Megosztás a következőn keresztül:

Microsoft Defender külső támadásifelület-kezelő áttekintése

  • Cikk

Microsoft Defender külső támadásifelület-kezelő (Defender EASM) folyamatosan felderíti és leképzi a digitális támadási felületet, hogy külső képet kapjon az online infrastruktúráról.

A Defender EASM alapvető átláthatóságot biztosít a biztonsági és informatikai csapatok számára, hogy segítsenek azonosítani az ismeretleneket, rangsorolni a kockázatokat, kiküszöbölni a fenyegetéseket, valamint kiterjeszteni a biztonsági rések és az expozíció felügyeletét a tűzfalon túlra. A támadási felületi elemzések biztonsági rések és infrastruktúraadatok használatával jönnek létre a szervezet számára fontos területek bemutatásához.

Képernyőkép a Defender EASM Áttekintés irányítópultjáról.

Felderítés és leltár

A Microsoft saját fejlesztésű felderítési technológiája rekurzív módon keres infrastruktúrát az ismert jogos objektumokhoz való megfigyelt kapcsolatokon keresztül. A korábban ismeretlen és nem figyelt tulajdonságok feltárásához következtetéseket hoz létre az infrastruktúra szervezettel való kapcsolatáról. Ezeket az ismert törvényes eszközöket felderítési magoknak nevezzük. A Defender EASM először erős kapcsolatokat fedez fel ezekhez a kiválasztott entitásokhoz, majd újra előjön, hogy további kapcsolatokat tárjon fel, és végül lefordítsa a támadási felületet.

A Defender EASM felderítése a következő típusú eszközöket tartalmazza:

  • Tartományok
  • IP-címblokkok
  • Hosts
  • Kapcsolattartási e-mail-címek
  • Autonóm rendszerszámok (ASN-ek)
  • Whois-szervezetek

Képernyőkép a Felderítés panelről.

A felderített objektumok indexelve és besorolva vannak a Defender EASM-leltárban, így dinamikus rekordot hozhat létre a teljes webes infrastruktúráról a felügyelet alatt. Az eszközök a legutóbbi (jelenleg aktív) vagy a korábbiak szerint vannak kategorizálva. Ezek lehetnek webalkalmazások, külső függőségek és egyéb eszközkapcsolatok.

Irányítópultok

A Defender EASM irányítópultokkal segíti az online infrastruktúra és a szervezetet érintő legfontosabb kockázatok gyors megértését. Az irányítópultok célja, hogy betekintést nyújtsanak bizonyos kockázati területekbe, beleértve a biztonsági réseket, a megfelelőséget és a biztonsági higiéniát. Ezek az elemzések segítenek gyorsan kezelni a támadási felület azon összetevőit, amelyek a legnagyobb kockázatot jelentik a szervezet számára.

Képernyőkép az irányítópultról és a Biztonsági helyzet panelről.

Eszközkezelés

A leltár szűrésével feltárhatja az Ön és a szervezet számára legfontosabb megállapításokat. A szűrés rugalmasságot és testreszabást tesz lehetővé az eszközök egy adott részhalmazának eléréséhez. A szűréssel a Defender EASM-adatok is használhatók az adott használati esethez, függetlenül attól, hogy olyan eszközöket keres, amelyek az elavult infrastruktúrához csatlakoznak, vagy új felhőbeli erőforrásokat azonosítanak.

Képernyőkép a Leltár panelről.

Felhasználói engedélyek

A szervezet tulajdonosi vagy közreműködői szerepkörrel rendelkező felhasználói létrehozhatják, törölhetik és szerkeszthetik a Defender EASM-erőforrásokat és az erőforrás készletegységeit. A tulajdonosi és közreműködői szerepkörök jogosultak a platform összes funkciójának és funkciójának használatára.

Az Olvasó szerepkörrel rendelkező felhasználók megtekinthetik a Defender EASM-adatokat, de nem hozhatnak létre, törölhetnek vagy szerkeszthetnek erőforrást vagy készletegységet.

Adattárolás, rendelkezésre állás és adatvédelem

A Microsoft Defender EASM globális és ügyfélspecifikus adatokat is tartalmaz. A mögöttes internetes adatok a Microsofttól származó globális adatok. Az ügyfelek által alkalmazott címkék ügyféladatoknak minősülnek. Az ügyféladatok a kiválasztott régióban lesznek tárolva.

Biztonsági okokból a Microsoft összegyűjti a felhasználó IP-címét, amikor a felhasználó bejelentkezik. Az IP-cím legfeljebb 30 napig tárolható, de hosszabb ideig tárolható, ha a termék esetleges rosszindulatú vagy rosszindulatú használatának kivizsgálásához szükséges.

Ha egy Azure-régió le van állítva, a rendszer csak az adott régióban lévő Defender EASM-ügyfeleket érinti. A többi Azure-régió szolgáltatásai és adatai továbbra is aktívak.

Ha egy szervezet már nem a Microsoft ügyfele, a Microsoft megfelelőségi keretrendszere megköveteli, hogy az ügyfél összes adatát 180 napon belül töröljék. Ez a szabályzat az offline helyeken tárolt ügyféladatokat, például az adatbázis biztonsági mentéseit is tartalmazza. Az erőforrás törlése után a csapatok nem állíthatják vissza. Az ügyféladatok további 75 napig maradnak meg az adattárainkban, de a tényleges erőforrás nem állítható vissza. A 75 napos időszak után az ügyféladatok véglegesen törlődnek.  

Kapcsolódó tartalom