你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
资产修改概述
本文概述了如何修改清单资产。 可以更改资产的状态、分配外部 ID 或应用标签来帮助提供上下文和使用清单数据。 用户还可以根据发现资产的方法批量从清单中删除资产;例如,用户可以从发现组中删除种子,并选择删除通过此种子连接发现的任何资产。 本文介绍 Defender EASM 中提供的所有修改选项,并概述了如何使用任务管理器更新资产和跟踪任何更新。
标记资产
标签有助于组织攻击面,并采用可自定义的方式应用业务上下文。 可以将任何文本标签应用于资产的子集以对资产进行分组,并更好地利用库存。 客户通常对以下资产进行分类:
- 最近,通过合并或收购,你的组织拥有所有权。
- 需要合规性监视。
- 归其组织中的特定业务部门所有。
- 受需要缓解的特定漏洞的影响。
- 与组织拥有的特定品牌相关。
- 已在特定时间范围内添加到清单。
标签是自由格式的文本字段,因此可以为适用于组织的任何用例创建标签。
更改资产的状态
用户还可以更改资产的状态。 状态有助于根据其在组织中的角色对清单进行分类。 用户可以在以下状态之间切换:
- 已批准的清单:你自己的攻击面的一部分;你直接负责的项目。
- 依赖项:由第三方拥有但属于攻击面的基础结构,因为它直接支持你自己的资产的操作。 例如,你可能依赖 IT 提供程序来托管 Web 内容。 虽然域、主机名和页面将成为“已批准的清单”的一部分,但你可能希望将运行主机的 IP 地址视为“依赖项”。
- 仅监视:与攻击面相关的资产,但既不是直接控制,也不是技术依赖项。 例如,独立的特许经营商或属于相关公司的资产可能会被标记为“仅监视”而不是“已批准的清单”,以便将各组分开进行报告。
- 候选项:与组织的已知种子资产有某种关系的资产,但没有足够的强大连接来立即将其标记为“已批准清单”。 必须手动评审这些候选资产以确定所有权。
- 需要调查:类似于“候选”状态的状态,但此值应用于需要手动调查才能验证的资产。 这是根据我们内部生成的置信度分数来确定的,该分数用于评估资产之间检测到的连接强度。 它并不表示基础结构与组织的确切关系,而是表示该资产已标记为需要额外评审以确定应如何分类。
应用外部 ID
用户还可以将外部 ID 应用于资产。 当你使用多个解决方案进行资产跟踪、修正活动或所有权监视时,这非常有用;查看 Defender EASM 中的任何外部 ID 有助于调整此不同的资产信息。 外部 ID 值可以是数字或字母数字,必须以文本格式输入。 “资产详细信息”部分还显示外部 ID。
如何修改资产
可以从清单列表和资产详细信息页修改资产。 可以从资产详细信息页对单个资产进行更改。 可以从清单列表页更改单个资产或多个资产。 以下部分介绍如何根据用例应用两个清单视图中的更改。
清单列表页
如果要同时更新大量资产,则应修改清单列表页中的资产。 可以根据筛选器参数优化资产列表。 此过程可帮助你识别应使用所需的标签、外部 ID 或状态更改进行分类的资产。 若要从此页面修改资产,请执行以下操作:
在Microsoft Defender 外部攻击面管理(Defender EASM)资源的最左侧窗格中,选择“清单”。
应用筛选器以生成预期结果。 在此示例中,我们正在寻找在需要续订的 30 天内过期的域。 应用标签可帮助你更快地访问任何即将过期的域,以简化修正过程。 可以根据需要应用任意数量的筛选器来获取所需的特定结果。 有关筛选器的详细信息,请参阅 清单筛选器概述。
