资产修改概述

本文概述了如何修改库存资产。 可以更改资产的状态、分配外部 ID 或应用标签来帮助提供上下文和使用清单数据。 还可以将 CVE 和其他观察结果标记为不适用，以便从报告的计数中删除它们。 还可以根据发现资产的方法从其清单中批量删除资产。 例如，用户可以从发现组中删除种子，并选择删除通过连接到此种子发现的任何资产。 本文介绍Defender EASM中提供的所有修改选项，并概述了如何使用任务管理器更新资产和跟踪任何更新。

标记资产

标签有助于组织攻击面，以可自定义的方式应用业务上下文。 可以将任何文本标签应用于资产子集，以便对资产进行分组，并更好地利用库存。 客户通常对以下资产进行分类：

• 最近通过合并或收购归组织所有。
• 需要合规性监视。
• 归其组织中的特定业务部门所有。
• 受需要缓解的特定漏洞的影响。
• 与组织拥有的特定品牌相关。
• 已在特定时间范围内添加到清单。

标签是自由格式的文本字段，因此你可以为适用于组织的任何用例创建标签。

更改资产的状态

用户还可以更改资产的状态。 状态有助于根据清单在组织中的角色对清单进行分类。 用户可以在以下状态之间切换：

• 批准的清单：你自己的攻击面的一部分;你直接负责的项目。
• 依赖项：基础结构由第三方拥有，但是攻击面的一部分，因为它直接支持你拥有的资产的操作。 例如，你可能依赖于 IT 提供商来托管 Web 内容。 虽然域、主机名和页面是“已批准清单”的一部分，但你可能希望将运行主机的 IP 地址视为“依赖项”。
• 仅监视：与攻击面相关但不受组织直接控制或技术依赖项的资产。 例如，独立特许经营商或属于相关公司的资产可能会标记为“仅监视”，而不是“已批准库存”，以分隔组以进行报告。
• 候选项：与组织的已知种子资产有某种关系，但连接不够强，无法立即将其标记为“已批准库存”。 必须手动评审这些候选资产以确定所有权。
• 需要调查：类似于“候选”状态的状态，但此值应用于需要手动调查才能验证的资产。 这是根据内部生成的置信度分数来确定的，这些分数评估资产之间检测到的连接强度。 它并不表示基础结构与组织的确切关系，因为它表示此资产被标记为需要额外审查以确定应如何分类。

应用外部 ID

用户还可以将外部 ID 应用于资产。 当你使用多个解决方案进行资产跟踪、修正活动或所有权监视时，此操作非常有用;查看Defender EASM中的任何外部 ID 有助于对齐此不同的资产信息。 外部 ID值可以是数字或字母数字，必须以文本格式输入。 外部 ID 也显示在“资产详细信息”部分中。

将观察标记为不适用

许多Defender EASM仪表板都以 CVE 数据为特色，让你注意到基于支持攻击面的 Web 组件基础结构的潜在漏洞。 例如，CES 列在攻击面摘要仪表板，按其潜在严重性分类。 调查这些 CVE 后，你可能会确定其中一些与你的组织无关。 这可能是因为你运行的是 Web 组件的不受阻碍的版本，或者你的组织使用不同的技术解决方案来保护你免受该特定漏洞的伤害。

从任何与 CVE 相关的图表的向下钻取视图中，“下载 CSV 报表”按钮旁边，现在可以选择将观察值设置为不适用。 单击此值会将你路由到与该观察关联的所有资产的清单列表，然后你可以选择从此页面将所有观察结果标记为不适用。 实际更改是通过清单列表视图或特定资产的“资产详细信息”页执行的。

如何修改资产

可以从清单列表和资产详细信息页修改资产。 可以从资产详细信息页对单个资产进行更改。 可以从清单列表页对单个资产或多个资产进行更改。 以下部分介绍如何根据用例应用两个清单视图中的更改。

清单列表页

如果要同时更新多个资产，应从清单列表页修改资产。 可以根据筛选器参数优化资产列表。 此过程可帮助你识别应使用所需的标签、外部 ID 或状态更改进行分类的资产。 若要修改此页面中的资产，请执行以下操作：

1. 在Microsoft Defender 外部攻击面管理 (Defender EASM) 资源的最左侧窗格中，选择“清单”。

2. 应用筛选器以生成预期结果。 在此示例中，我们将查找在 30 天内过期、需要续订的域。 应用的标签可帮助你更快地访问任何即将过期的域，以简化修正过程。 可以根据需要应用任意数量的筛选器来获取所需的特定结果。 有关筛选器的详细信息，请参阅 清单筛选器概述。 如果想要将 CVE 标记为不适用，相关仪表板图表向下钻取提供了一个链接，用于直接将你路由到此清单页面，并应用了正确的筛选器。

