Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Voraussetzungen
Bevor Sie dieses Lernprogramm abschließen, sollten Sie die Artikel Was ist Discovery? und Verwendung und Verwaltung von Discovery lesen, um die in diesem Tutorial erwähnten Schlüsselkonzepte zu verstehen.
Zugriff auf Ihre automatisierte Angriffsfläche
Microsoft hat die Angriffsflächen vieler Organisationen proaktiv konfiguriert, indem es ihre anfängliche Angriffsfläche durch das Erkennen der Infrastruktur, die mit bekannten Ressourcen verbunden ist, zugeordnet hat. Es wird empfohlen, dass alle Benutzer nach der Angriffsfläche ihrer Organisation suchen, bevor Sie eine benutzerdefinierte Angriffsfläche erstellen und andere Entdeckungen ausführen. Dieser Prozess ermöglicht Es Benutzern, schnell auf ihren Bestand zuzugreifen, da Defender EASM die Daten aktualisiert, weitere Ressourcen und neueren Kontext zu Ihrer Attack Surface hinzufügt.
Wählen Sie beim ersten Zugriff auf Ihre Defender EASM-Instanz im Abschnitt "Allgemein" die Option "Erste Schritte" aus, um in der Liste der automatisierten Angriffsflächen nach Ihrer Organisation zu suchen.
Wählen Sie dann Ihre Organisation aus der Liste aus, und klicken Sie auf "Angriffsfläche erstellen".
An diesem Punkt wird die Ermittlung im Hintergrund ausgeführt. Wenn Sie eine vorkonfigurierte Angriffsfläche aus der Liste der verfügbaren Organisationen ausgewählt haben, werden Sie auf den Bildschirm "Dashboardübersicht" umgeleitet, auf dem Sie Einblicke in die Infrastruktur Ihrer Organisation im Vorschaumodus anzeigen können. Überprüfen Sie die Einblicke im Dashboard, um sich mit Ihrer Angriffsfläche vertraut zu machen, während Sie darauf warten, dass weitere Ressourcen entdeckt und in Ihrem Bestand eingepflegt werden. Weitere Informationen zum Ableiten von Erkenntnissen aus diesen Dashboards finden Sie im Artikel "Grundlegende Dashboards ".
Wenn Sie fehlende Ressourcen bemerken oder andere Entitäten verwalten müssen, die möglicherweise nicht über die Infrastruktur ermittelt werden, die eindeutig mit Ihrer Organisation verknüpft ist, können Sie festlegen, dass angepasste Entdeckungen ausgeführt werden, um diese Ausreißerressourcen zu erkennen.
Anpassen der Ermittlung
Benutzerdefinierte Entdeckungen eignen sich ideal für Organisationen, die tiefere Einblicke in die Infrastruktur benötigen, die möglicherweise nicht sofort mit ihren primären Ursprungsressourcen verknüpft sind. Durch die Übermittlung einer größeren Liste bekannter Objekte, die als Discovery-Samen verwendet werden sollen, gibt das Discoverymodul einen breiteren Pool von Ressourcen zurück. Benutzerdefinierte Ermittlungen können Organisationen auch bei der Suche nach unterschiedlicher Infrastruktur unterstützen, die sich auf unabhängige Geschäftseinheiten und erworbene Unternehmen beziehen kann.
Discovery-Gruppen
Benutzerdefinierte Entdeckungen sind in Discoverygruppen organisiert. Hierbei handelt es sich um unabhängige Seedcluster, die eine einzelne Ermittlungsausführung umfassen und auf eigenen Wiederholungszeitplänen basieren. Benutzer können entscheiden, ihre Discoverygruppen zu organisieren, um Vermögenswerte auf eine Weise zu unterteilen, die ihr Unternehmen und ihre Arbeitsabläufe am besten unterstützt. Zu den allgemeinen Optionen gehören die Organisation durch verantwortliche Team/Geschäftseinheit, Marken oder Tochtergesellschaften.
Erstellen einer Entdeckungsgruppe
Wählen Sie im Bereich Verwalten in der linken Navigationsspalte das Ermittlungsfenster aus.
Auf dieser Discovery-Seite wird Ihre Liste der Discovery-Gruppen standardmäßig angezeigt. Diese Liste ist leer, wenn Sie zum ersten Mal auf die Plattform zugreifen. Klicken Sie zum Ausführen der ersten Ermittlung auf Discovery-Gruppe hinzufügen.
Benennen Sie zunächst Ihre neue Discoverygruppe, und fügen Sie eine Beschreibung hinzu. Über das Feld Wiederholungsfrequenz können Sie Ermittlungsausführungen für diese Gruppe planen, um regelmäßig nach neuen Ressourcen im Zusammenhang mit den angegebenen Seeds zu suchen. Die Standardauswahl für die Wiederholung ist wöchentlich; Microsoft empfiehlt diese Frequenz, um sicherzustellen, dass die Ressourcen Ihrer Organisation routinemäßig überwacht und aktualisiert werden. Wählen Sie bei einer einzelnen einmaligen Ermittlungsausführung "Nie" aus. Es wird jedoch empfohlen, dass Benutzer den wöchentlichen Standardrhythmus beibehalten und stattdessen die Verlaufsüberwachung in ihren Discovery-Gruppeneinstellungen deaktivieren, wenn sie später beschließen, wiederkehrende Ermittlungsläufe einzustellen.
Weiter auswählen: Samen >
Wählen Sie als Nächstes die Samen aus, die Sie für diese Discoverygruppe verwenden möchten. Seeds sind bekannte Ressourcen, die zu Ihrer Organisation gehören. Die Defender EASM-Plattform überprüft diese Entitäten und bildet ihre Verbindungen mit anderer Onlineinfrastruktur ab, um Ihre Angriffsfläche zu erstellen.
Mit der Option "Schnellstart " können Sie in einer Liste der vorab aufgefüllten Angriffsflächen nach Ihrer Organisation suchen. Sie können schnell eine Discovery-Gruppe auf Grundlage der bekannten Ressourcen erstellen, die zu Ihrer Organisation gehören.
Alternativ können Benutzer ihre Samen manuell eingeben. Defender EASM akzeptiert Domänen, IP-Blöcke, Hosts, E-Mail-Kontakte, ASNs und WhoIs-Organisationen als Ausgangswerte. Sie können auch Entitäten angeben, die von der Bestandsermittlung ausgeschlossen werden sollen, um sicherzustellen, dass sie nicht zu Ihrem Bestand hinzugefügt werden, wenn sie erkannt werden. Dies ist beispielsweise nützlich für Organisationen mit Tochtergesellschaften, die wahrscheinlich mit ihrer zentralen Infrastruktur verbunden sind, aber nicht zu Ihrer Organisation gehören.
Nachdem Sie Ihre Samen ausgewählt haben, wählen Sie "Überprüfen " + Erstellen" aus.
Überprüfen Sie Ihre Gruppeninformationen und die Startliste, und wählen Sie dann Erstellen und Ausführen aus.
Sie gelangen dann zurück zur Hauptseite "Discovery", auf der Ihre Discoverygruppen angezeigt werden. Nachdem Ihr Suchlauf abgeschlossen ist, können Sie neue Assets sehen, die Ihrer genehmigten Bestandsliste hinzugefügt wurden.