Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender External Attack Surface Management (Defender EASM) basiert auf proprietärer Erkennungstechnologie, um die einzigartige, im Internet exponierte Angriffsfläche Ihrer Organisation kontinuierlich zu erfassen. Die Discovery-Funktion durchsucht das Internet nach Ressourcen, die sich im Besitz Ihrer Organisation befinden, um bislang unbekannte und unüberwachte Bestände aufzudecken.
Erkannte Assets werden in Ihrem Inventar erfasst, um eine dynamische zentrale Datenquelle für Webanwendungen, Drittanbieterabhängigkeiten und die Webinfrastruktur unter der Verwaltung Ihrer Organisation in einer zentralen Oberfläche bereitzustellen.
Bevor Sie eine benutzerdefinierte Ermittlung ausführen, lesen Sie Was ist Ermittlung? , um die wichtigsten Konzepte zu verstehen, die hier erläutert werden.
Zugriff auf Ihre automatisierte Angriffsfläche
Microsoft hat die Angriffsflächen vieler Organisationen proaktiv erfasst und ihre anfängliche Angriffsfläche abgebildet, indem die mit bekannten Ressourcen verbundene Infrastruktur identifiziert wird.
Wir empfehlen, die Angriffsfläche Ihrer Organisation zu durchsuchen, bevor Sie eine benutzerdefinierte Angriffsfläche erstellen und andere Suchvorgänge ausführen. Die Suche nach einer vorhandenen Angriffsfläche ermöglicht es Ihnen, schnell auf Ihr Inventar zuzugreifen, da Defender EASM die Daten aktualisiert und ihrer Angriffsfläche weitere Ressourcen und neuere Kontexte hinzufügt.
Wenn Sie zum ersten Mal auf Ihre Defender EASM instance zugreifen, wählen Sie im Abschnitt AllgemeinErste Schritte aus, um in der Liste der automatisierten Angriffsflächen nach Ihrem organization zu suchen. Wählen Sie dann Ihre organization aus der Liste aus, und wählen Sie Meine Angriffsfläche erstellen aus.
Nachdem Sie "Mein Angriffs-Surface erstellen" ausgewählt haben, wird die Ermittlung im Hintergrund ausgeführt. Wenn Sie eine vorkonfigurierte Angriffsfläche aus der Liste der verfügbaren Organisationen ausgewählt haben, werden Sie zum Dashboard Übersichtsbildschirm weitergeleitet, auf dem Sie Einblicke in die Infrastruktur Ihres organization im Vorschaumodus anzeigen können.
Überprüfen Sie diese Dashboard Erkenntnisse, um sich mit Ihrer Angriffsfläche vertraut zu machen, während Sie warten, bis weitere Ressourcen in Ihrem Bestand gefunden und aufgefüllt werden. Weitere Informationen zum Ableiten von Erkenntnissen aus diesen Dashboards finden Sie unter Verstehen von Dashboards.
Sie können benutzerdefinierte Ermittlungen ausführen, um Ausreißerressourcen zu erkennen. Es kann z. B. vorkommen, dass Ressourcen fehlen. Oder vielleicht verwalten Sie andere Entitäten, die möglicherweise nicht über Infrastrukturen identifiziert werden, die eindeutig mit Ihrer Organisation verknüpft sind.
Anpassen der Ermittlung
Benutzerdefinierte Erkennungen sind ideal, wenn Ihre Organisation tiefere Einblicke in Infrastrukturen benötigt, die möglicherweise nicht unmittelbar mit Ihren primären Seed-Assets verknüpft sind. Durch die Übermittlung einer größeren Liste bekannter Ressourcen, die als Ermittlungssamen verwendet werden sollen, gibt die Ermittlungs-Engine einen größeren Pool von Ressourcen zurück. Die benutzerdefinierte Erkennung kann Ihrer Organisation auch dabei helfen, verteilte Infrastruktur zu finden, die mit unabhängigen Geschäftsbereichen und übernommenen Unternehmen in Zusammenhang stehen könnte.
Ermittlungsgruppen
Benutzerdefinierte Erkennungen sind in Erkennungsgruppen gruppiert. Dabei handelt es sich um unabhängige Seedcluster, die einen einzelnen Ermittlungslauf umfassen und nach ihren eigenen Wiederholungszeitplänen arbeiten. Sie organisieren Ihre Ermittlungsgruppen, um Ressourcen auf die weise zu definieren, von der Ihr Unternehmen und Ihre Workflows am besten profitieren. Häufige Optionen sind die Organisation durch das zuständige Team oder die zuständige Geschäftseinheit, Marken oder Tochtergesellschaften.
