Descrição geral da modificação de recursos

Este artigo descreve como modificar recursos de inventário. Pode alterar o estado de um recurso, atribuir um ID externo ou aplicar etiquetas para ajudar a fornecer contexto e utilizar dados de inventário. Também pode marcar CVEs e outras observações como não aplicáveis para removê-los das contagens reportadas. Também pode remover recursos do respetivo inventário em massa com base no método com o qual são detetados. Por exemplo, os utilizadores podem remover uma semente de um grupo de deteção e optar por remover quaisquer recursos que sejam detetados através de uma ligação a esta semente. Este artigo descreve todas as opções de modificação disponíveis no GSAE do Defender e descreve como atualizar recursos e controlar quaisquer atualizações com o Gestor de Tarefas.

Etiquetar recursos

As etiquetas ajudam-no a organizar a superfície de ataque e a aplicar o contexto empresarial de uma forma personalizável. Pode aplicar qualquer etiqueta de texto a um subconjunto de recursos para agrupar recursos e utilizar melhor o inventário. Normalmente, os clientes categorizam recursos que:

• Recentemente, está sob a propriedade da sua organização através de uma fusão ou aquisição.
• Exigir monitorização de conformidade.
• Pertencem a uma unidade de negócio específica na organização.
• São afetados por uma vulnerabilidade específica que requer mitigação.
• Relacione-se com uma determinada marca pertencente à organização.
• Foram adicionados ao inventário dentro de um intervalo de tempo específico.

As etiquetas são campos de texto de forma livre, pelo que pode criar uma etiqueta para qualquer caso de utilização que se aplique à sua organização.

Alterar o estado de um recurso

Os utilizadores também podem alterar o estado de um recurso. Os Estados ajudam a categorizar o inventário com base na respetiva função na sua organização. Os utilizadores podem alternar entre os seguintes estados:

• Inventário Aprovado: uma parte da sua superfície de ataque; um item pelo qual é diretamente responsável.
• Dependência: a infraestrutura pertence a terceiros, mas faz parte da superfície de ataque porque suporta diretamente o funcionamento dos seus bens. Por exemplo, pode depender de um fornecedor de TI para alojar o seu conteúdo Web. Embora o domínio, o nome do anfitrião e as páginas façam parte do "Inventário Aprovado", poderá querer tratar o Endereço IP que executa o anfitrião como uma "Dependência".
• Monitorizar Apenas: um recurso que é relevante para a superfície de ataque, mas que não é controlado diretamente pela sua organização, nem uma dependência técnica. Por exemplo, os franchisados independentes ou os activos pertencentes a empresas relacionadas podem ser identificados como "Apenas Monitor" em vez de "Inventário Aprovado" para separar os grupos para fins de relatórios.
• Candidato: um recurso que tem alguma relação com os recursos de sementes conhecidos da sua organização, mas que não tem uma ligação suficientemente forte para o rotular imediatamente como "Inventário Aprovado". Estes recursos candidatos têm de ser revistos manualmente para determinar a propriedade.
• Requer Investigação: um estado semelhante aos estados "Candidato", mas este valor é aplicado a recursos que requerem investigação manual para validar. Isto é determinado com base nas nossas classificações de confiança geradas internamente que avaliam a força das ligações detetadas entre recursos. Não indica a relação exata da infraestrutura com a organização, tanto quanto indica que este recurso foi sinalizado como exigindo uma revisão extra para determinar como deve ser categorizado.

Aplicar um ID externo

Os utilizadores também podem aplicar um ID externo a um recurso. Esta ação é útil em situações em que utiliza várias soluções para monitorização de recursos, atividades de remediação ou monitorização de propriedade; Ver IDs externos no GSAE do Defender ajuda-o a alinhar estas informações de recursos diferentes. ID externo valores podem ser numéricos ou alfanuméricos e têm de ser introduzidos no formato de texto. Os IDs externos também são apresentados na secção Detalhes do Recurso.

