你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解资产详细信息
Microsoft Defender 外部攻击面管理(Defender EASM)经常扫描所有清单资产,并收集强大的上下文元数据,这些元数据为攻击 Surface Insights 提供支持。 还可以在资产详细信息页上更精细地查看此数据。 提供的数据会根据资产类型进行更改。 例如,平台为域、主机和 IP 地址提供唯一的 Whois 数据。 它为安全套接字层(SSL)证书提供签名算法数据。
本文介绍如何查看和解释 Microsoft 针对每个库存资产收集的广泛数据。 它为每种资产类型定义此元数据,并解释了从中派生的见解如何帮助管理联机基础结构的安全状况。
有关详细信息,请参阅了解清单资产,以熟悉本文提及的关键概念。
资产详细信息摘要视图
可以通过从清单列表中选择资产的名称来查看任何资产的资产详细信息页。 在此页的左侧窗格中,可以查看提供有关该特定资产的关键信息的资产摘要。 本部分主要包括适用于所有资产类型的数据,尽管在某些情况下提供了更多字段。 有关摘要部分中为每个资产类型提供的元数据的详细信息,请参阅以下图表。
常规信息
本部分包括一目了然地了解资产的关键高级信息。 其中大多数字段适用于所有资产。 本部分还可以包含特定于一个或多个资产类型的信息。
| 名称 | 定义 | 资产类型 |
|---|---|---|
| 资产名称 | 资产的名称。 | 全部 |
| UUID | 此 128 位标签表示资产的通用唯一标识符(UUID)。 | 全部 |
| 已添加到清单中 | 资产添加到库存的日期,无论是自动添加到 已批准的清单 状态,还是处于其他状态(如 候选状态)。 | 全部 |
| 上次更新时间 | 手动用户上次更新资产的日期(例如,通过进行状态更改或资产删除)。 | 全部 |
| 外部 ID | 手动添加的外部 ID 值。 | 全部 |
| Status | RiskIQ 系统中的资产的状态。 选项包括已批准的清单、候选清单、依赖项或需要调查。 | 全部 |
| 第一次看到(全局安全图) | Microsoft 首次扫描资产并将其添加到全面的全局安全图的日期。 | 全部 |
| 最后一次查看(全局安全图) | Microsoft 最近扫描资产的日期。 | 全部 |
| 发现日期 | 指示检测到资产的发现组的创建日期。 | 全部 |
| 国家/地区 | 检测到此资产的来源国家/地区。 | 全部 |
| 省/自治区/直辖市 | 检测到此资产的来源地州或省。 | 全部 |
| City | 检测到此资产的来源地城市。 | 全部 |
| Whois 名称 | 与 Whois 记录关联的名称。 | 主机 |
| Whois 电子邮件 | Whois 记录中的主要联系人电子邮件。 | 主机 |
| Whois 组织 | Whois 记录中列出的组织。 | 主机 |
| Whois 注册机构 | Whois 记录中列出的注册机构。 | 主机 |
| Whois 名称服务器 | Whois 记录中列出的名称服务器。 | 主机 |
| 证书颁发日期 | 颁发证书的日期。 | SSL 证书 |
| 证书过期日期 | 证书过期的日期。 | SSL 证书 |
| 序列号 | 与 SSL 证书关联的序列号。 | SSL 证书 |
| SSL 版本 | 证书已注册的 SSL 版本。 | SSL 证书 |
| 证书密钥算法 | 用于加密 SSL 证书的密钥算法。 | SSL 证书 |
| 证书密钥大小 | SSL 证书密钥中的位数。 | SSL 证书 |
| 签名算法 OID | 标识用于对证书请求进行签名的哈希算法的 OID。 | SSL 证书 |
| 自签名 | 指示 SSL 证书是否为自签名证书。 | SSL 证书 |
网络
以下 IP 地址信息提供有关 IP 用法的更多上下文。
| 名称 | 定义 | 资产类型 |
|---|---|---|
| 名称服务器记录 | 在资产上检测到的任何名称服务器。 | IP 地址 |
