了解如何将 Microsoft Defender 外部攻击面管理 (MDEASM) 与 Microsoft 安全风险管理 (MSEM) 集成,以增强对组织外部暴露的可见性和控制力。 通过使用外部攻击面管理计划将 MDEASM 见解连接到 MSEM,可以评估与组织或供应商的外部攻击面相关的风险,并在曝光管理门户中更有效地管理安全态势。
可通过两种方式使用此计划:
- 预构建的占用空间:使用一组预定义的外部资产提供高级见解,而无需完整的 MDEASM 订阅。
- 与 MDEASM 完全集成:直接连接到 MDEASM 订阅,获取全面的曝光分析和资产级别详细信息。
将EASM计划与预构建的占用空间配合使用
该计划的此方法提供高级见解,而无需完全连接到 MDEASM 订阅,并且仅支持预构建的占用空间,不需要有效的 MDEASM 订阅。
先决条件:若要配置外部攻击面计划,需要具有 全局管理员 角色或 核心安全设置 (管理) 权限。
转到 “计划” 页,选择“ 外部攻击面防护”,然后选择“ 打开计划”页。
转到 “连接数据源 ”,打开“设置”选项卡。
注意
如果以前配置了计划,则可以选择“ 切换数据源 ”以使用新数据重新配置它。
选择 “搜索组织预构建的占用空间”。
从可用的预生成占用空间列表中选择要使用的占用空间,然后选择 “连接”。
在长达 1 小时内,计划将填充来自所选占用空间的高级指标和分数。
注意
此方法不提供资产级别信息和详细的公开信息。
将 EASM 计划与完全 MDEASM 集成配合使用
先决条件:此方法需要完整的 MDEASM 订阅 (试用版或付费) ,并提供全面的曝光分析和资产级别详细信息。 若要配置外部攻击面计划,需要具有 全局管理员 角色或 核心安全设置 (管理) 权限。
注意
外部攻击面资产不支持范围,因此所有有权访问的用户都可以查看所有收集的数据。
环境设置:
若要部署 MDEASM 资源,请执行以下步骤:
- 登录到 https://portal.azure.com。
- 创建具有相应订阅和区域的资源组。
- 在该组中部署 MDEASM 资源,请参阅创建Defender EASM Azure 资源。 每个新资源将自动获得 30 天免费试用版。
发现攻击面
可以通过两种方式发现攻击面:
- 使用 “入门” 选项搜索组织并构建预配置的攻击面。
- 或者,通过提供:
- 域
- 如果需要, (IP 块或地址使用示例 IP,例如 203.0.113.0)
- Hosts
- ASN
- 电子邮件
- WHOIS 组织数据
有关详细信息,请参阅 发现攻击面
提示
最简单的方法是提供主机、域和任何已知的外部 IP 地址。
配置计划
转到 “计划” 页,选择“ 外部攻击面防护”,然后选择“ 打开计划”页。
转到 “连接数据源 ”,打开“设置”选项卡。
注意
如果以前配置了计划,则可以选择“ 切换数据源 ”以使用新数据重新配置它。
选择 “连接 MDEASM 工作区”。
若要使计划能够从Defender EASM资源拉取数据,请在 Azure 中的“概述”窗格中输入资源Essentials部分中的值。
- 资源名称
- 订阅 ID
- 资源组名称
- Region
选择“连接”。 验证后,数据将开始流入图形,指标将在 32 小时内计算。
可以通过反映外部攻击面评估引擎评估的各种暴露类型的安全指标来查看安全计划数据。 选择指标以查看其他信息,例如公开的资产及其类型。
此外,使用攻击面地图浏览EASM集成的数据,以发现与攻击面相关的见解。 可以搜索各种资产,例如 IP 地址、域、主机等,并查看这些资产的发现结果。