你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

发现攻击面

先决条件

在完成本教程之前，请参阅什么是发现？以及使用和管理发现文章来了解本文中提到的关键概念。

访问自动攻击面

Microsoft 已预先配置许多组织的攻击面，并通过发现连接到已知资产的基础结构来映射其初始攻击面。 建议所有用户在创建自定义攻击面和运行其他发现之前，先搜索其组织的攻击面。 这样，用户便可以在 Defender EASM 刷新数据时快速访问其清单，并将更多资产和最近使用的上下文添加到攻击面。

1. 首次访问 Defender EASM 实例时，请在“常规”部分中选择“入门”，以在自动攻击面列表中搜索组织。

2. 然后，从列表中选择组织并单击“构建攻击面”。

此时，发现在后台运行。 如果从可用组织列表中选择了预配置的攻击面，则会重定向到“仪表板概述”屏幕，你可以在其中以预览模式查看对组织基础结构的见解。 在等待发现其他资产并将其填充到清单时，请查看这些仪表板见解以熟悉攻击面。 请参阅了解仪表板一文，详细了解如何从这些仪表板中获取见解。

如果发现任何资产缺失，或有其他实体需要管理，而这些实体可能无法通过与组织明确关联的基础架构发现，则可以选择运行自定义发现来检测这些离群资产。

自定义发现

自定义发现非常适合有以下需求的组织，即，需要更深入地了解可能无法立即与其主要种子资产关联的基础结构。 通过提交更大的已知资产列表以作为发现种子运行，发现引擎将返回更广泛的资产池。 自定义发现还可以帮助组织找到可能与独立业务部门和收购公司相关的不同基础结构。

发现组

自定义发现会整理到发现组中。 它们是独立的种子群集，由单个发现运行组成并按自己的定期计划运行。 用户可以选择整理其发现组，以对公司和工作流最有利的方式来划分资产。 常见选项包括按负责的团队/业务部门、品牌或子公司进行整理。

创建发现组

1. 在左侧导航列中，选择“管理”部分下的“发现”面板。

   

2. 默认情况下，此发现页面会显示你的发现组列表。 当你首次访问平台时，此列表为空。 若要运行你的第一个发现，请单击“添加发现组”。

   

3. 首先，为新的发现组命名并添加说明。 “定期频率”字段允许计划此组的发现运行，并连续扫描与指定种子相关的新资产。 默认的定期选项为“每周”；Microsoft 建议使用此频率来确保定期监视和更新组织的资产。 对于单个一次性发现运行，请选择“从不”。 但是，建议用户保留“每周”默认频率，并在以后决定终止定期发现运行时，关闭发现组设置中的历史监视。

   选择“下一步: 种子 >”

   

4. 接下来，选择要用于此发现组的种子。 种子是组织拥有的已知资产；Defender EASM 平台会扫描这些实体，将其连接映射到其他联机基础结构，以创建攻击面。

   

   “快速启动”选项允许你在预先填充的攻击面列表中搜索你的组织。 你可以根据组织拥有的已知资产快速创建发现组。

   

   或者，用户可以手动输入种子。 Defender EASM 接受域、IP 块、主机、电子邮件联系人、ASN 和 WhoIs 组织作为种子值。 你还可以指定要从资产发现中排除的实体，以确保在检测到这些实体时不会将其添加到清单中。 例如，此功能对于这样一类组织很有用：其子公司可能连接到中央基础结构，但不属于你的组织。

   选择种子后，选择“查看 + 创建”。

5. 查看组信息和种子列表，然后选择“ 创建并运行”。

   

随后将返回到显示发现组的主“发现”页面。 发现运行完成后，可以看到添加到已批准清单的新资产。

后续步骤

• 了解资产详细信息
• 了解仪表板