Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) utilizza la tecnologia di individuazione proprietaria di Microsoft per esplorare ricorsivamente l'infrastruttura attraverso le connessioni osservate con risorse legittime note (seed di individuazione). Esegue inferenze sulla relazione dell'infrastruttura con l'organizzazione per individuare proprietà precedentemente sconosciute e non monitorate.
L'individuazione in Defender EASM include i seguenti tipi di asset:
- Domini
- Blocchi di indirizzi IP
- Ospita
- contatti Email
- Numeri di sistema autonomi (ASN)
- Organizzazioni WHOIS
Questi tipi di asset costituiscono l'inventario della superficie di attacco in Defender EASM. La soluzione individua gli asset esterni esposti a Internet aperto al di fuori della protezione tradizionale del firewall. Gli asset esterni devono essere monitorati e gestiti per ridurre al minimo i rischi e migliorare il comportamento di sicurezza dell'organizzazione. Defender EASM individua e monitora attivamente gli asset e quindi visualizza informazioni dettagliate chiave che consentono di risolvere in modo efficiente eventuali vulnerabilità all'organizzazione.
Stati delle risorse
Tutti gli asset sono etichettati con uno degli stati seguenti:
| Nome dello stato | Descrizione |
|---|---|
| Inventario approvato | Elemento che fa parte della superficie di attacco di tua proprietà. Si tratta di un elemento di cui sei direttamente responsabile. |
| Dipendenza | Infrastruttura di proprietà di terze parti, ma che fa parte della superficie di attacco perché supporta direttamente il funzionamento degli asset di proprietà. Ad esempio, è possibile che si dipenda da un provider IT per ospitare il contenuto Web. Il dominio, il nome host e le pagine farebbero parte dell'inventario approvato, quindi potrebbe essere opportuno trattare come una dipendenza l'indirizzo IP su cui è in esecuzione l'host. |
| Solo monitoraggio | Una risorsa che è pertinente alla tua superficie di attacco, ma che non è direttamente controllata e non costituisce una dipendenza tecnica. Ad esempio, gli affiliati o gli asset indipendenti appartenenti a società correlate potrebbero essere etichettati come Monitor Only anziché Approved Inventory per separare i gruppi a scopo di creazione di report. |
| Candidato | Una risorsa che presenta una qualche relazione con le risorse iniziali note della tua organizzazione, ma che non ha un collegamento abbastanza forte da essere classificata immediatamente come Approved Inventory. È necessario esaminare manualmente questi asset candidati per determinare la proprietà. |
| Richiede un'indagine | Uno stato simile allo stato Candidato , ma questo valore viene applicato agli asset che richiedono un'analisi manuale per la convalida. Lo stato viene determinato in base ai punteggi di attendibilità generati internamente che valutano la forza delle connessioni rilevate tra gli asset. Non indica la relazione esatta dell'infrastruttura con l'organizzazione, ma contrassegna l'asset per una maggiore revisione per determinare come deve essere categorizzata. |
Gestire diversi stati delle risorse
Questi stati delle risorse vengono elaborati e monitorati in modo specifico per offrirti, per impostazione predefinita, una visibilità chiara delle risorse più critiche. Ad esempio, gli asset nello stato Approved Inventory sono sempre rappresentati nei grafici della dashboard e vengono sottoposti a scansione ogni giorno per garantire che i dati siano aggiornati. Per impostazione predefinita, tutti gli altri tipi di asset non sono inclusi nei grafici del dashboard. È tuttavia possibile modificare i filtri di inventario per visualizzare gli asset in stati diversi in base alle esigenze. Analogamente, gli asset nello stato Candidate vengono sottoposti a scansione solo durante il processo di individuazione. Se questi tipi di asset sono di proprietà dell'organizzazione, è importante esaminare questi asset e modificarne lo stato in Inventario approvato.
Tenere traccia delle modifiche dell'inventario
La superficie di attacco cambia costantemente. Defender EASM analizza e aggiorna continuamente l'inventario per garantire l'accuratezza. Gli asset vengono spesso aggiunti e rimossi dall'inventario, quindi è importante tenere traccia di queste modifiche per comprendere la superficie di attacco e identificare le tendenze chiave. Il dashboard delle modifiche all'inventario offre una panoramica di queste modifiche. È possibile visualizzare facilmente i conteggi aggiunti e rimossi per ogni tipo di asset. È possibile filtrare il dashboard in base a due intervalli di date: gli ultimi 7 giorni o gli ultimi 30 giorni. Per una visualizzazione più granulare delle modifiche dell'inventario, vedere la sezione Modifiche per data del dashboard.