Defender EASM 概述

Microsoft Defender 外部攻击面管理 (Defender EASM) 不断发现和映射数字攻击面，以提供在线基础结构的外部视图。 这种可见性使安全和 IT 团队能够识别未知项、确定风险优先级、消除威胁，并将漏洞和公开控制扩展到防火墙之外。 攻击面见解是利用漏洞和基础结构数据生成的，以展示组织关注的关键领域。

发现和清单

Microsoft 专有发现技术以递归方式搜索与已知合法资产建立了连接的基础结构，以推断该基础结构与组织的关系，并发现以前未知和未监视的属性。 这些已知合法资产称为发现“种子”；Defender EASM 首先发现与这些选定实体的强连接，以递归方式展示更多连接并最终编译攻击面。

Defender EASM 包括以下类型资产的发现：

• 域
• 主机名
• 网页
• IP 块
• IP 地址
• ASN
• SSL 证书
• WHOIS 联系人

发现的资产在 Defender EASM 清单中编制索引和分类，以动态记录组织管理下的所有 Web 基础结构。 资产分为最新（当前活动的）资产或历史资产，并且可以包括 Web 应用、第三方依赖项和其他资产连接。

仪表板

Defender EASM 提供了一系列仪表板，帮助用户快速了解其联机基础结构及其组织面临的所有关键风险。 这些仪表板旨在提供对特定风险领域的见解，包括漏洞、合规性和安全机制。 这些见解可帮助客户快速处理对其组织构成最大风险的攻击面组件。

管理资产

客户可以筛选清单，以显示最关心的特定见解。 筛选具有灵活性，可进行一定程度的自定义，使用户能够访问特定的资产子集。 这样，你可以根据特定用例使用 Defender EASM 数据，无论是搜索连接到停用基础结构的资产还是识别新的云资源。

用户权限

分配有“所有者”或“参与者”角色的用户可以创建、删除和编辑 Defender EASM 资源和其中的库存资产。 这些角色可以利用平台中提供的所有功能。 分配有“读取者”角色的用户可以查看 Defender EASM 数据，但无法创建、删除或编辑库存资产或资源本身。

数据驻留、可用性和隐私

Microsoft Defender 外部攻击面管理包含全局数据和客户特定数据。 底层的 Internet 数据为全局 Microsoft 数据；客户使用的标签被视为客户数据。 所有客户数据都存储在客户所选的区域。

出于安全考虑，Microsoft 会在用户登录时收集用户的 IP 地址。 此数据最多存储 30 天，但如果需要调查对产品的潜在欺诈性使用或恶意使用，则可能会存储更长时间。

在区域故障的情况下，只有受影响区域的客户会遇到停机。

如果组织不再是 Microsoft 的客户，Microsoft 合规性框架要求在 180 天内删除所有客户数据。 其中还包括在脱机位置（例如数据库备份）中存储的客户数据。 删除资源后，我们的团队将无法还原该资源。 客户数据将在我们的数据存储中保留 75 天，但实际资源无法还原。  75 天后，将永久删除客户数据。  

后续步骤

• 部署 EASM Azure 资源
• 了解清单资产
• 什么是发现？