Compreender os detalhes dos ativos
O Microsoft Defender External Attack Surface Management (Defender EASM) frequentemente verifica todos os ativos de inventário e coleta metadados contextuais robustos que alimentam o Attack Surface Insights. Esses dados também podem ser visualizados de forma mais granular na página de detalhes do ativo. Os dados fornecidos mudam dependendo do tipo de ativo. Por exemplo, a plataforma fornece dados Whois exclusivos para domínios, hosts e endereços IP. Ele fornece dados de algoritmo de assinatura para certificados SSL (Secure Sockets Layer).
Este artigo descreve como exibir e interpretar os dados expansivos coletados pela Microsoft para cada um dos seus ativos de inventário. Ele define esses metadados para cada tipo de ativo e explica como os insights derivados deles podem ajudá-lo a gerenciar a postura de segurança de sua infraestrutura online.
Para obter mais informações, consulte Noções básicas sobre ativos de inventário para se familiarizar com os principais conceitos mencionados neste artigo.
Visualização de resumo de detalhes do ativo
Você pode visualizar a página de detalhes de qualquer ativo selecionando seu nome na sua lista de inventário. No painel esquerdo desta página, você pode exibir um resumo de ativos que fornece informações importantes sobre esse ativo específico. Esta seção inclui principalmente dados que se aplicam a todos os tipos de ativos, embora mais campos estejam disponíveis em alguns casos. Para obter mais informações sobre os metadados fornecidos para cada tipo de ativo na seção de resumo, consulte o gráfico a seguir.
Informações gerais
Esta seção inclui informações de alto nível que são fundamentais para entender seus ativos rapidamente. A maioria desses campos se aplica a todos os ativos. Esta seção também pode incluir informações específicas de um ou mais tipos de ativos.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Nome do ativo | O nome de um ativo. | Todos |
| UUID | Esse rótulo de 128 bits representa o identificador universalmente exclusivo (UUID) do ativo. | Todos |
| Adicionado ao inventário | A data em que um ativo foi adicionado ao inventário, quer tenha sido adicionado automaticamente ao estado Inventário Aprovado ou esteja em outro estado, como Candidato. | Todos |
| Última atualização | A data em que um usuário manual atualizou o ativo pela última vez (por exemplo, fazendo uma alteração de estado ou remoção de ativo). | Todos |
| ID externo | Um valor de ID externa adicionado manualmente. | Tudo |
| Status | O status do ativo dentro do sistema RiskIQ. As opções incluem Inventário aprovado, Candidato, Dependências ou Requer investigação. | Todos |
| Visto pela primeira vez (Gráfico de Segurança Global) | A data em que a Microsoft examinou o ativo pela primeira vez e o adicionou ao abrangente Gráfico de Segurança Global. | Todos |
| Visto pela última vez (Gráfico de Segurança Global) | A data em que a Microsoft examinou o ativo mais recentemente. | Todos |
| Descoberto em | Indica a data de criação do grupo de descoberta que detetou o ativo. | Todos |
| País | O país de origem detetado para este ativo. | Todos |
| Distrito | O estado ou província de origem detetado para este ativo. | Todos |
| City | A cidade de origem detetada para este ativo. | Todos |
| Nome Whois | O nome associado a um registro Whois. | Host |
| E-mail Whois | O e-mail de contato principal em um registro Whois. | Host |
| Organização Whois | A organização listada em um registro Whois. | Host |
| Secretário Whois | O registrador listado em um registro Whois. | Host |
| Servidores de nomes Whois | Os servidores de nomes listados em um registro Whois. | Host |
| Certificado emitido | A data em que um certificado foi emitido. | Certificado SSL |
| O certificado expira | A data em que um certificado expira. | Certificado SSL |
| Número de série | O número de série associado a um certificado SSL. | Certificado SSL |
| Versão SSL | A versão do SSL que o certificado foi registrado. | Certificado SSL |
| Algoritmo de chave de certificado | O algoritmo de chave usado para criptografar o certificado SSL. | Certificado SSL |
| Tamanho da chave do certificado | O número de bits em uma chave de certificado SSL. | Certificado SSL |
| Algoritmo de assinatura OID | O OID que identifica o algoritmo de hash usado para assinar a solicitação de certificado. | Certificado SSL |
| Autoassinado | Indica se o certificado SSL foi autoassinado. | Certificado SSL |
Rede
As seguintes informações de endereço IP fornecem mais contexto sobre o uso do IP.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Registo do servidor de nomes | Todos os servidores de nomes detetados no ativo. | Endereço IP |