Erstellen einer Ermittlungsgruppe
Führen Sie die folgenden Schritte aus, um eine Ermittlungsgruppe zu erstellen:
Wählen Sie im bereich ganz links unter Verwalten die Option Ermittlung aus.
Auf der Seite Ermittlung wird standardmäßig Ihre Liste der Ermittlungsgruppen angezeigt. Diese Liste ist leer, wenn Sie zum ersten Mal auf die Plattform zugreifen. Um Ihre erste Ermittlung auszuführen, wählen Sie Ermittlungsgruppe hinzufügen aus.
Benennen Sie Ihre neue Ermittlungsgruppe, und fügen Sie eine Beschreibung hinzu. Mit dem Feld Wiederkehrende Häufigkeit können Sie Ermittlungsläufe für diese Gruppe planen, indem Sie kontinuierlich nach neuen Ressourcen im Zusammenhang mit den angegebenen Samen suchen. Die Standard-Wiederholung ist wöchentlich. Wir empfehlen die wöchentliche Häufigkeit, um sicherzustellen, dass die Ressourcen Ihrer Organisation routinemäßig überwacht und aktualisiert werden.
Wählen Sie für eine einzelne, einmalige Ermittlungsausführung Nie aus. Es wird empfohlen, den wöchentlichen Standardintervall beizubehalten, da die Ermittlung darauf ausgelegt ist, kontinuierlich neue Ressourcen zu ermitteln, die sich auf Ihre bekannte Infrastruktur beziehen. Sie können die Wiederholungshäufigkeit später bearbeiten, indem Sie auf einer beliebigen Detailseite der Ermittlungsgruppe die Option "Bearbeiten" auswählen.
Wählen Sie Weiter: Samen aus.
Wählen Sie die Seeds aus, die Sie für diese Ermittlungsgruppe verwenden möchten. Seeds sind bekannte Assets, die Ihrer Organisation gehören. Die Defender EASM Plattform scannt diese Entitäten und ordnet ihre Verbindungen anderen Onlineinfrastrukturen zu, um Ihre Angriffsfläche zu erstellen. Da Defender EASM dazu gedacht ist, Ihre Angriffsfläche aus einer externen Perspektive zu überwachen, können private IP-Adressen nicht als Ermittlungs-Seeds eingeschlossen werden.
Mit der Option Schnellstart können Sie in einer Liste mit vorbefüllten Angriffsflächen nach Ihrer Organisation suchen. Sie können schnell eine Erkennungsgruppe basierend auf den bekannten Ressourcen Ihrer Organisation erstellen.
Alternativ können Sie Ihre Samen auch manuell eingeben. Defender EASM akzeptiert Organisationsnamen, Domänen, IP-Blöcke, Hosts, E-Mail-Kontakte, ASNs und Whois-Organisationen als Startwerte.
Sie können auch Entitäten angeben, die von der Ressourcenermittlung ausgeschlossen werden sollen, um sicherzustellen, dass sie Ihrem Bestand nicht hinzugefügt werden, wenn sie erkannt werden. Ausschlüsse sind z. B. für Organisationen nützlich, die über Niederlassungen verfügen, die wahrscheinlich mit ihrer zentralen Infrastruktur verbunden sind, aber nicht zu ihren organization gehören.
Nachdem Ihre Samen ausgewählt wurden, wählen Sie Überprüfen + erstellen aus.
Überprüfen Sie die Gruppeninformationen und die Seed-Liste, und wählen Sie Erstellen & Ausführen aus.
Sie gelangen zurück zur Hauptseite „Discovery“, auf der Ihre Discovery-Gruppen angezeigt werden. Nachdem Ihr Erkennungslauf abgeschlossen ist, sehen Sie neue Assets in Ihrem genehmigten Inventar.
Discoverygruppen anzeigen und bearbeiten
Sie können Ihre Ermittlungsgruppen auf der Hauptseite Ermittlung verwalten. In der Standardansicht werden eine Liste aller Ermittlungsgruppen und einige wichtige Daten zu jeder Einzelnen angezeigt. In der Listenansicht können Sie die Anzahl der Seeds, den Wiederholungszeitplan, das Datum der letzten Ausführung und das Erstellungsdatum für jede Gruppe anzeigen.
