實作和使用 Microsoft Defender 外部攻擊面管理
Microsoft Defender 外部攻擊面管理 (Defender EASM) 會持續探索並對應您的數字攻擊面,以提供在線基礎結構的外部檢視。 此可見度可讓安全性和IT小組識別未知、排定風險優先順序、消除威脅,以及延伸防火牆以外的弱點和暴露控制。 攻擊 Surface 深入解析是利用弱點和基礎結構數據來產生,以展示貴組織關注的重要領域。
探索和清查
Microsoft的專屬探索技術以遞歸方式搜尋具有已知合法資產連線的基礎結構,以推斷該基礎結構與組織的關係,並發現先前未知且未受監視的屬性。 這些已知的合法資產稱為探索「種子」:Defender EASM 會先探索這些所選實體的強連線,並遞歸以揭開更多連線,並最終編譯您的攻擊面。
Defender EASM 包含下列類型的資產探索:
- 域
- 主機名
- 網頁
- IP 區塊
- IP 位址
- ASN
- SSL 憑證
- WHOIS 連絡人
儀錶板
Defender EASM 提供一系列儀錶板,可協助使用者快速瞭解其在線基礎結構,以及其組織的任何重要風險。 這些儀錶板的設計目的是提供特定風險領域的深入解析,包括弱點、合規性和安全性衛生。 這些深入解析可協助客戶快速解決其攻擊面的元件,對組織造成最大風險。
![螢幕快照,其中顯示 [Microsoft Defender 外部攻擊面管理安全性狀態] 頁面。](../../wwl-azure/microsoft-defender-cloud-security-posture/media/new-external-attack-surface-management-security-posture-b6e25dbd-24ebab77.png)
管理資產
客戶可以篩選其清查,以呈現他們最關心的特定見解。 篩選提供彈性和自定義層級,讓用戶能夠存取特定資產子集。 這可讓您根據特定使用案例運用 Defender EASM 數據,無論是搜尋連線到取代基礎結構的資產,還是識別新的雲端資源。
用戶權力
已獲指派擁有者或參與者角色的使用者可以建立、刪除和編輯Defender EASM資源及其內的清查資產。 這些角色可以利用平臺中提供的所有功能。 已獲指派讀者角色的用戶能夠檢視 Defender EASM 數據,但無法建立、刪除或編輯清查資產或資源本身。
數據落地、可用性和隱私權
Microsoft Defender 外部攻擊介面管理包含全域數據和客戶特定數據。 基礎因特網數據是全域Microsoft數據;客戶套用的標籤會被視為客戶數據。 所有客戶數據都會儲存在客戶選擇的區域。
基於安全性考慮,Microsoft會在使用者登入時收集使用者的IP位址。 此數據會儲存最多 30 天,但如果需要調查產品的潛在詐騙或惡意使用,可能會儲存更長的時間。
在區域關閉案例的情況下,只有受影響區域中的客戶會遇到停機時間。
Microsoft合規性架構要求在組織 180 天內刪除所有客戶數據,不再成為Microsoft的客戶。 這也包括離線位置的客戶資料儲存,例如資料庫備份。 刪除資源之後,我們的小組就無法還原資源。 客戶數據將保留在我們的數據存放區 75 天,但無法還原實際資源。 在 75 天期間之後,客戶數據將會永久刪除。