| Registo do servidor de correio | Qualquer servidor de email detetado no ativo. | Endereço IP |
| Blocos de IP | O bloco IP que contém o ativo de endereço IP. | Endereço IP |
| ASNs | O ASN associado a um ativo. | Endereço IP |
Bloquear informações
Os dados a seguir são específicos para blocos de IP e fornecem informações contextuais sobre seu uso.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| CIDR | O CIDR (Roteamento entre Domínios sem Classe) para um bloco IP. | Bloco de IP |
| Nome da rede | O nome da rede associado ao bloco IP. | Bloco de IP |
| Nome da organização | O nome da organização encontrado nas informações de registro para o bloco IP. | Bloco de IP |
| ID da Organização | O ID da organização encontrado nas informações de registro para o bloco IP. | Bloco de IP |
| ASNs | O ASN associado ao bloco IP. | Bloco de IP |
| País | O país de origem, conforme detetado nas informações de registro Whois para o bloco IP. | Bloco de IP |
Assunto
Os dados a seguir são específicos para o assunto (ou seja, a entidade protegida) associado a um certificado SSL.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Nome comum | O Nome Comum do Emissor do assunto do certificado SSL. | Certificado SSL |
| Nomes alternativos | Quaisquer nomes comuns alternativos para o assunto do certificado SSL. | Certificado SSL |
| Nome da organização | A organização vinculada ao assunto do certificado SSL. | Certificado SSL |
| Unidade organizacional | Metadados opcionais que indicam o departamento dentro de uma organização responsável pelo certificado. | Certificado SSL |
| Localização | Indica a cidade onde a organização está localizada. | Certificado SSL |
| País | Indica o país onde a organização está localizada. | Certificado SSL |
| Distrito | Indica o estado ou província onde a organização está localizada. | Certificado SSL |
Emissor
Os dados a seguir são específicos para o emissor de um certificado SSL.
| Nome | Definição | Tipos de ativo |
|---|---|---|
| Nome comum | O nome comum do emitente do certificado. | Certificado SSL |
| Nomes alternativos | Quaisquer outros nomes do emitente. | Certificado SSL |
| Nome da organização | O nome da organização que orquestrou a emissão de um certificado. | Certificado SSL |
| Unidade organizacional | Outras informações sobre a organização que emitiu o certificado. | Certificado SSL |
Separadores de dados
No painel mais à direita da página de detalhes do ativo, os usuários podem acessar dados mais expansivos relacionados ao ativo selecionado. Esses dados são organizados em uma série de guias categorizadas. As guias de metadados disponíveis mudam dependendo do tipo de ativo que você está visualizando.
Alguns separadores apresentam um botão de alternância "Apenas recentes" no canto superior direito. Por padrão, o Defender EASM exibe todos os dados que coletamos para cada ativo, incluindo observações históricas que podem não estar sendo executadas ativamente em sua superfície de ataque atual. Embora esse contexto histórico seja muito valioso para certos casos de uso, a alternância "Apenas recentes" limitará todos os resultados na página Detalhes do ativo aos observados mais recentemente no ativo. É recomendável que você use a alternância "Somente recentes" quando desejar exibir apenas dados que representem o estado atual do ativo para fins de correção.
Descrição geral
A guia Visão geral fornece mais contexto para garantir que informações significativas sejam rapidamente identificáveis quando você visualiza os detalhes de um ativo. Esta seção inclui dados de descoberta importantes para todos os tipos de ativos. Ele fornece informações sobre como a Microsoft mapeia o ativo para sua infraestrutura conhecida.
Esta seção também pode incluir widgets de painel que visualizam informações relevantes para o tipo de ativo em questão.
Cadeia de descoberta
A cadeia de descoberta descreve as conexões observadas entre uma semente de descoberta e o ativo. Essas informações ajudam os usuários a visualizar essas conexões e entender melhor por que um ativo foi determinado como pertencente à sua organização.
No exemplo, você pode ver que o domínio seed está vinculado a esse ativo por meio do e-mail de contato em seu registro Whois. Esse mesmo e-mail de contato foi usado para registrar o bloco de IP que inclui esse ativo de endereço IP específico.
Informações de descoberta
Esta seção fornece informações sobre o processo usado para detetar o ativo. Ele inclui informações sobre a semente de descoberta que se conecta ao ativo e ao processo de aprovação.
