Použití inventáře prostředků ke správě stavu zabezpečení prostředků

Stránka inventáře prostředků v programu Microsoft Defender for Cloud poskytuje jednu stránku pro zobrazení stavu zabezpečení prostředků, které jste připojili k Programu Microsoft Defender for Cloud.

Defender for Cloud pravidelně analyzuje stav zabezpečení prostředků připojených k vašim předplatným a identifikuje potenciální ohrožení zabezpečení. Pak vám poskytne doporučení týkající se nápravy těchto ohrožení zabezpečení.

Pokud má jakýkoli prostředek nevyrovnaná doporučení, zobrazí se v inventáři.

Toto zobrazení a jeho filtry slouží k řešení takových otázek, jako jsou:

  • Které z mých předplatných s povolenými rozšířenými funkcemi zabezpečení mají vynikající doporučení?
  • Které z mých počítačů se značkou Production chybí agent Log Analytics?
  • Kolik počítačů označených konkrétní značkou má vynikající doporučení?
  • Které počítače v konkrétní skupině prostředků mají známou chybu zabezpečení (pomocí čísla CVE)?

Možnosti správy prostředků pro tento nástroj jsou podstatné a stále se rozšiřují.

Tip

Doporučení zabezpečení na stránce inventáře aktiv jsou stejná jako doporučení na stránce Doporučení , ale tady se zobrazují podle ovlivněného prostředku. Informace o řešení doporučení najdete v tématu Implementace doporučení zabezpečení v programu Microsoft Defender pro cloud.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Zdarma*
* Některé funkce stránky inventáře, jako je inventář softwaru , vyžadují, aby byla placená řešení.
Požadované role a oprávnění: Všichni uživatelé
Mraky: Komerční cloudy
National (Azure Government, Azure China 21Vianet)

Jaké jsou klíčové funkce inventáře prostředků?

Stránka inventáře obsahuje následující nástroje:

Main features of the asset inventory page in Microsoft Defender for Cloud.

1 . Souhrny

Před definováním filtrů se zobrazí výrazný pruh hodnot v horní části zobrazení inventáře:

  • Celkový počet prostředků: Celkový počet prostředků připojených k Defenderu pro cloud
  • Prostředky, které nejsou v pořádku: Prostředky s aktivním doporučením zabezpečení Přečtěte si další informace o doporučeních zabezpečení.
  • Nesledované prostředky: Prostředky s problémy s monitorováním agenta – mají nasazeného agenta Log Analytics, ale agent neodesílá data nebo má jiné problémy se stavem.
  • Nezaregistrovaná předplatná: Jakékoli předplatné ve vybraném oboru, které ještě nebyly připojené ke službě Microsoft Defender for Cloud.

2 . Filtry

Více filtrů v horní části stránky poskytuje způsob, jak rychle upřesnit seznam prostředků podle otázky, na kterou se pokoušíte odpovědět. Pokud například chcete odpovědět na otázku , na kterou z mých počítačů s značkou Production chybí agent Log Analytics? Můžete zkombinovat filtr monitorování agenta s filtrem Značky .

Jakmile použijete filtry, souhrnné hodnoty se aktualizují tak, aby souvisely s výsledky dotazu.

3. Nástroje pro export a správu prostředků

Možnosti exportu – Inventář obsahuje možnost exportu výsledků vybraných možností filtru do souboru CSV. Dotaz můžete také exportovat do Azure Resource Graph Exploreru, abyste mohli dále upřesnit, uložit nebo upravit dotaz Kusto Query Language (KQL).

Tip

Dokumentace KQL poskytuje databázi s některými ukázkovými daty společně s některými jednoduchými dotazy, abyste získali "pocit" pro jazyk. Další informace najdete v tomto kurzu KQL.

Možnosti správy prostředků – Když najdete prostředky, které odpovídají vašim dotazům, inventář poskytuje zástupce pro operace, jako jsou:

  • Přiřaďte značky k filtrovaným prostředkům – zaškrtněte políčka vedle prostředků, které chcete označit.
  • Onboarding nových serverů do Defenderu for Cloud – použijte tlačítko Přidat jiný panel nástrojů než servery Azure .
  • Automatizace úloh pomocí Azure Logic Apps – pomocí tlačítka Trigger Logic App spusťte aplikaci logiky na jednom nebo více prostředcích. Aplikace logiky musí být předem připravené a přijmout příslušný typ triggeru (požadavek HTTP). Přečtěte si další informace o aplikacích logiky.

Jak funguje inventář prostředků?

Inventarizace prostředků využívá Azure Resource Graph (ARG), službu Azure, která poskytuje možnost dotazovat se na data stavu zabezpečení v Programu Defender pro cloud napříč několika předplatnými.

Služba ARG je navržená tak, aby poskytovala efektivní zkoumání prostředků s možností dotazování ve velkém měřítku.

Pomocí dotazovacího jazyka Kusto (KQL) může inventář prostředků rychle vytvořit podrobné přehledy křížovým odkazem na data Defenderu pro cloud s jinými vlastnostmi prostředků.

Jak používat inventář prostředků

  1. Na bočním panelu Defenderu pro Cloud vyberte Inventář.

  2. Pomocí pole Filtrovat podle názvu zobrazte konkrétní prostředek nebo použijte filtry, jak je popsáno níže.

  3. Výběrem relevantních možností v filtrech vytvořte konkrétní dotaz, který chcete provést.

    Ve výchozím nastavení se prostředky seřadí podle počtu aktivních doporučení zabezpečení.