Marcar a observação como não aplicável

Muitos GSAE do Defender dashboards apresentam dados CVE, chamando a sua atenção para potenciais vulnerabilidades com base na infraestrutura de componentes Web que alimenta a superfície de ataque. Por exemplo, os CVEs estão listados no dashboard de resumo do Surface de Ataque, categorizado pela sua gravidade potencial. Ao investigar estes CVEs, poderá determinar que alguns não são relevantes para a sua organização. Isto pode dever-se ao facto de estar a executar uma versão sem espaçamento do componente Web ou a sua organização ter soluções técnicas diferentes para o proteger dessa vulnerabilidade específica.

Na vista de desagregação de qualquer gráfico relacionado com CVE, junto ao botão "Transferir relatório CSV", tem agora a opção de definir uma observação como não aplicável. Clicar neste valor encaminha-o para uma lista de inventário de todos os recursos associados a essa observação e, em seguida, pode optar por marcar todas as observações como não aplicáveis a partir desta página. A alteração real é efetuada a partir da vista lista Inventário ou a partir da página Detalhes do recurso de um recurso específico.

Como modificar recursos

Pode modificar recursos a partir da lista de inventário e das páginas de detalhes do recurso. Pode efetuar alterações a um único recurso a partir da página de detalhes do recurso. Pode efetuar alterações a um único recurso ou a vários recursos a partir da página da lista de inventário. As secções seguintes descrevem como aplicar alterações a partir das duas vistas de inventário, consoante o seu caso de utilização.

Página de lista de inventário

Deve modificar os recursos a partir da página da lista de inventário se quiser atualizar vários recursos de uma só vez. Pode refinar a sua lista de recursos com base em parâmetros de filtro. Este processo ajuda-o a identificar os recursos que devem ser categorizados com a etiqueta, o ID externo ou a alteração de estado que pretende. Para modificar recursos desta página:

1. No painel mais à esquerda do recurso Gestão da superfície de ataques externos do Microsoft Defender (GSAE do Defender), selecione Inventário.

2. Aplique filtros para produzir os resultados pretendidos. Neste exemplo, estamos à procura de domínios que expirem no prazo de 30 dias que exijam renovação. A etiqueta aplicada ajuda-o a aceder mais rapidamente a quaisquer domínios prestes a expirar para simplificar o processo de remediação. Pode aplicar o número de filtros necessários para obter os resultados específicos necessários. Para obter mais informações sobre filtros, veja Descrição geral dos filtros de inventário. Para instâncias em que gostaria de marcar CVEs como não aplicáveis, a desagregação do gráfico de dashboard relevante fornece uma ligação que o encaminha diretamente para esta página inventário com os filtros corretos aplicados.

   

3. Depois de filtrar a lista de inventário, selecione a lista pendente junto à caixa de verificação junto ao cabeçalho da tabela Ativos . Esta lista pendente dá-lhe a opção de selecionar todos os resultados que correspondem à sua consulta ou aos resultados nessa página específica (até 25). A opção Nenhum limpa todos os recursos. Também pode optar por selecionar apenas resultados específicos na página ao selecionar as marcas de verificação individuais junto a cada recurso.

   

4. Selecione Modificar recursos.

   

5. No painel Modificar Recursos que é aberto no lado direito do ecrã, pode alterar rapidamente vários campos para os recursos selecionados. Neste exemplo, vai criar uma nova etiqueta. Selecione Criar uma nova etiqueta.

6. Determine o nome da etiqueta e os valores de texto a apresentar. O nome da etiqueta não pode ser alterado depois de criar inicialmente a etiqueta, mas o texto a apresentar pode ser editado mais tarde. O nome da etiqueta é utilizado para consultar a etiqueta na interface de produto ou através da API, pelo que as edições são desativadas para garantir que estas consultas funcionam corretamente. Para editar um nome de etiqueta, tem de eliminar a etiqueta original e criar uma nova.