As opções incluem:
- Inventário aprovado: Esta opção indica que a relação entre a semente e o ativo descoberto era forte o suficiente para justificar uma aprovação automática pelo sistema EASM do Defender.
- Candidato: Esta opção indica que o ativo necessitou de aprovação manual para ser incorporado ao seu inventário.
- Última execução de descoberta: esta data indica quando o grupo de descoberta que detetou inicialmente o ativo foi utilizado pela última vez para uma verificação de descoberta.
Reputação do IP
A guia Reputação de IP exibe uma lista de ameaças potenciais relacionadas a um determinado endereço IP. Esta seção descreve qualquer atividade maliciosa ou suspeita detetada relacionada ao endereço IP. Essas informações são fundamentais para entender a confiabilidade de sua própria superfície de ataque. Essas ameaças podem ajudar as organizações a descobrir vulnerabilidades passadas ou presentes em sua infraestrutura.
Os dados de reputação de IP do Defender EASM exibem instâncias em que o endereço IP foi detetado em uma lista de ameaças. Por exemplo, a deteção recente no exemplo a seguir mostra que o endereço IP está relacionado a um host conhecido por estar executando um minerador de criptomoedas. Esses dados foram derivados de uma lista de hosts suspeitos fornecida por CoinBlockers. Os resultados são organizados pela data da última vista para mostrar primeiro as deteções mais relevantes.
Neste exemplo, o endereço IP está presente em um número anormalmente alto de feeds de ameaças. Essas informações indicam que o ativo deve ser investigado minuciosamente para evitar atividades maliciosas no futuro.
Serviços
A guia Serviços está disponível para endereço IP, domínio e ativos de host. Esta seção fornece informações sobre os serviços observados em execução no ativo. Inclui endereços IP, servidores de nome e correio e portas abertas que correspondem a outros tipos de infraestrutura (por exemplo, serviços de acesso remoto).
Os dados de serviços do Defender EASM são fundamentais para entender a infraestrutura que alimenta seu ativo. Ele também pode alertá-lo sobre recursos que estão expostos na internet aberta que devem ser protegidos.
Endereços IP
Esta seção fornece informações sobre quaisquer endereços IP que estejam sendo executados na infraestrutura do ativo. Na guia Serviços, o Defender EASM fornece o nome do endereço IP e as datas Primeiro visto e Visto pela última vez. A coluna Recente indica se o endereço IP foi observado durante a verificação mais recente do ativo. Se não houver nenhuma caixa de seleção nesta coluna, o endereço IP foi visto em verificações anteriores, mas não está sendo executado no ativo.
Servidores de correio eletrónico
Esta seção fornece uma lista de todos os servidores de email em execução no ativo. Essas informações indicam que o ativo é capaz de enviar e-mails. Nesta seção, o Defender EASM fornece o nome do servidor de e-mail e as datas Primeiro visto e Visto pela última vez . A coluna Recente indica se o servidor de email foi detetado durante a verificação mais recente do ativo.
Servidores de nomes
Esta seção exibe todos os servidores de nomes que estão sendo executados no ativo para fornecer resolução para um host. Nesta seção, o Defender EASM fornece o nome do servidor de e-mail e as datas Primeiro visto e Visto pela última vez . A coluna Recente indica se o servidor de nomes foi detetado durante a verificação mais recente do ativo.
Portas abertas
Esta seção lista todas as portas abertas detetadas no ativo. A Microsoft verifica regularmente cerca de 230 portas distintas. Estes dados são úteis para identificar quaisquer serviços não seguros que não devam ser acessíveis a partir da Internet aberta. Esses serviços incluem bancos de dados, dispositivos IoT e serviços de rede, como roteadores e switches. Também é útil para identificar a infraestrutura de TI sombra ou serviços de acesso remoto inseguros.
Nesta seção, o Defender EASM fornece o número da porta aberta, uma descrição da porta, o último estado em que ela foi observada e as datas Primeira e Última vista. A coluna Recentes indica se a porta foi observada como aberta durante a verificação mais recente. O Defender EASM considera uma porta "aberta" quando nosso sistema pode concluir com sucesso um handshake syn-ack que resulta em banners atribuídos. Quando podemos estabelecer uma conexão TCP, mas não conseguimos concluir nossa impressão digital de serviço, marcamos a porta como "filtrada". Uma porta "fechada" ainda está acessível, mas não há serviço escutando na porta e, portanto, nega conexões.