   

3. 筛选清单列表后，选中 “资产 表”标题旁边的复选框旁边的下拉列表。 通过此下拉列表，可以选择与查询匹配的所有结果或该特定页面上 (最多 25) 的结果。 “ 无” 选项清除所有资产。 还可以选择仅选择页面上的特定结果，方法是选择每个资产旁边的单个检查标记。

   

4. 选择 “修改资产”。

   

5. 在屏幕右侧打开的“ 修改资产 ”窗格中，可以快速更改所选资产的各种字段。 对于此示例，你将创建一个新标签。 选择“ 创建新标签”。

6. 确定标签名称并显示文本值。 最初创建标签后无法更改标签名称，但稍后可以编辑显示文本。 标签名称用于在产品界面中或通过 API 查询标签，因此禁用编辑以确保这些查询正常工作。 若要编辑标签名称，需要删除原始标签并创建一个新标签。

   为新标签选择颜色，然后选择“ 添加”。 此操作将返回到 “修改资产” 屏幕。

   

7. 将新标签应用于资产。 在“ 添加标签” 文本框中单击以查看可用标签的完整列表。 或者，可以在框中键入以按关键字 (keyword) 进行搜索。 选择要应用的标签后，选择“ 更新”。

   

8. 请稍等片刻，以便应用标签。 该过程完成后，会看到“已完成”通知。 页面会自动刷新并显示标签可见的资产列表。 屏幕顶部的横幅确认标签已应用。

   

资产详细信息页

还可以从资产详细信息页修改单个资产。 此选项非常适合在应用标签或状态更改之前需要彻底检查资产的情况。

1. 在Defender EASM资源的最左侧窗格中，选择“清单”。

2. 选择要修改的特定资产以打开资产详细信息页。

3. 在此页上，选择“ 修改资产”。

   

4. 按照“清单列表页”部分中的步骤 5 到 7 进行操作。

5. 资产详细信息页将刷新并显示新应用的标签或状态更改。 横幅指示资产已成功更新。

修改、删除或删除标签

用户可以通过从清单列表或资产详细信息视图访问同一 “修改资产 ”窗格，从资产中删除标签。 在清单列表视图中，可以一次选择多个资产，然后在一个操作中添加或删除所需的标签。

修改标签本身或从系统中删除标签：

1. 在Defender EASM资源的最左侧窗格中，选择“标签 (预览) 。

   

   此页面显示Defender EASM清单中的所有标签。 此页上的标签可能存在于系统中，但不会主动应用于任何资产。 还可以从此页面添加新标签。

2. 若要编辑标签，请选择要编辑的标签的 “操作” 列中的铅笔图标。 屏幕右侧将打开一个窗格，你可以在其中修改标签的名称或颜色。 选择“更新”。

3. 若要删除标签，请从要删除的标签的 “操作” 列中选择回收站图标。 选择 “删除标签”。

   

“ 标签” 页会自动刷新。 标签将从列表中删除，也会从应用标签的任何资产中删除。 横幅确认删除。

将观察结果标记为不适用

对于其他手动更改，可以从相同的“修改资产”屏幕将观察结果标记为不适用，但你也可以从“资产详细信息”中的“观察结果”选项卡进行这些更新。 “观察结果”选项卡包含两个表：“观察值”和“不可靠观察”。 在攻击面中确定为“最近”的所有活动观察结果都位于“观察结果”表中，而“不适用观察值”表列出了手动标记为不适用或由系统确定不再适用的任何观察结果。 若要将观察值标记为不适用，从而从仪表板计数中排除该特定观察，只需选择所需的观察值，然后单击“设置为不适用”。这些观察结果会立即从活动观察结果表中消失，而是显示在“不适用的观察结果”表中。 你可以随时还原此更改，方法是从此表中选择相关观察结果，然后选择“设置为适用”。

任务管理器和通知

提交任务后，通知将确认更新正在进行。 在Azure的任何页面中，选择通知 (钟) 图标，查看有关最近任务的详细信息。

Defender EASM系统可能需要几秒钟来更新少量资产或数千个更新数分钟。 可以使用任务管理器来检查任何正在进行的修改任务的状态。 本部分概述了如何访问任务管理器并使用它来更好地了解提交更新的完成情况。

1. 在Defender EASM资源的最左侧窗格中，选择“任务管理器”。

   

2. 此页显示所有最近的任务及其状态。 任务列为“已完成”、“失败”或“正在进行”。 还会显示完成百分比和进度栏。 若要查看有关特定任务的更多详细信息，请选择任务名称。 屏幕右侧将打开一个窗格，其中提供了详细信息。

