Microsoft Defender 外部攻击面管理概述

Microsoft Defender 外部攻击面管理 (Defender EASM) 持续发现和映射你的数字攻击面，以提供联机基础结构的外部视图。

Defender EASM为安全和 IT 团队提供基本可见性，帮助他们识别未知因素、确定风险优先级、消除威胁，以及将漏洞和暴露的控制扩展到防火墙之外。 攻击面见解是使用漏洞和基础结构数据生成的，用于展示组织关注的关键领域。

发现和清单

Microsoft专有发现技术通过观察到到已知合法资产的连接以递归方式搜索基础结构。 它推断该基础结构与组织的关系，以发现以前未知和未受监视的属性。 这些已知的合法资产称为 发现种子。 Defender EASM首先发现与这些所选实体的强连接，然后递归以揭示更多连接，并最终编译攻击面。

Defender EASM发现包括以下类型的资产：

• 域
• IP 地址块
• Hosts
• Email联系人
• 自治系统编号 (ASN)
• Whois 组织

发现的资产在Defender EASM清单中编制索引和分类，以便为你提供管理下整个 Web 基础结构的动态记录。 资产归类为 当前 活动 () 或 历史。 它们可以包括 Web 应用程序、第三方依赖项和其他资产连接。

仪表板

Defender EASM使用仪表板来帮助你快速了解联机基础结构以及组织面临的任何关键风险。 仪表板旨在提供有关特定风险领域的见解，包括漏洞、合规性和安全卫生。 这些见解可帮助你快速解决对组织构成最大风险的攻击面组件。

资产管理

可以筛选清单，以显示对你和组织最重要的见解。 筛选提供了灵活性和自定义功能，可帮助你访问特定的资产子集。 无论是要搜索连接到已弃用的基础结构的资产，还是标识新的云资源，筛选也会使Defender EASM数据适用于你的特定用例。

用户权限

组织中分配有“所有者”或“参与者”角色的用户可以在资源中创建、删除和编辑Defender EASM资源和清单资产。 所有者和参与者角色有权使用平台的所有功能和功能。

分配有读者角色的用户可以查看Defender EASM数据，但无法创建、删除或编辑资源或清单资产。

Defender EASM不支持跨租户资源访问，包括通过 Azure Lighthouse 访问。 必须通过直接向资源所在的租户进行身份验证来访问Defender EASM资源。

数据驻留、可用性和隐私

Microsoft Defender EASM包含全局数据和特定于客户的数据。 基础 Internet 数据是源自Microsoft的全局数据。 客户应用的标签被视为客户数据。 客户数据存储在所选区域中。

出于安全目的，Microsoft在用户登录时收集用户的 IP 地址。 IP 地址最多存储 30 天，但如果需要调查产品的潜在欺诈性或恶意使用，可以存储更长时间。

如果Azure区域关闭，则仅该区域中的Defender EASM客户受到影响。 其他Azure区域中的服务和数据继续处于活动状态。

如果组织不再是Microsoft客户，Microsoft合规性框架要求在 180 天内删除客户的所有数据。 此策略包括存储在脱机位置（例如数据库备份）中的客户数据。 删除资源后，我们的团队无法还原该资源。 客户数据在我们的数据存储中会再保留 75 天，但无法还原实际资源。 75 天期限过后，客户数据将永久删除。  

相关内容

• 部署Defender EASM Azure资源
• 了解清单资产
• 什么是发现？