   Selecione uma cor para a nova etiqueta e selecione Adicionar. Esta ação leva-o de volta ao ecrã Modificar Recursos .

   

7. Aplique a nova etiqueta aos recursos. Clique no interior da caixa de texto Adicionar etiquetas para ver uma lista completa das etiquetas disponíveis. Em alternativa, pode escrever dentro da caixa para procurar por palavra-chave. Depois de selecionar as etiquetas que pretende aplicar, selecione Atualizar.

   

8. Aguarde alguns momentos para que as etiquetas sejam aplicadas. Após a conclusão do processo, verá uma notificação "Concluído". A página é atualizada automaticamente e apresenta a sua lista de recursos com as etiquetas visíveis. Uma faixa na parte superior do ecrã confirma que as etiquetas foram aplicadas.

   

Página de detalhes do recurso

Também pode modificar um único recurso a partir da página de detalhes do recurso. Esta opção é ideal para situações em que os recursos têm de ser revistos cuidadosamente antes de ser aplicada uma alteração de etiqueta ou estado.

1. No painel mais à esquerda do recurso GSAE do Defender, selecione Inventário.

2. Selecione o recurso específico que pretende modificar para abrir a página de detalhes do recurso.

3. Nesta página, selecione Modificar recurso.

   

4. Siga os passos 5 a 7 na secção "Página de lista de inventário".

5. A página de detalhes do recurso é atualizada e apresenta a alteração de estado ou etiqueta recentemente aplicada. Uma faixa indica que o recurso foi atualizado com êxito.

Modificar, remover ou eliminar etiquetas

Os utilizadores podem remover uma etiqueta de um recurso ao aceder ao mesmo painel Modificar recurso a partir da lista de inventário ou da vista de detalhes do recurso. Na vista de lista de inventário, pode selecionar vários recursos ao mesmo tempo e, em seguida, adicionar ou remover a etiqueta pretendida numa ação.

Para modificar a própria etiqueta ou eliminar uma etiqueta do sistema:

1. No painel mais à esquerda do recurso GSAE do Defender, selecione Etiquetas (Pré-visualização).

   

   Esta página apresenta todas as etiquetas no inventário de GSAE do Defender. As etiquetas nesta página podem existir no sistema, mas não podem ser aplicadas ativamente a quaisquer recursos. Também pode adicionar novas etiquetas a partir desta página.

2. Para editar uma etiqueta, selecione o ícone de lápis na coluna Ações da etiqueta que pretende editar. É aberto um painel no lado direito do ecrã, onde pode modificar o nome ou a cor de uma etiqueta. Selecione Atualizar.

3. Para remover uma etiqueta, selecione o ícone do caixote do lixo na coluna Ações da etiqueta que pretende eliminar. Selecione Remover Etiqueta.

   

A página Etiquetas é atualizada automaticamente. A etiqueta é removida da lista e também removida dos recursos que tinham a etiqueta aplicada. Uma faixa confirma a remoção.

Marcar observações como não aplicáveis

Embora as observações possam ser marcadas como não aplicáveis nos mesmos ecrãs "Modificar recursos" para outras alterações manuais, também pode efetuar estas atualizações a partir do separador Observações em Detalhes do recurso. O separador Observações apresenta duas tabelas: Observações e Observações não responsáveis por aplicações. Todas as observações ativas determinadas como "recentes" na superfície de ataque estão na tabela Observações, enquanto a tabela Observações não aplicáveis lista quaisquer observações que tenham sido marcadas manualmente como não aplicáveis ou que tenham sido determinadas pelo sistema como não aplicáveis. Para marcar as observações como não aplicáveis e, por conseguinte, excluir essa observação específica das contagens de dashboards, basta selecionar as observações pretendidas e clicar em "Definir como não aplicável". Estas observações desaparecem imediatamente da tabela Observações ativas e aparecem, em vez disso, na tabela "Observações não aplicáveis". Pode reverter esta alteração em qualquer altura ao selecionar as observações relevantes desta tabela e selecionar "Definir conforme aplicável".

