eigenschappen te ontdekken. Gedetecteerde assets worden geïndexeerd in de inventaris van een klant, wat een dynamisch systeem van record van webtoepassingen, afhankelijkheden van derden en webinfrastructuur biedt onder het beheer van de organisatie via één deelvenster glas.
Via dit proces kunnen organisaties proactief hun digitale aanvalsoppervlak bewaken en opkomende risico's en beleidsschendingen identificeren wanneer ze zich voordoen. Veel programma's voor beveiligingsproblemen hebben geen zichtbaarheid buiten hun firewall, waardoor ze zich niet bewust zijn van externe risico's en bedreigingen, de primaire bron van gegevensschendingen. Tegelijkertijd blijft de digitale groei het vermogen van een beveiligingsteam van een onderneming te boven gaan om het te beschermen. Digitale initiatieven en overvallende 'schaduw-IT' leiden tot een uitbreidend aanvalsoppervlak buiten de firewall. In dit tempo is het bijna onmogelijk om controles, beveiligingen en nalevingsvereisten te valideren. Zonder Defender EASM is het bijna onmogelijk om beveiligingsproblemen en scanners buiten de firewall te identificeren en te verwijderen om de volledige kwetsbaarheid voor aanvallen te beoordelen.
Hoe het werkt
Als u een uitgebreide toewijzing wilt maken van het aanvalsoppervlak van uw organisatie, gebruikt het systeem eerst bekende assets (ook wel 'zaden' genoemd) die recursief worden gescand om meer entiteiten te detecteren via hun verbindingen met een seed. Een eerste seed kan een van de volgende soorten webinfrastructuur zijn geïndexeerd door Microsoft:
- Domeinen
- IP-blokken
- Hosts
- E-mailcontactpersonen
- ASN's
- Whois-organisaties
Vanaf een seed detecteert het systeem vervolgens koppelingen naar andere onlineinfrastructuur om andere assets te detecteren die eigendom zijn van uw organisatie; met dit proces wordt uiteindelijk uw aanvalsoppervlakinventaris gemaakt. Het detectieproces gebruikt de zaden als de centrale knooppunten en spinnen naar de rand van uw aanvalsoppervlak door alle infrastructuur te identificeren die rechtstreeks is verbonden met de seed, en vervolgens alle dingen te identificeren die betrekking hebben op elk van de dingen in de eerste set verbindingen, enzovoort. Dit proces wordt voortgezet totdat we de rand bereiken van wat uw organisatie verantwoordelijk is voor het beheren.
Als u bijvoorbeeld de infrastructuur van Contoso wilt detecteren, kunt u het domein, contoso.com, gebruiken als de eerste keystone-seed. Vanaf deze seed kunnen we de volgende bronnen raadplegen en de volgende relaties afleiden:
| Gegevensbron | Opmerking |
|---|---|
| WhoIs-records | Andere domeinnamen die zijn geregistreerd bij hetzelfde e-mailadres van contactpersonen of de organisatie van de registrator die zijn gebruikt om contoso.com waarschijnlijk ook bij Contoso horen |
| WhoIs-records | Alle domeinnamen die zijn geregistreerd bij elk @contoso.com e-mailadres behoren waarschijnlijk ook tot Contoso |
| Whois-records | Andere domeinen die zijn gekoppeld aan dezelfde naamserver als contoso.com kunnen ook bij Contoso horen |
| DNS-records | We kunnen ervan uitgaan dat Contoso ook eigenaar is van alle geobserveerde hosts op de domeinen die eigenaar zijn en websites die zijn gekoppeld aan deze hosts |
| DNS-records | Domeinen met andere hosts die worden omgezet in dezelfde IP-blokken, kunnen ook bij Contoso horen als de organisatie eigenaar is van het IP-blok |
| DNS-records | E-mailservers die zijn gekoppeld aan domeinnamen die eigendom zijn van Contoso, behoren ook tot Contoso |
| SSL-certificaten | Contoso is waarschijnlijk ook eigenaar van alle SSL-certificaten die zijn verbonden met elk van deze hosts en andere hosts die gebruikmaken van dezelfde SSL-certificaten |
| ASN-records | Andere IP-blokken die zijn gekoppeld aan dezelfde ASN als de IP-blokken waarmee hosts op de domeinnamen van Contoso zijn verbonden, kunnen ook deel uitmaken van Contoso, net zoals alle hosts en domeinen die hieraan worden omgezet |
Met deze set verbindingen op het eerste niveau kunnen we snel een geheel nieuwe set assets afleiden om te onderzoeken. Voordat u meer recursies uitvoert, bepaalt Microsoft of een verbinding sterk genoeg is om een gedetecteerde entiteit automatisch aan uw bevestigde inventaris toe te voegen. Voor elk van deze assets voert het detectiesysteem geautomatiseerde, recursieve zoekopdrachten uit op basis van alle beschikbare kenmerken om verbindingen op het tweede niveau en op het derde niveau te vinden. Dit terugkerende proces biedt meer informatie over de onlineinfrastructuur van een organisatie en detecteert daarom verschillende assets die mogelijk niet zijn gedetecteerd en die vervolgens anders zijn bewaakt.
