Panoramica di Gestione della superficie di attacco esterna di Microsoft Defender

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) individua e mappa continuamente la superficie di attacco digitale per offrire una visualizzazione esterna dell'infrastruttura online.

Defender EASM offre ai team IT e alla sicurezza visibilità essenziale per identificare le incognite, assegnare priorità ai rischi, eliminare le minacce ed estendere il controllo delle vulnerabilità e dell'esposizione oltre il firewall. Le informazioni dettagliate sulla superficie di attacco vengono generate usando la vulnerabilità e i dati dell'infrastruttura per mostrare le aree principali di interesse per l'organizzazione.

Schermata che mostra il dashboard Panoramica in Defender EASM.

Individuazione e inventario

La tecnologia di individuazione proprietaria Microsoft cerca in modo ricorsivo l'infrastruttura tramite connessioni osservate a asset legittimi noti. Esegue inferenze sulla relazione dell'infrastruttura con l'organizzazione per individuare proprietà precedentemente sconosciute e non monitorate. Questi asset legittimi noti sono chiamati semi di individuazione. Defender EASM prima di tutto individua connessioni forti con queste entità selezionate, quindi ricorre per svelare più connessioni e infine compilare la superficie di attacco.

L'individuazione in Defender EASM include i seguenti tipi di asset:

  • Domini
  • Blocchi di indirizzi IP
  • Ospita
  • contatti Email
  • Numeri di sistema autonomi (ASN)
  • Organizzazioni WHOIS

Schermata del riquadro Discovery.

Gli asset individuati vengono indicizzati e classificati nell'inventario Defender EASM per fornire un record dinamico dell'intera infrastruttura Web sotto la gestione. Gli asset sono classificati come recenti (attualmente attivi) o cronologici. Possono includere applicazioni Web, dipendenze di terze parti e altre connessioni di asset.

Dashboard

Defender EASM usa i dashboard per comprendere rapidamente l'infrastruttura online ed eventuali rischi principali per l'organizzazione. I dashboard sono progettati per fornire informazioni dettagliate su aree specifiche di rischio, tra cui vulnerabilità, conformità e igiene della sicurezza. Queste informazioni dettagliate consentono di affrontare rapidamente i componenti della superficie di attacco che rappresentano il rischio maggiore per l'organizzazione.

Screenshot del dashboard e del riquadro Comportamento di sicurezza.

Gestione delle risorse

È possibile filtrare l'inventario per visualizzare le informazioni dettagliate più importanti per l'utente e l'organizzazione. Il filtro offre flessibilità e personalizzazione per consentire l'accesso a un subset specifico di asset. Il filtro consente inoltre di sfruttare i dati di Defender EASM per il tuo caso d'uso specifico, sia che tu stia cercando risorse connesse a un'infrastruttura in via di dismissione sia che tu stia identificando nuove risorse cloud.

Schermata del riquadro Inventario.

Autorizzazioni utenti

Un utente dell'organizzazione a cui è assegnato il ruolo Proprietario o Collaboratore può creare, eliminare e modificare Defender EASM risorse e gli asset di inventario in una risorsa. I ruoli Proprietario e Collaboratore hanno le autorizzazioni per usare tutte le funzionalità e le funzionalità della piattaforma.

Un utente a cui è assegnato il ruolo Lettore può visualizzare Defender EASM dati, ma non può creare, eliminare o modificare una risorsa o un asset di inventario.

Defender EASM non supporta l'accesso alle risorse tra tenant, anche tramite Azure Lighthouse. Per accedere alle risorse di Defender EASM, è necessario autenticarsi direttamente nel tenant in cui si trova la risorsa.

Residenza, disponibilità e privacy dei dati

Microsoft Defender EASM contiene dati globali e dati specifici del cliente. I dati Internet sottostanti sono dati globali che hanno origine con Microsoft. Le etichette che i clienti applicano sono considerate dati dei clienti. I dati dei clienti vengono archiviati nell'area selezionata.

A scopo di sicurezza, Microsoft raccoglie l'indirizzo IP di un utente quando l'utente accede. L'indirizzo IP viene archiviato per un massimo di 30 giorni, ma può essere archiviato più a lungo se è necessario per analizzare il potenziale uso fraudolento o dannoso del prodotto.

Se un'area Azure è inattiva, vengono interessati solo i clienti Defender EASM in tale area. I servizi e i dati in altre aree Azure continuano a essere attivi.

Se un'organizzazione non è più un cliente di Microsoft, il framework di conformità Microsoft richiede l'eliminazione di tutti i dati del cliente entro 180 giorni. Questo criterio include i dati dei clienti archiviati in posizioni offline, ad esempio i backup del database. Dopo l'eliminazione di una risorsa, non può essere ripristinata dai team. I dati dei clienti vengono conservati negli archivi dati per altri 75 giorni, ma la risorsa effettiva non può essere ripristinata. Dopo il periodo di 75 giorni, i dati dei clienti vengono eliminati definitivamente.