Usar e gerenciar a descoberta

O Microsoft Defender External Attack Surface Management (Defender EASM) depende de tecnologia de descoberta proprietária para definir continuamente a superfície de ataque exclusiva exposta à Internet da sua organização. O Discovery verifica a Internet em busca de ativos de propriedade da sua organização para descobrir propriedades anteriormente desconhecidas e não monitoradas.

Os ativos descobertos são indexados em seu inventário para fornecer um sistema dinâmico de registro de aplicativos Web, dependências de terceiros e infraestrutura da Web sob o gerenciamento de sua organização por meio de um único painel.

Antes de executar uma descoberta personalizada, consulte O que é descoberta? para entender os principais conceitos discutidos aqui.

Aceda à sua superfície de ataque automatizada

A Microsoft configurou preventivamente as superfícies de ataque de muitas organizações, mapeando sua superfície de ataque inicial descobrindo a infraestrutura conectada a ativos conhecidos.

Recomendamos que você pesquise a superfície de ataque da sua organização antes de criar uma superfície de ataque personalizada e executar outras descobertas. Esse processo permite que você acesse rapidamente seu inventário à medida que o Defender EASM atualiza os dados e adiciona mais ativos e contexto recente à sua superfície de ataque.

Quando você acessar sua instância EASM do Defender pela primeira vez, selecione Introdução na seção Geral para pesquisar sua organização na lista de superfícies de ataque automatizadas. Em seguida, escolha sua organização na lista e selecione Criar minha superfície de ataque.

Neste ponto, a descoberta é executada em segundo plano. Se você selecionou uma superfície de ataque pré-configurada na lista de organizações disponíveis, será redirecionado para a tela de visão geral do painel, onde poderá visualizar informações sobre a infraestrutura da sua organização no modo de visualização.

Analise essas informações do painel para se familiarizar com sua superfície de ataque enquanto espera que mais ativos sejam descobertos e preenchidos em seu inventário. Para obter mais informações sobre como obter informações desses painéis, consulte Compreender painéis.

Você pode executar descobertas personalizadas para detetar ativos atípicos. Por exemplo, você pode ter ativos ausentes. Ou talvez você tenha outras entidades para gerenciar que podem não ser descobertas por meio de uma infraestrutura claramente vinculada à sua organização.

Personalizar a descoberta

As descobertas personalizadas são ideais se sua organização precisar de uma visibilidade mais profunda da infraestrutura que pode não estar imediatamente vinculada aos seus principais ativos de semente. Ao enviar uma lista maior de ativos conhecidos para operar como sementes de descoberta, o mecanismo de descoberta retorna um conjunto mais amplo de ativos. A descoberta personalizada também pode ajudar sua organização a encontrar infraestruturas diferentes que podem estar relacionadas a unidades de negócios independentes e empresas adquiridas.

Grupos de descoberta

As descobertas personalizadas são organizadas em grupos de descoberta. Eles são clusters de sementes independentes que compreendem uma única descoberta executada e operam em seus próprios cronogramas de recorrência. Você organiza seus grupos de descoberta para delinear ativos da maneira que melhor beneficia sua empresa e fluxos de trabalho. As opções comuns incluem a organização pela equipe responsável ou unidade de negócios, marcas ou subsidiárias.

Criar um grupo de descoberta

1. No painel mais à esquerda, em Gerir, selecione Descoberta.

   

2. A página Descoberta mostra sua lista de grupos de descoberta por padrão. Esta lista está vazia quando acede à plataforma pela primeira vez. Para executar sua primeira descoberta, selecione Adicionar grupo de descoberta.

   

3. Nomeie seu novo grupo de descoberta e adicione uma descrição. O campo Frequência recorrente permite agendar execuções de descoberta para esse grupo, verificando novos ativos relacionados às sementes designadas continuamente. A seleção de recorrência padrão é Semanal. Recomendamos essa cadência para garantir que os ativos da sua organização sejam monitorados e atualizados rotineiramente.

   Para uma única execução de descoberta única, selecione Nunca. Recomendamos que você mantenha a cadência padrão semanal, pois a descoberta é projetada para descobrir continuamente novos ativos relacionados à sua infraestrutura conhecida. Você pode editar a frequência de recorrência mais tarde, selecionando a opção "Editar" em qualquer página de detalhes do grupo de descoberta.

4. Selecione Next: Seeds.

   

5. Selecione as sementes que você deseja usar para este grupo de descoberta. As sementes são ativos conhecidos que pertencem à sua organização. A plataforma EASM do Defender verifica essas entidades e mapeia suas conexões com outras infraestruturas on-line para criar sua superfície de ataque. Como o EASM do Defender se destina a monitorar sua superfície de ataque de uma perspetiva externa, os endereços IP privados não podem ser incluídos como sementes de descoberta.