| 邮件服务器记录 | 在资产上检测到的任何邮件服务器。 | IP 地址 |
| IP 块 | 包含 IP 地址资产的 IP 块。 | IP 地址 |
| ASN | 与资产关联的 ASN。 | IP 地址 |
块信息
以下数据特定于 IP 块,并提供有关其用途的上下文信息。
| 名称 | 定义 | 资产类型 |
|---|---|---|
| CIDR | IP 块的无类域间路由(CIDR)。 | IP 块 |
| 网络名称 | 与 IP 块关联的网络名称。 | IP 块 |
| 组织名称 | 在 IP 块的注册信息中找到的组织名称。 | IP 块 |
| 组织 ID | 在 IP 块的注册信息中找到的组织 ID。 | IP 块 |
| ASN | 与 IP 块关联的 ASN。 | IP 块 |
| 国家/地区 | 在 IP 块的 Whois 注册信息中检测到的源国家/地区。 | IP 块 |
Subject
以下数据特定于与 SSL 证书关联的使用者(即受保护实体)。
| 名称 | 定义 | 资产类型 |
|---|---|---|
| 公用名 | SSL 证书使用者的颁发者公用名。 | SSL 证书 |
| 替代名称 | SSL 证书使用者的任何替代公用名。 | SSL 证书 |
| 组织名称 | 与 SSL 证书使用者关联的组织。 | SSL 证书 |
| 组织单位 | 指示负责证书的组织内的部门的可选元数据。 | SSL 证书 |
| 本地性 | 表示组织所在的城市。 | SSL 证书 |
| 国家/地区 | 表示组织所在的国家/地区。 | SSL 证书 |
| 省/自治区/直辖市 | 表示组织所在的州或省。 | SSL 证书 |
颁发者
以下数据特定于 SSL 证书的颁发者。
| 名称 | 定义 | 资产类型 |
|---|---|---|
| 公用名 | 证书颁发者的公用名。 | SSL 证书 |
| 替代名称 | 颁发者的任何其他名称。 | SSL 证书 |
| 组织名称 | 协调证书颁发的组织名称。 | SSL 证书 |
| 组织单位 | 有关颁发证书的组织的其他信息。 | SSL 证书 |
数据选项卡
在资产详细信息页的最右侧窗格中,用户可以访问与所选资产相关的更广阔的数据。 此数据在一系列分类选项卡中进行组织。 可用元数据选项卡会根据所查看的资产类型而更改。
某些选项卡在右上角显示“仅最近”切换。 默认情况下,Defender EASM 显示我们为每个资产收集的所有数据,包括可能未在当前攻击面上主动运行的历史观察。 虽然此历史上下文对于某些用例非常有价值,但“仅最近”切换会将“资产详细信息”页上的所有结果限制为最近在资产上观察到的结果。 建议仅当只想查看表示资产当前状态的数据时,请使用“仅最近”切换,以便进行修正。
概述
“ 概述 ”选项卡提供了更多上下文,以确保查看资产的详细信息时可以快速识别重要见解。 本部分包括所有资产类型的关键发现数据。 它提供有关 Microsoft 如何将资产映射到已知基础结构的见解。
本部分还可以包括仪表板小组件,用于直观显示与相关资产类型相关的见解。
发现链
发现链概述在发现种子与资产之间观察到的连接。 此信息可帮助用户可视化这些连接,并更好地了解为何判断某个资产属于用户的组织。
在此示例中,可以看到种子域通过其 Whois 记录中的联系人电子邮件绑定到此资产。 相同的联系人电子邮件用于注册包含此特定 IP 地址资产的 IP 块。
发现信息
本部分提供有关用于检测资产的过程的信息。 它包括有关连接到资产和审批过程的发现种子的信息。
选项包括:
- 已批准的库存:此选项表示种子与发现资产之间的关系足够强大,足以保证 Defender EASM 系统的自动批准。
- 候选项:此选项指示资产需要手动批准才能合并到库存中。
- 上次发现运行:此日期指示最初检测到资产的发现组上次用于发现扫描。
IP 声誉
“ IP 信誉 ”选项卡显示与给定 IP 地址相关的潜在威胁列表。 此部分概述任何检测到的与 IP 地址相关的恶意或可疑活动。 此信息是了解你自己的攻击面可信度的关键。 这些威胁可以帮助组织发现其基础结构中的过去或当前漏洞。
