データ コネクタから値を取得する
Microsoft セキュリティ露出管理は、すべてのデジタル資産のセキュリティ体制データを統合することで、攻撃対象領域をマップし、最大のリスクにさらされている領域にセキュリティ作業を集中させることができます。 Microsoft 製品のデータは、Exposure Management に接続されると自動的に取り込まれます。外部データ ソースからさらにデータ コネクタを追加できます。
インポートされた資産とデータ型
外部製品に接続する目的は、すべてのデジタル資産と、攻撃対象領域に影響を与える可能性のあるセキュリティ コンテキストを完全に可視化することです。 この目的のために、次の資産の種類、コンテキスト エンリッチメント、および脆弱性の情報が取り込まれます。
- デバイス
- クラウド資産
- 脆弱 性
- 資産の重要度に関する情報
- 資産リスク評価
- ネットワークの詳細
- 露出分析情報 (インターネット公開など)
- ユーザー (将来)
- SaaS アプリ (将来)
資産情報とセキュリティ コンテキストは、露出管理にインポートされ、統合され、すべてのデジタル資産にわたるセキュリティ体制の包括的なビューが提供されます。 現在サポートされている外部データ ソースには、Qualys、Rapid7 InsightVM、Tenable Vulnerability Management、ServiceNow CMDB があります。
コネクタから取り込まれたデータは正規化され、露出グラフとデバイス インベントリに組み込まれます。 露出管理では、得られた貴重なコンテキストと分析情報を使用して、攻撃面のより正確な評価を生成し、露出リスクをより深く理解することができます。 このデータは、デバイス インベントリ、攻撃 Surface マップや高度なハンティングなどの露出グラフ探索ツール、およびコネクタによって取り込まれたエンリッチメント データに基づいて検出された攻撃パス内で使用できます。
最終的には、このデータは、特定の基準に対する露出リスクを測定するセキュリティ メトリックを強化するのにも役立ちます。また、ワークロード全体の露出リスクを測定する、または特定の脅威領域に関連する広範な組織イニシアチブにも影響します。
外部データ コネクタを使用する利点は次のとおりです。
- 露出グラフ内で正規化
- デバイス インベントリの強化
- リレーションシップのマッピング
- 新しい攻撃パスの表示
- 包括的な攻撃面の可視性を提供する
- 資産の重要度を組み込む
- ビジネス アプリケーションまたは運用提携を使用したコンテキストの強化
- 攻撃マップ ツールを使用した視覚化
- KQL を使用した高度なハンティング クエリの使用の探索
デバイス インベントリ内のコネクタ データ
[デバイス インベントリ] には、各デバイスの検出ソースが表示されます。これは、このデバイスでレポートを取得した製品です。 これには、MDE、MDC、MDI などの Microsoft Security 製品や、Qualys や ServiceNow CMDB などの外部データ ソースが含まれる場合があります。 インベントリ内の 1 つ以上の検出ソースをフィルター処理して、それらのソースによって特に検出されたデバイスを表示できます。
重要な資産管理
重要な資産を特定することは、organizationの最も重要な資産がデータ侵害や運用の中断のリスクから保護されるようにするうえで重要です。
資産の重要度に関するエンリッチメント情報は、これらの外部製品で計算された重要度評価に基づいて、データ コネクタから取得されます。 このデータが取り込まれると、Critical Asset Management には、サードパーティ製品から取得した重要度値を各資産の露出管理の重要度値に変換する組み込みのルールが含まれています。 これらの分類を表示し、重要な資産管理エクスペリエンスで有効または無効にすることができます。
露出グラフ
外部データ製品から取得した資産とエンリッチメント データを調べるには、この情報を露出グラフで表示することもできます。 Attack Surface マップ内では、コネクタによって検出された資産を表すノードを表示できます。組み込みのアイコンには、各アセットの検出ソースが表示されます。
資産のサイド ウィンドウを開くと、各資産のコネクタから取得された詳細なデータを表示することもできます。
高度な追及
検出されたデータと取り込まれたデータを外部データ ソースから調べるには、Advanced Hunting の露出グラフで クエリを実行 します。
例:
このクエリは、ServiceNow CMDB から取得したすべての資産とその詳細なメタデータを返します。
ExposureGraphNodes
| where NodeProperties contains ("serviceNowCmdbAssetInfo")
| extend SnowInfo = NodeProperties.rawData.serviceNowCmdbAssetInfo
このクエリは、Qualys から取得されたすべての資産を返します。
ExposureGraphNodes
| where EntityIds contains ("QualysAssetId")
このクエリは、取り込まれた資産に関して Rapid7 によって報告されたすべての脆弱性 (CVEs) を返します。
ExposureGraphEdges
| where EdgeLabel == "affecting"
| where tostring(EdgeProperties.rawData.reportInfo.reportedBy) == "rapid7"
| project AssetName = TargetNodeName, CVE = SourceNodeName
このクエリは、取り込まれた資産に対して Tenable によって報告されたすべての脆弱性 (CVEs) を返します。
ExposureGraphEdges
| where EdgeLabel == "affecting"
| where tostring(EdgeProperties.rawData.reportInfo.reportedBy) == "tenable"
| project AssetName = TargetNodeName, CVE = SourceNodeName
注:
動作しない、または結果が得られない高度なハンティング (AH) クエリのトラブルシューティングを行う場合、"reportedBy" フィールドでは大文字と小文字が区別されることに注意してください。 たとえば、有効な値には"rapid7"、"tenable"などがあります。
攻撃パス
セキュリティ露出管理は、外部コネクタからのデータを含め、資産とワークロード全体で収集されたデータに基づいて攻撃パスを自動的に生成します。 攻撃シナリオをシミュレートし、攻撃者が悪用する可能性のある脆弱性と弱点を特定します。
環境内の攻撃パスを探索するときに、パスのグラフィカル ビューに基づいて、この攻撃パスに貢献した検出ソースを表示できます。