インベントリ資産について

  • [アーティクル]

概要

Microsoft 独自の検出テクノロジにより、既知の正当な資産 (検出 "シード" など) への関連性が確認されたインフラストラクチャが繰り返し検索されます。これにより、組織に対するそのインフラストラクチャの関係が推論され、以前は不明で監視されていなかった資産が検出されます。

Defender EASM には、次の種類の資産の検出が組み込まれています。

  • ドメイン
  • Hosts
  • Pages
  • IP ブロック
  • IP アドレス
  • 自律システム番号 (ASN)
  • SSL 証明書
  • WHOIS 連絡先

これらの種類の資産は、Defender EASM の攻撃面インベントリで構成されます。 このソリューションは、従来のファイアウォール保護の外側にある、開かれたインターネットに公開されている外部接続資産を検出します。これらの資産は、リスクを最小限に抑え、組織のセキュリティ体制を向上させるために、監視してメンテナンスする必要があります。 Microsoft Defender External Attack Surface Management (Defender EASM) は、これらの資産をアクティブに検出して監視し、お客様が組織の脆弱性に効率的に対処するのに役立つ重要な分析情報を提供します。

[インベントリ] 画面のスクリーンショット。

資産の状態

すべての資産に、次のいずれかの状態がラベルとして付加されます。

状態名 説明
承認済みインベントリ 所有する攻撃面の一部。お客様が直接責任を負うアイテム。
依存関係 サード パーティが所有しているが、所有している資産の運用を直接サポートするため、攻撃面の一部であるインフラストラクチャ。 たとえば、Web コンテンツをホストするために IT プロバイダーに依存している場合があります。 ドメイン、ホスト名、ページは「承認済みインベントリ」の一部になりますが、ホストを実行している IP アドレスは「依存関係」として扱うことができます。
監視のみ 攻撃面に関連するが、直接制御されておらず、技術的な依存関係もない資産。 たとえば、独立したフランチャイズまたは関連企業に属する資産は、レポートの目的でこのグループを分離するために、「承認済みインベントリ」ではなく「監視のみ」というラベルを付けることができます。
候補 組織の既知のシード資産と何らかの関係があるが、「承認済みインベントリ」としてただちにラベル付けするには十分に強固な関連性がない資産。 これらの候補資産は、所有権を決定するために手動で確認する必要があります。
調査が必要 この状態は「候補」状態に似ていますが、この値は、検証のために手動調査が必要な資産に適用されます。 これは、検出された資産間の関連性の強さを評価する、内部生成の信頼度スコアに基づき決定されます。 これは、分類方法を決定するために追加の確認が必要であるというフラグをこの資産に設定したことを示しますが、組織に対するインフラストラクチャの正確な関係は示していません。

資産のさまざまな状態への対処

これらの資産の状態は、既定では、お客様が最も重要な資産を明確に把握できるように固有に処理され、監視されます。 たとえば、"承認済みインベントリ" 資産は常にダッシュボード グラフで表され、データが最新となるように毎日スキャンされます。 他のすべての種類の資産は、既定ではダッシュボード グラフで表されません。ただし、ユーザーは、必要に応じてインベントリ フィルターを調整して各状態の資産を表示できます。 同様に、"候補" 資産は検出プロセス中にのみスキャンされます。重要なのは、これらの資産を確認し、組織がその資産を所有している場合は、その資産の状態を "承認済みインベントリ" に変更することです。

インベントリの変更の追跡

攻撃面は絶えず変化しているため、Defender EASM は在庫を継続的に分析して更新し、精度を確保します。 資産はインベントリから頻繁に追加および削除されるため、これらの変更を追跡して攻撃対象領域を理解し、主要な傾向を特定することが重要です。 在庫変更ダッシュボードには、これらの変更の概要が表示され、各資産の種類の "追加済み" と "削除済み" の数が表示されます。 過去 7 日または 30 日間の 2 つの日付範囲でダッシュボードをフィルター処理できます。 これらの在庫変更の詳細なビューについては、「日付別の変更」セクションを参照してください。

[インベントリの変更] 画面のスクリーンショット。

次のステップ