Gestor de Tarefas e notificações

Depois de uma tarefa ser submetida, uma notificação confirma que a atualização está em curso. A partir de qualquer página no Azure, selecione o ícone de notificação (sino) para ver mais informações sobre tarefas recentes.

O sistema de GSAE do Defender pode demorar alguns segundos a atualizar alguns recursos ou minutos para atualizar milhares. Pode utilizar o Gestor de Tarefas para verificar o estado das tarefas de modificação em curso. Esta secção descreve como aceder ao Gestor de Tarefas e utilizá-lo para compreender melhor a conclusão das atualizações submetidas.

1. No painel mais à esquerda do recurso GSAE do Defender, selecione Gestor de Tarefas.

   

2. Esta página apresenta todas as suas tarefas recentes e o respetivo estado. As tarefas estão listadas como Concluídas, Falhadas ou Em Curso. Também é apresentada uma percentagem de conclusão e uma barra de progresso. Para ver mais detalhes sobre uma tarefa específica, selecione o nome da tarefa. É aberto um painel no lado direito do ecrã que fornece mais informações.

3. Selecione Atualizar para ver o estado mais recente de todos os itens no Gestor de Tarefas.

Filtrar por etiquetas

Depois de etiquetar os recursos no inventário, pode utilizar filtros de inventário para obter uma lista de todos os recursos com uma etiqueta específica aplicada.

1. No painel mais à esquerda do recurso GSAE do Defender, selecione Inventário.

2. Selecione Adicionar filtro.

3. Selecione Etiquetas na lista pendente Filtro . Selecione um operador e escolha uma etiqueta na lista pendente de opções. O exemplo seguinte mostra como procurar uma única etiqueta. Pode utilizar o operador In para procurar várias etiquetas. Para obter mais informações sobre filtros, veja a descrição geral dos filtros de inventário.

   

4. Selecione Aplicar. A página da lista de inventário recarrega e apresenta todos os recursos que correspondem aos seus critérios.

Gestão baseada em cadeia de recursos

Em alguns casos, pode querer remover múltiplos recursos ao mesmo tempo com base nos meios com os quais foram detetados. Por exemplo, pode determinar que uma determinada semente dentro de um grupo de deteção retirou recursos que não são relevantes para a sua organização ou poderá ter de remover recursos relacionados com uma subsidiária que já não está sob a sua competência. Por este motivo, GSAE do Defender oferece a capacidade de remover a entidade de origem e quaisquer recursos "a jusante" na cadeia de deteção. Pode eliminar recursos ligados com os três métodos seguintes:

• Gestão baseada em sementes: os utilizadores podem eliminar uma semente que já foi incluída num grupo de deteção, removendo todos os recursos que foram introduzidos no inventário através de uma ligação observada à semente especificada. Este método é útil quando pode determinar que uma semente de entrada manual específica resultou na adição de recursos indesejáveis ao inventário.
• Gestão da cadeia de deteção: os utilizadores podem identificar um recurso numa cadeia de deteção e eliminá-lo, removendo simultaneamente todos os recursos detetados por essa entidade. A deteção é um processo recursivo; analisa as sementes para identificar novos recursos diretamente associados a estas sementes designadas e, em seguida, continua a analisar as entidades recém-descobertas para revelar mais ligações. Esta abordagem de eliminação é útil quando o grupo de deteção está configurado corretamente, mas tem de remover um recurso recém-detetado e quaisquer recursos trazidos para o inventário por associação a essa entidade. Considere as definições do grupo de deteção e as sementes designadas como a "parte superior" da cadeia de deteção; esta abordagem de eliminação permite-lhe remover recursos do meio.
• Gestão de grupos de deteção: os utilizadores podem remover grupos de deteção inteiros e todos os recursos que foram introduzidos no inventário através deste grupo de deteção. Isto é útil quando um grupo de deteção completo já não é aplicável à sua organização. Por exemplo, pode ter um grupo de deteção que procura especificamente recursos relacionados com uma subsidiária. Se esta subsidiária já não for relevante para a sua organização, pode tirar partido da gestão baseada em cadeia de recursos para eliminar todos os recursos incluídos no inventário através desse grupo de deteção.

