Förstå lagertillgångar
Översikt
Microsofts patentskyddade identifieringsteknik söker rekursivt efter infrastruktur med observerade anslutningar till kända legitima tillgångar (t.ex. identifiering av "frön") för att dra slutsatser om infrastrukturens relation till organisationen och avslöja tidigare okända och oövervakade egenskaper.
Defender EASM innehåller identifiering av följande typer av tillgångar:
- Domains
- Värdar
- Sidor
- IP-block
- IP-adresser
- Autonomt systemnummer (ASN)
- SSL-certifikat
- WHOIS-kontakter
Dessa tillgångstyper utgör ditt lager för attackytan i Defender EASM. Den här lösningen identifierar externt riktade tillgångar som exponeras för det öppna Internet utanför det traditionella brandväggsskyddet. De måste övervakas och underhållas för att minimera riskerna och förbättra organisationens säkerhetsstatus. Microsoft Defender – hantering av extern attackyta (Defender EASM) identifierar och övervakar aktivt dessa tillgångar och visar sedan viktiga insikter som hjälper kunderna att effektivt åtgärda eventuella säkerhetsrisker i organisationen.
Tillgångstillstånd
Alla tillgångar är märkta som något av följande tillstånd:
| Tillståndsnamn | Beskrivning |
|---|---|
| Godkänd inventering | En del av din ägda attackyta; ett objekt som du är direkt ansvarig för. |
| Beroende | Infrastruktur som ägs av en tredje part men som är en del av din attackyta eftersom den har direkt stöd för driften av dina ägda tillgångar. Du kan till exempel vara beroende av en IT-leverantör som värd för ditt webbinnehåll. Även om domänen, värdnamnet och sidorna skulle vara en del av din "godkända inventering" kanske du vill behandla IP-adressen som kör värden som ett "beroende". |
| Endast övervakare | En tillgång som är relevant för din attackyta men som varken är direkt styrd eller ett tekniskt beroende. Oberoende franchisetagare eller tillgångar som tillhör relaterade företag kan till exempel märkas som "Endast övervakare" i stället för "Godkänd inventering" för att separera grupperna i rapporteringssyfte. |
| Kandidat | En tillgång som har en viss relation till organisationens kända startvärdestillgångar men inte har en tillräckligt stark anslutning för att omedelbart märka den som "Godkänd inventering". Dessa kandidattillgångar måste granskas manuellt för att fastställa ägarskap. |
| Kräver undersökning | Ett tillstånd som liknar "kandidat"-tillstånden, men det här värdet tillämpas på tillgångar som kräver manuell undersökning för att validera. Detta fastställs baserat på våra internt genererade konfidenspoäng som utvärderar styrkan hos identifierade anslutningar mellan tillgångar. Den anger inte infrastrukturens exakta relation till organisationen lika mycket som den anger att den här tillgången har flaggats för att kräva ytterligare granskning för att avgöra hur den ska kategoriseras. |
Hantering av olika tillgångstillstånd
Dessa tillgångstillstånd bearbetas och övervakas unikt för att säkerställa att kunderna har tydlig insyn i de mest kritiska tillgångarna som standard. Till exempel representeras tillgångar av typen "Godkänd inventering" alltid i instrumentpanelsdiagram och genomsöks dagligen för att säkerställa dataåterhämtning. Alla andra typer av tillgångar ingår inte i instrumentpanelsdiagram som standard. Användarna kan dock justera sina lagerfilter för att visa tillgångar i olika tillstånd efter behov. På samma sätt genomsöks "Kandidat"-tillgångar endast under identifieringsprocessen. Det är viktigt att granska dessa tillgångar och ändra deras tillstånd till "Godkänd inventering" om de ägs av din organisation.
Spåra lagerändringar
Din attackyta förändras ständigt, vilket är anledningen till att Defender EASM kontinuerligt analyserar och uppdaterar ditt lager för att säkerställa noggrannheten. Tillgångar läggs ofta till och tas bort från lagret, så det är viktigt att spåra dessa ändringar för att förstå din attackyta och identifiera viktiga trender. Instrumentpanelen för inventeringsändringar ger en översikt över dessa ändringar och visar antalet "tillagda" och "borttagna" för varje tillgångstyp. Du kan filtrera instrumentpanelen efter två datumintervall: antingen de senaste 7 eller 30 dagarna. En mer detaljerad vy över dessa lagerändringar finns i avsnittet "Ändringar efter datum".
