Erstellen von Abfragen mit dem Cloudsicherheits-Explorer
Die kontextbezogenen Sicherheitsfunktionen von Defender for Cloud unterstützen Sicherheitsteams dabei, das Risiko folgenschwerer Sicherheitsverletzungen zu reduzieren. Defender for Cloud bewertet das Risiko Ihrer Sicherheitsprobleme unter Berücksichtigung des Umgebungskontexts, um die größten Sicherheitsrisiken zu identifizieren und sie von Problemen mit geringerem Risiko abzugrenzen.
Mithilfe des Cloudsicherheits-Explorers können Sie Sicherheitsrisiken in Ihrer Cloudumgebung proaktiv identifizieren, indem Sie graphbasierte Abfragen für den Cloudsicherheitsgraphen (die Kontext-Engine von Defender for Cloud) ausführen. Sie können die Bedenken Ihres Sicherheitsteams priorisieren und den spezifischen Kontext sowie Konventionen Ihrer Organisation berücksichtigen.
Mit dem Cloudsicherheits-Explorer können Sie alle Sicherheitsprobleme und den Umgebungskontext abfragen. Hierzu zählen beispielsweise Ressourcenbestand, Gefährdung durch das Internet, Berechtigungen und Lateral Movement zwischen Ressourcen und in verschiedenen Clouds (Azure AWS und GCP).
Voraussetzungen
Sie müssen Defender CSPM aktivieren.
- Sie müssen die Überprüfung ohne Agent aktivieren.
Für den Containerstatus ohne Agents müssen Sie die folgenden Erweiterungen aktivieren:
Hinweis
Wenn Sie nur Defender for Servers P2 Plan 2 aktiviert haben, können Sie den Cloudsicherheits-Explorer verwenden, um Schlüssel und Geheimnisse abzufragen, es muss jedoch Defender CSPM aktiviert sein, um alle Vorteile des Explorers nutzen zu können.
Erforderliche Rollen und Berechtigungen:
- Sicherheitsleseberechtigter
- Sicherheitsadministrator
- Leser
- Mitwirkender
- Besitzer
In den Tabellen zur Cloudverfügbarkeit finden Sie Informationen zu den unterstützten Government- und Cloudumgebungen.
Erstellen einer Abfrage mit dem Cloudsicherheits-Explorer
Mit dem Cloudsicherheits-Explorer können Sie Abfragen erstellen, die mit dynamischen und effizienten Features proaktiv nach Sicherheitsrisiken in Ihren Umgebungen suchen können:
Abfragen für mehrere Clouds und mehrere Ressourcen: Die Filter zur Steuerung der Entitätsauswahl werden gruppiert und in logischen Steuerungskategorien kombiniert, um Sie beim Erstellen gleichzeitiger Abfragen für Cloudumgebungen und Ressourcen zu unterstützen.
Benutzerdefinierte Suche: Verwenden Sie die Dropdownmenüs, um Filter zum Erstellen Ihrer Abfrage anzuwenden.
Abfragevorlagen: Verwenden Sie eine der verfügbaren vordefinierten Abfragevorlagen, um die Erstellung Ihrer Abfrage effizienter zu gestalten.
Abfragelink freigeben: Kopieren Sie einen Link Ihrer Abfrage, und geben Sie ihn für andere Personen frei.
So erstellen Sie eine Abfrage
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Microsoft Defender for Cloud>Cloudsicherheits-Explorer.
Suchen Sie im Dropdownmenü eine Ressource, und wählen Sie sie aus.
Wählen Sie + aus, um Ihrer Abfrage weitere Filter hinzuzufügen.
Fügen Sie bei Bedarf Unterfilter hinzu.
Wählen Sie nach dem Erstellen der Abfrage Suchen aus, um die Abfrage auszuführen.
Wenn Sie eine Kopie Ihrer Ergebnisse lokal speichern möchten, können Sie mithilfe der Schaltfläche CSV-Bericht herunterladen eine Kopie Ihrer Suchergebnisse als CSV-Datei zu speichern.
Abfragevorlagen
Abfragevorlagen sind vorformatierte Suchvorgänge mit häufig verwendeten Filtern. Wählen Sie unten auf der Seite eine vorhandene Abfragevorlage aus, indem Sie Abfrage öffnen auswählen.
Die Vorlagen können geändert werden, um nach bestimmten Ergebnissen zu suchen. Ändern Sie hierzu die Abfrage, und wählen Sie Suchen aus.
Teilen einer Abfrage
Verwenden sie den Abfragelink, um eine Abfrage für andere Personen freizugeben. Wählen Sie nach dem Erstellen einer Abfrage Abfragelink freigeben aus. Der Link wird in die Zwischenablage kopiert.
