استخدام مخزون الأصول لإدارة الوضع الأمني لمواردك

تعرض صفحة مخزون الأصول Microsoft Defender for Cloud الوضع الأمني للموارد التي قمت بتوصيلها ب Defender for Cloud. يحلل Defender for Cloud بشكل دوري حالة أمان الموارد المتصلة باشتراكاتك لتحديد مشكلات الأمان المحتملة ويوفر لك توصيات نشطة. التوصيات النشطة هي توصيات يمكن حلها لتحسين وضع الأمان الخاص بك.

استخدام طريقة العرض هذه وعوامل التصفية الخاصة بها لمعالجة أسئلة مثل:

• أي من اشتراكاتي مع تمكين خطط Defender يحتوي على توصيات معلقة؟
• أي من أجهزتي التي تحمل علامة "الإنتاج" تفتقد إلى عامل "تحليلات السجل"؟
• كم عدد أجهزتي المميزة بعلامة معينة لديها توصيات معلقة؟
• ما الأجهزة الموجودة في مجموعة موارد معينة التي لديها ثغرة أمنية معروفة (باستخدام رقم CVE)؟

يتم أيضا عرض توصيات الأمان في صفحة مخزون الأصول في صفحة التوصيات ، ولكن هنا يتم عرضها وفقا للمورد المتأثر. تعرف على المزيد حول تنفيذ توصيات الأمان.

التوفر

الجانب	التفاصيل
حالة الإصدار:	التوافر العام (GA)
التسعير:	مجاني تتطلب بعض ميزات صفحة المخزون، مثل مخزون البرامج أن تكون الحلول المدفوعة في مكانها
الأدوار والأذونات المطلوبة:	جميع المستخدمين
سحب:	السحابات التجارية National (Azure Government، Microsoft Azure المشغل بواسطة 21Vianet) مخزون البرامج غير مدعوم حاليا في السحب الوطنية.

ما الميزات الرئيسية لمخزون الأصول؟

توفر صفحة المخزون الأدوات التالية:

1 - ملخصات

قبل تحديد أي عوامل تصفية، يظهر شريط بارز من القيم أعلى عرض المخزون:

• إجمالي الموارد: العدد الإجمالي للموارد المتصلة بـ Defender for Cloud.
• الموارد غير السليمة: الموارد ذات توصيات الأمان النشطة التي يمكنك تنفيذها. تعرف على المزيد حول تنفيذ توصيات الأمان.
• الموارد غير الخاضعة للرقابة: الموارد المتعلقة بمشكلات مراقبة الوكيل - تم نشر وكيل تحليلات السجل، لكن الوكيل لا يرسل بيانات أو لديه مشكلات أخرى تتعلق بالسلامة.
• الاشتراكات غير المسجلة: أي اشتراك في النطاق المحدد لم يتم توصيله بعد Microsoft Defender for Cloud.

2 - عوامل التصفية

توفر عوامل التصفية المتعددة الموجودة أعلى الصفحة طريقة لتحسين قائمة الموارد بسرعة وفقًا للسؤال الذي تحاول الإجابة عليه. على سبيل المثال، إذا كنت تريد معرفة أي من أجهزتك التي تحتوي على العلامة "Production" تفتقد إلى عامل Log Analytics، يمكنك تصفية القائمة لمراقبة العامل:"غير مثبت" والعلامات:"الإنتاج".

بمجرد قيامك بتطبيق عوامل التصفية، يتم تحديث قيم الملخص لترتبط بنتائج الاستعلام.

3 - أدوات إدارة الأصول والتصدير

خيارات التصدير - يتضمن المخزون خيارًا لتصدير نتائج خيارات التصفية المحددة إلى ملف CSV. يمكنك أيضًا تصدير الاستعلام نفسه إلى Azure Resource Graph Explorer لتحسين أو حفظ أو تعديل استعلام Kusto Query Language (KQL).

تلميح

توفر وثائق KQL قاعدة بيانات مع بعض بيانات العينة مع بعض الاستعلامات البسيطة لاكتشاف اللغة. تعرف على المزيد في هذا البرنامج التعليمي KQL.

خيارات إدارة الأصول - عند العثور على الموارد التي تطابق استعلاماتك، يوفر المخزون اختصارات لعمليات مثل:

• تعيين علامات إلى الموارد التي تمت تصفيتها - حدد مربعات الاختيار بجانب الموارد التي تريد تمييزها.
• إلحاق خوادم جديدة بـ Defender for Cloud - استخدم زر شريط أدوات Add non-Azure servers.
• أتمتة أعباء العمل باستخدام Azure Logic Apps - استخدم زر Trigger Logic App لتشغيل تطبيق منطقي على مورد واحد أو أكثر. يجب إعداد تطبيقاتك المنطقية مسبقًا وقبول نوع المشغل المتعلق (طلب HTTP). تعرف على المزيد حول التطبيقات المنطقية.

كيف يعمل مخزون الأصول؟

يستخدم مخزون الأصول Azure Resource Graph (ARG)، وهي خدمة Azure تتيح لك الاستعلام عن بيانات وضع الأمان ل Defender for Cloud عبر اشتراكات متعددة.

تم تصميم ARG لتوفير استكشاف الموارد بكفاءة مع القدرة على الاستعلام على نطاق واسع.

