ما هو الاكتشاف؟
نظرة عامة
تعتمد إدارة الأجزاء المعرضة للهجوم الخارجية في Microsoft Defender (Defender EASM) على تقنية الاكتشاف الخاصة بنا لتحديد سطح الهجوم الفريد المكشوف عبر الإنترنت لمؤسستك باستمرار. يفحص Discovery الأصول المعروفة المملوكة لمؤسستك للكشف عن الخصائص غير المعروفة وغير الخاضعة للمراقبة سابقا. تتم فهرسة الأصول المكتشفة في مخزون العميل، ما يوفر نظاما ديناميكيا لسجل تطبيقات الويب وتبعيات الجهات الخارجية والبنية الأساسية للويب ضمن إدارة المؤسسة من خلال جزء واحد من الزجاج.
من خلال هذه العملية، تمكن Microsoft المؤسسات من مراقبة سطح الهجوم الرقمي المتغير باستمرار وتحديد المخاطر الناشئة وانتهاكات النهج عند ظهورها. تفتقر العديد من برامج الثغرات الأمنية إلى الرؤية خارج جدار الحماية الخاص بها، مما يجعلها غير مدركة للمخاطر والتهديدات الخارجية - المصدر الأساسي لخروقات البيانات. وفي الوقت نفسه، يستمر النمو الرقمي في تجاوز قدرة فريق أمان المؤسسة على حمايته. تؤدي المبادرات الرقمية و"Shadow IT" الشائعة بشكل مفرط إلى توسيع سطح الهجوم خارج جدار الحماية. بهذه الوتيرة، من المستحيل تقريبا التحقق من صحة عناصر التحكم والحماية ومتطلبات التوافق. بدون Defender EASM، من المستحيل تقريبا تحديد الثغرات الأمنية والماسحات الضوئية وإزالتها لا يمكن أن تتجاوز جدار الحماية لتقييم سطح الهجوم الكامل.
كيف تعمل هذه الميزة
لإنشاء تعيين شامل لسطح هجوم مؤسستك، يستوعب النظام أولا الأصول المعروفة (أي "البذور") التي يتم فحصها بشكل متكرر لاكتشاف كيانات إضافية من خلال اتصالاتها ببذور. قد تكون البذور الأولية أي من الأنواع التالية من البنية الأساسية للويب المفهرسة بواسطة Microsoft:
- أسماء المؤسسات
- النطاقات
- كتل IP
- المضيفون
- جهات اتصال البريد الإلكتروني
- Asns
- منظمات Whois
بدءا من البذور، يكتشف النظام اقترانات بالبنية الأساسية الأخرى عبر الإنترنت لاكتشاف الأصول الأخرى المملوكة لمؤسستك؛ تؤدي هذه العملية في نهاية المطاف إلى إنشاء مخزون سطح الهجوم الخاص بك. تستخدم عملية الاكتشاف البذور كعقد مركزية وعناكب نحو الخارج نحو طرف سطح الهجوم الخاص بك عن طريق تحديد جميع البنية الأساسية المتصلة مباشرة بالبذور، ثم تحديد جميع الأشياء المتعلقة بكل من الأشياء في المجموعة الأولى من الاتصالات، وما إلى ذلك. تستمر هذه العملية حتى نصل إلى حافة ما تتحمل مؤسستك مسؤولية إدارته.
على سبيل المثال، لاكتشاف البنية الأساسية لشركة Contoso، يمكنك استخدام المجال، contoso.com، كبذوة أساسية أولية. بدءا من هذه البذور، يمكننا استشارة المصادر التالية واشتقاق العلاقات التالية:
| مصدر البيانات | مثال |
|---|---|
| سجلات WhoIs | أسماء المجالات الأخرى المسجلة في نفس البريد الإلكتروني لجهة الاتصال أو المؤسسة المسجلة المستخدمة للتسجيل contoso.com من المحتمل أن تنتمي أيضا إلى Contoso |
| سجلات WhoIs | جميع أسماء المجالات المسجلة في أي @contoso.com عنوان بريد إلكتروني من المحتمل أن تنتمي أيضا إلى Contoso |
| سجلات Whois | قد تنتمي المجالات الأخرى المقترنة بنفس خادم الاسم مثل contoso.com أيضا إلى Contoso |
| سجلات DNS | يمكننا أن نفترض أن شركة Contoso تمتلك أيضا جميع المضيفين الملاحظين على المجالات التي تمتلكها وأي مواقع ويب مرتبطة بهؤلاء المضيفين |
| سجلات DNS | قد تنتمي المجالات التي تحتوي على مضيفين آخرين يحلون إلى كتل IP نفسها أيضا إلى Contoso إذا كانت المؤسسة تمتلك كتلة IP |
| سجلات DNS | خوادم البريد المقترنة بأسماء المجالات المملوكة لشركة Contoso تنتمي أيضا إلى Contoso |
| شهادات SSL | ربما تمتلك شركة Contoso أيضا جميع شهادات SSL المتصلة بكل من هؤلاء المضيفين وأي مضيفين آخرين يستخدمون نفس شهادات SSL |
| سجلات ASN | قد تنتمي كتل IP الأخرى المقترنة بنفس ASN مثل كتل IP التي يتصل بها المضيفون على أسماء مجالات Contoso أيضا إلى Contoso - كما هو الحال مع جميع المضيفين والمجالات التي يتم حلها لهم |
باستخدام هذه المجموعة من اتصالات المستوى الأول، يمكننا اشتقاق مجموعة جديدة تماما من الأصول للتحقيق فيها بسرعة. قبل إجراء تكرارات إضافية، تحدد Microsoft ما إذا كان الاتصال قويا بما يكفي لإضافة كيان مكتشف تلقائيا إلى المخزون المؤكد. لكل من هذه الأصول، يقوم نظام الاكتشاف بتشغيل عمليات بحث تلقائية ومتكررة استنادا إلى جميع السمات المتاحة للعثور على اتصالات المستوى الثاني والمستوى الثالث. توفر هذه العملية المتكررة مزيدا من المعلومات حول البنية الأساسية للمؤسسة عبر الإنترنت وبالتالي تكتشف أصولا متباينة ربما لم يتم اكتشافها ومراقبتها لاحقا بخلاف ذلك.
