Implementar y utilizar la Administración de superficie expuesta a ataques externos de Microsoft Defender

  • 7 minutos

La Administración de superficie expuesta a ataques externos de Microsoft Defender (Defender EASM) detecta y asigna continuamente su superficie de ataque digital para proporcionar una visión externa de su infraestructura en línea. Esta visibilidad permite a los equipos de seguridad y ti identificar desconocidos, priorizar el riesgo, eliminar amenazas y ampliar el control de vulnerabilidades y exposición más allá del firewall. Attack Surface Insights se generan aprovechando los datos de vulnerabilidades y de infraestructura para destacar las principales áreas de preocupación para su organización.

Captura de pantalla que muestra el panel de control de la Administración de superficie expuesta a ataques externos de Microsoft Defender.

Detección e inventario

La tecnología de detección propietaria de Microsoft busca de forma recursiva la infraestructura con conexiones observadas a recursos legítimos conocidos para hacer inferencias sobre la relación de esa infraestructura con la organización y descubrir propiedades desconocidas y no supervisadas anteriormente. Estos activos legítimos conocidos se denominan "semillas" de descubrimiento. Defender EASM primero descubre conexiones sólidas con estas entidades seleccionadas, recurriendo a ellas para revelar más conexiones y, en última instancia, compilar su superficie de ataque.

EASM de Defender incluye la detección de los siguientes tipos de recursos:

  • Dominios
  • Nombres de host
  • Páginas web
  • Bloques IP
  • Direcciones IP
  • ASNs
  • Certificados SSL
  • Contactos de WHOIS

Captura de pantalla que muestra la página del grupo de descubrimiento de Defender EASM.

Paneles

EASM de Defender proporciona una serie de paneles que ayudan a los usuarios a comprender rápidamente su infraestructura en línea y los riesgos clave para su organización. Estos paneles están diseñados para proporcionar información sobre áreas específicas de riesgo, incluidas vulnerabilidades, cumplimiento e higiene de seguridad. Estas conclusiones ayudan a los clientes a abordar rápidamente los componentes de su superficie expuesta a ataques que suponen el mayor riesgo para su organización.

Captura de pantalla que muestra la página de estado de seguridad de la Administración de superficie expuesta a ataques externos de Microsoft Defender.

Administración de recursos

Los clientes pueden filtrar su inventario para exponer las conclusiones específicas que le interesan a la mayoría. El filtrado ofrece un nivel de flexibilidad y personalización que permite a los usuarios acceder a un subconjunto específico de recursos. Esto le permite aprovechar los datos de EASM de Defender según su caso de uso específico, ya sea buscando recursos que se conectan a la infraestructura en desuso o identificando nuevos recursos en la nube.

Captura de pantalla que muestra la página de inventario de la Administración de superficie expuesta a ataques externos de Microsoft Defender.

Permisos de usuario

Los usuarios a quienes se les han asignado los roles de Propietario o Colaborador pueden crear, eliminar y editar los recursos de Defender EASM y los activos de inventario dentro de este. Estos roles pueden usar todas las funcionalidades que se ofrecen en la plataforma. Los usuarios a los que se ha asignado el rol Lector pueden ver los datos de EASM de Defender, pero no pueden crear, eliminar o editar recursos de inventario o el propio recurso.

Residencia, disponibilidad y privacidad de datos

La Administración de superficie expuesta a ataques externos de Microsoft Defender contiene tanto datos globales como datos específicos de los clientes. Los datos subyacentes de Internet son datos globales de Microsoft; Las etiquetas aplicadas por los clientes se consideran datos de cliente. Todos los datos del cliente se almacenan en la región de la elección del cliente.

Con fines de seguridad, Microsoft recopila las direcciones IP de los usuarios cuando inician sesión. Estos datos se almacenan durante un máximo de 30 días, pero pueden almacenarse más tiempo si es necesario para investigar posibles usos fraudulentos o malintencionados del producto.

En el caso de un escenario de reducción de región, solo los clientes de la región afectada experimentarán tiempo de inactividad.

El marco de cumplimiento de Microsoft requiere que todos los datos del cliente se eliminen en un plazo de 180 días a partir de que esa organización ya no sea cliente de Microsoft. Esto también incluye el almacenamiento de datos del cliente en ubicaciones sin conexión, como copias de seguridad de bases de datos. Una vez eliminado un recurso, nuestros equipos no pueden restaurarlo. Los datos del cliente se conservarán en nuestros almacenes de datos durante 75 días, pero no se puede restaurar el recurso real. Después del período de 75 días, los datos del cliente se eliminarán permanentemente.