你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

资产修改概述

本文概述了如何修改清单资产。 你可以更改资产的状态、分配外部 ID 或应用标签以帮助提供上下文和使用清单数据。 你还可以将 CVE 和其他观测结果标记为不适用,以将其从报告计数中移除。 你还可以根据发现资产的方法批量将资产从其清单中移除。 例如,用户可以从发现组中移除某个种子,并选择移除通过与此种子的连接发现的任何资产。 本文介绍了 Defender EASM 中提供的所有修改选项,并概述了如何使用任务管理器更新资产和跟踪任何更新。

为资产加注标签

标签可帮助你组织攻击面,并以可定制的方式应用业务上下文。 你可以将任何文本标签应用于资产子集,以对资产进行分组,从而更好地利用你的清单。 客户通常对符合以下条件的资产进行分类:

  • 最近通过合并或收购而归你的组织所有的。
  • 需要监视合规性。
  • 归其组织中的特定业务部门所有。
  • 受需要缓解的特定漏洞影响。
  • 与组织拥有的特定品牌相关。
  • 在特定时间范围内添加到清单。

标签是自由格式的文本字段,因此你可以为适合你的组织的任何用例创建标签。

显示了带有筛选后的“标签”列的清单列表视图的屏幕截图。

更改资产的状态

用户还可以更改资产的状态。 状态有助于根据资产在你的组织中的角色对其进行分类。 用户可以在以下状态之间切换:

  • 已批准的清单:你拥有的攻击面的一部分;你直接负责的项。
  • 依赖项:归第三方所有但属于你的攻击面的基础结构,因为它直接支持你拥有的资产的操作。 例如,你可能依赖 IT 提供程序来托管 Web 内容。 虽然域、主机名和页面将成为“已批准的清单”的一部分,但你可能希望将运行主机的 IP 地址视为“依赖项”。
  • 仅监视:与你的攻击面相关,但既不直接受你的组织控制,也不是技术依赖项的资产。 例如,独立的特许经营商或属于相关公司的资产可能会被标记为“仅监视”而不是“已批准的清单”,以便将各组分开进行报告。
  • 候选:与组织的已知种子资产有某种关系,但连接不够强,无法立即将其标记为“已批准的清单”的资产。 必须手动评审这些候选资产以确定所有权。
  • 需要调查:一种类似于“候选”状态的状态,但此值应用于需要手动调查进行验证的资产。 这是根据我们内部生成的置信度分数来确定的,该分数用于评估资产之间检测到的连接强度。 它并不表示基础结构与组织的确切关系,而是表示该资产已标记为需要额外评审以确定应如何分类。

应用外部 ID

用户还可以将外部 ID 应用于资产。 当你采用多个解决方案进行资产跟踪、补救活动或所有权监视时,此操作非常有用;在 Defender EASM 中查看外部 ID 可以帮助你对齐这些不同的资产信息。 外部 ID 值可以是数字或字母数字,必须以文本格式输入。 外部 ID 还会显示在“资产详细信息”部分中。

将观测结果标记为不适用

许多 Defender EASM 仪表板都提供 CVE 数据,让你注意基于支持攻击面的 Web 组件基础结构的潜在漏洞。 例如,CVE 列在攻击面汇总仪表板上,按其潜在严重性进行分类。 调查这些 CVE 后,你可能会确定其中一些与你的组织无关。 这可能是因为你运行的是 Web 组件的未受阻版本,或者你的组织实施了不同的技术解决方案来保护你免受该特定漏洞的伤害。

从任何与 CVE 相关的图表的向下钻取视图中,在“下载 CSV 报表”按钮旁边,现在有一个选项可用来将观测结果设置为不适用。 单击此值会将你引导到与该观测结果相关的所有资产的清单列表,然后你可以从该页面选择将所有观测结果标记为不适用。 实际更改是从“清单列表”视图执行的,也可以从特定资产的“资产详细信息”页执行。