筛选清单列表后,按资产表标题旁边的检查框选择下拉列表。 通过此下拉列表,可以选择与查询匹配的所有结果或特定页面上的结果(最多 25 个)。 “无”选项清除所有资产。 还可以选择仅选择页面上的特定结果,方法是在每个资产旁边选择单独的检查标记。
选择“ 修改资产”。
在 屏幕右侧打开的“修改资产 ”窗格中,可以快速更改所选资产的状态。 在本示例中,将创建新标签。 选择“ 创建新标签”。
确定标签名称和显示文本值。 最初创建标签后,标签名称无法更改,但稍后可以编辑显示文本。 标签名称用于通过 API 查询产品界面中的标签,因此禁用编辑以确保这些查询正常工作。 若要编辑标签名称,需要删除原始标签并创建新的标签。
选择新标签的颜色,然后选择“ 添加”。 此操作会将你返回到 “修改资产 ”屏幕。
将新标签应用于资产。 在“添加标签”文本框中单击以查看可用标签的完整列表。 或者,可以通过关键字 (keyword)在框中键入搜索。 选择要应用的标签后,选择“ 更新”。
请稍等片刻应用标签。 完成此过程后,会看到“已完成”通知。 页面会自动刷新并显示标签可见的资产列表。 屏幕顶部的横幅确认已应用标签。
“资产详细信息”页
还可以从资产详细信息页修改单个资产。 此选项非常适合在应用标签或状态更改之前需要彻底审查资产的情况。
在 Defender EASM 资源的最左侧窗格中,选择“ 清单”。
选择要修改的特定资产以打开资产详细信息页。
在此页上,选择“ 修改资产”。
按照“清单列表页”部分中的步骤 5 到 7 进行操作。
资产详细信息页面将刷新并显示新应用的标签或状态更改。 横幅指示资产已成功更新。
修改、删除或删除标签
用户可以从清单列表或资产详细信息视图中访问相同的 “修改资产 ”窗格,从资产中删除标签。 在清单列表视图中,可以一次性选择多个资产,然后在一个操作中添加或删除所需的标签。
修改标签本身或删除系统中的标签:
在 Defender EASM 资源最左侧的窗格中,选择“标签”(预览版)。
此页面显示 Defender EASM 清单中的所有标签。 此页上的标签可能存在于系统中,但不主动应用于任何资产。 还可以从此页面添加新标签。
若要编辑标签,请在要编辑的标签的 “操作” 列中选择铅笔图标。 此时会在屏幕右侧打开一个窗格,你可以在其中修改标签的名称或颜色。 选择更新。
若要删除标签,请从要删除的标签的 “操作” 列中选择垃圾桶图标。 选择“ 删除标签”。
“ 标签” 页会自动刷新。 标签将从列表中删除,并从应用标签的任何资产中删除。 横幅确认删除。
任务管理器和通知
提交任务后,通知会确认更新正在进行。 在 Azure 中的任何页面中,选择通知(钟声)图标以查看有关最近任务的详细信息。
Defender EASM 系统可能需要几秒钟才能更新少量资产或几分钟来更新数千个资产。 可以使用任务管理器检查正在进行的任何修改任务的状态。 本部分概述了如何访问任务管理器,并使用它更好地了解提交的更新的完成情况。
在 Defender EASM 资源的最左侧窗格中,选择 任务管理器。
此页面显示所有最近的任务及其状态。 任务列为 “已完成”、“ 失败”或 “正在进行”。 还会显示完成百分比和进度栏。 若要查看有关特定任务的更多详细信息,请选择任务名称。 此时会在屏幕右侧打开一个窗格,提供更多信息。
选择“刷新”以查看任务管理器中所有项的最新状态。
标签筛选器
在清单中标记资产后,可以使用清单筛选器检索应用了特定标签的所有资产的列表。
在 Defender EASM 资源的最左侧窗格中,选择“ 清单”。
选择“添加筛选器”。
从“筛选器”下拉列表中选择“标签”。 选择一个运算符,然后从选项的下拉列表中选择一个标签。 以下示例演示如何搜索单个标签。 可以使用 In 运算符搜索多个标签。 有关筛选器的详细信息,请参阅 清单筛选器概述。
