攻撃面の検出

前提条件

このチュートリアルを完了する前に、「 検出とは」 および「 探索の使用と管理 」の記事を参照して、この記事で説明されている重要な概念を理解してください。

自動攻撃面へのアクセス

Microsoft は、既知の資産に接続されているインフラストラクチャを検出することで、多くの組織の攻撃対象領域を事前に構成し、初期攻撃面をマッピングしました。 カスタム攻撃面を作成して他の検出を実行する前に、すべてのユーザーがorganizationの攻撃対象領域を検索することをお勧めします。 このプロセスにより、ユーザーはインベントリにすばやくアクセスDefender EASM、データを更新し、さらに資産と最新のコンテキストを攻撃 Surface に追加できます。

  1. 最初にDefender EASM インスタンスにアクセスするときは、[全般] セクションで [はじめに] を選択して、自動攻撃対象の一覧でorganizationを検索します。

  2. 次に、一覧からorganizationを選択し、[攻撃用 Surface の構築] をクリックします。

構成済みの攻撃面オプションのスクリーンショット

この時点で、検出はバックグラウンドで実行されます。 使用可能な組織の一覧から構成済みの攻撃 Surface を選択した場合は、[ダッシュボードの概要] 画面にリダイレクトされ、プレビュー モードでorganizationのインフラストラクチャに関する分析情報を表示できます。 これらのダッシュボードの分析情報を確認して、インベントリ内でさらに多くの資産が検出されて設定されるのを待つ間、攻撃 Surface について理解を深めます。 これらのダッシュボードから分析情報 導き出す方法の詳細については、ダッシュボードの概要に関する記事を参照してください。

不足している資産に気付いた場合や、organizationに明確にリンクされたインフラストラクチャを介して検出されない可能性がある管理する他のエンティティがある場合は、カスタマイズされた検出を実行して、これらの外れ値の資産を検出するように選択できます。

検出のカスタマイズ

カスタム検出は、プライマリ シード資産にすぐにリンクされない可能性があるインフラストラクチャをより深く可視化する必要がある組織に最適です。 検出シードとして動作する既知の資産のより大きなリストを送信することで、検出エンジンは資産のより広いプールを返します。 カスタム検出は、組織が独立したビジネス ユニットや取得した企業に関連する可能性があるさまざまなインフラストラクチャを見つけるのにも役立ちます。

検出グループ

カスタム検出は探索グループに編成されます。 これらは独立したシード クラスターであり、単一の検出実行を構成し、独自の繰り返しスケジュールに基づいて動作します。 ユーザーは、探索グループを整理して、会社とワークフローに最適な方法で資産を説明できます。 一般的なオプションとしては、責任あるチーム/部署、ブランド、または子会社による整理が含まれます。

検出グループの作成

  1. 左側のナビゲーション列の [管理] セクションの下にある [検出] パネルを選択します。

    [管理] セクションが強調表示されている [概要] ページのEASM インスタンスのスクリーンショット

  2. この [検出] ページには、既定で探索グループの一覧が表示されます。 この一覧は、プラットフォームに初めてアクセスするときに空になります。 最初の検出を実行するには、[ 探索グループの追加] をクリックします。

  3. まず、新しい検出グループに名前を付け、説明を追加します。 [ 定期的な頻度 ] フィールドを使用すると、このグループの検出実行をスケジュールし、指定されたシードに関連する新しい資産を継続的にスキャンできます。 既定の繰り返しの選択は [週単位] です。Microsoft では、organizationの資産が定期的に監視および更新されるように、この間隔をお勧めします。 1 回限りの検出実行の場合は、[なし] を選択 します。 ただし、ユーザーは 週単位 の既定の周期を保持し、後で定期的な検出実行を中止する場合は、検出グループ設定内の履歴監視をオフにすることをお勧めします。

    [次へ: シード] >を選択します

    disco グループのセットアップの最初のページのスクリーンショット

  4. 次に、この探索グループに使用するシードを選択します。 シードは、organizationに属する既知の資産です。Defender EASM プラットフォームはこれらのエンティティをスキャンし、その接続を他のオンライン インフラストラクチャにマッピングして攻撃 Surface を作成します。

    disco グループのセットアップのシード選択ページのスクリーンショット

    クイック スタート オプションを使用すると、事前に設定された攻撃サーフェスの一覧でorganizationを検索できます。 organizationに属する既知の資産に基づいて、探索グループをすばやく作成できます。

    事前にベイクされた攻撃面の選択ページのスクリーンショット。その後、シード リストに出力されます

    または、ユーザーが自分のシードを手動で入力することもできます。 Defender EASMは、ドメイン、IP ブロック、ホスト、電子メール連絡先、ASN、WhoIs 組織をシード値として受け入れます。 また、検出された場合にインベントリに追加されないように、資産検出から除外するエンティティを指定することもできます。 たとえば、これは、中央インフラストラクチャに接続される可能性が高いが、organizationに属していない子会社を持つ組織に役立ちます。

    シードを選択したら、[ 確認と作成] を選択します。

  5. グループ情報とシード リストを確認し、[ 作成] & [実行] を選択します。

    レビューと作成画面のスクリーンショット

その後、探索グループを表示するメインの [探索] ページに戻ります。 検出の実行が完了すると、承認済みインベントリに追加された新しいアセットが表示されます。

次の手順

  • Last updated on