仪表板向下钻取视图的屏幕截图,其中突出显示了“将观测结果标记为不适用”按钮。

如何修改资产

你可以从库存列表和资产详细信息页修改资产。 可以从资产详细信息页对单个资产进行更改。 可以从库存列表页更改单个资产或多个资产。 以下各部分介绍了如何根据用例从两个库存视图中应用更改。

库存列表页面

如果你想一次更新多个资产,你应该从库存列表页面修改资产。 你可以根据筛选器参数来优化资产列表。 此过程可帮助你识别应使用所需的标签、外部 ID 或状态更改进行分类的资产。 若要从此页面修改资产,请执行以下操作:

  1. 在 Microsoft Defender 外部攻击面管理 (Defender EASM) 资源的最左侧窗格中,选择“库存”

  2. 应用筛选器以生成预期结果。 在此示例中,我们将查找需要续订的将在 30 天内过期的域。 应用的标签可帮助你更快地访问任何即将过期的域,以简化修正过程。 你可以根据需要应用尽可能多的筛选器来获得所需的特定结果。 有关筛选器的详细信息,请参阅清单筛选器概述。 对于你想将 CVE 标记为不适用的情况,相关的仪表板图表向下钻取提供了一个链接,可以直接将你引导到应用了正确筛选器的此清单页面。

    显示了清单列表视图的屏幕截图,其中打开了“添加筛选器”下拉列表以显示查询编辑器。

  3. 筛选清单列表后,通过“资产”表格标题旁边的复选框选择下拉列表。 通过此下拉列表,可以选择与查询匹配的所有结果或该特定页面上的结果(最多 25 个)。 “无”选项将清除所有资产。 你还可以选择仅选择页面上的特定结果,方法是选择每个资产旁边的单个复选标记。

    显示了清单列表视图的屏幕截图,其中打开了批量选择下拉列表。

  4. 选择“修改资产”。

    显示了可用的修改选项的屏幕截图。

  5. 在屏幕右侧打开的“修改资产”窗格上,你可以快速更改所选资产的各个字段。 对于本示例,你将创建一个新标签。 选择“创建新标签”

  6. 确定标签名称和显示文本值。 最初创建标签后,无法更改标签名称,但稍后可以编辑显示文本。 标签名称用于在产品界面中或通过 API 来查询标签,因此禁止编辑以确保这些查询正常工作。 若要编辑标签名称,你需要删除原始标签并创建新的标签。

    为新标签选择一种颜色,然后选择“添加”。 执行此操作后会返回到“修改资产”屏幕。

    显示了“添加标签”窗格的屏幕截图,其中显示了配置字段。

  7. 将新标签应用于资产。 在“添加标签”文本框内单击以查看可用标签的完整列表。 或者,你可以在框内键入以通过关键字进行搜索。 选择要应用的标签后,选择“更新”。

    显示了“修改资产”窗格的屏幕截图,其中应用了新创建的标签。

  8. 请稍等片刻,以便应用标签。 此过程完成后,你会看到一个“已完成”通知。 页面会自动刷新并显示标签可见的资产列表。 屏幕顶部的横幅确认你的标签已应用。

    显示了清单列表视图的屏幕截图,其中所选的资产现在显示了新标签。

“资产详细信息”页

还可以从资产详细信息页修改单个资产。 此选项非常适合在应用标签或状态更改之前需要彻底审查资产的情况。

  1. 在你的 Defender EASM 资源的最左侧窗格中,选择“清单”。

  2. 选择要修改的特定资产以打开资产详细信息页。

  3. 在此页上,选择“修改资产”。

    显示了资产详细信息页的屏幕截图,其中突出显示了“修改资产”按钮。

  4. 按照“清单列表页”部分中的步骤 5 到 7 进行操作。

  5. 资产详细信息页面将刷新并显示新应用的标签或状态更改。 一个横幅会指示资产已成功更新。

修改、移除或删除标签

用户可以从资产中移除标签,方法是从清单列表或资产详细信息视图中访问相同的“修改资产”窗格。 在清单列表视图中,可以一次性选择多个资产,然后在一个操作中添加或移除所需的标签。

若要修改标签本身或从系统中移除标签,请执行以下操作:

  1. 在你的 Defender EASM 资源的最左侧窗格中,选择“标签(预览版)”。

    显示了“标签(预览版)”页的屏幕截图,其中启用了标签管理。

    此页面显示 Defender EASM 清单中的所有标签。 此页上的标签可能存在于系统中,但当前未活跃地应用于任何资产。 还可以从此页面添加新标签。

  2. 若要编辑标签,请在要编辑的标签的“操作”列中选择铅笔图标。 此时会在屏幕右侧打开一个窗格,你可以在其中修改标签的名称或颜色。 选择“更新”

  3. 若要移除标签,请从要移除的标签的“操作”列中选择垃圾桶图标。 选择“移除标签”

    显示了“标签管理”页上的“确认移除”选项的屏幕截图。

“标签”页会自动刷新。 标签将从列表中移除,并从已应用了该标签的任何资产中移除。 一个横幅会确认该移除。

将观测结果标记为不适用

虽然可以从同一个“修改资产”屏幕将观测结果标记为不适用,以进行其他手动更改,但你也可以从资产详细信息中的“观测结果”选项卡进行这些更新。 “观测结果”选项卡包含两个表:“观测结果”和“不适用的观测结果”。 所有在攻击面内被确定为“最近”的活动观测结果将显示在“观测结果”表中,而“不适用的观测结果”表将列出任何已手动标记为不适用的,或者由系统确定为不再适用的观测结果。 若要将观测结果标记为不适用,从而将该特定观测结果从仪表板计数中排除,只需选择所需的观测结果,然后单击“设置为不适用”。这些观测结果随即会从活动的“观测结果”表中消失,并出现在“不适用的观测结果”表中。 可以随时通过从此表中选择相关观测结果并选择“设置为适用”来撤消此更改。

显示了“观测结果”选项卡的屏幕截图,其中的多个 CVE 已选中并标记为不适用。

任务管理器和通知

提交任务后,一个通知会确认更新正在进行。 从 Azure 中的任何页面中,选择通知(铃铛)图标以查看有关最近任务的详细信息。

显示了“任务已提交”通知的屏幕截图。“通知”窗格的屏幕截图,其中显示了最近的任务状态。

Defender EASM 系统可能需要几秒钟来更新少数资产,也可能需要几分钟来更新数千个资产。 你可以使用任务管理器检查正在进行的任何修改任务的状态。 本部分概述了如何访问任务管理器,以及如何使用它更好地了解已提交的更新的完成情况。

  1. 在你的 Defender EASM 资源的最左侧窗格中,选择“任务管理器”。

    显示了“任务管理器”页的屏幕截图,其中突出显示了导航窗格中的相应部分。

  2. 此页面显示所有最近的任务及其状态。 任务被列为“已完成”、“失败”或“正在进行”。 还将显示完成百分比和进度条。 若要查看有关特定任务的更多详细信息,请选择任务名称。 此时会在屏幕右侧打开一个窗格,其中提供了更多信息。

  3. 选择“刷新”可查看任务管理器中所有项的最新状态。

标签的筛选器

为清单中的资产加注标签后,可以使用清单筛选器检索应用了特定标签的所有资产的列表。

  1. 在你的 Defender EASM 资源的最左侧窗格中,选择“清单”。

  2. 选择“添加筛选器”。

  3. 从“筛选器”下拉列表中选择“标签”。 选择一个运算符,然后从选项的下拉列表中选择一个标签。 以下示例显示了如何搜索单个标签。 可以使用“In”运算符搜索多个标签。 有关筛选器的详细信息,请参阅清单筛选器概述

    显示了用于应用筛选器的查询编辑器的屏幕截图,其中显示了“标签筛选器”以及下拉列表中的可能标签值。

  4. 选择“应用”。 清单列表页面将重新加载并显示符合你的条件的所有资产。

基于资产链的管理

在某些情况下,你可能希望根据发现资产的方式一次性移除多个资产。 例如,你可能确定发现组中的某个特定种子拉取了与组织无关的资产,或者你可能需要移除与不再受你控制的子公司相关的资产。 因此,Defender EASM 提供了移除源实体和发现链中的任何“下游”资产的能力。 可以使用以下三种方法删除链接的资产:

  • 基于种子的管理:用户可以删除曾经包含在发现组中的种子,移除通过观察到的与指定种子的连接引入到清单中的所有资产。 当你可以确定特定手动输入的种子导致了不需要的资产被添加到清单时,此方法非常有用。
  • 发现链管理:用户可以识别发现链中的某个资产并将其删除,同时移除由该实体发现的任何资产。 发现是一个递归过程;它会扫描种子,以识别与这些指定的种子直接关联的新资产,然后继续扫描新发现的实体以公布更多连接。 正确配置了发现组时,此删除方法非常有用,但你需要移除新发现的资产以及通过与该实体的关联引入到清单中的任何资产。 请将你的发现组设置和指定种子视为发现链的“顶部”;这种删除方法允许你从中间移除资产。
  • 发现组管理:用户可以移除整个发现组以及通过此发现组引入到清单中的所有资产。 当整个发现组不再适用于你的组织时,这很有用。 例如,你可能有一个发现组专门搜索与某个子公司相关的资产。 如果此子公司不再与你的组织相关,则可以利用基于资产链的管理删除通过该发现组引入到清单中的所有资产。

你仍然可以在 Defender EASM 中查看已移除的资产;只需筛选清单列表,获取处于“已存档”状态的资产。

基于种子的删除

你可能决定,你最初指定的发现种子之一不应再包含在某个发现组中。 该种子可能不再与你的组织相关,也可能带来比合法拥有的资产更多的误报。 在这种情况下,你可以从发现组中移除该种子,以防止在未来的发现运行中使用它,同时移除过去通过该指定的种子引入到清单中的任何资产。

要基于种子执行批量移除,请转到相应的发现组详细信息页面,然后单击“编辑发现组”。按照提示到达“种子”页,并从列表中移除有问题的种子。 选择“查看 + 更新”时,你会看到一条警告,指示也会移除通过指定的种子发现的所有资产。 选择“更新”或“更新并运行”以完成删除。

显示了“编辑发现组”页的屏幕截图,其中显示了一条警告,指示将移除某个种子以及通过该种子发现的任何资产。

基于发现链的删除

在以下示例中,假设你在“攻击图面摘要”仪表板上发现了不安全的登录表单。 你的调查将你引导到一台似乎不归你的组织所有的主机。 你可以查看资产详细信息页面以获取更多信息;在查看发现链时,你发现该主机被引入到清单中,因为相应的域是使用某个员工的公司电子邮件地址注册的,该地址还用于注册批准的业务实体。

显示了“资产详细信息”页的屏幕截图,其中突出显示了“发现链”部分。

在这种情况下,初始发现种子(公司域)仍然合法,因此我们需要从发现链中移除有问题的资产。 虽然我们可以从联系人电子邮件执行链删除操作,但我们将改为选择移除与注册到此员工的个人域关联的所有内容,以便 Defender EASM 将提醒我们将来注册到该电子邮件地址的任何其他域。 从发现链中,选择此个人域来查看资产详细信息页。 在此视图中,选择“从发现链中移除”以从清单中移除资产,以及由于观察到的与该个人域的连接而引入到清单中的所有资产。 你需要确认移除该资产和所有下游资产,然后系统会向你显示此操作移除的其他资产的汇总列表。 选择“移除发现链”以确认批量移除。

屏幕截图显示了提示用户确认移除当前资产和所有下游资产的框,其中包含通过此操作移除的其他资产的汇总。

发现组删除

你可能需要删除整个发现组以及通过该组发现的所有资产。 例如,你的公司可能已经出售了一家子公司,因此不再需要监视该公司。 用户可以从“发现管理”页中删除发现组。 若要移除某个发现组和所有相关资产,请选择列表中的相应组旁边的回收站图标。 你将收到一条警告,其中会列出将通过此操作移除的资产的汇总。 若要确认删除该发现组和所有相关资产,请选择“移除发现组”。

显示了“发现管理”页的屏幕截图,其中突出显示了在选择删除某个组后显示的警告框。

后续步骤