أسطح الهجوم التلقائية مقابل أسطح الهجوم المخصصة
عند استخدام Defender EASM لأول مرة، يمكنك الوصول إلى مخزون تم إنشاؤه مسبقا لمؤسستك لبدء مهام سير العمل بسرعة. من صفحة "البدء"، يمكن للمستخدمين البحث عن مؤسستهم لملء مخزونهم بسرعة استنادا إلى اتصالات الأصول التي حددتها Microsoft بالفعل. يوصى بأن يبحث جميع المستخدمين عن جهاز Attack Surface الذي تم إنشاؤه مسبقا لمؤسستهم قبل إنشاء مخزون مخصص.
لإنشاء مخزون مخصص، ينشئ المستخدمون مجموعات الاكتشاف لتنظيم وإدارة البذور التي يستخدمونها عند تشغيل الاكتشافات. تسمح مجموعات الاكتشاف المنفصلة للمستخدمين بأتمتة عملية الاكتشاف وتكوين القائمة الأولية وجدول التشغيل المتكرر.
المخزون المؤكد مقابل الأصول المرشحة
إذا اكتشف محرك الاكتشاف وجود اتصال قوي بين أصل محتمل والبذئ الأولي، فسيتضمن النظام تلقائيا هذا الأصل في "المخزون المؤكد" للمؤسسة. نظرا لأن الاتصالات بهذه البذور يتم فحصها بشكل متكرر، واكتشاف اتصالات من المستوى الثالث أو الرابع، فإن ثقة النظام في ملكية أي أصول تم اكتشافها حديثا أقل. وبالمثل، قد يكتشف النظام الأصول ذات الصلة بمؤسستك ولكن قد لا تكون مملوكة لهم مباشرة. لهذه الأسباب، يتم تسمية الأصول المكتشفة حديثا على أنها إحدى الحالات التالية:
| اسم الحالة | الوصف |
|---|---|
| المخزون المعتمد | جزء من سطح الهجوم الخاص بك؛ عنصر أنت مسؤول مباشرة عنه. |
| التبعية | البنية الأساسية المملوكة لجهة خارجية ولكنها جزء من سطح الهجوم الخاص بك لأنها تدعم مباشرة تشغيل الأصول المملوكة. على سبيل المثال، قد تعتمد على موفر تكنولوجيا المعلومات لاستضافة محتوى الويب الخاص بك. في حين أن المجال واسم المضيف والصفحات سيكون جزءا من "المخزون المعتمد"، فقد ترغب في التعامل مع عنوان IP الذي يشغل المضيف على أنه "تبعية". |
| المراقبة فقط | أصل ذو صلة بسطح الهجوم الخاص بك ولكن لا يتم التحكم فيه مباشرة ولا التبعية التقنية. على سبيل المثال، قد تسمى الامتيازات أو الأصول المستقلة التي تنتمي إلى الشركات ذات الصلة على أنها "مراقبة فقط" بدلا من "المخزون المعتمد" لفصل المجموعات لأغراض إعداد التقارير. |
| Candidate | أصل له بعض العلاقة بالأصول الأولية المعروفة لمؤسستك ولكن ليس لديه اتصال قوي بما فيه الكفاية لتسمية على الفور باسم "المخزون المعتمد". يجب مراجعة أصول المرشحين هذه يدويا لتحديد الملكية. |
| يتطلب التحقيق | حالة مشابهة لحالة "المرشح"، ولكن يتم تطبيق هذه القيمة على الأصول التي تتطلب تحقيقا يدويا للتحقق من الصحة. يتم تحديد هذا استنادا إلى درجات الثقة التي تم إنشاؤها داخليا والتي تقيم قوة الاتصالات المكتشفة بين الأصول. لا يشير إلى العلاقة الدقيقة للبنية الأساسية بالمؤسسة بقدر ما يشير إلى أنه تم وضع علامة على هذا الأصل على أنه يتطلب مراجعة إضافية لتحديد كيفية تصنيفه. |
يتم تحديث تفاصيل الأصول وتحديثها باستمرار بمرور الوقت للحفاظ على خريطة دقيقة لولايات الأصول والعلاقات، بالإضافة إلى الكشف عن الأصول المنشأة حديثا عند ظهورها. تتم إدارة عملية الاكتشاف عن طريق وضع البذور في مجموعات الاكتشاف التي يمكن جدولتها لإعادة التشغيل على أساس متكرر. بمجرد ملء المخزون، يقوم نظام Defender EASM بمسح أصولك باستمرار باستخدام تقنية المستخدم الظاهري من Microsoft للكشف عن بيانات جديدة ومفصلة حول كل منها. تفحص هذه العملية محتوى كل صفحة وسلوكها داخل المواقع القابلة للتطبيق لتوفير معلومات قوية يمكن استخدامها لتحديد الثغرات الأمنية ومشكلات التوافق والمخاطر المحتملة الأخرى لمؤسستك.