你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解仪表板
Microsoft Defender 外部攻击面管理 (Defender EASM) 提供一系列(四个)仪表板,旨在帮助用户快速显示源自其获批准清单的宝贵见解。 这些仪表板可帮助组织确定对攻击面构成最大威胁的漏洞、风险和合规性问题的优先级,从而可轻松缓解关键问题。
Defender EASM 提供七个仪表板:
- 概述:此仪表板是访问 Defender EASM 时显示的默认登陆页。 它提供的关键上下文可帮助你熟悉攻击面。
- 攻击面摘要:此仪表板汇总了从清单得到的关键观察结果。 它概述了攻击面及构成它的资产类型,并按严重性(高、中等、低)显示潜在漏洞。 此仪表板还提供有关构成攻击面的基础结构的关键上下文。 此上下文包括对云托管、敏感服务、SSL 证书和域过期时间以及 IP 信誉的见解。
- 安全状况:此仪表板可帮助组织根据源自获批准清单中资产的元数据了解其安全计划的成熟度和复杂性。 它由缓解外部威胁风险的技术和非技术策略、流程和控制措施组成。 此仪表板提供有关 CVE 公开、域管理和配置、托管和网络、开放端口和 SSL 证书配置的见解。
- GDPR 合规性:此仪表板根据针对欧洲国家可访问的联机基础结构的一般数据保护条例 (GDPR) 要求,显示合规性风险的关键领域。 此仪表板提供有关网站状态、SSL 证书问题、公开的个人身份信息 (PII)、登录协议和 Cookie 合规性的见解。
- OWASP 前 10 大:此仪表板根据 OWASP 的最严重 Web 应用程序安全风险列表显示易受攻击的任何资产。 在此仪表板上,组织可以快速识别具有访问控制中断、加密失败、注入、不安全的设计、安全配置错误以及其他由 OWASP 定义的严重风险的资产。
- CWE 前 25 个软件弱点:此仪表板基于 MITRE 每年提供的“前 25 个常见弱点枚举”(CWE) 列表。 这些 CWE 代表了最常见的、影响性最大且很容易发现和恶意利用的软件弱点。
- CISA 已知恶意利用:此仪表板显示可能受到漏洞(这些漏洞导致了 CISA 定义的已知恶意利用)影响的任何资产。 此仪表板可帮助你根据过去被恶意利用的、表明组织面临较高风险级别的漏洞确定修正工作的优先级。
访问仪表板
若要访问 Defender EASM 仪表板,请先导航到 Defender EASM 实例。 在左侧导航列中,选择要查看的仪表板。 通过从此导航窗格,可以从 Defender EASM 实例中的许多页面访问这些仪表板。
下载图表数据
任何仪表板图表涵盖的数据都可以导出到 CSV 文件。 对于希望将 Defender EASM 数据导入第三方工具或在修正任何问题时处理 CSV 文件的用户而言,此导出功能非常有用。 若要下载图表数据,首先请选择包含要下载的数据的特定图表段。 图表导出目前支持单个图表段;若要从同一图表下载多个段,需要导出每个单独的段。
选择单个图表段会打开数据的向下钻取视图,其中列出了构成段计数的所有资产。 在此页面的顶部,选择“下载 CSV 报告”开始导出。 如果你要导出少量资产,此操作会直接将 CSV 文件下载到计算机。 如果你要导出大量资产,此操作会创建任务管理器通知,你可以在其中跟踪导出状态。
Microsoft Excel 强制要求每个单元格的字符数限制为 32,767 个。 由于此限制,某些字段(例如“最后一个横幅”列)可能无法正确显示。 如果遇到问题,请尝试在其他支持 CSV 文件的程序中打开该文件。
攻击面摘要
攻击面摘要仪表板旨在提供攻击面组成的高级摘要,并显示为改善安全状况而应解决的关键观察结果。 此仪表板会识别组织资产中的风险并按高、中等和低严重性确定优先级,使用户能够深化到每个部分,从而访问受影响资产的列表。 此外,仪表板还显示有关攻击面组成、云基础结构、敏感服务、SSL 和域过期时间线以及 IP 信誉的关键详细信息。