    Důležité

    Možnosti v jednotlivých filtrech jsou specifické pro prostředky v aktuálně vybraných předplatných a výběrech v ostatních filtrech.

    Pokud jste například vybrali jenom jedno předplatné a předplatné nemá žádné prostředky s nevyrovnanými doporučeními zabezpečení k nápravě (0 prostředků, které nejsou v pořádku), filtr doporučení nebude mít žádné možnosti.

    Using the filter options in Microsoft Defender for Cloud's asset inventory to filter resources to production resources that aren't monitored

  4. Chcete-li použít filtr zjištění zabezpečení , zadejte volný text z ID, kontroly zabezpečení nebo cve názvu chyby zabezpečení pro filtrování ovlivněných prostředků:

    Tip

    Zjištění zabezpečení obsahujífiltry a filtry značek přijímají pouze jednu hodnotu. Pokud chcete filtrovat podle více než jednoho, použijte přidat filtry.

  5. Pokud chcete použít filtr Defenderu pro cloud , vyberte jednu nebo více možností (vypnuto, zapnuto nebo částečné):

    • Vypnuto – Prostředky, které nejsou chráněné plánem Programu Microsoft Defender. Můžete kliknout pravým tlačítkem myši na některou z těchto možností a upgradovat je:

      Upgrade a resource to be protected by the relevant Microsoft Defender plan via right-click.

    • Zapnuto – Prostředky chráněné plánem Programu Microsoft Defender

    • Částečná – to platí pro předplatná , která mají některé, ale ne všechny plány Programu Microsoft Defender zakázané. Například následující předplatné obsahuje sedm zakázaných plánů Programu Microsoft Defender.

      Subscription partially protected by Microsoft Defender plans.

  6. Pokud chcete podrobněji prozkoumat výsledky dotazu, vyberte prostředky, které vás zajímají.

  7. Pokud chcete zobrazit aktuální vybrané možnosti filtru jako dotaz v Průzkumníku služby Resource Graph, vyberte Otevřít dotaz.

    Inventory query in ARG.

  8. Pokud jste definovali některé filtry a nechali stránku otevřenou, Defender for Cloud automaticky neaktualizuje výsledky. Všechny změny prostředků nebudou mít vliv na zobrazené výsledky, pokud stránku znovu nenačtete ručně nebo nevyberete Možnost Aktualizovat.

Přístup k inventáři softwaru

Pokud jste povolili integraci s Microsoft Defenderem pro koncový bod a povolili Microsoft Defender pro servery, budete mít přístup k inventáři softwaru.

If you've enabled the threat and vulnerability solution, Defender for Cloud's asset inventory offers a filter to select resources by their installed software.

Poznámka

Možnost Prázdné zobrazuje počítače bez programu Microsoft Defender for Endpoint (nebo bez programu Microsoft Defender pro servery).

Filtry na stránce inventáře prostředků můžete prozkoumat data inventáře softwaru z Azure Resource Graph Exploreru.

Příklady použití Azure Resource Graph Exploreru pro přístup k datům inventáře softwaru a jejich zkoumání:

  1. Otevřete Azure Resource Graph Explorer.

    Launching Azure Resource Graph Explorer** recommendation page

  2. Vyberte následující obor předplatného: securityresources/softwareinventories

  3. Zadejte libovolný z následujících dotazů (nebo je upravte nebo napište vlastní)) a vyberte Spustit dotaz.

    • Generování základního seznamu nainstalovaného softwaru:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Filtrování podle čísel verzí:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Vyhledání počítačů s kombinací softwarových produktů:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Kombinace softwarového produktu s jiným doporučením zabezpečení:

      (V tomto příkladu – počítače s nainstalovaným a vystaveným porty pro správu MySQL)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Nejčastější dotazy – Inventář

Proč se nezobrazují všechna předplatná, počítače, účty úložiště atd.

Zobrazení inventáře obsahuje seznam prostředků připojených ke cloudu defenderu z pohledu správy stavu zabezpečení cloudu (CSPM). Filtry nevrací všechny prostředky ve vašem prostředí; pouze ty s nevyrovnanými (nebo aktivními) doporučeními.

Například následující snímek obrazovky ukazuje uživatele s přístupem k 8 předplatným, ale v současné době má doporučení jenom 7. Takže když filtrují podle typu prostředku = Předplatná, zobrazí se v inventáři jenom tato 7 předplatných s aktivními doporučeními:

Not all subs returned when there are no active recommendations.

Proč některé z mých prostředků zobrazují prázdné hodnoty ve sloupcích agenta Defenderu pro cloud nebo monitorování?

Ne všechny monitorované prostředky Defenderu pro cloud mají agenty. Například účty Azure Storage nebo prostředky PaaS, jako jsou disky, Logic Apps, Data Lake Analysis a Event Hub, nepotřebují agenty monitorovat Defender for Cloud.

Pokud monitorování cen nebo agentů není pro prostředek relevantní, v těchto sloupcích inventáře se nic nezobrazí.

Some resources show blank info in the monitoring agent or Defender for Cloud columns.

Další kroky

Tento článek popisuje stránku inventáře prostředků v programu Microsoft Defender for Cloud.

Další informace o souvisejících nástrojích najdete na následujících stránkách: