Übersicht über Defender EASM

Microsoft Defender External Attack Surface Management (Defender EASM) überwacht kontinuierlich Ihre digitale Angriffsfläche und bildet sie ab, damit Sie eine externe Ansicht Ihrer Onlineinfrastruktur erhalten. Diese Transparenz ermöglicht es Sicherheits- und IT-Teams, Unbekannte zu identifizieren, Risiken zu priorisieren, Bedrohungen zu beseitigen und die Kontrolle über Sicherheitsrisiken und Schwachstellen über die Firewall hinaus zu erweitern. Durch die Nutzung von Schwachstellen- und Infrastrukturdaten werden Erkenntnisse zur Angriffsfläche generiert, um die wichtigsten Problembereiche für Ihr Unternehmen aufzuzeigen.

Screenshot: Übersichtsdashboard

Ermittlung und Bestand

Die proprietäre Ermittlungstechnologie von Microsoft sucht rekursiv nach Infrastrukturen mit beobachteten Verbindungen mit bekannten legitimen Ressourcen, um Rückschlüsse auf die Beziehung dieser Infrastrukturen zur Organisation zu ziehen und bisher unbekannte und nicht überwachte Eigenschaften aufzudecken. Diese bekannten legitimen Ressourcen werden als „Seeds“ bezeichnet. Defender EASM ermittelt zunächst starke Verbindungen mit diesen ausgewählten Entitäten, um dann rekursiv weitere Verbindungen aufzudecken und schließlich Ihre Angriffsfläche zusammenzustellen.

Defender EASM umfasst die Ermittlung der folgenden Ressourcenarten:

  • Domänen
  • IP-Blöcke
  • Hosts
  • E-Mail-Kontakte
  • ASNs
  • WHOIS-Organisationen

Screenshot: Ermittlungsansicht

Ermittelte Ressourcen werden indiziert und in Ihrem Defender EASM-Bestand klassifiziert und bieten einen dynamischen Datensatz aller Webinfrastrukturen unter der Verwaltung der Organisation. Ressourcen werden als aktuell (derzeit aktiv) oder historisch kategorisiert und können Webanwendungen, Abhängigkeiten von Drittanbietern und andere Ressourcenverbindungen beinhalten.

Dashboards

Defender EASM bietet eine Reihe von Dashboards, über die Benutzer sich schnell einen Überblick über ihre Onlineinfrastruktur und alle wichtigen Risiken für ihre Organisation verschaffen können. Diese Dashboards sollen Erkenntnisse zu bestimmten Risikobereichen liefern, u. a. zu Sicherheitsrisiken, Compliance und Sicherheit. Diese Erkenntnisse helfen Kunden dabei, schnell die Komponenten ihrer Angriffsoberfläche zu behandeln, die das größte Risiko für ihre Organisation darstellen.

Screenshot: Dashboardansicht

Verwalten von Objekten

Kunden können ihren Bestand filtern, um die spezifischen Erkenntnisse anzuzeigen, die sie am meisten interessieren. Das Filtern bietet einen gewissen Grad an Flexibilität und Anpassung, der es Benutzern ermöglicht, auf eine bestimmte Teilmenge von Ressourcen zuzugreifen. Auf diese Weise können Sie die Defender EASM-Daten entsprechend Ihrem spezifischen Anwendungsfall nutzen – sei es bei der Suche nach Ressourcen, die mit einer veralteten Infrastruktur verbunden sind, oder bei der Identifizierung neuer Cloudressourcen.

Screenshot: Bestandsansicht

Benutzerberechtigungen

Benutzer, denen entweder Besitzer- oder Mitwirkenderrollen zugewiesen sind, können Defender EASM-Ressourcen und die darin enthaltenen Bestandsressourcen erstellen, löschen und bearbeiten. Diese Rollen können alle Funktionen nutzen, die auf der Plattform angeboten werden. Benutzer, denen die Rolle „Leser“ zugewiesen ist, können Defender EASM-Daten anzeigen, aber keine Bestandsressourcen oder die Ressource selbst erstellen, löschen oder bearbeiten.

Datenresidenz, Verfügbarkeit und Datenschutz

Microsoft Defender External Attack Surface Management enthält sowohl globale Daten als auch kundenspezifische Daten. Die zugrunde liegenden Internetdaten sind globale Microsoft-Daten. Von Kunden angewendete Bezeichnungen gelten als Kundendaten. Alle Kundendaten werden in der vom Kunden ausgewählten Region gespeichert.

Zu Sicherheitszwecken sammelt Microsoft die IP-Adressen der Benutzer, wenn sie sich anmelden. Diese Daten werden bis zu 30 Tage lang gespeichert, können jedoch ggf. länger gespeichert werden, um eine potenziell betrügerische oder böswillige Nutzung des Produkts zu untersuchen.

Im Fall eines Szenarios für eine Region nach unten erleben nur die Kunden in der betroffenen Region Ausfallzeiten.

Das Microsoft-Complianceframework erfordert, dass alle Kundendaten innerhalb von 180 Tagen ab dem Zeitpunkt gelöscht werden, ab dem die Organisation kein Microsoft-Kunde mehr ist. Dies umfasst auch die Speicherung von Kundendaten an Offlinespeicherorten, z. B. Datenbanksicherungen. Sobald eine Ressource gelöscht wurde, kann sie von unseren Teams nicht mehr wiederhergestellt werden. Die Kundendaten werden 75 Tage lang in unseren Datenspeichern aufbewahrt, die tatsächliche Ressource kann jedoch nicht wiederhergestellt werden.  Nach Ablauf der 75 Tage werden Kundendaten endgültig gelöscht.  

Nächste Schritte