当在威胁列表中检测到 IP 地址时,Defender EASM IP 信誉数据会显示实例。 例如,以下示例中的最近检测显示 IP 地址与已知运行加密货币矿工的主机相关。 此数据派生自 CoinBlockers 提供的可疑主机列表。 结果按 上次查看 日期进行组织,以首先显示最相关的检测。
在此示例中,IP 地址存在于异常高的威胁源上。 此信息表明应彻底调查资产,以防止将来出现恶意活动。
服务
“ 服务 ”选项卡可用于 IP 地址、域和主机资产。 本部分提供有关在资产上运行观察到的服务的信息。 它包括 IP 地址、名称和邮件服务器,以及与其他类型的基础结构(例如远程访问服务)对应的开放端口。
Defender EASM 的服务数据是了解为资产提供支持的基础结构的关键。 它还可以提醒你对开放 Internet 上公开的资源发出警报,这些资源应该受到保护。
IP 地址
本部分提供有关在资产基础结构上运行的任何 IP 地址的见解。 在“服务”选项卡上,Defender EASM 提供 IP 地址的名称以及首次查看和上次查看的日期。 “ 最近” 列指示在最近扫描资产期间是否观察到 IP 地址。 如果此列中没有检查框,则会在之前的扫描中看到 IP 地址,但它当前未在资产上运行。
邮件服务器
本部分提供资产上运行的任何邮件服务器的列表。 此信息指示资产能够发送电子邮件。 在本部分中,Defender EASM 提供邮件服务器的名称以及 首次查看 和 上次查看 的日期。 “ 最近 ”列指示在最近扫描资产期间是否检测到邮件服务器。
名称服务器
本部分显示资产上运行的任何名称服务器,以便为主机提供解析。 在本部分中,Defender EASM 提供邮件服务器的名称以及 首次查看 和 上次查看 的日期。 “ 最近 ”列指示在最近扫描资产期间是否检测到名称服务器。
打开端口
此部分列出在资产上检测到的任何开放端口。 Microsoft 会定期扫描大约 230 个不同的端口。 此数据可用于识别任何不应从开放 Internet 访问的不安全服务。 这些服务包括数据库、IoT 设备和网络服务,例如路由器和交换机。 它还有助于识别影子 IT 基础结构或不安全的远程访问服务。
在本部分中,Defender EASM 提供打开的端口号、端口的说明、观察到的上次状态,以及 首次查看 和 上次查看 的日期。 “ 最近” 列指示端口是否在最近的扫描期间显示为打开状态。
跟踪器
跟踪器是在网页中找到的唯一代码或值,通常用于跟踪用户交互。 这些代码可用于将一组不同的网站与中心实体相关联。 Microsoft 跟踪器数据集包括来自 Google、Yandex、Mixpanel、New Relic 和 Clicky 等提供商的 ID,并且它将继续增长。
在本部分中,Defender EASM 提供跟踪器类型(例如 GoogleAnalyticsID)、唯一标识符值以及 首次查看 和 上次查看 日期。
Web 组件
Web 组件是描述通过 Microsoft 扫描观察到的资产基础结构的详细信息。 这些组件提供对资产上使用的技术的高级了解。 Microsoft 会将特定的组件分类,并尽可能包括版本号。
Web 组件部分提供组件的类别、名称和版本,以及应修正的任何适用 CVE 的列表。 Defender EASM 还提供“首次查看”和“上次查看日期”列和“最近查看”列。 检查框指示在最近扫描资产期间观察到此基础结构。
Web 组件根据其功能进行分类。
| Web 组件 | 示例 |
|---|---|
| 托管服务提供商 | hostingprovider.com |
| 服务器 | Apache |
| DNS 服务器 | ISC BIND |
| 数据存储 | MySQL、ElasticSearch、MongoDB |
| 远程访问 | OpenSSH、Microsoft Admin Center、Netscaler Gateway |
| 数据交换 | Pure-FTPd |
| 物联网 (IoT) | HP Deskjet、Linksys Camera、Sonos |
