通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用和管理发现

  • 项目

Microsoft Defender 外部攻击面管理(Defender EASM)依赖于专有发现技术来持续定义组织独特的 Internet 公开攻击面。 发现技术会扫描 Internet 中组织拥有的资产,以发现以前未知和未监视的属性。

发现的资产在清单中编制索引,通过单一窗格提供组织管理下的 Web 应用程序、第三方依赖项和 Web 基础结构的动态记录系统。

在运行自定义发现之前,请参阅 “什么是发现”, 以了解此处讨论的关键概念。

访问自动攻击面

Microsoft 已抢先配置许多组织的攻击面,通过发现连接到已知资产的基础结构来映射其初始攻击面。

建议在创建自定义攻击面并运行其他发现之前搜索组织的攻击面。 此过程使你能够快速访问清单,因为 Defender EASM 刷新数据,并将更多资产和最近的上下文添加到攻击面。

首次访问 Defender EASM 实例时,请选择“常规”部分中的“入门”,在自动攻击面列表中搜索组织。 然后从列表中选择你的组织,然后选择“ 生成我的攻击面”。

Screenshot that shows a preconfigured attack surface selection screen.

此时,发现在后台运行。 如果选择了可用组织列表中的预配置攻击面,则会重定向到仪表板概述屏幕,可在预览模式下查看组织的基础结构见解。

查看这些仪表板见解,以便在等待更多资产被发现并在清单中填充时熟悉攻击面。 有关如何从这些仪表板派生见解的详细信息,请参阅了解仪表板

可以运行自定义发现来检测离群资产。 例如,你可能缺少资产。 或者,你可能拥有其他实体来管理这些实体,这些实体可能未通过明显链接到组织的基础结构发现。

自定义发现

如果你的组织需要更深入地了解可能未立即链接到主要种子资产的基础结构,则自定义发现是理想的选择。 通过提交更大的已知资产列表以作为发现种子运行,发现引擎将返回更广泛的资产池。 自定义发现还有助于组织找到可能与独立业务部门和收购公司相关的不同基础结构。

发现组

自定义发现组织为发现组。 它们是独立的种子群集,由单个发现运行组成并按自己的定期计划运行。 你可以组织发现组,以最适合公司和工作流的方式划定资产。 常见选项包括由负责任的团队或业务部门、品牌或子公司进行组织。

创建发现组

  1. 在最左侧窗格的“管理”下,选择“发现”。

    Screenshot that shows a Defender EASM instance on the overview page with the Manage section highlighted.

  2. 默认情况下,“ 发现 ”页显示发现组的列表。 首次访问平台时,此列表为空。 若要运行第一个发现,请选择“ 添加发现组”。

    Screenshot that shows the Discovery screen with Add Discovery Group highlighted.

  3. 为新发现组命名并添加说明。 “ 定期频率 ”字段允许通过连续扫描与指定种子相关的新资产来计划此组的发现运行。 默认重复选择为 “每周”。 我们建议使用此节奏来确保组织的资产定期受到监视和更新。

    对于单个一次性发现运行,请选择“从不”。 建议保留 每周 默认节奏,因为发现旨在持续发现与已知基础结构相关的新资产。 以后可以通过从任何发现组详细信息页中选择“编辑”选项来编辑重复频率。

  4. 选择“ 下一步:种子”。

    Screenshot that shows the first page of the discovery group setup.

  5. 选择要用于此发现组的种子。 种子是属于组织的已知资产。 Defender EASM 平台扫描这些实体,并将其连接映射到其他联机基础结构,以创建攻击面。 由于 Defender EASM 旨在从外部角度监视攻击面,因此不能将专用 IP 地址作为发现种子包含在内。

    Screenshot that shows the seed selection page of the discovery group setup.

    使用 “快速启动 ”选项,可以在预填充的攻击面列表中搜索组织。 可以根据属于组织的已知资产快速创建发现组。

    Screenshot that shows the prebaked attack surface selection page output in a seed list.

    Screenshot that shows the prebaked attack surface selection page.

    或者,可以手动输入种子。 Defender EASM 接受组织名称、域、IP 块、主机、电子邮件联系人、ASN 和 Whois 组织作为种子值。

    你还可以指定要从资产发现中排除的实体,以确保在检测到这些实体时不会将其添加到清单中。 例如,排除项对于具有可能连接到其中心基础结构但不属于其组织的子公司的组织非常有用。

    选择种子后,选择“ 查看 + 创建”。

  6. 查看组信息和种子列表,然后选择“ 创建和运行”。

    Screenshot that shows the Review + Create screen.

    返回到显示发现组的主发现页面。 发现运行完成后,会看到添加到已批准的清单的新资产。

查看和编辑发现组

可以从“发现”主页 管理发现 组。 默认视图显示所有发现组的列表以及有关每个组的一些关键数据。 在列表视图中,可以看到每个组的种子数、重复计划数、上次运行日期和创建日期。

Screenshot that shows the discovery groups screen.

选择任何发现组以查看详细信息、编辑组或启动新的发现过程。

运行历史记录

发现组详细信息页包含组的运行历史记录。 本部分显示有关针对特定种子组执行的每个发现运行的关键信息。 状态列指示运行是正在进行完成还是失败。 本部分还包括 开始完成 的时间戳以及在该特定发现运行后添加到清单的所有新资产的计数。 此计数包括引入库存的所有资产,而不考虑状态或计费状态。

运行历史记录由在发现运行期间扫描的种子资产进行组织。 若要查看适用种子的列表,请选择“ 详细信息”。 屏幕右侧将打开一个窗格,该窗格按种类和名称列出所有种子和排除项。

Screenshot that shows the run history for the discovery group screen.

查看种子和排除项

发现 ”页默认为发现组的列表视图,但你也可以查看此页中所有种子和已排除实体的列表。 选择任一选项卡可查看为发现组提供支持的所有种子或排除项的列表。

Seeds

种子列表视图显示具有三列的种子值:类型源名称和发现组。 “ 类型” 字段显示种子资产的类别。 最常见的种子是域、主机和 IP 块。 还可以使用电子邮件联系人、ASN、证书公用名或 Whois 组织。

源名称是在创建发现组时在相应类型框中输入的值。 最后一列显示使用种子的发现组的列表。 每个值都可以单击,并转到该发现组的详细信息页。

输入种子时,请记住为每个条目验证适当的格式。 保存发现组时,平台会运行一系列验证检查,并向你发出任何配置错误种子的警报。 例如,IP 块应按网络地址输入(例如 IP 范围的开始)。

Screenshot that shows the Seeds view of a discovery page.

排除项

同样,可以选择“ 排除 ”选项卡以查看从发现组中排除的实体列表。 这些资产不会用作发现种子或添加到库存中。 排除项仅影响单个发现组的未来发现运行。

类型” 字段显示排除实体的类别。 源名称是在创建发现组时在相应类型框中输入的值。 最后一列显示存在此排除项的发现组的列表。 每个值都可以单击,并转到该发现组的详细信息页。

后续步骤