Introducción a Defender EASM

  • Artículo

Microsoft Defender External Attack Surface Management (Defender EASM) detecta y asigna continuamente la superficie expuesta a ataques digitales para proporcionar una visión externa de la infraestructura en línea. Esta visibilidad permite a los equipos de seguridad y TI identificar elementos desconocidos, priorizar el riesgo, eliminar amenazas y ampliar el control de vulnerabilidades y exposición además que con el firewall. Se genera información sobre las superficies expuestas a ataques aprovechando los datos de vulnerabilidad y la infraestructura para mostrar las áreas clave de interés para la organización.

Screenshot of Overview Dashboard

Detección e inventario

La tecnología de detección propiedad de Microsoft busca de forma recurrente infraestructura con conexiones observadas a recursos legítimos conocidos para hacer inferencias sobre la relación de esa infraestructura con la organización y descubrir propiedades que antes ni se conocían ni se supervisaban. Estos activos legítimos conocidos se denominan "semillas" de detección; Defender EASM detecta primero conexiones seguras a estas entidades seleccionadas, recursando para revelar más conexiones y, en última instancia, compilar la superficie expuesta a ataques.

Defender EASM incluye la detección de los siguientes tipos de recursos:

  • Dominios
  • Nombres de host
  • Páginas web
  • Bloqueos de IP
  • Direcciones IP
  • ASN
  • Certificados SSL
  • Contactos de WHOIS

Screenshot of Discovery View

Los recursos detectados se indexan y se clasifican en el inventario de Defender EASM, lo que proporciona un registro dinámico de toda la infraestructura web parte de la administración de la organización. Los recursos se clasifican como recientes (actualmente activos) o históricos y pueden incluir aplicaciones web, dependencias de terceros y otras conexiones de recursos.

Paneles

Defender EASM proporciona una serie de paneles que ayudan a los usuarios a comprender rápidamente su infraestructura en línea y cualquier riesgo clave para su organización. Estos paneles están diseñados para proporcionar información sobre áreas específicas de riesgo, incluidas las vulnerabilidades, el cumplimiento y la higiene de la seguridad. Esta información ayuda a los clientes a abordar rápidamente los componentes de su superficie expuesta a ataques que suponen el mayor riesgo para la organización.

Screenshot of Dashboard View

Administración de recursos

Los clientes pueden filtrar su inventario para exponer la información específica que más les interesa. El filtrado ofrece un nivel de flexibilidad y personalización que permite a los usuarios acceder a un subconjunto específico de recursos. Esto permite aprovechar los datos de Defender EASM según su caso de uso específico, ya sea para buscar recursos que se conectan a infraestructura en desuso o para identificar nuevos recursos en la nube.

Screenshot of Inventory View

Permisos de usuario

Los usuarios a los que se les asignan roles propietario o colaborador pueden crear, eliminar y editar recursos de Defender EASM y los recursos de inventario dentro de él. Estos roles pueden usar toda la funcionalidad disponible en la plataforma. Los usuarios a los que se asigna el rol Lector pueden ver los datos de Defender EASM, pero no pueden crear, eliminar o editar recursos de inventario o el propio recurso.

Residencia de los datos, disponibilidad y privacidad

Microsoft Defender External Attack Surface Management contiene datos globales y datos específicos del cliente. Los datos subyacentes de Internet son datos globales de Microsoft; las etiquetas aplicadas por los clientes se consideran datos de cliente. Todos los datos de cliente se almacenan en la región que este prefiera.

Con fines de seguridad, Microsoft recopila las direcciones IP de los usuarios cuando inician sesión. Estos datos se almacenan durante un máximo de 30 días, pero pueden almacenarse más tiempo si es necesario para investigar posibles usos fraudulentos o malintencionados del producto.

En el caso de un escenario de reducción de región, solo los clientes de la región afectada experimentan tiempo de inactividad.

El marco de cumplimiento de Microsoft requiere que todos los datos del cliente se eliminen en un plazo de 180 días a partir de que esa organización deje de ser cliente de Microsoft. Esto también incluye el almacenamiento de datos del cliente en ubicaciones sin conexión, como copias de seguridad de bases de datos. Una vez eliminado un recurso, nuestros equipos no pueden restaurarlo. Los datos del cliente se conservan en nuestros almacenes de datos durante 75 días, pero el recurso real no se puede restaurar.  Después del período de 75 días, los datos del cliente se eliminarán permanentemente.  

Pasos siguientes