Usar e gerenciar a descoberta

O Microsoft Defender External Attack Surface Management (Defender EASM) conta com tecnologia de descoberta proprietária para definir continuamente a superfície de ataque exclusiva exposta à Internet da sua organização. A descoberta examina a internet para verificar se há ativos conhecidos pertencentes à sua organização para descobrir propriedades até então desconhecidas e não monitoradas.

Os ativos descobertos são indexados em seu inventário para fornecer um sistema dinâmico de registro de aplicativos Web, dependências de terceiros e infraestrutura da Web sob o gerenciamento de sua organização por meio de um único painel.

Antes de executar uma descoberta personalizada, consulte O que é descoberta?, para entender os principais conceitos discutidos aqui.

Acesse sua superfície de ataque automatizada

A Microsoft configurou preventivamente as superfícies de ataque de muitas organizações, mapeando sua superfície de ataque inicial descobrindo a infraestrutura conectada a ativos conhecidos.

Recomendamos que você pesquise a superfície de ataque da sua organização antes de criar uma superfície de ataque personalizada e executar outras descobertas. Esse processo permite que você acesse rapidamente seu inventário à medida que o Defender EASM atualiza os dados e adiciona mais ativos e contexto recente à sua superfície de ataque.

Quando você acessar sua instância do Defender EASM pela primeira vez, selecione Introdução na seção Geral para procurar sua organização na lista de superfícies de ataque automatizadas. Em seguida, escolha sua organização na lista e selecione Criar minha superfície de ataque.

Nesta altura, as verificações de descoberta são executadas em segundo plano. Se você selecionou uma superfície de ataque pré-configurada na lista de organizações disponíveis, será redirecionado para a tela de visão geral do painel, onde poderá exibir insights sobre a infraestrutura da sua organização no modo de visualização.

Analise esses insights do painel para se familiarizar com sua superfície de ataque enquanto espera que mais ativos sejam descobertos e preenchidos em seu inventário. Para obter mais informações sobre como obter insights desses painéis, consulte Compreender painéis.

Você pode executar descobertas personalizadas para detectar ativos atípicos. Por exemplo, você pode ter ativos ausentes. Ou talvez você tenha outras entidades para gerenciar que podem não ser descobertas por meio de uma infraestrutura claramente vinculada à sua organização.

Personalizar a descoberta

As descobertas personalizadas são ideais se sua organização exigir uma visibilidade mais profunda da infraestrutura que pode não estar imediatamente vinculada aos seus ativos de semente primários. Ao enviar uma lista maior de ativos conhecidos para operar como sementes de descoberta, o mecanismo de descoberta retorna um pool mais amplo de ativos. A descoberta personalizada também pode ajudar sua organização a encontrar infraestruturas diferentes que podem estar relacionadas a unidades de negócios independentes e empresas adquiridas.

Grupos de descoberta

As descobertas personalizadas são organizadas em grupos de descobertas. São sementes de clusters independentes compostas da execução de uma única verificação de descoberta e operam conforme seus próprios agendamentos recorrentes. Você organiza seus grupos de descoberta para delinear ativos da maneira que melhor beneficia sua empresa e fluxos de trabalho. As opções comuns incluem a organização pela equipe ou unidade de negócios responsável, marcas ou subsidiárias.

Criar um grupo de descoberta

1. No painel mais à esquerda, em Gerenciar, selecione Descoberta.

   

2. A página Descoberta mostra sua lista de grupos de descoberta por padrão. Essa lista está vazia quando você acessa a plataforma pela primeira vez. Para executar sua primeira descoberta, selecione Adicionar Grupo de Descoberta.

   

3. Nomeie seu novo grupo de descoberta e adicione uma descrição. O campo Frequência Recorrente permite agendar execuções de descoberta para esse grupo verificando novos ativos relacionados às sementes designadas continuamente. A seleção de recorrência padrão é Semanal. Recomendamos essa cadência para garantir que os ativos da sua organização sejam rotineiramente monitorados e atualizados.

   Para uma só execução de descoberta única, selecione Nunca. Recomendamos que você mantenha a cadência padrão Semanal, pois a descoberta é projetada para descobrir continuamente novos ativos relacionados à sua infraestrutura conhecida. Você pode editar a frequência de recorrência mais tarde, selecionando a opção "Editar" em qualquer página de detalhes do grupo de descoberta.

4. Selecione Avançar: Sementes.

   

5. Selecione as sementes que você deseja usar para esse grupo de descoberta. As sementes são ativos conhecidos que pertencem à sua organização. A plataforma Defender EASM verifica essas entidades e mapeia suas conexões com outras infraestruturas on-line para criar sua superfície de ataque. Como o Defender EASM destina-se a monitorar sua superfície de ataque de uma perspectiva externa, os endereços IP privados não podem ser incluídos como sementes de descoberta.

