Defender EASM 概觀
Microsoft Defender 外部受攻擊面管理 (Defender EASM) 會持續探索並標示出數位受攻擊面,以提供線上基礎結構的外部檢視。 運用該可見度,安全性和 IT 小組得以識別未知因素、排定風險優先順序、消除威脅,並將弱點與暴露控制擴展至防火牆以之外。 受攻擊面深入解析利用弱點和基礎結構資料所產生,以展示貴組織的主要考量層面。
探索與清查
Microsoft 的專屬探索技術以遞迴方式搜尋具有已知合法資產連線的基礎結構,推斷該基礎結構與組織的關係,並找出先前未知且未受監視的屬性。 這些已知的合法資產稱為探索「種子」;Defender EASM 會先探索這些已選取實體的強式連線,然後以遞迴方式產生更多連線,最後編譯您的「受攻擊面」。
Defender EASM 包括下列類型的資產探索:
- 網域
- IP 區塊
- 主機
- 電子郵件連絡人
- ASN
- WhoIS 組織
探索到的資產會在 Defender EASM 清查中編制索引並分類,提供組織管理下所有 Web 基礎結構的動態記錄。 資產會分類為最近 (目前使用中) 或歷史,並可包含 Web 應用程式、協力廠商相依性和其他資產連線。
儀表板
Defender EASM 提供一系列儀表板,可協助使用者快速掌握其線上基礎結構,以及組織所面臨的任何重大風險。 這些儀表板旨在提供特定風險領域的深入解析,包括弱點、合規性和安全性檢疫。 運用這些深入解析,有助於客戶快速解決對組織構成最大風險的受攻擊面元件。
管理資產
客戶可以篩選其清查,從而顯示他們最關心的特定深入解析。 篩選提供彈性和自訂層級,可讓使用者存取特定資產子集。 您便能根據特定使用案例運用 Defender EASM 資料,無論是搜尋連線至取代基礎結構的資產,還是識別新的雲端資源。
使用者權限
獲派擁有者或參與者角色的使用者可以建立、刪除和編輯 Defender EASM 資源及其中的庫存資產。 這些角色可以利用平台中提供的所有功能。 獲派讀者角色的使用者能夠檢視 Defender EASM 資料,但無法建立、刪除或編輯庫存資產或資源本身。
資料落地、可用性與隱私權
Microsoft Defender 外部受攻擊面管理同時包含全域資料和客戶特定資料。 基礎網際網路資料是全域 Microsoft 資料;客戶套用的標籤會視為客戶資料。 所有客戶資料都會儲存在客戶選擇的區域。
基於安全性目的,Microsoft 會在使用者登入時收集使用者的 IP 位址。 此資料最多會儲存 30 天,但如果需要調查產品的潛在詐騙或惡意使用,可能會儲存較長的時間。
在區域關閉案例的情況下,只有受影響區域中的客戶會遇到停機時間。
Microsoft 合規性架構要求在該組織不再為 Microsoft 客戶的 180 天內刪除所有客戶資料。 這也包括離線位置的客戶資料儲存,例如資料庫備份。 一旦刪除資源之後,我們的小組就無法還原資源。 客戶資料會保留在我們的資料存放區 75 天,但無法還原實際資源。 在 75 天期間之後,客戶資料將會永久刪除。