什麼是探索?
概觀
Microsoft Defender 外部受攻擊面管理 (Defender EASM) 仰賴我們的專屬探索技術,可持續定義貴組織獨特的網際網路公開攻擊面。 探索會掃描貴組織所擁有的已知資產,以發掘先前未知且未受監視的財產。 探索到的資產會在客戶的詳細目錄中編製索引,以透過單一玻璃窗格提供一個在組織管理下的 Web 應用程式、協力廠商相依性和 Web 基礎結構的動態記錄系統。
透過此程序,Microsoft 可讓組織主動監視其不斷轉移的數位受攻擊面,並識別所發生的新興風險和原則違規。 許多弱點程式無法檢視其防火牆外部的情況,因此無法得知外部風險和威脅,而這正是資料外泄的主要來源。 於此同時,數位資產的增長速度會不斷超越企業安全性小組所能提供的保護。 數位計畫與極為常見的「影子 IT」會導致受攻擊面擴大到防火牆之外。 在這個步調下,幾乎不可能驗證控件、保護和合規性需求。 若沒有 Defender EASM,幾乎無法識別和移除弱點,掃描器無法觸達防火牆之外,以評估完整的受攻擊面。
運作方式
為了建立組織受攻擊面的完整對應,系統會先進入已知資產(稱為「種子」),以遞歸方式掃描,透過它們與種子的連線來探索更多實體。 初始種子可以是 Microsoft 所編製索引的下列任何一種 Web 基礎結構:
- 網域
- IP 區塊
- 主機
- 電子郵件連絡人
- ASN
- Whois 組織
系統會從種子開始,接著探索與其他線上基礎結構的關聯,以探索組織擁有的其他資產;此程序最終會建立受攻擊面詳細目錄。 探索程序會使用種子做為中央節點,再逐漸擴散到受攻擊面周圍,方法是識別與種子直接連結的所有基礎結構,然後識別與第一組連結中的每個項目有關的所有項目等等。此程序會繼續執行,直到我們到達貴組織負責管理的內容邊緣為止。
例如,若要探索 Contoso 的基礎結構,您可以使用網域 contoso.com 作為初始重點種子。 從此種子開始,我們可以查閱下列來源並衍生下列關聯性:
| 資料來源 | 範例 |
|---|---|
| WhoIs 記錄 | 註冊至相同連絡人電子郵件的其他網域名稱或用來註冊 contoso.com 的註冊者組織可能也屬於 Contoso |
| WhoIs 記錄 | 所有註冊至任何 @contoso.com 電子郵件地址的網域名稱可能也屬於 Contoso |
| Whois 記錄 | 和 contoso.com 一樣與相同名稱伺服器相關聯的其他網域可能也屬於 Contoso |
| DNS 記錄 | 我們可以假設,Contoso 也擁有其所擁有網域上所有觀察到的主機,以及與這些主機相關聯的任何網站 |
| DNS 記錄 | 如果組織擁有 IP 區塊,其他主機解析為相同 IP 區塊的網域可能也屬於 Contoso |
| DNS 記錄 | 與 Contoso 所擁有的網域名稱相關聯的郵件伺服器也會屬於 Contoso |
| SSL 憑證 | Contoso 可能也會擁有所有連結到這些主機的 SSL 憑證,以及使用相同 SSL 憑證的任何其他主機 |
| ASN 記錄 | 和 Contoso 網域名稱上的主機所連結的 IP 區塊一樣,與相同 ASN 相關聯的其他 IP 區塊,可能也屬於 Contoso,而會解析為這些 IP 區塊的所有主機和網域也一樣 |
使用這一組第一層連結,我們可以快速衍生一整組全新的資產來進行調查。 執行更多遞歸之前,Microsoft會判斷連線是否足夠強大,讓探索到的實體自動新增至您的確認清查。 針對每個資產,探索系統會根據所有可用的屬性執行自動化的遞迴搜尋,以尋找第二層和第三層連結。 這個反覆程序會提供有關組織線上基礎結構的詳細資訊,因此能夠探索到可能尚未探索到並且會於隨後受到監視的不同資產。
自動化與自訂的受攻擊面
第一次使用 Defender EASM 時,您可以存取預先建置的清查,讓您的組織快速啟動您的工作流程。 從 [用戶入門] 頁面,使用者可以搜尋其組織,根據Microsoft已識別的資產連線快速填入其清查。 建議所有使用者在建立自定義清查之前,先搜尋其組織的預先建置攻擊面。
若要建置自訂的詳細目錄,使用者必須建立探索群組,以組織及管理執行探索時所使用的種子。 不同的探索群組可讓使用者將探索程序自動化、以設定種子清單和週期性的執行排程。
已確認的詳細目錄與候選資產
如果探索引擎偵測到潛在資產與初始種子之間的強聯機,系統會自動將該資產包含在組織的「已確認清查」中。當此種子的連線經過反覆掃描、探索第三層或第四層連線時,系統對任何新偵測到資產擁有權的信心較低。 同樣地,系統可能會偵測到與貴組織有關,但可能不是其直接擁有的資產。
基於這些原因,新探索到的資產會標示為下列其中一種狀態:
| 狀態名稱 | 描述 |
|---|---|
| 已核准的詳細目錄 | 您自己的受攻擊面的一部分;您直接負責的專案。 |
| Dependency | 協力廠商所擁有,但因為其直接支援您所擁有資產的作業,而屬於您受攻擊面的基礎結構。 例如,您可能依靠 IT 提供者來裝載您的 Web 內容。 雖然網域、主機名和頁面會是「已核准清查」的一部分,但您可能想要將執行主機的IP位址視為「相依性」。 |
| 僅監視 | 與受攻擊面有關,但既不直接受到控制,也無技術相依性的資產。 例如,屬於相關公司的獨立特許經營商或資產可能會標示為「僅限監視」,而不是「核准清查」,以分隔群組以供報告之用。 |
| 候選項目 | 與貴組織已知種子資產有一些關聯性的資產,但沒有足夠強大的連線,無法立即將其標示為「已核准的清查」。 您必須手動檢閱這些候選資產,才能判斷所有權。 |
| 需要調查 | 類似「候選」狀態的狀態,但此值會套用至需要手動調查才能驗證的資產。 其判斷依據是內部產生的信賴分數,系統會使用此分數來評估所偵測到的資產間連結強度。 它不會指出基礎結構與組織的確切關聯性,因為它表示此資產已標示為需要額外檢閱,以判斷其分類方式。 |
檢閱資產時,建議您從標示為「需要調查」的資產開始。資產詳細數據會持續重新整理和更新,以維持資產狀態和關聯性的準確對應,以及在資產出現時發現新建立的資產。 若要管理探索程序,請將種子放在可排定為定期重新執行的探索群組中。 填入詳細目錄之後,Defender EASM 系統便會使用 Microsoft 的虛擬使用者技術持續掃描您的資產,以找出每個資產的全新詳細資料。 此程式會檢查適用網站內每個頁面的內容和行為,以提供強固的資訊,可用來識別貴組織的弱點、合規性問題和其他潛在風險。