Что такое обнаружение?
Обзор
Управление направлением внешних атак Microsoft Defender (Defender EASM) использует нашу собственную технологию обнаружения для непрерывного определения уникальной области атак, предоставляемой в Интернете вашей организации. Обнаружение сканирует известные ресурсы, принадлежащие вашей организации, чтобы обнаружить ранее неизвестные и неуправляемые свойства. Обнаруженные ресурсы индексируются в инвентаризации клиента, предоставляя динамическую систему записи веб-приложений, сторонних зависимостей и веб-инфраструктуры под управлением организации через одну панель стекла.
В рамках этого процесса корпорация Майкрософт позволяет организациям заранее отслеживать их постоянно перемещаемую область цифровой атаки и выявлять возникающие риски и нарушения политики по мере их возникновения. Многие программы уязвимостей не имеют видимости за пределами брандмауэра, оставляя их не в курсе внешних рисков и угроз — основного источника нарушений данных. В то же время рост цифровых технологий продолжает опережать способность группы безопасности предприятия защищать ее. Цифровые инициативы и чрезмерно распространенные "тени ИТ" приводят к расширению области атак за пределами брандмауэра. В этом темпе почти невозможно проверить элементы управления, защиту и требования соответствия требованиям. Без EASM Defender практически невозможно определить и удалить уязвимости и сканеры, которые не могут выйти за пределы брандмауэра, чтобы оценить полную область атаки.
Принцип работы
Чтобы создать комплексное сопоставление области атак вашей организации, система сначала использует известные ресурсы (известные как "семена"), которые рекурсивно сканируются, чтобы обнаружить больше сущностей через свои подключения к начальной части. Начальное начальное значение может быть любым из следующих типов веб-инфраструктуры, индексированных корпорацией Майкрософт:
- Домены
- Блоки IP-адресов
- Узлы
- Контакты электронной почты
- Номера ASN
- Организации WHOIS
Начиная с начального значения, система затем обнаруживает связи с другой интернет-инфраструктурой, чтобы обнаружить другие ресурсы, принадлежащие вашей организации; этот процесс в конечном счете создает инвентаризацию поверхностей атак. Процесс обнаружения использует семена в качестве центральных узлов и пауков на периферии вашей поверхности атаки путем идентификации всей инфраструктуры непосредственно подключенной к начальной части, а затем идентификации всех вещей, связанных с каждой из вещей в первом наборе подключений, и т. д. Этот процесс продолжается до тех пор, пока мы не достигаем границы того, что ваша организация отвечает за управление.
Например, чтобы обнаружить инфраструктуру Contoso, можно использовать домен, contoso.com в качестве начального начального значения. Начиная с этого начального значения, мы можем обратиться к следующим источникам и получить следующие связи:
| Источник данных | Пример |
|---|---|
| Записи WhoIs | Другие доменные имена, зарегистрированные в той же электронной почте или организации реестра, которые используются для регистрации contoso.com вероятно, также принадлежат Компании Contoso. |
| Записи WhoIs | Все доменные имена, зарегистрированные на любой @contoso.com адрес электронной почты, вероятно, также принадлежат Компании Contoso |
| Записи WHOIS | Другие домены, связанные с тем же сервером имен, что и contoso.com, также могут принадлежать Contoso. |
| Записи DNS | Мы можем предположить, что Contoso также владеет всеми наблюдаемыми узлами в доменах, которыми он владеет, и любыми веб-сайтами, связанными с этими узлами. |
| Записи DNS | Домены с другими узлами, разрешающими те же IP-блоки, также могут принадлежать Компании Contoso, если организация владеет блоком IP |
| Записи DNS | Почтовые серверы, связанные с доменными именами contoso, также будут принадлежать Contoso |
| Сертификаты SSL | Компания Contoso, вероятно, также владеет всеми SSL-сертификатами, подключенными к каждому из этих узлов и любым другим узлам с использованием одних и тех же SSL-сертификатов. |
| Записи ASN | Другие блоки IP-адресов, связанные с тем же ASN, что и блоки IP-адресов, к которым подключены доменные имена Contoso, также могут принадлежать Компании Contoso, так как и ко всем узлам и доменам, разрешающим их. |
Используя этот набор подключений первого уровня, мы можем быстро получить совершенно новый набор ресурсов для изучения. Перед выполнением дополнительных рекурсий корпорация Майкрософт определяет, достаточно ли подключение достаточно сильным для автоматического добавления обнаруженной сущности в подтвержденную инвентаризацию. Для каждого из этих ресурсов система обнаружения выполняет автоматический рекурсивный поиск на основе всех доступных атрибутов для поиска подключений второго и третьего уровня. Этот повторяющийся процесс предоставляет дополнительную информацию о сетевой инфраструктуре организации и, следовательно, обнаруживает разрозненные ресурсы, которые, возможно, не были обнаружены и впоследствии отслеживаются в противном случае.