Microsoft 通过专有技术识别组织的攻击面,该技术基于与一组初始已知资产的基础结构连接来发现属于组织的面向 Internet 的资产。 仪表板中的数据会基于新的观察结果每日更新。
攻击面优先级
在此仪表板顶部,Defender EASM 提供按严重性(高、中等、低)进行组织的安全优先级列表。 大型组织的攻击面可能非常广泛,因此优先考虑源自我们丰富数据的关键调查结果可帮助用户快速高效地解决其攻击面中最重要的暴露元素。 这些优先级可以包括关键 CVE、与已遭入侵基础结构的已知关联、使用已弃用的技术、违反基础结构最佳做法或合规性问题。
见解优先级取决于 Microsoft 对每个见解的潜在影响的评估。 例如,高严重性见解可能包括新的、经常被恶意利用、特别具有破坏性或容易被技能水平较低的黑客攻击的漏洞。 低严重性见解可能包括使用不再受支持的已弃用技术、即将过期的基础结构或不符合安全最佳做法的合规性问题。 每个见解都包含建议的修正操作,以防范潜在攻击。
最近添加到 Defender EASM 平台的见解在此仪表板上标有“新”标签。 当我们添加影响了已确认清单中资产的新见解时,系统还会传送推送通知,将你路由到此新见解的详细视图并显示受影响资产的列表。
某些见解在标题中标有“潜在”字样。 当 Defender EASM 无法确认资产是否受到漏洞影响时,就会生成“潜在”见解。 当扫描系统检测到特定服务存在但无法检测到版本号时,就会生成“潜在”见解。 例如,某些服务允许管理员隐藏版本信息。 漏洞通常与软件的特定版本相关,因此需要进行手动调查才能确定资产是否受到影响。 Defender EASM 无法检测到的其他漏洞可以通过某些步骤来修正。 例如,用户可以对服务配置进行建议的更改或运行向后移植的补丁。 如果见解以“潜在”开头,则系统有理由相信该资产受到漏洞影响,但由于上述原因之一,无法确认这一点。 若要手动调查,请单击见解名称以查看修正指导,它可以帮助你确定资产是否受到影响。
通常,用户首先会调查任何高严重性观察结果。 可以单击顶部列出的观察结果以直接路由到受影响资产的列表,或者选择“查看所有 __ 见解”以查看该严重性组内所有潜在观察结果的综合性可展开列表。
“观察结果”页面在左侧列中包含所有潜在见解的列表。 此列表按每个安全风险影响的资产数进行排序,其中首先显示影响最大数量资产的问题。 若要查看任何安全风险的详细信息,只需在此列表中单击它即可。
针对任何观察结果的此详细视图包括问题标题、说明以及 Defender EASM 团队提供的修正指导。 在此示例中,说明解释过期 SSL 证书如何导致关键业务功能变得不可用,阻止客户或员工访问 Web 内容,从而损害组织的品牌。 修正部分提供有关如何快速修复问题的建议;在此示例中,Microsoft 建议查看与受影响的主机资产关联的证书,更新相似 SSL 证书,并更新内部过程以确保 SSL 证书及时更新。
最后,资产部分列出受此特定安全问题影响的所有实体。 在此示例中,用户要调查受影响的资产,以详细了解过期 SSL 证书。 可以单击此列表中的任何资产名称以查看资产详细信息页面。
在资产详细信息页面中,我们随后会单击“SSL 证书”选项卡,以查看有关过期证书的详细信息。 在此示例中,列出的证书显示过去的“过期”日期,指示证书当前已过期,因此可能处于非活动状态。 此部分还提供 SSL 证书的名称,你随后可以将其发送到组织内的相应团队以进行快速修正。
攻击面组成
以下部分提供了攻击面组成的高级摘要。 此图表提供每种资产类型的计数,从而帮助用户了解其基础结构在域、主机、页面、SSL 证书、ASN、IP 块、IP 地址和电子邮件联系人间的分布方式。
每个值都可单击,会将用户路由到筛选为仅显示指定类型的资产的清单列表。 在此页面中,可以单击任何资产以查看更多详细信息,也可以添加其他筛选器以根据需要缩小列表范围。
保护云的安全
攻击面摘要仪表板的此部分提供有关基础结构中使用的云技术的见解。 随着大多数组织逐渐适应云,联机基础结构的混合性质可能难以进行监视和管理。 Defender EASM 可帮助组织了解整个攻击面中特定云技术的使用情况,将云主机提供商映射到已确认资产,以通知云采用计划并确保符合组织流程。