يمكنك استخدام لغة استعلام Kusto (KQL) في مخزون الأصول لإنتاج رؤى عميقة بسرعة عن طريق الرجوع إلى بيانات Defender for Cloud مع خصائص الموارد الأخرى.

كيفية استخدام مخزون الأصول

1. من الشريط الجانبي لـ Defender for Cloud، حدد Inventory.

2. استخدم المربع تصفية حسب الاسم لعرض مورد معين، أو استخدم عوامل التصفية للتركيز على موارد معينة.

   بشكل افتراضي، يتم فرز الموارد حسب عدد توصيات الأمان النشطة.

   هام

   الخيارات الموجودة في كل عامل تصفية خاصة بالموارد الموجودة في الاشتراكات المحددة حاليًا وتحديداتك في عوامل التصفية الأخرى.

   على سبيل المثال، إذا حددت اشتراكًا واحدًا فقط، ولم يكن لدى الاشتراك موارد مع توصيات أمان معلقة لمعالجة (0 موارد غير صحية)، فلن يكون لعامل تصفية التوصيات أي خيارات.

   

3. لاستخدام عامل التصفية Security findings contain، أدخل نصًا مجانيًا من المعرف أو فحص الأمان أو اسم CVE لاكتشاف الثغرات الأمنية للتصفية إلى الموارد المتأثرة:

   

   تلميح

   يقبل عاملا التصفية Security findings contain وTags قيمة واحدة فقط. للتصفية حسب أكثر من عامل تصفية، استخدم إضافة عوامل تصفية.

4. لاستخدام عامل تصفية Defender for Cloud، حدد خيارًا واحدًا أو أكثر (Off، أو On، أو Partial):

   • إيقاف - الموارد غير المحمية بواسطة خطة Microsoft Defender. يمكنك النقر بزر الماوس الأيمن فوق الموارد وترقيتها:

     

   • تشغيل - الموارد المحمية بواسطة خطة Microsoft Defender

   • الجزئي - الاشتراكات مع تعطيل بعض خطط Microsoft Defender ولكن ليس كلها. على سبيل المثال، يحتوي الاشتراك التالي على سبع خطط Microsoft Defender معطلة.

     

5. لفحص نتائج الاستعلام بشكل أكبر، حدد الموارد التي تهمك.

6. لعرض خيارات التصفية المحددة الحالية كاستعلام في Resource Graph Explorer، حدد Open query.

   

7. إذا قمت بتعريف بعض عوامل التصفية وتركت الصفحة مفتوحة، فلن يقوم Defender for Cloud بتحديث النتائج تلقائيًا. لن تؤثر أي تغييرات على الموارد على النتائج المعروضة إلا إذا قمت بإعادة تحميل الصفحة يدويًا أو حدد تحديث.

الوصول إلى مخزون البرامج

للوصول إلى مخزون البرامج، ستحتاج إلى أحد الحلول المدفوعة التالية:

• فحص الجهاز بدون عامل من Defender Cloud Security Posture Management (CSPM).
• فحص الجهاز بدون عامل من Defender for Servers P2.
• Microsoft Defender لنقطة النهاية التكامل من Defender for Servers.

إذا قمت بالفعل بتمكين التكامل مع Microsoft Defender لنقطة النهاية وتمكين Microsoft Defender للخوادم، فسيكون لديك حق الوصول إلى مخزون البرامج.

ملاحظة

يعرض الخيار "فارغ" الأجهزة التي لا Microsoft Defender لنقطة النهاية أو بدون Microsoft Defender للخوادم.

بالإضافة إلى عوامل التصفية في صفحة مخزون الأصول، يمكنك استكشاف بيانات مخزون البرامج من Azure Resource Graph Explorer.

أمثلة على استخدام Azure Resource Graph Explorer للوصول إلى بيانات مخزون البرامج واستكشافها:

1. افتح Azure Resource Graph Explorer.

   

2. حدد نطاق الاشتراك التالي: securityresources/softwareinventories

3. أدخل أيًا من الاستعلامات التالية (أو قم بتخصيصها أو اكتب الاستعلام الخاص بك!) وحدد تشغيل الاستعلام.

   • لإنشاء قائمة أساسية بالبرامج المثبتة:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
     

   • للتصفية حسب أرقام الإصدارات:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
     | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
     

   • للعثور على الأجهزة التي بها مجموعة من منتجات البرامج:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | extend vmId = properties.azureVmId
     | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
     | summarize count() by tostring(vmId)
     | where count_ > 1
     

   • مزيج من منتج برنامج مع توصية أمان أخرى:

     (في هذا المثال - الأجهزة التي تحتوي على منافذ إدارة MySQL مثبتة ومكشوفة)

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | extend vmId = tolower(properties.azureVmId)
     | where properties.softwareName == "mysql"
     | join (
     securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
     | extend vmId = tolower(properties.resourceDetails.Id)
     ) on vmId
     

الخطوات التالية

وصفت هذه المقالة صفحة مخزون الأصول في Microsoft Defender for Cloud.

لمزيد من المعلومات حول الأدوات ذات الصلة، راجع الصفحات التالية:

• Azure Resource Graph (ARG)
• لغة الاستعلام Kusto (KQL)
• عرض السؤال الشائع حول مخزون الأصول