你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用和管理发现

Microsoft Defender 外部攻击面管理 (Defender EASM) 依赖于专有发现技术来持续定义组织唯一的 Internet 暴露攻击面。 发现会在 Internet 上扫描组织拥有的资产,以发现以前未知和未受监视的属性。

发现的资产在清单中编制索引,以便通过单一管理平台提供组织管理的 Web 应用程序、第三方依赖项和 Web 基础结构的动态记录系统。

在运行自定义发现之前,请参阅 什么是发现? 以了解此处讨论的关键概念。

访问自动攻击面

Microsoft已先发制人地配置了许多组织的攻击面,通过发现连接到已知资产的基础结构来映射其初始攻击面。

建议在创建自定义攻击面并运行其他发现之前搜索组织的攻击面。 此过程使你能够在Defender EASM刷新数据并将更多资产和最近的上下文添加到攻击面时快速访问清单。

首次访问Defender EASM实例时,请在“常规”部分选择“入门”,在自动攻击面列表中搜索你的组织。 然后从列表中选择你的组织,然后选择 “生成我的攻击面”。

显示预配置的攻击面选择屏幕的屏幕截图。

此时,发现将在后台运行。 如果从可用组织列表中选择了预配置的攻击面,则会重定向到“仪表板概述”屏幕,你可以在其中以预览模式查看组织基础结构的见解。

查看这些仪表板见解,以便在等待在清单中发现和填充更多资产时熟悉攻击面。 有关如何从这些仪表板派生见解的详细信息,请参阅 了解仪表板

可以运行自定义发现来检测离群值资产。 例如,你可能缺少资产。 或者,你可能还有其他实体要管理,这些实体可能无法通过明确链接到组织的基础结构发现。

自定义发现

如果你的组织需要更深入地了解可能不会立即链接到主要种子资产的基础结构,则自定义发现是理想的选择。 通过提交要作为发现种子运行的已知资产的较大列表,发现引擎将返回更广泛的资产池。 自定义发现还有助于组织找到可能与独立业务部门和收购公司相关的不同基础结构。

发现组

自定义发现被组织到发现组中。 它们是独立的种子群集,由单个发现运行组成,并按自己的重复计划运行。 组织发现组,以最有利于公司和工作流的任何方式描述资产。 常见选项包括按负责的团队或业务部门、品牌或子公司进行组织。

创建发现组

  1. 在最左侧窗格的 “管理”下,选择“ 发现”。

    显示概述页上Defender EASM实例的屏幕截图,其中突出显示了“管理”部分。

  2. 默认情况下, “发现 ”页会显示发现组列表。 首次访问平台时,此列表为空。 若要运行第一个发现,请选择“ 添加发现组”。

    显示“发现”屏幕的屏幕截图,其中突出显示了“添加发现组”。

  3. 为新发现组命名并添加说明。 “ 定期频率 ”字段允许通过连续扫描与指定种子相关的新资产来计划此组的发现运行。 默认定期选择为 “每周”。 建议采用这种节奏,以确保定期监视和更新组织的资产。

    对于单个一次性发现运行,请选择“ 从不”。 建议保留 每周 默认节奏,因为发现旨在持续发现与已知基础结构相关的新资产。 以后可以通过从任何发现组详细信息页中选择“编辑”选项来编辑重复频率。

  4. 选择“ 下一步:种子”。

    显示发现组设置的第一页的屏幕截图。

  5. 选择要用于此发现组的种子。 种子是属于组织的已知资产。 Defender EASM平台扫描这些实体,并将其连接到其他联机基础结构,以创建攻击面。 由于Defender EASM旨在从外部角度监视攻击面,因此不能将专用 IP 地址作为发现种子包括在内。

    显示发现组设置的种子选择页的屏幕截图。

    使用 “快速启动” 选项,可以在预填充攻击面列表中搜索组织。 可以根据属于组织的已知资产快速创建发现组。

    显示种子列表中的预攻击面选择页输出的屏幕截图。

    显示预先攻击面选择页的屏幕截图。

    或者,可以手动输入种子。 Defender EASM接受组织名称、域、IP 块、主机、电子邮件联系人、ASN 和 Whois 组织作为种子值。

    还可以指定要从资产发现中排除的实体,以确保在检测到这些实体时不会添加到清单中。 例如,排除项对于拥有可能连接到其中心基础结构但不属于其组织的子公司的组织非常有用。

    选择种子后,选择“ 查看 + 创建”。

  6. 查看组信息和种子列表,然后选择“ 创建 & 运行”。

    显示“查看 + 创建”屏幕的屏幕截图。

    你将返回到显示发现组的主“发现”页面。 发现运行完成后,会看到新资产添加到已批准的清单。

查看和编辑发现组

可以从“发现”主页面管理 发现 组。 默认视图显示所有发现组的列表以及每个发现组的一些关键数据。 在列表视图中,可以看到每个组的种子数、重复计划、上次运行日期和创建日期。

显示“发现组”屏幕的屏幕截图。

选择任何发现组以查看详细信息、编辑组或启动新的发现过程。

运行历史记录

发现组详细信息页包含组的运行历史记录。 本部分显示有关在特定种子组上执行的每个发现运行的关键信息。 “状态”列指示运行是“正在进行”、“完成”还是“失败”。 本部分还包括 开始完成 的时间戳,以及在该特定发现运行后添加到清单的所有新资产的计数。 此计数包括进入库存的所有资产,而不考虑状态或计费状态。

运行历史记录按在发现运行期间扫描的种子资产进行组织。 若要查看适用种子的列表,请选择“ 详细信息”。 屏幕右侧将打开一个窗格,该窗格按类型和名称列出所有种子和排除项。

显示发现组屏幕的运行历史记录的屏幕截图。

查看种子和排除项

“发现”页默认为发现组的列表视图,但你也可以从此页面查看所有种子和排除实体的列表。 选择任一选项卡可查看为发现组提供支持的所有种子或排除项的列表。

种子

种子列表视图显示种子值,其中包含三列:类型源名称和发现组。 “ 类型” 字段显示种子资产的类别。 最常见的种子是域、主机和 IP 块。 还可以使用电子邮件联系人、ASN、证书公用名或 Whois 组织。

源名称是在创建发现组时在相应类型框中输入的值。 最后一列显示使用种子的发现组的列表。 每个值都是可单击的,可转到该发现组的详细信息页。

输入种子时,请记住验证每个条目的相应格式。 保存发现组时,平台会运行一系列验证检查,并针对任何错误配置的种子向你发出警报。 例如,应按网络地址输入 IP 块 (例如,IP 范围的开头) 。

显示发现页的“种子”视图的屏幕截图。

排除项

同样,可以选择“ 排除 项”选项卡以查看已从发现组中排除的实体的列表。 这些资产不会用作发现种子,也不会添加到清单中。 排除项仅影响单个发现组的未来发现运行。

类型” 字段显示排除实体的类别。 源名称是在创建发现组时在相应类型框中输入的值。 最后一列显示存在此排除项的发现组的列表。 每个值都是可单击的,可转到该发现组的详细信息页。

后续步骤

  • Last updated on