Megosztás a következőn keresztül:

Érték lekérése az adatösszekötőkből

  • Cikk

Microsoft Biztonságikitettség-kezelés összesíti az összes digitális eszköz biztonsági helyzetadatait, így leképezheti a támadási felületet, és biztonsági erőfeszítéseit a legnagyobb kockázatnak kitett területekre összpontosíthatja. A Microsoft-termékekből származó adatokat a rendszer automatikusan betölti, miután csatlakozott az Expozíciókezeléshez, és további adatösszekötőket adhat hozzá külső adatforrásokból.

Importált eszközök és adattípusok

A külső termékekhez való csatlakozás célja, hogy teljes átláthatóságot biztosítsunk az összes digitális adategységhez és minden olyan biztonsági környezethez, amely hatással lehet a támadási felületre. A rendszer a következő adategység-típusokat, környezeti bővítési és biztonságirés-információkat betölti erre a célra:

  • Eszközök
  • Felhőbeli objektumok
  • Sebezhetőség
  • Eszközkritikussági információk
  • Eszközkockázat-értékelés
  • Hálózat részletei
  • Expozíciós elemzések (például internetes kitettség)
  • Felhasználók (jövőbeli)
  • SaaS-alkalmazások (jövőbeli)

Az eszközinformációkat és a biztonsági környezetet a kitettségkezelésbe importálják, és konszolidálják, hogy átfogó képet nyújtsanak az összes digitális eszköz biztonsági helyzetéről. A jelenleg támogatott külső adatforrások közé tartozik a Qualys, a Rapid7 InsightVM, a Tenable Vulnerability Management és a ServiceNow CMDB.

Az összekötőkből betöltött adatok normalizálva lesznek, és beépülnek az expozíciós grafikonba és az eszközleltárba. Az expozíciókezelés az értékes kontextust és a megszerzett megállapításokat felhasználva pontosabb értékelést készít a támadási felületről, és mélyebb ismereteket nyújt az expozíciós kockázatról. Ezek az adatok felhasználhatók az eszközleltárban, az Expozíciós gráf feltárási eszközeiben, például a Támadási felület térképén és a Speciális veszélyforrás-keresésben, valamint az összekötők által betöltött bővítési adatok alapján felderített támadási útvonalakon belül.

Ezek az adatok végül olyan biztonsági metrikák továbbfejlesztésére is szolgálnak, amelyek egy adott feltételhez viszonyított expozíciós kockázatokat mérnek, és hatással lesznek azokra a szélesebb körű szervezeti kezdeményezésekre is, amelyek egy számítási feladat vagy egy adott fenyegetési terület expozíciós kockázatait mérik.

Képernyőkép az eszközleltárról a felderítési forrással

A külső adatösszekötők használatának előnyei:

  • Normalizálva az expozíciós diagramon belül
  • Eszközleltár továbbfejlesztése
  • Kapcsolatok leképezése
  • Új támadási útvonalak felfedése
  • Átfogó támadási felület láthatóságának biztosítása
  • Az eszközkritikusság beépítése
  • Környezet bővítése üzleti alkalmazással vagy működési kapcsolattal
  • Vizualizáció a Támadástérkép eszközzel
  • Speciális veszélyforrás-keresési lekérdezések használata a KQL-n keresztül

Összekötők adatai az eszközleltárban

Az Eszközleltárban láthatja az egyes eszközök felderítési forrásait, amelyek olyan termékek, amelyekről jelentést kaptunk az eszközön. Ilyenek lehetnek a Microsoft Security-termékek, például a MDE, az MDC és az MDI, valamint olyan külső adatforrások, mint a Qualys vagy a ServiceNow CMDB. A leltárban egy vagy több felderítési forrásra szűrve megtekintheti azokat az eszközöket, amelyeket kifejezetten ezek a források fedeztek fel.

Képernyőkép az eszközleltárról a kiemelt felderítési forrással ":::

Kritikus eszközkezelés

A kritikus fontosságú objektumok azonosítása kulcsfontosságú annak biztosításához, hogy a szervezet legfontosabb eszközei védve legyenek az adatszivárgások és működési zavarok kockázatával szemben.