例如,组织可能决定将所有云基础结构随迁移到单个提供商,以简化并整合其攻击面。 此图表可帮助你识别仍需迁移的资产。 图表的每个条形都可单击,会将用户路由到显示构成图表值的资产的已筛选列表。
敏感服务
此部分显示攻击面上检测到的敏感服务,这些服务应进行评估并可能会进行调整以确保组织的安全性。 此图表突出显示了历史上易受攻击,或者是向恶意行动者泄露信息的常见攻击途径的任何服务。 此部分中的任何资产都应进行调查,Microsoft 建议组织考虑具有更好安全状况的替代服务来缓解风险。
图表按每个服务的名称进行组织;单击任何单个条形都会返回运行该特定服务的资产的列表。 下图为空,表示组织当前未运行任何特别容易受到攻击的服务。
SSL 和域过期
这两个过期图表显示即将到来的 SSL 证书和域过期,从而确保组织可充分了解即将到来的关键基础结构续订。 过期域可能会突然使密钥内容不可访问,该域甚至可能由打算将你的组织作为目标的恶意行动者迅速购买。 过期 SSL 证书会使对应资产容易受到攻击。
这两个图表都按过期时间范围进行组织,范围从“大于 90 天”到已过期。 Microsoft 建议组织立即续订任何过期 SSL 证书或域,并主动安排续订即将在 30-60 天内过期的资产。
IP 声誉
IP 信誉数据可帮助用户了解攻击面的可信度,并识别可能已遭入侵的主机。 Microsoft 基于专有数据以及从外部源收集的 IP 信息开发 IP 信誉分数。 我们建议进一步调查此处识别的任何 IP 地址,因为与拥有的资产关联的可疑或恶意分数表明资产容易受到攻击或已被恶意行动者所利用。
此图表按触发负信誉分数的检测策略进行组织。 例如,DDOS 值指示 IP 地址已涉及分布式拒绝服务攻击。 用户可以单击任何条形值来访问构成它的资产的列表。 在下面的示例中,图表为空,这指示清单中的所有 IP 地址都具有令人满意的信誉分数。
安全状况仪表板
安全状况仪表板可帮助组织基于已确认清单中资产的状态度量其安全计划的成熟度。 它由缓解外部威胁风险的技术和非技术策略、流程和控制措施组成。 此仪表板提供有关 CVE 公开、域管理和配置、托管和网络、开放端口和 SSL 证书配置的见解。
CVE 公开
安全状况仪表板中的第一个图表与组织网站组合的管理相关。 Microsoft 会分析网站组件(如框架、服务器软件和第三方插件),然后将它们与当前常见漏洞公开 (CVE) 列表匹配,以识别组织的漏洞风险。 构成每个网站的 Web 组件会每天进行检查,以确保时效性和准确性。
建议用户立即解决任何与 CVE 相关的漏洞,通过更新 Web 组件或遵循每个 CVE 的修正指导来缓解风险。 图表上的每个条形都可单击,会显示任何受影响资产的列表。
域管理
此图表提供有关组织如何管理其域的见解。 拥有分散式域组合管理计划的公司容易受到不必要的威胁,包括域劫持、域阴影、电子邮件欺骗、网络钓鱼和非法域传输。 内聚的域注册流程可缓解此风险。 例如,组织应对其域使用相同的注册机构和注册者联系信息,以确保所有域都可映射到相同实体。 这可帮助确保在更新和维护域时不会漏掉域。
图表的每个条形都可单击,会路由到构成值的所有资产的列表。
托管和网络
此图表提供有关与组织主机所在位置相关的安全状况的见解。 与自治系统所有权相关的风险取决于组织 IT 部门的规模和成熟度。
图表的每个条形都可单击,会路由到构成值的所有资产的列表。
域配置
此部分可帮助组织了解其域名的配置,显示可能容易遭受不必要风险的任何域。 可扩展预配协议 (EPP) 域状态代码指示域名注册的状态。 所有域都至少有一个代码,不过多个代码可以应用于单个域。 此部分可用于了解用于为管理域而实施的策略,或是使域易受攻击的缺失策略。
例如,“clientUpdateProhibited”状态代码会阻止对域名进行未经授权的更新;组织必须与其注册机构联系才能提升此代码并进行任何更新。 下图搜索没有此状态代码的域资产,指示域当前已打开,可进行可能会导致欺诈的更新。 用户应单击此图表上的任何条形以查看未应用相应状态代码的资产的列表,以便可以相应地更新其域配置。
