次の方法で共有

攻撃対象領域の検出

[前提条件]

このチュートリアルを完了する前に、 探索とは何か 、および 探索の使用と管理に関する記事を 参照して、この記事で説明されている主要な概念を理解してください。

自動化された攻撃対象領域へのアクセス

Microsoft は、多くの組織の攻撃対象領域を先取りして構成し、既知の資産に接続されているインフラストラクチャを検出して初期攻撃対象領域をマッピングしています。 カスタム攻撃対象領域を作成して他の検出を実行する前に、すべてのユーザーが組織の攻撃対象領域を検索することをお勧めします。 このプロセスにより、Defender EASM がデータを更新し、資産と最新のコンテキストを攻撃対象の Surface に追加すると、ユーザーはインベントリにすばやくアクセスできます。

  1. Defender EASM インスタンスに初めてアクセスするときは、[全般] セクションの [作業の開始] を選択して、自動攻撃対象領域の一覧で組織を検索します。

  2. 次に、一覧から組織を選択し、[ Build my Attack Surface] をクリックします。

構成済みの攻撃表面オプションのスクリーンショット

この時点で、検出はバックグラウンドで実行されます。 使用可能な組織の一覧から構成済みの攻撃表面を選択した場合は、[ダッシュボードの概要] 画面にリダイレクトされ、プレビュー モードで組織のインフラストラクチャに関する分析情報を表示できます。 これらのダッシュボードの分析情報を確認して、より多くの資産が検出され、インベントリに入力されるのを待つ間、攻撃表面について理解を深めます。 これらのダッシュボードから分析情報 導き出す方法の詳細については、ダッシュボードの概要に関する記事を参照してください。

見落とされている資産に気付いた場合や、組織に明確にリンクされたインフラストラクチャにより発見されない可能性のある管理対象の他のエンティティがある場合、カスタマイズされた検出を実行してこれらの紛れている資産を検出することができます。

検出のカスタマイズ

カスタム検出は、プライマリ シード資産にすぐにリンクされない可能性があるインフラストラクチャをより深く可視化する必要がある組織に最適です。 探索シードとして動作する既知の資産のより大きな一覧を送信することで、探索エンジンは、より広い資産プールを返します。 カスタム検出は、組織が独立したビジネス ユニットや取得した企業に関連する可能性があるさまざまなインフラストラクチャを見つけるのにも役立ちます。

探索グループ

カスタム検出は、検出グループに編成されます。 これらは独立したシード クラスターであり、単一の検出実行を構成し、独自の繰り返しスケジュールに基づいて動作します。 ユーザーは、探索グループを整理して、会社やワークフローに最もメリットのある方法で資産を示すことができます。 一般的なオプションには、責任あるチーム/部署、ブランド、または子会社による整理が含まれます。

探索グループの作成

  1. 左側のナビゲーション列の [管理] セクションの下にある [検出] パネルを選択します。

    [管理] セクションが強調表示されている [概要] ページの EASM インスタンスのスクリーンショット

  2. この検出ページには、既定で探索グループの一覧が表示されます。 この一覧は、プラットフォームに初めてアクセスするときに空になります。 最初の検出を実行するには、[ 探索グループの追加] をクリックします。

    [ディスコ グループの追加] が強調表示された [ディスカバリー] 画面のスクリーンショット

  3. まず、新しい探索グループに名前を付け、説明を追加します。 [ 定期的な頻度 ] フィールドでは、このグループの検出実行をスケジュールし、指定されたシードに関連する新しい資産を継続的にスキャンできます。 既定の繰り返しの選択は 週単位です。Microsoft では、組織の資産が定期的に監視および更新されるように、この周期を推奨しています。 1 回限りの探索実行の場合は、[ なし] を選択します。 ただし、ユーザーが後で定期的な検出の実行を中止する場合は、 週単位 の既定の周期を保持し、代わりに探索グループ設定内の履歴監視をオフにすることをお勧めします。

    次を選択:シード>

    disco グループのセットアップの最初のページのスクリーンショット

  4. 次に、この探索グループに使用するシードを選択します。 シードは、組織に属する既知の資産です。Defender EASM プラットフォームはこれらのエンティティをスキャンし、他のオンライン インフラストラクチャへの接続をマッピングして攻撃表面を作成します。

    disco グループのセットアップのシード選択ページのスクリーンショット

    クイック スタート オプションを使用すると、事前に設定された攻撃サーフェスの一覧で組織を検索できます。 組織に属する既知の資産に基づいて探索グループをすばやく作成できます。

    事前に設定された攻撃面の選択ページのスクリーンショットをシードリストとして出力します

    または、ユーザーは自分のシードを手動で入力できます。 Defender EASM は、ドメイン、IP ブロック、ホスト、電子メール連絡先、ASN、WhoIs 組織をシード値として受け入れます。 また、資産検出から除外するエンティティを指定して、検出された場合にそれらがインベントリに追加されないようにすることもできます。 たとえば、これは、中央インフラストラクチャに接続される可能性が高いが、組織に属していない子会社がある組織に役立ちます。

    シードを選択したら、[ 確認と作成] を選択します。

  5. グループ情報とシードリストを確認し、[ 作成] と [実行] を選択します。

    レビューと作成画面のスクリーンショット

その後、探索グループを表示するメインの [探索] ページに戻ります。 検出の実行が完了すると、承認済みインベントリに追加された新しい資産を確認できます。

次のステップ

  • Last updated on