Az adatösszekötőkből lekéri az adatösszekötőkből az eszközök kritikusságára vonatkozó bővítési információkat a külső termékekben kiszámított kritikussági értékelések alapján. Az adatok betöltésekor a Critical Asset Management beépített szabályokat tartalmaz a külső termékből lekért kritikussági értéknek az egyes objektumok expozíciókezelési kritikussági értékére való átalakításához. Ezeket a besorolásokat megtekintheti, és engedélyezheti vagy letilthatja őket a Kritikus eszközök kezelése felületen.

Képernyőkép az adatösszekötő adatairól a kritikus eszközkezelésben

Expozíciós diagram

A külső adattermékekből lekért adategységek és bővítési adatok megismeréséhez ezeket az információkat az Expozíciós grafikonon is megtekintheti. A Támadási felület térképen megtekintheti az összekötők által felderített objektumokat képviselő csomópontokat, beépített ikonokkal, amelyek az egyes objektumok felderítési forrásait mutatják.

Képernyőkép az adatösszekötőkről az expozíciós diagramon

Az objektum oldalsó paneljének megnyitásával megtekintheti az egyes objektumok összekötőjéből lekért részletes adatokat is.

Képernyőkép az adatösszekötőkről az expozíciós grafikonon

Képernyőkép az adatösszekötőkről az expozíciós gráf oldalpaneljén

Speciális veszélyforrás-keresés

A külső adatforrásokból származó felderített és betöltött adatok feltárásához lekérdezéseket futtathat az Expozíció grafikonon a Speciális veszélyforrás-keresésben.

Példák:

Ez a lekérdezés a ServiceNow CMDB-ből lekért összes objektumot és azok részletes metaadatait adja vissza.

ExposureGraphNodes
| where NodeProperties contains ("serviceNowCmdbAssetInfo")
| extend SnowInfo = NodeProperties.rawData.serviceNowCmdbAssetInfo

Ez a lekérdezés a Qualystól lekért összes objektumot visszaadja.

ExposureGraphNodes
| where EntityIds contains ("QualysAssetId")

Ez a lekérdezés a Rapid7 által jelentett összes biztonsági rést (CVE- t) visszaadja a betöltött objektumokon.

ExposureGraphEdges
| where EdgeLabel == "affecting" 
| where SourceNodeLabel == "Cve" 
| where isnotempty(EdgeProperties.rawData.rapid7ReportInfo)
| project AssetName = TargetNodeName, CVE = SourceNodeName

Ez a lekérdezés visszaadja a Tenable által jelentett összes biztonsági rést (CVE- t) a betöltött objektumokon.

ExposureGraphEdges
| where EdgeLabel == "affecting" 
| where SourceNodeLabel == "Cve" 
| where isnotempty(EdgeProperties.rawData.tenableReportInfo)
| project AssetName = TargetNodeName, CVE = SourceNodeName

Megjegyzés:

A nem működő vagy eredménytelen AH-lekérdezések hibaelhárítása során vegye figyelembe, hogy a "reportedBy" mező megkülönbözteti a kis- és nagybetűk megkülönböztetését. Az érvényes értékek például a következők: "rapid7", "tenable", stb.

Támadási útvonalak

Biztonságikitettség-kezelés automatikusan támadási útvonalakat hoz létre az eszközök és számítási feladatok között gyűjtött adatok alapján, beleértve a külső összekötőkből származó adatokat is. Szimulálja a támadási forgatókönyveket, és azonosítja azokat a biztonsági réseket és gyengeségeket, amelyeket a támadó kihasználhat.

A környezetben a támadási útvonalak megismerése során megtekintheti azokat a felderítési forrásokat, amelyek hozzájárultak ehhez a támadási útvonalhoz az elérési út grafikus nézete alapján.

A csatolási útvonal képernyőképe a felderítési forrással

Következő lépések