Was ist Microsoft Defender EASM?
Microsoft Defender External Attack Surface Management (EASM) entdeckt und überwacht kontinuierlich die externe, dem Internet ausgesetzte Angriffsfläche Ihres Unternehmens. Der Dienst scannt das Internet aus der Perspektive eines potenziellen Angreifers und identifiziert alle mit Ihrer Organisation verbundenen Assets: Domains, IP-Adressen, Webanwendungen, SSL-Zertifikate und Cloud-Ressourcen.
EASM geht über klassische Vulnerability Scanner hinaus, indem es auch unbekannte oder vergessene Assets aufspürt: Shadow IT, abgelaufene Domains, verwaiste Subdomains oder exponierte Entwicklungsumgebungen. Viele Sicherheitsvorfälle beginnen mit der Ausnutzung genau solcher vergessener Ressourcen.
Der Dienst liefert ein aktuelles Inventar aller externen Assets, bewertet deren Sicherheitsrisiko und priorisiert Handlungsempfehlungen basierend auf Schwachstellen, Fehlkonfigurationen und Exposition.
Kernfunktionen
- Automatische Entdeckung aller externen Assets ausgehend von Seed-Informationen
- Kontinuierliche Überwachung auf neue Schwachstellen und Fehlkonfigurationen
- Risikobewertung und Priorisierung nach Kritikalität und Exposition
- Erkennung von Shadow IT und unbekannten Cloud-Ressourcen
- Integration mit Microsoft Sentinel und Microsoft Defender for Cloud
Typische Anwendungsfälle
Attack Surface Reduction: Identifikation und Eliminierung unnötig exponierter Dienste, vergessener Subdomains und veralteter Webanwendungen zur Verkleinerung der Angriffsfläche.
M&A Due Diligence: Bewertung der externen Angriffsfläche eines Übernahmeziels, um Sicherheitsrisiken vor der Akquisition zu identifizieren und in die Bewertung einzubeziehen.
Compliance-Überwachung: Kontinuierliche Überprüfung, ob alle extern erreichbaren Systeme den Sicherheitsrichtlinien entsprechen, einschließlich SSL-Zertifikate, Patch-Stand und Konfiguration.
Vorteile
- Sichtbarkeit über die gesamte externe Angriffsfläche aus Angreifer-Perspektive
- Erkennung von Shadow IT und vergessenen Assets
- Priorisierte Handlungsempfehlungen statt Datenflut
- DSGVO-konform mit europäischer Datenverarbeitung
Häufig gestellte Fragen
Was unterscheidet EASM von einem Vulnerability Scanner?
Vulnerability Scanner prüfen bekannte Assets auf bekannte Schwachstellen. EASM entdeckt zunächst alle Assets (auch unbekannte) und bewertet dann deren Risiko. EASM arbeitet aus externer Perspektive und findet Shadow IT, die interne Scanner nicht erreichen.
Welche Seed-Informationen werden benötigt?
Zur initialen Einrichtung genügen Domain-Namen, IP-Bereiche oder Organisationsnamen. EASM erweitert diese Seeds automatisch durch Analyse von DNS-Records, SSL-Zertifikaten, WHOIS-Daten und Web-Crawling.
Wie häufig werden Assets gescannt?
EASM scannt kontinuierlich. Neue Assets werden typischerweise innerhalb von 24 bis 48 Stunden nach ihrer Entdeckung bewertet. Bestehende Assets werden regelmäßig auf neue Schwachstellen und Konfigurationsänderungen geprüft.
Integration mit innFactory
Als Microsoft Solutions Partner unterstützt innFactory Sie bei Microsoft Defender EASM: von der initialen Einrichtung und Asset-Discovery über die Risikobewertung bis zur Entwicklung einer Strategie zur Reduzierung Ihrer externen Angriffsfläche.
