Vue d’ensemble de Defender EASM

  • Article

Microsoft Defender EASM (External Attack Surface Management) découvre et mappe en permanence votre surface d’attaque numérique pour fournir une vue externe de votre infrastructure en ligne. Cette visibilité permet aux équipes informatiques et de sécurité d’identifier les inconnus, de hiérarchiser les risques, d’éliminer les menaces et d’étendre le contrôle des vulnérabilités et de l’exposition au-delà du pare-feu. Générés en tirant parti des données de vulnérabilité et d’infrastructure, les insights de surface d’attaque visent à présenter les principaux domaines de préoccupation pour votre organisation.

Screenshot of Overview Dashboard

Découverte et inventaire

La technologie de découverte propriétaire de Microsoft recherche de manière récursive l’infrastructure avec des connexions observées à des ressources légitimes connues pour faire des inférences sur la relation de cette infrastructure avec l’organisation et découvrir des propriétés inconnues et non supervisées. Ces ressources légitimes connues sont appelées « graines » de découverte ; Defender EASM découvre d’abord des connexions fortes à ces entités sélectionnées, pour, de manière récursive, dévoiler davantage de connexions et finalement compiler votre surface d’attaque.

Defender EASM inclut la découverte des types de ressources suivants :

  • Domaines
  • Noms d'hôte
  • Pages web
  • Blocs d’adresses IP
  • Adresses IP
  • ASN
  • Certificats SSL
  • Contacts WHOIS

Screenshot of Discovery View

Les ressources découvertes sont indexées et classifiées dans votre inventaire EASM Defender, fournissant un enregistrement dynamique de toute l’infrastructure web sous la gestion de l’organisation. Les ressources sont classées comme étant récentes (actives) ou historiques, et peuvent inclure des applications web, des dépendances tierces et d’autres connexions de ressource.

Tableaux de bord

Defender EASM fournit une série de tableaux de bord qui aident les utilisateurs à comprendre rapidement leur infrastructure en ligne et les risques clés pour leur organisation. Ces tableaux de bord sont conçus pour fournir des insights sur des domaines spécifiques de risque, notamment les vulnérabilités, la conformité et l’hygiène de sécurité. Ces insights aident les clients à traiter rapidement les composants de leur surface d’attaque qui présentent le plus grand risque pour leur organisation.

Screenshot of Dashboard View

Chargement des actifs multimédias

Les clients peuvent filtrer leur inventaire pour exposer les insights spécifiques dont ils se soucient le plus. Le filtrage offre un niveau de flexibilité et de personnalisation qui permet aux utilisateurs d’accéder à un sous-ensemble spécifique de ressources. Vous pouvez ainsi tirer parti des données EASM Defender en fonction de votre cas d’usage spécifique, qu’il s’agisse de rechercher des ressources qui se connectent à l’infrastructure en cours de dépréciation ou d’identifier de nouvelles ressources cloud.

Screenshot of Inventory View

Autorisations utilisateur

Les utilisateurs affectés aux rôles Propriétaire ou Contributeur peuvent créer, supprimer et modifier des ressources Defender EASM et les ressources d’inventaire qu’il contient. Ces rôles peuvent utiliser toutes les fonctionnalités offertes dans la plateforme. Les utilisateurs affectés au rôle Lecteur peuvent afficher les données Defender EASM, mais ne peuvent pas créer, supprimer ou modifier des ressources d’inventaire ou la ressource elle-même.

Résidence des données, disponibilité et confidentialité

Microsoft Defender External Attack Surface Management contient des données globales et des données spécifiques au client. Les données Internet sous-jacentes sont des données Microsoft globales ; les étiquettes appliquées par les clients sont considérées comme des données client. Toutes les données client sont stockées dans la région du choix du client.

À des fins de sécurité, Microsoft collecte les adresses IP des utilisateurs quand ils se connectent. Ces données sont stockées pendant 30 jours au maximum, mais peuvent être stockées plus longtemps si nécessaire pour investiguer l’utilisation frauduleuse ou malveillante potentielle du produit.

Dans le cas d’un scénario de panne régionale, seuls les clients de la région concernée subissent un temps d’arrêt.

Le cadre de conformité Microsoft exige que toutes les données client soient supprimées dans un délai de 180 jours suivant la date à laquelle l’organisation n’est plus cliente de Microsoft. Cela inclut également le stockage des données client dans des emplacements hors connexion, tels que les sauvegardes de base de données. Une fois qu’une ressource est supprimée, elle ne peut pas être restaurée par nos équipes. Les données client sont conservées dans nos magasins de données pendant 75 jours, mais la ressource réelle ne peut pas être restaurée.  Passé la période des 75 jours, les données client sont définitivement supprimées.  

Étapes suivantes