無償版 Defender EASM
はじめに
Defender EASM は、自社が保有する資産(アセット)の中で外部に公開されているものをセキュリティチェックするサービスです。基本的には、監視対象となる資産(ドメインやホスト、DNS など)の数に応じた従量課金制ですが、実は Defender XDR ポータルで一部の機能を無償で利用することが可能です。この記事では、その利用方法や制限についてご紹介します。
設定
Defender EASM は Azure ポータルでデプロイし操作しますが、今回は Defender XDR ポータルのみを使用します。
Defender XDR ポータルで [露出管理] > [露出に関する分析情報] > [イニシアチブ] を開き、[External Attack Surface Protection] をクリックします。
[データを接続してイニシアティブの詳細を表示する] をクリックします。
ちなみに説明には以下のようにライセンスが不要である旨が書かれています。
ベンダー名の検索にて、セキュリティ チェックしたい組織名 (通常は自組織名) を検索し、[接続] をクリックします。今回は Microsoft Corporation を使用します。
なお、こちらは通常の Defender EASM で準備されているプリセットの組織と同様になっており、主要な組織であれば検索可能かと思います。例えば Japan や Tokyo と検索すると以下のように表示されます。
残念ながら通常版 Defender EASM の機能で提供されているカスタムでのシード (ドメインなどのアセット検索情報) 登録はできず、プリセットの組織の選択のみになるため、選択肢になければリクエストをあげる必要があります。
接続後、結果が表示されるまで数時間かかります。
結果確認
イニシアティブを開くと以下のように確認できます。さすがに資産の数が大きいです。
詳細見ていきます。期限が切れた証明書やドメインが多く残っていることが分かります。
なお資産の詳細までは見られません。無償では集計情報のみになっています。
まとめ
今回は無償版 Defender EASM を使用する方法と表示できる分析情報を確認しました。情報としてはかなり簡易的ではありますが、自組織の全体像をつかむだけでも効果はあるかと思いますので、ぜひ活用いただければと思います。
Discussion