   

   A opção Início Rápido permite pesquisar sua organização em uma lista de superfícies de ataque pré-preenchidas. Você pode criar rapidamente um grupo de descoberta com base nos ativos conhecidos que pertencem à sua organização.

   

   

   Como alternativa, você pode inserir manualmente suas sementes. O Defender EASM aceita nomes de organizações, domínios, blocos de IP, hosts, contatos de e-mail, ASNs e organizações Whois como valores de semente.

   Você também pode especificar entidades a serem excluídas da descoberta de ativos para garantir que não sejam adicionadas ao inventário se forem detectadas. Por exemplo, as exclusões são úteis para organizações que têm subsidiárias que provavelmente estarão conectadas à infraestrutura central, mas não pertencem à organização.

   Depois que suas sementes forem selecionadas, selecione Revisar + Criar.

6. Revise as informações do grupo e a lista de sementes e selecione Criar & Executar.

   

   Você será levado de volta à página principal do Discovery que exibe seus grupos de descoberta. Depois que a execução da descoberta for concluída, você verá novos ativos adicionados ao inventário aprovado.

Exibir e editar grupos de descoberta

Você pode gerenciar seus grupos de descoberta na página principal de Descoberta . O modo de exibição padrão exibe uma lista de todos os seus grupos de descoberta e alguns dados importantes sobre cada um deles. Na exibição de lista, você pode ver o número de sementes, a agenda de recorrência, a data da última execução e a data de criação de cada grupo.

Selecione qualquer grupo de descoberta para exibir mais informações, editar o grupo ou iniciar um novo processo de descoberta.

Histórico de execuções

A página de detalhes do grupo de descoberta contém o histórico de execução do grupo. Esta seção exibe informações importantes sobre cada execução de descoberta executada no grupo específico de sementes. A coluna Status indica se a execução está em andamento, concluída ou com falha. Esta seção também inclui carimbos de data/hora iniciados e concluídos e uma contagem de todos os novos ativos adicionados ao seu inventário após essa execução de descoberta específica. Essa contagem inclui todos os ativos colocados em inventário, independentemente do estado ou do status faturável.

O histórico de execução é organizado pelos ativos de propagação que foram verificados durante a execução da descoberta. Para ver uma lista das sementes aplicáveis, selecione Detalhes. Um painel é aberto à direita da tela que lista todas as sementes e exclusões por tipo e nome.

Exibir sementes e exclusões

A página Descoberta tem como padrão uma exibição de lista de grupos de descoberta, mas você também pode exibir listas de todas as sementes e entidades excluídas desta página. Selecione uma das guias para exibir uma lista de todas as sementes ou exclusões que alimentam seus grupos de descoberta.

Sementes

A exibição de lista de propagação exibe valores de semente com três colunas: Tipo, Nome da Origem e Grupos de Descoberta. O campo Tipo exibe a categoria do ativo de propagação. As sementes mais comuns são domínios, hosts e blocos de IP. Você também pode usar contatos de email, ASNs, nomes comuns de certificados ou organizações Whois.

O nome de origem é o valor que foi inserido na caixa de tipo apropriada quando você criou o grupo de descoberta. A coluna final mostra uma lista de grupos de descoberta que usam a semente. Cada valor é clicável e leva você para a página de detalhes desse grupo de descoberta.

Ao inserir sementes, lembre-se de validar o formato apropriado para cada entrada. Quando você salva o grupo de descoberta, a plataforma executa uma série de verificações de validação e alerta sobre quaisquer sementes configuradas incorretamente. Por exemplo, os blocos IP devem ser inseridos por endereço de rede (por exemplo, o início do intervalo de IP).

Exclusões

Da mesma forma, você pode selecionar a guia Exclusões para ver uma lista de entidades que foram excluídas do grupo de descoberta. Esses ativos não serão usados como sementes de descoberta ou adicionados ao seu inventário. As exclusões afetam apenas as execuções de descoberta futuras para um grupo de descoberta individual.

O campo Tipo exibe a categoria da entidade excluída. O nome de origem é o valor que foi inserido na caixa de tipo apropriada quando você criou o grupo de descoberta. A coluna final mostra uma lista de grupos de descoberta onde essa exclusão está presente. Cada valor é clicável e leva você para a página de detalhes desse grupo de descoberta.

Próximas etapas

• Descubra sua superfície de ataque
• Entenda os detalhes do ativo
• Entender os painéis