打开端口
此部分可帮助用户了解其 IP 空间的管理方式,从而检测在开放 Internet 上公开的服务。 攻击者通常会在 Internet 上扫描端口,以查找与服务漏洞或配置错误相关的已知攻击。 Microsoft 会识别这些开放端口以补充漏洞评估工具,将观察结果标记为进行评审,以确保它们由信息技术团队正确管理。
通过对 IP 空间中地址上的所有开放端口执行基本 TCP SYN/ACK 扫描,Microsoft 会检测可能需要限制直接访问开放 Internet 的端口。 示例包括数据库、DNS 服务器、IoT 设备、路由器和交换机。 此数据还可用于检测影子 IT 资产或不安全的远程访问服务。 此图表上的所有条形都可单击,会打开构成值的资产的列表,以便组织可以调查有问题的开放端口并修正任何风险。
SSL 配置和组织
SSL 配置和组织图表显示可能影响联机基础结构功能的常见 SSL 相关问题。
例如,SSL 配置图表会显示任何检测到的可能会中断联机服务的配置问题。 这包括过期 SSL 证书以及使用过时签名算法(如 SHA1 和 MD5)的证书,从而给组织带来不必要的安全风险。
SSL 组织图表提供有关 SSL 证书注册的见解,指示与每个证书关联的组织和业务部门。 这可帮助用户了解这些证书的指定所有权;建议公司尽可能整合其组织和单位列表,以帮助确保正确的管理向前推进。
GDPR 合规性仪表板
GDPR 合规性仪表板提供对已确认清单中的资产的分析,因为它们与一般数据保护条例 (GDPR) 中所述的要求相关。 GDPR 是欧盟 (EU) 法律的一项法规,它对任何可供欧盟访问的联机实体强制实施数据保护和隐私标准。 这些法规已成为欧盟以外类似法律的典范,因此它可充当有关如何处理全球数据隐私的优秀指南。
此仪表板会分析组织面向公众的 Web 属性,以显示可能不符合 GDPR 的任何资产。
按状态组织的网站
此图表按 HTTP 响应状态代码组织网站资产。 这些代码指示特定 HTTP 请求是否已成功完成或提供站点不可访问的原因方面的上下文。 HTTP 代码还可以向你提醒重定向、服务器错误响应和客户端错误。 HTTP 响应“451”指示网站因法律原因不可用。 这可能指示由于站点不符合 GDPR,因此阻止欧盟中的人员进行访问。
此图表按状态代码组织网站。 选项包括活动、非活动、需要授权、已断开和浏览器错误;用户可以单击条形图上的任何组件以查看构成值的资产的全面列表。
具有证书问题的实时站点
此图表显示的页面会主动处理内容并向用户展示指出站点不安全的警告。 用户必须手动接受警告才能查看这些页面上的内容。 这种情况可能会由于各种原因而发生;此图表按具体原因组织结果以方便缓解。 选项包括损坏的证书、活动证书问题、需要授权和浏览器证书错误。
SSL 证书过期
此图表显示即将到来的 SSL 证书过期,从而确保组织可充分了解即将到来的续订。 过期 SSL 证书会使对应资产容易受到攻击,并使页面的内容无法供 Internet 访问。
此图表按检测到的过期时段进行组织,范围从已过期到 90 天后过期。 用户可以单击条形图中的任何组件以访问适用的资产列表,以便轻松地将证书名称列表发送到 IT 部门进行修正。
按证书状况显示的站点
此部分分析为 SSL 证书提供支持的签名算法。 可以使用各种加密算法保护 SSL 证书;某些较新算法被视为比较旧算法更有信誉和安全,因此建议公司停用较旧算法(如 SHA-1)。
用户可以单击饼图的任何片段以查看构成所选值的资产的列表。 SHA256 被视为是安全的,而组织应更新使用 SHA1 算法的任何证书。
按协议显示的实时 PII 站点
保护个人身份信息 (PII) 是一般数据保护条例的关键组成部分。 PII 定义为可识别个人身份的任何数据,包括姓名、地址、生日或电子邮件地址。 任何通过表单接受此数据的网站都必须根据 GDPR 准则进行彻底保护。 通过分析页面的文档对象模型 (DOM),Microsoft 可标识可能接受 PII,因此应根据欧盟法律进行评估的表单和登录页面。 此部分的第一个图表按协议显示实时站点,并使用 HTTP 与 HTTPS 协议标识了站点。