3. 选择“ 刷新 ”可查看任务管理器中所有项的最新状态。

筛选标签

在清单中标记资产后，可以使用清单筛选器检索应用了特定标签的所有资产的列表。

1. 在Defender EASM资源的最左侧窗格中，选择“清单”。

2. 选择“ 添加筛选器”。

3. 从“筛选器”下拉列表中选择“标签”。 选择一个运算符，然后从选项下拉列表中选择一个标签。 以下示例演示如何搜索单个标签。 可以使用 In 运算符搜索多个标签。 有关筛选器的详细信息，请参阅 清单筛选器概述。

   

4. 选择“应用”。 清单列表页会重新加载并显示符合条件的所有资产。

基于资产链的管理

在某些情况下，你可能希望根据发现资产的方式同时删除多个资产。 例如，你可以确定发现组中的特定种子拉取了与你的组织无关的资产，或者可能需要删除与不再属于你的权限范围内的子公司相关的资产。 因此，Defender EASM提供删除发现链中的源实体和任何“下游”资产的功能。 可以使用以下三种方法删除链接资产：

• 基于种子的管理： 用户可以删除曾经包含在发现组中的种子，删除通过观察到的与指定种子的连接引入清单的所有资产。 当可以确定特定的手动输入种子导致将不需要的资产添加到清单时，此方法非常有用。
• 发现链管理：用户可以识别发现链中的资产并将其删除，同时删除该实体发现的任何资产。 发现是递归过程;它会扫描种子以识别与这些指定种子直接关联的新资产，然后继续扫描新发现的实体以揭示更多连接。 如果发现组配置正确，但需要删除新发现的资产以及通过关联到该实体进入清单的任何资产，则此删除方法非常有用。 将发现组设置和指定种子视为发现链的“顶部”;此删除方法允许从中间删除资产。
• 发现组管理： 用户可以删除整个发现组以及通过此发现组引入清单的所有资产。 当整个发现组不再适用于你的组织时，这很有用。 例如，你可能有一个专门搜索与子公司相关的资产的发现组。 如果此子公司不再与你的组织相关，则可以利用基于资产链的管理删除通过该发现组进入清单的所有资产。

仍可以在Defender EASM中查看已删除的资产;只需筛选处于“已存档”状态的资产的清单列表即可。

基于种子的删除

你可能会决定，最初指定的发现种子之一不应再包含在发现组中。 种子可能不再与你的组织相关，或者它带来的误报可能比合法拥有的资产更多。 在这种情况下，可以从发现组中删除种子，以防止它在未来的发现运行中使用，同时删除过去通过指定种子进入清单的任何资产。

若要根据种子执行批量删除，请路由到相应的发现组详细信息页，然后单击“编辑发现组”。按照提示访问“种子”页，并从列表中删除有问题的种子。 选择“查看 + 更新”时，将看到一条警告，指示也将删除通过指定种子发现的所有资产。 选择“更新”或“更新 & 运行”以完成删除。

基于发现链的删除

在以下示例中，假设你在攻击面摘要仪表板发现了不安全的登录表单。 调查会将你路由到似乎不属于你的组织拥有的主机。 有关详细信息，请查看资产详细信息页;查看发现链后，你发现主机已进入清单，因为相应的域是使用员工的公司电子邮件地址注册的，该电子邮件地址也用于注册已批准的业务实体。

在这种情况下，初始发现种子 (公司域) 仍然是合法的，因此我们需要改为从发现链中删除有问题的资产。 虽然我们可以从联系人电子邮件执行链删除操作，但我们会选择删除与此员工注册的个人域关联的所有内容，以便Defender EASM将来将提醒我们注册到该电子邮件地址的任何其他域。 在发现链中，选择此个人域以查看资产详细信息页。 在此视图中，选择“从发现链中删除”以从清单中删除资产，以及由于观察到与个人域的连接而进入清单的所有资产。 需要确认删除资产和所有下游资产，然后会显示通过此操作删除的其他资产的汇总列表。 选择“删除发现链”以确认批量删除。

发现组删除

可能需要删除 整个发现组以及通过组发现的所有资产。 例如，你的公司可能已经出售了不再需要监视的子公司。 用户可以从“发现管理”页中删除发现组。 若要删除发现组和所有相关资产，请选择列表中相应组旁边的回收站图标。 你将收到一条警告，其中列出了将通过此操作删除的资产摘要。 确认删除发现组;和所有相关资产，选择“删除发现组”。

后续步骤

• 清单筛选器概述
• 了解库存资产
• 了解资产详细信息