| 电子邮件服务器 | ArmorX、Lotus Domino、Symantec Messaging Gateway |
| 网络设备 | Cisco Router、Motorola WAP、ZyXEL Modem |
| 建筑物控制 | Linear eMerge、ASI Controls Weblink、Optergy |
观测
“观察”选项卡显示来自攻击面优先级仪表板与资产相关的任何见解。 这些优先级可能包括:
- 关键 CES。
- 与遭到入侵的基础结构的已知关联。
- 使用已弃用的技术。
- 基础结构最佳做法冲突。
- 合规性问题。
有关观察的详细信息,请参阅了解仪表板。 对于每个观察,Defender EASM 提供观察的名称,按类型对其进行分类,分配优先级,并列出 CVSS v2 和 v3 分数(如果适用)。
资源
“ 资源 ”选项卡提供有关任何页面或主机资产上运行的任何 JavaScript 资源的见解。 如果适用于主机,这些资源将会聚合以表示在该主机上的所有页面中运行的 JavaScript。 此部分提供在每个资产上检测到的 JavaScript 库存,以便组织可以全面查看洞察这些资源并检测任何更改。
Defender EASM 提供资源 URL、资源主机、MD5 值和首次查看和上次查看日期,以帮助组织在其清单中有效地监视 JavaScript 资源的使用情况。
SSL 证书数
证书用于通过 SSL 保护浏览器和 Web 服务器之间的通信。 使用证书可确保传输中的敏感数据无法读取、篡改或伪造。 Defender EASM 的此部分会列出在资产上检测到的任何 SSL 证书,包括问题和过期日期等关键数据。
Whois
Whois 协议用于查询和响应存储与 Internet 资源的注册和所有权相关的数据的数据库。 Whois 包含可应用于 Defender EASM 中的域、主机、IP 地址和 IP 块的密钥注册数据。 在 “Whois 数据”选项卡上,Microsoft 提供与资产注册表关联的可靠信息量。
以下字段包含在“Whois”选项卡上的“值”部分中的表中。
| 字段 | 说明 |
|---|---|
| Whois 服务器 | 由 ICANN 认证的注册机构设置的服务器,用于获取有关在其中注册的实体的最新信息。 |
| 注册器 | 提供资产注册服务的公司。 受欢迎的注册机构包括 GoDaddy、Namecheap 和 HostGator。 |
| 域状态 | 注册表设置的域的任何状态。 这些状态可以指示域正在等待注册机构删除或转移或在 Internet 上处于活动状态。 此字段还可以表示资产的限制。 例如, 禁止 客户端删除表示注册机构无法删除资产。 |
| 电子邮件 | 注册人提供的任何联系人电子邮件地址。 Whois 允许注册者指定联系人类型。 选项包括管理、技术、注册人和注册机构联系人。 |
| 名称 | 注册人的姓名(如果已提供)。 |
| 组织 | 注册的实体的负责组织。 |
| 街道 | 注册人的街道地址(如果提供)。 |
| City | 注册者街道地址中列出的城市(如果提供)。 |
| State | 如果提供,则为注册者在街道地址中列出的状态。 |
| Postal code | 如果提供,则为注册者在街道地址中列出的邮政编码。 |
| 国家/地区 | 注册者街道地址中列出的国家/地区(如果提供)。 |
| 手机 | 与注册者联系人关联的电话号码(如果提供)。 |
| 名称服务器 | 与注册的实体关联的任何名称服务器。 |
许多组织选择混淆其注册表信息。 有时,联系人电子邮件地址以 @anonymised.email 结尾。 此占位符用于代替实际联系人地址。 注册配置期间,许多字段都是可选的,因此注册者不包含具有空值的任何字段。
更改历史记录
“更改历史记录”选项卡显示一系列在一段时间内应用于资产的修改。 此信息有助于跟踪随时间推移的这些更改,并更好地了解资产的生命周期。 此选项卡显示各种更改,包括但不限于资产状态、标签和外部 ID。 对于每个更改,我们将列出实现更改的用户和时间戳。