   

   A opção Início Rápido permite pesquisar sua organização em uma lista de superfícies de ataque pré-preenchidas. Você pode criar rapidamente um grupo de descoberta com base nos ativos conhecidos que pertencem à sua organização.

   

   

   Como alternativa, você pode inserir manualmente suas sementes. O Defender EASM aceita nomes de organizações, domínios, blocos de IP, hosts, contatos de e-mail, ASNs e organizações Whois como valores semente.

   Você também pode especificar entidades a serem excluídas da descoberta de ativos para garantir que elas não sejam adicionadas ao seu inventário se forem detetadas. Por exemplo, as exclusões são úteis para organizações que têm subsidiárias que provavelmente estarão conectadas à sua infraestrutura central, mas não pertencem à sua organização.

   Depois que as sementes forem selecionadas, selecione Revisar + Criar.

6. Revise as informações do grupo e a lista de sementes e selecione Criar & Executar.

   

   Você será levado de volta à página principal do Discovery que exibe seus grupos de descoberta. Após a conclusão da execução de descoberta, você verá novos ativos adicionados ao seu inventário aprovado.

Exibir e editar grupos de descoberta

Você pode gerenciar seus grupos de descoberta na página principal do Discovery . O modo de exibição padrão exibe uma lista de todos os seus grupos de descoberta e alguns dados importantes sobre cada um deles. Na exibição de lista, você pode ver o número de sementes, o cronograma de recorrência, a data da última execução e a data de criação para cada grupo.

Selecione qualquer grupo de descoberta para exibir mais informações, editar o grupo ou iniciar um novo processo de descoberta.

Execuções

A página de detalhes do grupo de descoberta contém o histórico de execução do grupo. Esta seção exibe informações importantes sobre cada execução de descoberta executada no grupo específico de sementes. A coluna Status indica se a execução está Em Andamento, Concluída ou Falha. Esta seção também inclui carimbos de data/hora iniciados e concluídos e uma contagem de todos os novos ativos adicionados ao seu inventário após essa execução de descoberta específica. Essa contagem inclui todos os ativos trazidos para o inventário, independentemente do estado ou status faturável.

O histórico de execução é organizado pelos ativos de propagação que foram verificados durante a execução de descoberta. Para ver uma lista das sementes aplicáveis, selecione Detalhes. Um painel é aberto à direita da tela que lista todas as sementes e exclusões por tipo e nome.

Ver sementes e exclusões

A página Descoberta assume como padrão uma exibição de lista de grupos de descoberta, mas você também pode exibir listas de todas as sementes e entidades excluídas dessa página. Selecione uma das guias para exibir uma lista de todas as sementes ou exclusões que alimentam seus grupos de descoberta.

Sementes

O modo de exibição de lista de sementes exibe valores de semente com três colunas: Tipo, Nome da Fonte e Grupos de Descoberta. O campo Tipo exibe a categoria do ativo semente. As sementes mais comuns são domínios, hosts e blocos IP. Você também pode usar contatos de e-mail, ASNs, nomes comuns de certificado ou organizações Whois.

O nome de origem é o valor que foi inserido na caixa de tipo apropriada quando você criou o grupo de descoberta. A coluna final mostra uma lista de grupos de descoberta que usam a semente. Cada valor é clicável e leva você para a página de detalhes desse grupo de descoberta.

Ao inserir sementes, lembre-se de validar o formato apropriado para cada entrada. Quando você salva o grupo de descoberta, a plataforma executa uma série de verificações de validação e alerta sobre quaisquer sementes mal configuradas. Por exemplo, os blocos IP devem ser inseridos pelo endereço de rede (por exemplo, o início do intervalo de IP).

Exclusões

Da mesma forma, você pode selecionar a guia Exclusões para ver uma lista de entidades que foram excluídas do grupo de descoberta. Esses ativos não serão usados como sementes de descoberta ou serão adicionados ao seu inventário. As exclusões afetam apenas as execuções de descoberta futuras para um grupo de descoberta individual.

O campo Tipo exibe a categoria da entidade excluída. O nome de origem é o valor que foi inserido na caixa de tipo apropriada quando você criou o grupo de descoberta. A coluna final mostra uma lista de grupos de descoberta onde essa exclusão está presente. Cada valor é clicável e leva você para a página de detalhes desse grupo de descoberta.

Próximos passos

• Descubra a sua superfície de ataque
• Compreender os detalhes dos ativos
• Compreender os painéis