Controladores
Os rastreadores são códigos ou valores exclusivos encontrados em páginas da Web e geralmente são usados para rastrear a interação do usuário. Esses códigos podem ser usados para correlacionar um grupo díspar de sites a uma entidade central. O conjunto de dados do rastreador da Microsoft inclui IDs de provedores como Google, Yandex, Mixpanel, New Relic e Clicky e continua a crescer.
Nesta seção, o Defender EASM fornece o tipo de rastreador (por exemplo, GoogleAnalyticsID), o valor do identificador exclusivo e as datas Primeira vista e Última vista.
Componentes Web
Componentes Web são detalhes que descrevem a infraestrutura de um ativo conforme observado por meio de uma verificação da Microsoft. Esses componentes fornecem uma compreensão de alto nível das tecnologias usadas no ativo. A Microsoft categoriza os componentes específicos e inclui números de versão quando possível.
A seção Web components fornece a categoria, o nome e a versão do componente e uma lista de quaisquer CVEs aplicáveis que devem ser corrigidos. O Defender EASM também fornece colunas de data Primeiro visto e Data vista pela última vez e uma coluna Recente . Uma caixa de seleção indica que essa infraestrutura foi observada durante a verificação mais recente do ativo.
Os componentes Web são categorizados com base em sua função.
| Componente Web | Exemplos |
|---|---|
| Provedor de Hospedagem | hostingprovider.com |
| Servidor | Apache |
| Servidor DNS | LIGAÇÃO ISC |
| Arquivos de dados | MySQL, ElasticSearch, MongoDB |
| Acesso remoto | OpenSSH, Centro de Administração da Microsoft, Netscaler Gateway |
| Intercâmbio de dados | Puro-FTPd |
| Internet das Coisas (IoT) | HP Deskjet, Câmara Linksys, Sonos |
| Servidor de e-mail | ArmorX, Lotus Domino, Symantec Messaging Gateway |
| Dispositivo de rede | Roteador Cisco, Motorola WAP, Modem ZyXEL |
| Controlo de edifícios | Linear eMerge, Controles ASI Weblink, Optergy |
Observações
A guia Observação exibe todos os insights do painel Prioridades da Superfície de Ataque que pertencem ao ativo. Estas prioridades podem incluir:
- CVEs críticos.
- Associações conhecidas à infraestrutura comprometida.
- Utilização de tecnologia obsoleta.
- Violações das práticas recomendadas de infraestrutura.
- Problemas de conformidade.
Para obter mais informações sobre observações, consulte Noções básicas sobre painéis. Para cada observação, o Defender EASM fornece o nome da observação, categoriza-a por tipo, atribui uma prioridade e lista as pontuações CVSS v2 e v3, quando aplicável.
O separador Observações apresenta dois quadros: Observações e Observações não aplicáveis. Todas as observações ativas determinadas como "recentes" dentro da sua superfície de ataque estarão na tabela Observações, enquanto a tabela Observações não aplicáveis lista todas as observações que foram marcadas manualmente como não aplicáveis ou que foram determinadas pelo sistema como não sendo mais aplicáveis. Para marcar observações como não aplicáveis e, portanto, excluir essa observação específica das contagens do painel, basta selecionar as observações desejadas e clicar em "Definir como não aplicável". A(s) observação(ões) desaparecerá(ão) imediatamente(s) da tabela Observações ativa e, em vez disso, aparecerão na tabela "Observações não aplicáveis". Você pode reverter essa alteração a qualquer momento, selecionando a(s) observação(ões) relevante(s) nesta tabela e selecionando "Definir conforme aplicável".
Ativos conectados
O Connected Assets permite que os usuários vinculem e recolham graficamente informações sobre ativos para análise investigativa. Você pode explorar seu ambiente e seus intrincados relacionamentos por meio de mapeamentos de relacionamento, que oferecem visões claras e concisas. Isso ajuda a identificar conexões ocultas e possíveis caminhos de ataque. Ao mapear visualmente as relações entre ativos e vulnerabilidades, você pode compreender a complexidade do seu ambiente e tomar decisões bem informadas para melhorar sua postura de segurança e aplicar pontos de estrangulamento de forma eficaz.
Nesta página, todos os ativos conectados ao ativo especificado são identificados em uma lista. A lista fornece informações importantes sobre cada política, incluindo:
- Ativo: o ativo conectado identificado.
