مشاركة عبر

الحصول على قيمة من موصلات البيانات

  • مقالة

إدارة التعرض للأمان في Microsoft يدمج بيانات الوضع الأمني من جميع أصولك الرقمية مما يتيح لك تعيين سطح الهجوم وتركيز جهودك الأمنية على المناطق الأكثر عرضة للخطر. يتم استيعاب البيانات من منتجات Microsoft تلقائيا بمجرد توصيلها بإدارة التعرض، ويمكنك إضافة المزيد من موصلات البيانات من مصادر البيانات الخارجية.

الأصول المستوردة وأنواع البيانات

الهدف من الاتصال بالمنتجات الخارجية هو إنشاء رؤية كاملة عبر جميع أصولك الرقمية وأي سياق أمان يمكن أن يؤثر على سطح الهجوم الخاص بك. يتم استيعاب أنواع الأصول التالية وإثراء السياق ومعلومات الثغرات الأمنية لهذا الغرض:

  • الاجهزه
  • أصول السحابة
  • نقاط الضعف
  • معلومات أهمية الأصول
  • تقييم مخاطر الأصول
  • تفاصيل الشبكة
  • رؤى التعرض (على سبيل المثال، التعرض للإنترنت)
  • المستخدمون (المستقبل)
  • تطبيقات SaaS (مستقبل)

يتم استيراد معلومات الأصول وسياق الأمان إلى إدارة التعرض ودمجها لتوفير عرض شامل لوضع الأمان عبر جميع الأصول الرقمية. تتضمن مصادر البيانات الخارجية المدعومة حاليا Qualys و Rapid7 InsightVM و Tenable Vulnerability Management و ServiceNow CMDB.

تتم تسوية البيانات التي يتم استيعابها من الموصلات ودمجها في مخطط التعرض ومخزون الجهاز. تستخدم إدارة التعرض السياق القيم والرؤى المكتسبة لإنشاء تقييم أكثر دقة لسطح الهجوم الخاص بك، وتزويدك بفهم أعمق لمخاطر التعرض. يمكن استهلاك هذه البيانات في مخزون الجهاز، في أدوات استكشاف الرسم البياني للتعرض مثل خريطة سطح الهجوم والتتبع المتقدم، وداخل مسارات الهجوم التي يتم اكتشافها استنادا إلى بيانات الإثراء التي تم استيعابها بواسطة الموصلات.

في نهاية المطاف، ستعمل هذه البيانات بالإضافة إلى ذلك على تحسين مقاييس الأمان التي تقيس مخاطر التعرض لمعايير معينة، وستؤثر أيضا على المبادرات التنظيمية الأوسع التي تقيس مخاطر التعرض عبر حمل العمل أو ذات الصلة بمنطقة تهديد محددة.

لقطة شاشة لمخزون الجهاز مع مصدر الاكتشاف

تشمل فوائد استخدام موصلات البيانات الخارجية ما يلي:

  • تمت تسويتها ضمن الرسم البياني للتعرض
  • تحسين مخزون الأجهزة
  • تعيين العلاقات
  • الكشف عن مسارات هجوم جديدة
  • توفير رؤية شاملة لسطح الهجوم
  • دمج أهمية الأصول
  • إثراء السياق بتطبيق الأعمال أو الانتماء التشغيلي
  • التصور من خلال أداة خريطة الهجوم
  • استكشاف استخدام استعلامات التتبع المتقدمة عبر KQL

بيانات الموصلات في مخزون الجهاز

في Device Inventory، سترى مصادر الاكتشاف لكل جهاز، وهي المنتجات التي حصلنا منها على أي تقرير على هذا الجهاز. قد تتضمن هذه منتجات Microsoft Security مثل MDE وMDC وMDI، وكذلك مصادر البيانات الخارجية مثل Qualys أو ServiceNow CMDB. يمكنك التصفية على مصدر اكتشاف واحد أو أكثر داخل المخزون لعرض الأجهزة التي تم اكتشافها خصيصا بواسطة تلك المصادر.

لقطة شاشة لمخزون الجهاز مع تمييز مصدر الاكتشاف ":::

إدارة الأصول الهامة

يعد تحديد الأصول الهامة أمرا أساسيا في المساعدة على ضمان حماية الأصول الأكثر أهمية في مؤسستك من مخاطر خرق البيانات والاضطرابات التشغيلية.

