你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
了解清单资产
概述
Microsoft 专有发现技术以递归方式搜索与已知合法资产(例如,发现“种子”)建立了连接的基础结构,以推断该基础结构与组织的关系,并发现以前未知和未监视的属性。
Defender EASM 包括以下类型资产的发现:
- 域
- 主机
- 页
- IP 块
- IP 地址
- 自治系统编号 (ASN)
- SSL 证书
- WHOIS 联系人
这些资产类型包括 Defender EASM 中的攻击面清单。 此解决方案发现公开到传统防火墙保护外部开放 Internet 的资产;这些资产需要受到监视和维护,以最大程度地降低风险并改善组织的安全状况。 Microsoft Defender 外部攻击面管理 (Defender EASM) 主动发现和监视这些资产,然后提供关键见解,帮助客户有效地解决组织的任何漏洞。
资产状态
所有资产都标记为以下状态之一:
状态名称 | 说明 |
---|---|
已批准的清单 | 你拥有的攻击面的一部分;你直接负责的项。 |
依赖项 | 归第三方所有但属于你的攻击面的基础结构,因为它直接支持你拥有的资产的操作。 例如,你可能依赖 IT 提供程序来托管 Web 内容。 虽然域、主机名和页面将成为“已批准的清单”的一部分,但你可能希望将运行主机的 IP 地址视为“依赖项”。 |
仅监视 | 与你的攻击面相关,但既不受直接控制也不是技术依赖项的资产。 例如,独立的特许经营商或属于相关公司的资产可能会被标记为“仅监视”而不是“已批准的清单”,以便将各组分开进行报告。 |
候选对象 | 与组织的已知种子资产有某种关系,但连接不够强,无法立即将其标记为“已批准的清单”的资产。 必须手动评审这些候选资产以确定所有权。 |
需要调查 | 一种类似于“候选”状态的状态,但此值应用于需要手动调查进行验证的资产。 这是根据我们内部生成的置信度分数来确定的,该分数用于评估资产之间检测到的连接强度。 它并不表示基础结构与组织的确切关系,而是表示该资产已标记为需要额外评审以确定应如何分类。 |
处理不同的资产状态
这些资产状态经过特殊处理和监视,以确保客户能够清楚地了解默认为最关键的资产。 例如,“已批准的清单”资产始终在仪表板图表中表示,每日对其进行扫描以确保数据保持一致性。 默认情况下,仪表板图表中不包括所有其他类型的资产;但是,用户可以调整其清单筛选器,根据需要查看不同状态中的资产。 同样,仅在发现过程中扫描“候选”资产;务必查看这些资产并将其状态更改为“已批准清单”(如果组织拥有这些资产)。
跟踪库存更改
攻击面不断变化,这就是 Defender EASM 不断分析和更新库存以确保准确性的原因。 资产经常添加和从清单中删除,因此跟踪这些更改以了解攻击面并确定关键趋势非常重要。 清单更改仪表板提供了这些更改的概述,其中显示了每种资产类型的“已添加”和“已删除”计数。 可以按两个日期范围筛选仪表板:过去 7 天或 30 天。 有关这些清单更改的更精细视图,请参阅“按日期进行的更改”部分。