先決條件
在完成本教學課程之前,請參閱 什麼是探索? 和 使用和管理探索 文章,以瞭解本文中提到的關鍵概念。
存取您的自動式受攻擊面
Microsoft 已先發制人地設定許多組織的攻擊面,透過探索連線到已知資產的基礎結構來對應其初始攻擊面。 建議所有使用者先搜尋其組織的受攻擊面,再建立自訂受攻擊面並執行其他探索。 此流程可讓使用者在 Defender EASM 重新整理數據時快速存取其資產清單,並持續將更多資產和最新的背景資訊新增至您的攻擊面範疇。
第一次存取 Defender EASM 實例時,請在 一般 區段中選取 開始使用,以在自動化攻擊面範圍清單中搜尋您的組織。
然後從清單中選取您的組織,然後按一下 建置我的攻擊面。
此時,探索會在背景中執行。 如果您從可用組織清單中選取預先設定的受攻擊面,系統會將您重新導向至 [儀錶板概觀] 畫面,您可以在其中檢視預覽模式中組織基礎結構的深入解析。 在等待更多資產被探索到並填入到您的清查中時,請檢閱這些儀表板深入解析以熟悉您的受攻擊面。 閱讀瞭解 儀表板 一文,以取得如何從這些儀表板取得深入解析的詳細資訊。
如果您發現可能遺失的資產或有需要管理的其他實體,這些實體可能無法透過與您組織明確連結的基礎設施來發現,您可以選擇執行自訂探索來偵測這些異常資產。
自訂化探索
自訂探索非常適合需要更深入了解可能無法立即連結到其主要種子資產的基礎結構的組織。 探索引擎會提交較大的已知資產清單以探索種子資產的方式進行運作,以傳回更廣泛的資產集區。 自訂探索還可以幫助組織找到可能與獨立業務部門和收購公司相關的不同基礎設施。
探索群組
自訂探索資料會被組織到探索群組中。 其為獨立的種子叢集,由單一探索執行所組成,並按自己的週期時間表進行運作。 使用者可以選擇組織其探索群組,以最有利於其公司和工作流程的方式描述資產。 常見的選項包括按負責團隊/業務單位、品牌或子公司組織。
建立探索群組
選取左側導覽欄中「管理」區段下的「探索」面板。
依預設,此探索頁面會顯示您的探索群組清單。 當您第一次訪問該平台時,此列表將為空。 若要執行第一個探索,請按一下 新增探索群組。
![反白顯示 [新增探索群組] 的探索畫面的螢幕擷取畫面](media/tutorial-3.png)
首先,為您的新探索群組命名並新增描述。 [週期性頻率] 欄位可讓您排定此群組的探索執行時間表,以持續掃描與指定種子相關的新資產。 預設週期選取項目為 每週;Microsoft 建議使用此步調,以確保定期監視和更新組織的資產。 單次探索執行時,選擇從不。 不過,我們建議使用者保留 每週 預設步調,並在稍後決定停止週期性探索執行時,改為關閉其探索群組設定中的歷程記錄監視。
選取 [下一步:種子] >
接下來,選取您要用於此探索群組的種子。 種子是屬於您組織的已知資產;Defender EASM 平臺會掃描這些實體,將其連線對應至其他線上基礎結構,以建立您的受攻擊面。
快速 入門 選項可讓您在預先填入的受攻擊面清單中搜尋您的組織。 您可以根據屬於您組織的已知資產快速建立探索群組。
或者,用戶可以手動輸入他們的種子。 Defender EASM 接受網域、IP 區塊、主機、電子郵件連絡人、ASN 和 WhoIs 組織作為種子值。 您也可以指定要從資產探索中排除的實體,以確保在偵測到這些實體時不會新增至您的庫存。 例如,這對於擁有子公司可能連線到其中央基礎結構但不屬於您的組織的組織很有用。
選擇種子後,選擇 檢閱 + 創建。
檢閱您的群組資訊和種子清單,然後選取 [建立並執行]。
![[檢閱 + 建立] 畫面的螢幕擷取畫面](media/tutorial-8.png)
然後,系統會將您帶回顯示探索群組的主探索頁面。 探索執行完成後,您可以看到新資產新增至「核准庫存」。