Como descobrir sua superfície de ataque

Pré-requisitos

Antes de concluir este tutorial, confira os artigos O que é descoberta? e Usar e gerenciar artigos de descoberta para entender os principais conceitos mencionados neste artigo.

Como acessar sua superfície de ataque automatizada

A Microsoft configurou preventivamente as superfícies de ataque de muitas organizações, mapeando sua superfície de ataque inicial descobrindo a infraestrutura que está conectada a ativos conhecidos. Recomendamos que todos os usuários pesquisem a superfície de ataque de sua organização antes de criar uma superfície de ataque personalizada e executar outras verificações de vulnerabilidade. Esse processo permite que os usuários acessem seu inventário rapidamente à medida que o EASM do Defender atualiza os dados, adicionando mais ativos e um contexto mais recente à Superfície de Ataque.

1. Ao acessar pela primeira vez a instância do Defender EASM, selecione "Introdução" na seção "Geral" para pesquisar sua organização na lista de superfícies de ataque automatizadas.

2. Em seguida, selecione sua organização na lista e clique em "Criar minha Superfície de Ataque".

Nesta altura, as verificações de descoberta são executadas em segundo plano. Se você tiver selecionado uma Superfície de Ataque pré-configurada na lista de organizações disponíveis, será redirecionado para a tela visão geral do painel, na qual poderá exibir informações sobre a infraestrutura da sua organização no Modo de Visualização. Examine esses insights do painel para se familiarizar com a sua superfície de ataque enquanto aguarda os ativos adicionais serem descobertos e preenchidos em seu inventário. Leia o artigo Como entender os painéis de controle para obter mais informações sobre como obter insights a partir desses painéis de controle.

Se você observar algum ativo ausente ou tiver outras entidades para gerenciar que podem não ser descobertas por meio da infraestrutura claramente vinculada à sua organização, você poderá optar por executar descobertas personalizadas para detectar esses ativos de exceção.

Como personalizar a descoberta

Descobertas personalizadas são ideais para organizações que exigem uma visibilidade mais profunda da infraestrutura que pode não estar imediatamente vinculada aos ativos primários de semente. Ao enviar uma lista maior de ativos conhecidos para operar como sementes de descoberta, o mecanismo de descoberta retornará um pool mais amplo de ativos. A descoberta personalizada também pode ajudar as organizações a encontrar infraestruturas diferentes que possam se relacionar com unidades de negócios independentes e empresas adquiridas.

Grupos de descoberta

Descobertas personalizadas são organizadas em Grupos de Descobertas. São sementes de clusters independentes compostas da execução de uma única verificação de descoberta e operam conforme seus próprios agendamentos recorrentes. Os usuários podem optar por organizar seus Grupos de Descoberta para delinear ativos da maneira que mais beneficie a empresa e os fluxos de trabalho deles. Opções comuns incluem a organização por equipe responsável/unidade de negócios, marcas ou subsidiárias.

Como criar um grupo de descobertas

1. Selecione o painel Descoberta na seção Gerenciar na coluna de navegação à esquerda.

   

2. Esta página Descoberta mostra sua lista de Grupos de Descoberta por padrão. Essa lista estará vazia quando você acessar a plataforma pela primeira vez. Para executar sua primeira descoberta, clique em Adicionar Grupo de Descobertas.

   

3. Primeiro, dê um nome ao novo grupo de descoberta e adicione uma descrição. O campo Frequência Recorrente permite agendar execuções de descoberta para esse grupo, verificando novos ativos relacionados às sementes designadas de modo contínuo. A seleção de recorrência padrão é Semanal; a Microsoft recomenda essa cadência para garantir que os ativos da sua organização sejam monitorados e atualizados rotineiramente. Para uma só execução de descoberta única, selecione Nunca. No entanto, recomendamos que os usuários mantenham a cadência padrão semanal e, em vez disso, desativem o monitoramento histórico dentro de suas configurações do Grupo de Descoberta se decidirem descontinuar as execuções de descoberta recorrentes.

   Selecione Avançar: sementes >

   

4. Em seguida, selecione as sementes que você gostaria de usar para este Grupo de Descoberta. Sementes são ativos conhecidos que pertencem à sua organização. A plataforma Defender EASM examina essas entidades, mapeando suas conexões com outras infraestruturas online para criar sua superfície de ataque.

   

   A opção Início Rápido permite que você pesquise sua organização em uma lista de Superfícies de Ataque pré-preenchidas. Você pode criar rapidamente um Grupo de Descoberta com base nos ativos conhecidos pertencentes à sua organização.

   

   Como alternativa, os usuários podem inserir manualmente suas sementes. O Defender EASM aceita domínios, blocos IP, hosts, contatos de email, ASNs e organizações WhoIs como valores de semente. Você também pode especificar entidades a serem excluídas da descoberta de ativos para garantir que não sejam adicionadas ao inventário se forem detectadas. Por exemplo, isso é útil para as organizações que têm subsidiárias provavelmente conectadas à respectiva infraestrutura central, mas que não pertencem à sua organização.

   Depois que suas sementes tiverem sido selecionadas, selecione Examinar + Criar.

5. Revise as informações do grupo e a lista de sementes e selecione Criar & Executar.

   

Em seguida, você será levado de volta para a página de Descoberta principal, que mostra seus Grupos de Descoberta. Assim que a execução da sua verificação de descoberta for concluída, você verá novos ativos adicionados ao seu inventário Aprovado.

Próximas etapas

• Noções básicas de detalhes do ativo
• Noções básicas de painéis