Автоматизированные и настраиваемые области атак
При первом использовании Defender EASM вы можете получить доступ к предварительно созданной инвентаризации для вашей организации, чтобы быстро запустить рабочие процессы. На странице "Начало работы" пользователи могут искать свою организацию для быстрого заполнения инвентаризации на основе подключений к ресурсам, уже определенных корпорацией Майкрософт. Рекомендуется, чтобы все пользователи искали предварительно созданную для своей организации область атак перед созданием пользовательской инвентаризации.
Чтобы создать настраиваемую инвентаризацию, пользователи создают группы обнаружения для организации и управления семенами, которые они используют при выполнении обнаружения. Отдельные группы обнаружения позволяют пользователям автоматизировать процесс обнаружения, настраивать начальный список и повторяющееся расписание выполнения.
Подтвержденная инвентаризация и ресурсы кандидатов
Если подсистема обнаружения обнаруживает сильное соединение между потенциальным ресурсом и начальным начальным значением, система автоматически будет включать этот ресурс в организацию "Подтвержденная инвентаризация". Так как подключения к этому начальному значению итеративно сканируются, обнаруживая подключения третьего или четвертого уровня, уверенность системы в собственности всех обнаруженных активов ниже. Аналогичным образом система может обнаруживать ресурсы, относящиеся к вашей организации, но могут не принадлежать им напрямую.
По этим причинам недавно обнаруженные ресурсы помечены как одно из следующих состояний:
| Название штата | Description |
|---|---|
| Утвержденная инвентаризация | Часть вашей собственной атаки; элемент, за который вы несете прямую ответственность. |
| Dependency | Инфраструктура, принадлежающая стороннему поставщику, но является частью вашей области атаки, так как она напрямую поддерживает работу ваших собственных активов. Например, вы можете зависеть от ИТ-поставщика для размещения веб-содержимого. Хотя домен, имя узла и страницы будут частью утвержденной инвентаризации, может потребоваться рассматривать IP-адрес узла как зависимость. |
| Только мониторинг | Ресурс, соответствующий вашей области атаки, но не управляется напрямую или технической зависимостью. Например, независимые франшизы или активы, принадлежащие связанным компаниям, могут быть помечены как "Мониторинг только" вместо "утвержденных инвентаризаций" для разделения групп в целях отчетности. |
| Кандидат | Ресурс, который имеет некоторые отношения с известными начальными ресурсами вашей организации, но не имеет достаточно сильного подключения, чтобы немедленно пометить его как "Утвержденный инвентаризации". Эти ресурсы-кандидаты должны быть вручную проверены для определения владения. |
| Требуется исследование | Состояние, аналогичное состоянию "Кандидат", но это значение применяется к ресурсам, которые требуют ручного исследования для проверки. Это определяется на основе наших внутренних показателей достоверности, которые оценивают силу обнаруженных соединений между ресурсами. Он не указывает точные отношения инфраструктуры с организацией столько, сколько он указывает, что этот ресурс помечен как требующий дополнительной проверки, чтобы определить, как он должен быть классифицирован. |
При просмотре ресурсов рекомендуется начать с ресурсов, помеченных как "Требовать исследования". Сведения о ресурсах постоянно обновляются и обновляются с течением времени для поддержания точной карты состояний активов и связей, а также для обнаружения новых созданных активов по мере их появления. Процесс обнаружения управляется путем размещения семян в группах обнаружения, которые можно запланировать повторное выполнение на регулярной основе. После заполнения инвентаризации система EASM Defender постоянно сканирует ресурсы с помощью технологии виртуального пользователя Майкрософт для обнаружения свежих, подробных данных о каждом из них. Этот процесс проверяет содержимое и поведение каждой страницы на применимых сайтах, чтобы предоставить надежную информацию, которая может использоваться для выявления уязвимостей, проблем соответствия требованиям и других потенциальных рисков для вашей организации.