按证书状况显示的实时 PII 站点
此图表根据实时 PII 站点如何使用 SSL 证书来显示这些站点。 参考此图表,可以快速了解包含个人身份识别信息的站点中使用的哈希算法。
按协议显示的登录网站
登录页面是网站上的一个页面,用户可以在其中选择输入用户名和密码以获取对该网站上托管的服务的访问权限。 登录页面在 GDPR 下具有特定要求,因此 Defender EASM 会引用所有扫描页面的 DOM,以搜索与登录名相关的代码。 例如,登录页面必须安全才能合规。 第一个图表按协议(HTTP 或 HTTPS)显示登录网站,第二个图表按证书状况显示登录网站。
Cookie 状况
Cookie 是采用小文本文件形式的信息,会在浏览站点时放置在运行 Web 浏览器的计算机的硬盘驱动器上。 每次访问网站时,浏览器都会将 Cookie 发送回服务器,以向网站通知你的上一个活动。 GDPR 对获得同意来发出 Cookie 有具体要求,并对第一方与第三方 Cookie 有不同的存储法规。
OWASP 前 10 大仪表板
OWASP 前 10 大仪表板旨在提供有关 OWASP(信誉良好的 Web 应用程序安全性开放源代码基金会)指定的最关键安全建议的见解。 对于希望确保其代码安全的开发人员来说,此列表是全球公认的关键资源。 OWASP 提供有关前 10 大安全风险的关键信息,以及有关如何避免或修正问题的指导。 此 Defender EASM 仪表板在攻击面中查找这些安全风险的证据并显示它们,同时列出任何适用资产以及如何修正风险。
当前 OWASP 前 10 大严重安全问题列表包括:
- 中断的访问控制:强制实施策略,使用户不能在预期权限之外执行操作的访问控制基础结构失败。
- 加密失败:与加密(或由此缺乏加密)相关的失败,通常会导致敏感数据暴露。
- 注入:由于处理数据不当和其他合规性相关问题,应用程序容易受到注入攻击。
- 不安全的设计:安全措施缺失或无效,会导致应用程序出现弱点。
- 安全配置错误:安全配置缺失或不正确,通常是因为配置过程定义不充分。
- 易受攻击和过时的组件:与最新软件相比,面临更高暴露风险的过时组件。
- 标识和身份验证失败:无法正确确认用户的标识、身份验证或会话管理来防范与身份验证相关的攻击。
- 软件和数据完整性故障:无法防范违反完整性要求的代码和基础结构(例如来自不受信任的源的插件)。
- 安全日志记录和监视:缺少适当的安全日志记录和警报或相关配置错误,可能会影响组织对其安全状况的了解和后续责任。
- 服务器端请求伪造:在不验证用户提供的 URL 的情况下提取远程资源的 Web 应用程序。
此仪表板提供每种严重风险的说明、有关其为何重要的信息和修正指导,以及任何可能受影响的资产的列表。 有关详细信息,请参阅 OWASP 网站。
CWE 前 25 个软件弱点仪表板
此仪表板基于 MITRE 每年提供的前 25 个常见弱点枚举 (CWE) 列表。 这些 CWE 代表了最常见的、影响性最大且很容易发现和恶意利用的软件弱点。 此仪表板显示该列表在过去五年包含的所有 CWE,并列出可能受每个 CWE 影响的所有清单资产。 对于每个 CWE,该仪表板提供了漏洞的说明和示例,并列出了相关的 CVE。 CWE 按年份组织,每个部分均可展开或折叠。 参考此仪表板可帮助你根据其他观察到的恶意利用情况识别出组织面临的最大风险,从而帮助开展漏洞补救工作。
CISA 已知恶意利用
虽然已识别出数十万个 CVE 漏洞,但网络安全与基础结构安全局 (CISA) 只识别出了一小部分最近被威胁行动者恶意利用的漏洞。 此列表包含的漏洞不到所有已识别 CVE 的 0.5%;因此,它有助于帮助安全专业人员优先修正组织面临的最大风险。 根据此列表修正安全威胁问题的那些人能够以最高效率进行操作,因为他们会优先处理导致真正安全事件的漏洞。