Wählen Sie eine beliebige Discoverygruppe aus, um weitere Informationen anzuzeigen, die Gruppe zu bearbeiten oder eine neue Ermittlungsausführung zu starten.
Ausführungsverlauf
Die Detailseite der Ermittlungsgruppe enthält den Ausführungsverlauf für die Gruppe. In diesem Abschnitt werden wichtige Informationen zu jedem Erkennungsdurchlauf angezeigt, der für die betreffende Seed-Gruppe durchgeführt wurde. Die Spalte Status gibt an, ob die Ausführung in Bearbeitung, Abgeschlossen oder Fehlgeschlagen ist. Dieser Abschnitt enthält auch Start- und Abschlusszeitstempel sowie die Anzahl aller neuen Assets, die nach diesem speziellen Ermittlungslauf Ihrem Inventar hinzugefügt wurden. Diese Anzahl umfasst alle Ressourcen, die ins Inventar aufgenommen werden, unabhängig von ihrem Zustand oder ihrem Abrechnungsstatus.
Der Ausführungsverlauf ist anhand der Start-Assets gegliedert, die während des Erkennungsdurchlaufs gescannt wurden. Wählen Sie Details aus, um eine Liste der anwendbaren Samen anzuzeigen. Auf der rechten Seite des Bildschirms wird ein Bereich geöffnet, in dem alle Seeds und Ausschlüsse nach Art und Name aufgelistet sind.
Seeds und Ausschlüsse anzeigen
Auf der Seite Ermittlung wird standardmäßig eine Listenansicht von Ermittlungsgruppen verwendet. Sie können jedoch auch Listen aller Seeds und ausgeschlossenen Entitäten auf dieser Seite anzeigen. Wählen Sie eine der beiden Registerkarten aus, um eine Liste aller Startwerte oder Ausschlüsse anzuzeigen, die Ihren Erkennungsgruppen zugrunde liegen.
Discovery-Seeds anzeigen
In der Seedlistenansicht werden Startwerte mit drei Spalten angezeigt: Typ, Quellname und Ermittlungsgruppen. Im Feld Typ wird die Kategorie der Seedressource angezeigt. Die häufigsten Seeds sind Domänen, Hosts und IP-Blöcke. Sie können auch E-Mail-Kontakte, ASNs, allgemeine Zertifikatnamen oder Whois-Organisationen verwenden.
Der Quellname ist der Wert, der beim Erstellen der Ermittlungsgruppe in das entsprechende Typfeld eingegeben wurde. Die letzte Spalte zeigt eine Liste der Erkennungsgruppen, die den Seed verwenden. Jeder Wert ist klickbar und führt Sie zur Detailseite für diese Ermittlungsgruppe.
Denken Sie bei der Eingabe von Seeds daran, das entsprechende Format für jeden Eintrag zu überprüfen. Wenn Sie die Ermittlungsgruppe speichern, führt die Plattform eine Reihe von Validierungsprüfungen aus und warnt Sie über falsch konfigurierte Seeds. Beispielsweise sollten IP-Blöcke unter Angabe der Netzwerkadresse eingegeben werden (z. B. der Beginn des IP-Adressbereichs).
Discovery-Ausschlüsse anzeigen
Ebenso können Sie die Registerkarte Ausschlüsse auswählen, um eine Liste der Entitäten anzuzeigen, die aus der Ermittlungsgruppe ausgeschlossen wurden. Diese Ressourcen werden weder als Discovery-Seeds verwendet noch Ihrem Inventar hinzugefügt. Ausschlüsse wirken sich nur auf zukünftige Ermittlungsausführungen für eine einzelne Ermittlungsgruppe aus.
Im Feld Typ wird die Kategorie der ausgeschlossenen Entität angezeigt. Der Quellname ist der Wert, der beim Erstellen der Ermittlungsgruppe in das entsprechende Typfeld eingegeben wurde. Die letzte Spalte enthält eine Liste der Ermittlungsgruppen, in denen dieser Ausschluss vorhanden ist. Jeder Wert ist klickbar und führt Sie zur Detailseite für diese Ermittlungsgruppe.