Ainda pode ver os recursos removidos no GSAE do Defender; basta filtrar a lista de inventário de recursos no estado "Arquivado".

Eliminação baseada em sementes

Pode decidir que uma das sementes de deteção inicialmente designadas já não deve ser incluída num grupo de deteção. A semente pode já não ser relevante para a sua organização ou pode estar a trazer mais falsos positivos do que ativos legítimos. Nesta situação, pode remover a semente do seu Grupo de Deteção para impedir que seja utilizada em execuções de deteção futuras, removendo simultaneamente quaisquer recursos que tenham sido levados ao inventário através da semente designada no passado.

Para efetuar uma remoção em massa com base numa seed, encaminhe para a página de detalhes do Grupo de Deteção adequada e clique em "Editar grupo de deteção". Siga as instruções para chegar à página Sementes e remova a semente problemática da lista. Quando selecionar "Rever + Atualizar", verá um aviso que indica que todos os recursos detetados através da semente designada também serão removidos. Selecione "Atualizar" ou "Atualizar & Executar" para concluir a eliminação.

Eliminação baseada em cadeia de deteção

No exemplo seguinte, imagine que descobriu um formulário de início de sessão inseguro no dashboard Resumo do Surface de Ataque. A investigação encaminha-o para um anfitrião que não parece ser propriedade da sua organização. Veja a página de detalhes do recurso para obter mais informações; Ao rever a cadeia de Deteção, fica a saber que o anfitrião foi colocado no inventário porque o domínio correspondente foi registado com o endereço de e-mail empresarial de um funcionário que também foi utilizado para registar entidades empresariais aprovadas.

Nesta situação, a semente de deteção inicial (o domínio empresarial) ainda é legítima, pelo que temos de remover um recurso problemático da cadeia de deteção. Embora possamos efetuar a eliminação em cadeia do e-mail de contacto, vamos optar por remover tudo o que está associado ao domínio pessoal registado para este funcionário, para que GSAE do Defender nos alerte de quaisquer outros domínios registados nesse endereço de e-mail no futuro. Na cadeia de deteção, selecione este domínio pessoal para ver a página de detalhes do recurso. Nesta vista, selecione "Remover da cadeia de deteção" para remover o recurso do inventário, bem como todos os recursos trazidos para o inventário devido a uma ligação observada ao domínio pessoal. Tem de confirmar a remoção do recurso e de todos os recursos a jusante e, em seguida, é apresentada uma lista resumida dos outros recursos que são removidos com esta ação. Selecione "Remover cadeia de deteção" para confirmar a remoção em massa.

Eliminação do grupo de deteção

Poderá ter de eliminar todo o grupo de deteção e todos os recursos detetados através do grupo. Por exemplo, a sua empresa pode ter vendido uma subsidiária que já não precisa de ser monitorizada. Os utilizadores podem eliminar grupos de deteção da página Gestão de deteção. Para remover um grupo de deteção e todos os recursos relacionados, selecione o ícone de caixote do lixo junto ao grupo adequado na lista. Receberá um aviso a indicar um resumo dos recursos que serão removidos com esta ação. Para confirmar a eliminação do grupo de deteção; e todos os recursos relacionados, selecione "Remover grupo de deteção".

Passos seguintes

• Descrição geral dos filtros de inventário
• Compreender os recursos de inventário
• Compreender os detalhes do recurso