يتم استرداد معلومات الإثراء عن أهمية الأصول من موصلات البيانات، استنادا إلى تقييمات الأهمية المحسوبة في تلك المنتجات الخارجية. عند استيعاب هذه البيانات، تحتوي إدارة الأصول الهامة على قواعد مضمنة لتحويل قيمة الأهمية التي تم استردادها من منتج الجهة الخارجية إلى قيمة أهمية إدارة التعرض لكل أصل. يمكنك عرض هذه التصنيفات وتمكينها أو تعطيلها في تجربة إدارة الأصول الهامة.

لقطة شاشة لمعلومات موصل البيانات في إدارة الأصول الهامة

الرسم البياني للتعرض

لاستكشاف أصولك وبيانات الإثراء التي تم استردادها من منتجات البيانات الخارجية، يمكنك أيضا عرض هذه المعلومات في مخطط التعرض. ضمن خريطة سطح الهجوم، يمكنك عرض العقد التي تمثل الأصول التي اكتشفتها الموصلات، مع أيقونات مضمنة تعرض مصادر الاكتشاف لكل أصل.

لقطة شاشة لموصلات البيانات في الرسم البياني للتعرض الموضح

من خلال فتح الجزء الجانبي للأصل، يمكنك أيضا عرض البيانات التفصيلية التي تم استردادها من الموصل لكل أصل.

لقطة شاشة لموصلات البيانات في الرسم البياني للتعرض

لقطة شاشة لموصلات البيانات في الجزء الجانبي للرسم البياني للتعرض

التتبع المتقدم

لاستكشاف البيانات المكتشفة والم استيعابها من مصادر البيانات الخارجية، يمكنك تشغيل الاستعلامات على الرسم البياني للتعرض في التتبع المتقدم.

أمثلة:

سيعيد هذا الاستعلام جميع الأصول التي تم استردادها من ServiceNow CMDB وبيانات التعريف التفصيلية الخاصة بها.

ExposureGraphNodes
| where NodeProperties contains ("serviceNowCmdbAssetInfo")
| extend SnowInfo = NodeProperties.rawData.serviceNowCmdbAssetInfo

سيعيد هذا الاستعلام جميع الأصول التي تم استردادها من Qualys.

ExposureGraphNodes
| where EntityIds contains ("QualysAssetId")

سيعيد هذا الاستعلام جميع الثغرات الأمنية (CVEs) التي أبلغ عنها Rapid7 على الأصول التي تم استيعابها.

ExposureGraphEdges
| where EdgeLabel == "affecting" 
| where SourceNodeLabel == "Cve" 
| where isnotempty(EdgeProperties.rawData.rapid7ReportInfo)
| project AssetName = TargetNodeName, CVE = SourceNodeName

سيعيد هذا الاستعلام جميع الثغرات الأمنية (CVEs) التي أبلغ عنها Tenable على الأصول التي تم استيعابها.

ExposureGraphEdges
| where EdgeLabel == "affecting" 
| where SourceNodeLabel == "Cve" 
| where isnotempty(EdgeProperties.rawData.tenableReportInfo)
| project AssetName = TargetNodeName, CVE = SourceNodeName

ملاحظة

عند استكشاف أخطاء استعلامات التتبع المتقدم (AH) التي لا تعمل أو لا تؤدي إلى أي نتائج، لاحظ أن الحقل "reportedBy" حساس لحالة الأحرف. على سبيل المثال، تتضمن القيم الصالحة "rapid7" و"tenable" وما إلى ذلك.

مسارات الهجوم

إدارة التعرض للأمان تلقائيا بإنشاء مسارات هجوم استنادا إلى البيانات التي تم جمعها عبر الأصول وأحمال العمل، بما في ذلك البيانات من الموصلات الخارجية. وهو يحاكي سيناريوهات الهجوم، ويحدد نقاط الضعف والضعف التي يمكن للمهاجم استغلالها.

أثناء استكشاف مسارات الهجوم في بيئتك، يمكنك عرض مصادر الاكتشاف التي ساهمت في مسار الهجوم هذا استنادا إلى العرض الرسومي للمسار.

لقطة شاشة لمسار الإرفاق مع مصدر الاكتشاف

الخطوات التالية