Geautomatiseerde versus aangepaste aanvalsoppervlakken
Wanneer u Defender EASM voor het eerst gebruikt, hebt u toegang tot een vooraf samengestelde inventaris voor uw organisatie om snel aan de slag te gaan met uw werkstromen. Op de pagina Aan de slag kunnen gebruikers zoeken naar hun organisatie om hun inventaris snel te vullen op basis van assetverbindingen die al door Microsoft zijn geïdentificeerd. Het wordt aanbevolen dat alle gebruikers zoeken naar de vooraf gebouwde Aanvalsoppervlak van hun organisatie voordat ze een aangepaste inventaris maken.
Om een aangepaste inventaris te maken, maken gebruikers Detectiegroepen om de zaden te organiseren en te beheren die ze gebruiken bij het uitvoeren van ontdekkingen. Met afzonderlijke detectiegroepen kunnen gebruikers het detectieproces automatiseren, de seed-lijst en het terugkerende uitvoeringsschema configureren.
Bevestigde inventaris versus kandidaatactiva
Als de detectie-engine een sterke verbinding detecteert tussen een potentiële asset en de initiële seed, wordt die asset automatisch opgenomen in de 'Bevestigde inventaris' van een organisatie. Omdat de verbindingen met deze seed iteratief worden gescand en verbindingen op het derde of vierde niveau worden gedetecteerd, is het vertrouwen van het systeem in het eigendom van nieuw gedetecteerde assets lager. Op dezelfde manier kan het systeem assets detecteren die relevant zijn voor uw organisatie, maar die mogelijk niet rechtstreeks eigendom zijn van het systeem.
Om deze redenen worden nieuw gedetecteerde assets gelabeld als een van de volgende statussen:
| Naam van staat | Beschrijving |
|---|---|
| Goedgekeurde inventaris | Een deel van uw kwetsbaarheid voor aanvallen in eigendom; een item waarvoor u rechtstreeks verantwoordelijk bent. |
| Dependency | Infrastructuur die eigendom is van een derde partij, maar deel uitmaakt van uw kwetsbaarheid voor aanvallen, omdat deze rechtstreeks ondersteuning biedt voor de werking van uw assets in eigendom. U kunt bijvoorbeeld afhankelijk zijn van een IT-provider om uw webinhoud te hosten. Hoewel het domein, de hostnaam en de pagina's deel uitmaken van uw 'goedgekeurde inventaris', kunt u het IP-adres dat op de host wordt uitgevoerd, behandelen als een 'afhankelijkheid'. |
| Alleen bewaken | Een asset die relevant is voor uw aanvalsoppervlak, maar die niet rechtstreeks wordt beheerd of een technische afhankelijkheid. Onafhankelijke franchisenemers of activa die behoren tot gerelateerde bedrijven, kunnen bijvoorbeeld worden gelabeld als 'Alleen bewaken' in plaats van 'Goedgekeurde inventaris' om de groepen te scheiden voor rapportagedoeleinden. |
| Kandidaat | Een asset die een bepaalde relatie heeft met de bekende seed-assets van uw organisatie, maar die geen sterke verbinding heeft om deze onmiddellijk te labelen als 'Goedgekeurde inventaris'. Deze kandidaatactiva moeten handmatig worden gecontroleerd om het eigendom te bepalen. |
| Onderzoek vereist | Een status die vergelijkbaar is met de status 'Kandidaat', maar deze waarde wordt toegepast op assets waarvoor handmatig onderzoek moet worden uitgevoerd om te valideren. Dit wordt bepaald op basis van onze intern gegenereerde betrouwbaarheidsscores die de sterkte van gedetecteerde verbindingen tussen assets beoordelen. Het geeft niet aan dat de exacte relatie van de infrastructuur met de organisatie net zo groot is als het aangeeft dat deze asset is gemarkeerd als aanvullende controle vereist om te bepalen hoe deze moet worden gecategoriseerd. |
Wanneer u assets bekijkt, is het raadzaam dat u begint met de assets met het label 'Onderzoek vereist'. Assetdetails worden voortdurend vernieuwd en bijgewerkt om een nauwkeurige toewijzing van assetstatussen en -relaties te onderhouden, en om zo nieuwe gemaakte assets te ontdekken zodra ze ontstaan. Het detectieproces wordt beheerd door zaden in Discovery Groups te plaatsen die op terugkerende basis opnieuw kunnen worden uitgevoerd. Zodra een inventaris is ingevuld, scant het Defender EASM-systeem uw assets continu met de virtuele gebruikerstechnologie van Microsoft om nieuwe, gedetailleerde gegevens over elk item te ontdekken. Dit proces onderzoekt de inhoud en het gedrag van elke pagina op toepasselijke sites om robuuste informatie te bieden die kan worden gebruikt om beveiligingsproblemen, nalevingsproblemen en andere potentiële risico's voor uw organisatie te identificeren.