选择“应用”。 清单列表页将重新加载并显示与条件匹配的所有资产。
基于资产链的管理
在某些情况下,你可能希望根据发现多个资产的方式一次性删除多个资产。 例如,可以确定发现组中的特定种子已拉取与组织无关的资产,或者可能需要删除与不再位于 Purview 下的子公司相关的资产。 因此,Defender EASM 提供删除发现链中源实体和任何资产“下游”的功能。 可以使用以下三种方法删除链接资产:
- 基于种子的管理: 用户可以删除以前包含在发现组中的种子,通过观察到到指定种子的连接删除引入清单的所有资产。 当可以确定特定手动输入的种子导致将不需要的资产添加到库存时,此方法非常有用。
- 发现链管理:用户可以识别发现链中的资产并删除它,同时删除该实体发现的任何资产。 发现是递归过程;它会扫描种子,以识别与这些指定种子直接关联的新资产,然后继续扫描新发现的实体以公布更多连接。 正确配置发现组时,此删除方法非常有用,但需要删除新发现的资产以及通过关联到该实体引入库存的任何资产。 请考虑发现组设置和指定种子作为发现链的“顶部”;此删除方法允许从中间删除资产。
- 发现组管理: 用户可以删除通过此发现组引入清单的整个发现组和所有资产。 当整个发现组不再适用于组织时,这非常有用。 例如,你可能有一个发现组专门搜索与子公司相关的资产。 如果此子公司不再与组织相关,则可以利用基于资产链的管理删除通过该发现组引入清单的所有资产。
仍然可以在 Defender EASM 中查看已删除的资产;只需筛选清单列表,获取处于“已存档”状态的资产。
基于种子的删除
你可能会决定,最初指定的发现种子之一不应再包含在发现组中。 种子可能不再与组织相关,也可能带来比合法拥有的资产更多的误报。 在这种情况下,可以从发现组中删除种子,以防止它在将来的发现运行中使用,同时删除过去通过指定种子引入清单的任何资产。
若要根据种子执行批量删除,请路由到相应的发现组详细信息页,然后单击“编辑发现组”。按照提示到达“种子”页,并从列表中删除有问题的种子。 选择“查看 + 更新”时,将看到一条警告,指示还会删除通过指定种子发现的所有资产。 选择“更新”或“更新和运行”以完成删除。
基于发现链的删除
在以下示例中,假设你在攻击图面摘要仪表板上发现了不安全的登录表单。 调查会将你路由到似乎不属于组织的主机。 查看资产详细信息页了解详细信息;查看发现链后,你了解到主机已引入清单,因为相应的域是使用员工的公司电子邮件地址注册的,该地址也用于注册已批准的业务实体。
在这种情况下,初始发现种子(公司域)仍然合法,因此我们需要从发现链中删除有问题的资产。 虽然我们可以从联系人电子邮件执行链删除操作,但我们改为选择删除与注册到此员工的个人域关联的所有内容,以便 Defender EASM 将提醒我们将来注册到该电子邮件地址的任何其他域。 从发现链中,选择此个人域以查看资产详细信息页。 在此视图中,选择“从发现链中删除”以从清单中删除资产,以及由于观察到与个人域的连接而引入库存的所有资产。 系统将要求你确认删除资产和所有下游资产,并会显示一个汇总列表,其中包含将随此操作一起删除的其他资产。 选择“删除发现链”以确认批量删除。
发现组删除
可能需要删除整个发现组以及通过组发现的所有资产。 例如,贵公司可能已出售不再需要监视的子公司。 用户可以从“发现管理”页中删除发现组。 若要删除发现组和所有相关资产,只需选择列表中的相应组旁边的回收站图标。 将收到一条警告,其中列出了将使用此操作删除的资产摘要。 确认删除发现组;和所有相关资产,选择“删除发现组”。