- Tipo: o tipo de ativo.
- Estado: o estado do ativo.
- Etiquetas: quaisquer etiquetas associadas ao ativo.
- Primeiro visto: quando o ativo foi descoberto pela primeira vez.
- Visto pela última vez: quando o ativo foi identificado pela última vez.
Nesta página, você pode modificar ou remover ativos conectados. Você também pode classificar ou filtrar a lista de ativos para categorizar ainda mais a lista de ativos conectados. Você também pode baixar um relatório CSV dos ativos listados. Quaisquer filtros aplicados serão refletidos na exportação CSV.
Recursos
A guia Recursos fornece informações sobre quaisquer recursos JavaScript em execução em qualquer página ou ativos de host. Quando aplicável a um host, esses recursos são agregados para representar o JavaScript em execução em todas as páginas desse host. Esta seção fornece um inventário do JavaScript detetado em cada ativo para que sua organização tenha visibilidade total desses recursos e possa detetar quaisquer alterações.
O Defender EASM fornece a URL do recurso, o host do recurso, o valor MD5 e as datas vistas pela primeira e pela última vez para ajudar as organizações a monitorar efetivamente o uso de recursos JavaScript em todo o seu inventário.
certificados SSL
Os certificados são usados para proteger as comunicações entre um navegador e um servidor web via SSL. O uso de certificados garante que os dados confidenciais em trânsito não possam ser lidos, adulterados ou falsificados. Esta seção do Defender EASM lista todos os certificados SSL detetados no ativo, incluindo dados importantes, como o problema e as datas de validade.
Quem é
O protocolo Whois é utilizado para consultar e responder às bases de dados que armazenam dados relacionados com o registo e propriedade de recursos da Internet. O Whois contém dados de registro de chaves que podem ser aplicados a domínios, hosts, endereços IP e blocos de IP no Defender EASM. Na guia Dados Whois, a Microsoft fornece uma quantidade robusta de informações associadas ao registro do ativo.
Os campos a seguir estão incluídos na tabela na seção Valores na guia Whois .
| Campo | Descrição |
|---|---|
| Servidor Whois | Um servidor criado por um registrar credenciado pela ICANN para obter informações atualizadas sobre entidades que estão registradas nele. |
| Escrivão | A empresa cujo serviço foi utilizado para registar um ativo. Os registradores populares incluem GoDaddy, Namecheap e HostGator. |
| Estado do domínio | Qualquer status para um domínio, conforme definido pelo registro. Esses status podem indicar que um domínio está pendente, excluído ou transferido pelo registrador ou está ativo na Internet. Este campo também pode indicar as limitações de um ativo. Por exemplo, Exclusão de cliente proibida indica que o registrador não pode excluir o ativo. |
| Quaisquer endereços de e-mail de contacto fornecidos pelo registante. O Whois permite que os registantes especifiquem o tipo de contacto. As opções incluem contatos administrativos, técnicos, registrantes e registradores. | |
| Nome | O nome de um registante, se fornecido. |
| Organization | A organização responsável pela entidade registada. |
| Rua | O endereço do registante, se fornecido. |
| City | A cidade listada no endereço do inscrito, se fornecido. |
| Estado | O estado listado no endereço do inscrito, se fornecido. |
| Postal code | O código postal indicado no endereço do registante, se fornecido. |
| País | O país indicado no endereço do registante, se fornecido. |
| Telemóvel | O número de telefone associado a um contacto de registante, se fornecido. |
| Servidores de nomes | Quaisquer servidores de nomes associados à entidade registada. |
Muitas organizações optam por ofuscar suas informações de registro. Às vezes, os endereços de e-mail de contato terminam em @anonymised.email. Este espaço reservado é usado em vez de um endereço de contato real. Muitos campos são opcionais durante a configuração do registo, pelo que qualquer campo com um valor vazio não foi incluído pelo registante.
Histórico de alterações
A guia "Histórico de alterações" exibe uma lista de modificações que foram aplicadas a um ativo ao longo do tempo. Essas informações ajudam você a acompanhar essas alterações ao longo do tempo e entender melhor o ciclo de vida do ativo. Esta guia exibe uma variedade de alterações, incluindo, entre outras, estados de ativos, rótulos e IDs externos. Para cada alteração, listamos o usuário que implementou a alteração e um carimbo de data/hora.
