Grundlegendes zu Bestandsressourcen

Microsoft Defender External Attack Surface Management (Defender EASM) verwendet die proprietäre Ermittlungstechnologie von Microsoft, um über beobachtete Verbindungen mit bekannten legitimen Ressourcen (Discovery Seeds) rekursiv nach Infrastruktur zu suchen. Es zieht Rückschlüsse auf die Beziehung dieser Infrastruktur zur Organisation, um zuvor unbekannte und unüberwachte Eigenschaften aufzudecken.

Die Defender EASM-Erkennung umfasst die folgenden Arten von Ressourcen:

  • Domänen
  • IP-Adressblöcke
  • Hosts
  • E-Mail-Kontakte
  • Autonome Systemnummern (ASNs)
  • Whois-Organisationen

Diese Ressourcentypen bilden Ihren Angriffsflächenbestand in Defender EASM. Die Lösung identifiziert extern erreichbare Assets, die außerhalb des Schutzes herkömmlicher Firewalls dem offenen Internet ausgesetzt sind. Die externen Ressourcen müssen überwacht und verwaltet werden, um risiken zu minimieren und den Sicherheitsstatus der organization zu verbessern. Defender EASM erkennt und überwacht die Ressourcen aktiv und zeigt dann wichtige Erkenntnisse an, die Ihnen helfen, Sicherheitsrisiken für Ihre organization effizient zu beheben.

Screenshot des Bereichs

Asset-Status

Alle Ressourcen sind mit einem der folgenden Zustände gekennzeichnet:

Zustandsname Beschreibung
Genehmigtes Inventar Ein Element, das Teil Ihrer eigenen Angriffsfläche ist. Es handelt sich um ein Element, für das Sie direkt verantwortlich sind.
Abhängigkeit Infrastruktur, die sich im Besitz eines Drittanbieters befindet, aber Teil Ihrer Angriffsfläche ist, da sie den Betrieb Ihrer eigenen Ressourcen direkt unterstützt. Sie können z. B. von einem IT-Anbieter abhängig sein, um Ihre Webinhalte zu hosten. Die Domäne, der Hostname und die Seiten sind Teil Ihres genehmigten Inventars. Daher sollten Sie die IP-Adresse, die den Host ausführt, als Abhängigkeit behandeln.
Nur Überwachen Eine Ressource, die für Ihre Angriffsfläche relevant ist, aber nicht direkt gesteuert oder technisch abhängig ist. Beispielsweise können unabhängige Franchisenehmer oder Anlagen, die zu verbundenen Unternehmen gehören, als Nur Überwachung statt Genehmigter Bestand gekennzeichnet werden, um die Gruppen für Berichtszwecke zu trennen.
Kandidat Ein Asset, das in irgendeiner Beziehung zu den bekannten Seed-Assets Ihrer Organisation steht, aber keine ausreichend starke Verbindung aufweist, um es sofort als Freigegebener Bestand zu kennzeichnen. Sie müssen diese infrage kommenden Elemente manuell prüfen, um den Eigentümer zu bestimmen.
Erfordert Untersuchung Ein Status, der dem Status Kandidat ähnelt, aber dieser Wert wird auf Ressourcen angewendet, für die zur Überprüfung eine manuelle Untersuchung erforderlich ist. Der Zustand wird basierend auf unseren intern generierten Konfidenzbewertungen bestimmt, die die Stärke der erkannten Verbindungen zwischen Ressourcen bewerten. Sie gibt nicht an, in welchem genauen Verhältnis die Infrastruktur zur Organisation steht, kennzeichnet das Asset jedoch für eine weitere Prüfung, um festzustellen, wie es kategorisiert werden sollte.

Mit verschiedenen Objektzuständen umgehen

Diese Ressourcenzustände werden eindeutig verarbeitet und überwacht, um sicherzustellen, dass Sie standardmäßig einen klaren Einblick in Ihre kritischsten Ressourcen haben. Beispielsweise werden Assets im Zustand Genehmigtes Inventar immer in Dashboard-Diagrammen dargestellt, und sie werden täglich gescannt, um die Aktualität der Daten sicherzustellen. Alle anderen Ressourcentypen sind standardmäßig nicht in Dashboard Diagrammen enthalten. Sie können Ihre Bestandsfilter jedoch anpassen, um Ressourcen in unterschiedlichen Zuständen nach Bedarf anzuzeigen. Ebenso werden Assets im Status Kandidat nur während des Erkennungsprozesses gescannt. Wenn sich diese Arten von Ressourcen im Besitz Ihres organization befinden, ist es wichtig, diese Ressourcen zu überprüfen und ihren Status in Genehmigter Bestand zu ändern.

Nachverfolgen von Bestandsänderungen

Ihre Angriffsfläche ändert sich ständig. Defender EASM analysiert und aktualisiert Ihren Bestand kontinuierlich, um die Genauigkeit sicherzustellen. Ressourcen werden häufig hinzugefügt und aus dem Bestand entfernt. Daher ist es wichtig, diese Änderungen nachzuverfolgen, um Ihre Angriffsfläche zu verstehen und wichtige Trends zu identifizieren. Das Dashboard für Bestandsänderungen bietet eine Übersicht über diese Änderungen. Sie können die Anzahl hinzugefügter und entfernter Elemente für jeden Ressourcentyp problemlos anzeigen. Sie können die Dashboard nach zwei Datumsbereichen filtern: entweder nach den letzten 7 Tagen oder nach den letzten 30 Tagen. Eine detailliertere Ansicht der Bestandsänderungen finden Sie im Abschnitt Änderungen nach Datum des Dashboard.

Screenshot: Nach Datum gruppierte Bestandsänderungen