了解詳細目錄資產
概觀
Microsoft 的財產探索技術會以遞迴方式搜尋與已知合法資產有明顯關聯的基礎結構 (例如探索「種子」),以推斷該基礎結構與組織的關係,並發現先前未知且未受監視的資產。
Defender EASM 包括下列類型的資產探索:
- 網域
- IP 區塊
- 主機
- 電子郵件連絡人
- ASN
- WhoIS 組織
這些資產類型是由 Defender EASM 中的受攻擊面詳細目錄所組成。 此解決方案會探索在傳統防火牆保護外部,且暴露在開放網際網路下的外部面向資產,這些資產必須受到監視和維護,才能將風險降至最低,並改善組織的安全性狀態。 Microsoft Defender 外部受攻擊面管理 (Defender EASM) 會主動探索及監視這些資產,然後呈現重要見解,協助客戶有效率地解決其組織的任何弱點。
資產狀態
所有資產都會標示為下列其中一種狀態:
| 狀態名稱 | 描述 |
|---|---|
| 已核准的詳細目錄 | 屬於您自己的受攻擊面;您直接負責的項目。 |
| Dependency | 協力廠商所擁有,但因為其直接支援您所擁有資產的作業,而屬於您受攻擊面的基礎結構。 例如,您可能依靠 IT 提供者來裝載您的 Web 內容。 雖然網域、主機名稱和頁面屬於「已核准的詳細目錄」,但您可能想要將執行主機的 IP 位址視為「相依性」。 |
| 僅監視 | 與受攻擊面有關,但既不直接受到控制,也無技術相依性的資產。 例如,屬於相關公司的獨立特許項目或資產可能會標示為「僅監視」,而不是「已核准的詳細目錄」,以分隔報告用途的群組。 |
| 候選項目 | 與貴組織已知種子資產有一些關聯性,但連結強度不足以立即將其標示為「已核准的詳細目錄」的資產。 您必須手動檢閱這些候選資產,才能判斷所有權。 |
| 需要調查 | 此狀態與「候選」狀態類似,但此值會套用至需要手動調查才能驗證的資產。 其判斷依據是內部產生的信賴分數,系統會使用此分數來評估所偵測到的資產間連結強度。 其指出基礎結構與組織有確切關聯性的程度,不如其指出此資產已標示為需要另外檢閱以判斷其分類方式。 |
不同的資產狀態處理
這些資產狀態會經過專屬處理並受到監視,以確保客戶能在預設情況下,清楚了解最重要的資產。 例如,「已核准的詳細目錄」資產一律會以儀表板圖表表示,並且每天掃描以確保資料保持一致。 所有其他資產類型皆預設不會包含在儀表板圖表中;不過,使用者可以調整其詳細目錄篩選條件,視需要檢視不同狀態的資產。 同樣地,只有在探索程序期間才會掃描「候選」資產;請務必檢閱這些資產,並在貴組織擁有這些資產時,將其狀態變更為「已核准的詳細目錄」。
追蹤詳細目錄變更
您的受攻擊面會不斷變更,這就是為什麼 Defender EASM 會持續分析並更新您的詳細目錄,以確保正確性。 資產經常從詳細目錄中新增和移除,因此請務必追蹤這些變更,以了解您的受攻擊面並識別主要趨勢。 詳細目錄變更儀錶板提供這些變更的概觀,其中顯示每個資產類型的「已新增」和「已移除」計數。 您可以依兩個日期範圍篩選儀錶板:過去 7 天或 30 天。 如需這些詳細目錄變更的更細微檢視,請參閱《依日期排列變更》一節。
