你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender EASM 清单筛选器概述
本文概述了 Microsoft Defender 外部攻击面管理 (Defender EASM) 中提供的筛选器功能。 筛选有助于根据所选参数查找清单资产的特定子集。 本文概述了每个筛选器和运算符,并提供有关可产生最佳结果的输入选项的指导。 此外,还介绍了如何保存查询,以便轻松访问筛选结果。
工作原理
清单筛选器允许访问满足搜索参数的特定数据子集。 可以根据需要应用任意数量的筛选器来获取所需的结果。
默认情况下, “清单” 屏幕仅显示 “已批准的 清单资产”。 处于备用状态的资产处于隐藏状态。 如果要查看处于不同状态的资产,则可以删除此筛选器。 其他状态包括 候选、 依赖项和 需要调查。
需要以下操作时,删除 “已批准 清单”筛选器非常有用:
- 查看潜在的新资产。
- 调查第三方依赖项问题。
- 执行搜索时,查看所有潜在拥有资产的完整视图。
Defender EASM 提供各种筛选器来获取不同粒度级别的结果。 使用某些筛选器,可以从下拉列表中选择值选项。 其他要求手动输入所需的值。
已保存的查询
可以保存感兴趣的查询以快速访问生成的资产列表。 如果需要定期搜索资产的特定子集,此功能非常有用。 如果需要在以后轻松引用特定的筛选器配置,它也很有用。 保存的筛选器可帮助你根据高度可自定义的参数轻松访问最关心的资产。
若要保存查询:
首先,请仔细选择筛选器以生成所需的结果。 有关每种资产的适用筛选器的详细信息,请参阅“后续步骤”部分。 在此示例中,你将搜索在 30 天内过期、需要续订的域。 选择“搜索”。
查看生成的资产。 如果对所选筛选器感到满意并想要保存查询,请选择“ 保存查询”。
为查询命名并提供说明。 初始设置后无法编辑查询名称,但以后可以更改说明。 选择“保存”。 此时会显示一个横幅,确认查询已保存。
若要查看保存的筛选器,请选择清单列表页面顶部的“ 保存的查询 ”选项卡。 任何保存的查询都显示在顶部。 选择“ 打开查询 ”,按指定的参数筛选清单。 在此页中,还可以编辑或删除已保存的查询。
运算符
清单筛选器可以与以下运算符一起使用。 某些运算符并非每个筛选器都可用。 如果某些运算符在逻辑上不适用于特定筛选器,则会隐藏这些运算符。
| 运算符 | 说明 |
|---|---|
Equals |
返回与搜索值完全匹配的结果。 此筛选器一次仅返回一个值的结果。 对于填充选项下拉列表的筛选器,一次只能选择一个选项。 若要选择多个值,请参阅 In 运算符。 |
Not Equals |
返回字段与搜索值不完全匹配的结果。 |
Starts with |
返回字段以搜索值开头的结果。 |
Does not start with |
返回字段不以搜索值开头的结果。 |
Matches |
返回字段中的标记化词与搜索值完全匹配的结果。 |
Does not match |
返回字段中的标记化术语与搜索值不完全匹配的结果。 |
In |
返回字段与其中一个搜索值完全匹配的结果。 对于下拉列表,可以选择多个选项。 |
Not In |
返回字段不完全匹配任何搜索值的结果。 可以选择多个选项。 手动输入字段不包括与精确值匹配的结果。 |
Starts with in |
返回结果,其中字段以搜索值之一开头。 |
Does not start with in |
返回字段不以任何搜索值开头的结果。 |
Matches in |
返回字段中的标记化术语与其中一个搜索值完全匹配的结果。 |
Does not match in |
返回字段中的标记化术语与任何搜索值不完全匹配的结果。 |
Contains |
返回字段内容包含搜索值的结果。 |
Does Not Contain |
返回字段内容不包含搜索值的结果。 |
Contains in |
返回字段内容包含其中一个搜索值的结果。 |
Does Not Contain In |
返回字段内容中的标记化术语不包含任何搜索值的结果。 |
Empty |
返回不返回指定筛选器的任何值的资产。 |
Not Empty |
返回返回指定筛选器值的所有资产,而不考虑该值。 |
Greater Than or Equal To |
返回大于或等于数值的结果。 包括日期。 |
Between |
返回数值范围内的结果。 包括日期范围。 |
常见筛选器
这些筛选器适用于清单中的各种资产。 搜索更广泛的资产时,可以使用这些筛选器。 有关特定类型资产的筛选器列表,请参阅“后续步骤”部分。
定义的值筛选器
以下筛选器提供了一个下拉列表,其中包含可以选择的选项。 可用值是预定义的。
| 筛选器名称 | 说明 | 可选值 | 可用运算符 |
|---|---|---|---|
| 种类 | 按构成清单的特定 Web 属性类型筛选。 | ASN、联系人、域、主机、IP 地址、IP 块、页面、SSL 证书 | Equals, Not Equals, In, Not In, Empty, Not Empty |
| 状态 | 为区分资产与组织相关性而分配给资产的状态,以及 Defender EASM 监视资产的方式。 | 已批准、候选、依赖项、仅监视、需要调查 | |
| 从清单中删除 | 从清单中删除资产的方法。 | 已存档、已消除 | |
| 创建于 | 按在清单中创建资产的日期筛选。 | 通过日历下拉列表的日期范围 | Greater Than or Equal To, Less Than or Equal To, Between |
| 首次看到 | 按 Defender EASM 检测系统首次观察到资产的日期筛选。 | 通过日历下拉列表的日期范围 | |
| 上次查看时间 | 按 Defender EASM 检测系统上次观察到资产的日期筛选。 | 通过日历下拉列表的日期范围 | |
| 标签 | 手动应用于库存资产的标签筛选器。 | 接受任意格式响应,但也提供 Defender EASM 资源中可用的标签下拉列表 | |
| 更新时间 | 按资产数据在清单中上次更新的日期筛选。 | 通过日历下拉列表的日期范围 | |
| 通配符 | 通配符 DNS 记录回答尚未定义的子域的 DNS 请求。 例如 *.contoso.com。 | True、False | Equals, Not Equals |
任意多边形筛选器
以下筛选器要求手动输入要用于搜索的值。 其中许多值区分大小写。
| 筛选器名称 | 说明 | 值格式 | 适用的运算符 |
|---|---|---|---|
| UUID | 分配给特定资产的通用唯一标识符。 | acabe677-f0c6-4807-ab4e-3a59d9e66b22 | Equals, Not Equals, In, Not In |
| 名称 | 资产的名称。 | 必须与清单中列出的资产名称的格式保持一致。 例如,主机显示为 mail.contoso.com 或 IP 显示为 192.168.92.73。 | Equals, Not Equals, Starts with, Does not start with, In, Not In, Starts with in, Does not start with in |
| 外部 ID | 第三方提供的标识符。 | 通常为数值。 | Equals, Not Equals, Starts with, Does not start with, Matches, Does not match, In, Not In, Starts with in, Does not start with in, Matches in, Does not match in, Contains, Does Not Contain, Contains In, Does Not Contain In, Empty, Not Empty |
筛选已批准清单之外的资产
在最左侧窗格中,选择“ 清单 ”以查看库存。
若要删除“已批准清单”筛选器,请选择“州 = 已批准”筛选器旁边的 X。 清单列表将展开,以包含其他状态(例如 已消除)的资产。
使用清单筛选器标识要查找的资产。 你可能想要查看处于 “候选 项”状态的所有资产。 还可以将组织重要的任何资产添加到 已批准的 清单中。
或者,可能需要查找要添加到 已批准 清单的单个特定资产。 若要发现特定资产,请应用筛选器以搜索名称。
当清单列表显示要搜索的未批准资产时,可以修改这些资产。 有关如何更新资产的详细信息,请参阅 修改库存资产。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