Compreender os recursos de inventário
Descrição Geral
A tecnologia de deteção proprietária da Microsoft procura recursivamente infraestruturas com ligações observadas a recursos legítimos conhecidos (por exemplo, deteção de "sementes") para fazer inferências sobre a relação dessa infraestrutura com a organização e descobrir propriedades anteriormente desconhecidas e não monitorizadas.
O Defender EASM inclui a deteção dos seguintes tipos de recursos:
- Domínios
- Anfitriões
- Páginas
- Blocos IP
- Endereços IP
- Números de Sistema Autónomos (ASNs)
- Certificados SSL
- Contactos whois
Estes tipos de recursos compreendem o inventário da superfície de ataque no Defender EASM. Esta solução deteta recursos externos que estão expostos à Internet aberta fora da proteção de firewall tradicional; têm de ser monitorizados e mantidos para minimizar o risco e melhorar a postura de segurança de uma organização. Gestão da superfície de ataques externos do Microsoft Defender (Defender EASM) deteta e monitoriza ativamente estes recursos e, em seguida, apresenta informações importantes que ajudam os clientes a resolver de forma eficiente quaisquer vulnerabilidades à sua organização.
Estados de ativos
Todos os recursos são etiquetados como um dos seguintes estados:
Nome do estado | Description |
---|---|
Inventário Aprovado | Uma parte da sua própria superfície de ataque; um item pelo qual é diretamente responsável. |
Dependência | Infraestrutura que pertence a terceiros, mas que faz parte da superfície de ataque, porque suporta diretamente o funcionamento dos seus bens. Por exemplo, pode depender de um fornecedor de TI para alojar o seu conteúdo Web. Embora o domínio, o nome do anfitrião e as páginas façam parte do seu "Inventário Aprovado", poderá querer tratar o Endereço IP que executa o anfitrião como uma "Dependência". |
Monitorizar Apenas | Um recurso que é relevante para a superfície de ataque, mas que não é controlado diretamente nem uma dependência técnica. Por exemplo, os franchisados ou activos independentes pertencentes a empresas relacionadas podem ser rotulados como "Monitorizar Apenas" em vez de "Inventário Aprovado" para separar os grupos para fins de relatórios. |
Candidato | Um recurso que tem alguma relação com os recursos de sementes conhecidos da sua organização, mas que não tem uma ligação suficientemente forte para o rotular imediatamente como "Inventário Aprovado". Estes recursos candidatos têm de ser revistos manualmente para determinar a propriedade. |
Requer Investigação | Um estado semelhante aos estados "Candidato", mas este valor é aplicado a recursos que requerem investigação manual para validar. Isto é determinado com base nas nossas classificações de confiança geradas internamente que avaliam a força das ligações detetadas entre recursos. Não indica a relação exata da infraestrutura com a organização, tanto quanto indica que este recurso foi sinalizado como exigindo uma revisão adicional para determinar como deve ser categorizado. |
Processamento de diferentes estados de ativos
Estes estados de ativos são processados e monitorizados de forma exclusiva para garantir que os clientes têm visibilidade clara sobre os ativos mais críticos por predefinição. Por exemplo, os recursos de "Inventário Aprovado" são sempre representados em gráficos de dashboards e são analisados diariamente para garantir a receção de dados. Por predefinição, todos os outros tipos de recursos não estão incluídos em gráficos de dashboard; no entanto, os utilizadores podem ajustar os filtros de inventário para ver recursos em estados diferentes, conforme necessário. Da mesma forma, os recursos "Candidato" só são analisados durante o processo de deteção; É importante rever estes recursos e alterar o respetivo estado para "Inventário Aprovado" se forem propriedade da sua organização.
Controlar as alterações de inventário
A superfície de ataque está em constante mudança, razão pela qual o Defender EASM analisa e atualiza continuamente o inventário para garantir a precisão. Os recursos são frequentemente adicionados e removidos do inventário, pelo que é importante controlar estas alterações para compreender a superfície de ataque e identificar as principais tendências. O dashboard de alterações de inventário fornece uma descrição geral destas alterações, apresentando as contagens "adicionadas" e "removidas" para cada tipo de recurso. Pode filtrar o dashboard por dois intervalos de datas: os últimos 7 ou 30 dias. Para obter uma vista mais granular destas alterações de inventário, veja a secção "Alterações por data".
Passos seguintes
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários