Freigeben über

Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen

  • Artikel

Azure-Arbeitsmappen sind flexible Canvas, mit denen Sie Daten analysieren und umfangreiche, visuelle Berichte im Azure-Portal erstellen können. In Arbeitsmappen können Sie auf mehrere Datenquellen in Azure zugreifen. Kombinieren Sie Arbeitsmappen in einheitliche, interaktive Erfahrungen.

Arbeitsmappen bieten eine Vielzahl von Funktionen zur Visualisierung Ihrer Azure-Daten. Detaillierte Informationen über die einzelnen Visualisierungstypen finden Sie in den Beispielen und der Dokumentation zu Visualisierungen.

In Microsoft Defender for Cloud können Sie auf integrierte Arbeitsmappen zugreifen, um den Sicherheitsstatus Ihrer Organisation nachzuverfolgen. Sie können auch benutzerdefinierte Arbeitsmappen erstellen, um eine breite Palette von Daten aus Defender für Cloud oder anderen unterstützten Datenquellen anzuzeigen.

Screenshot mit der Arbeitsmappe „Sicherheitsbewertung im Zeitverlauf“

Informationen zu den Preisen finden Sie auf der Preisseite.

Voraussetzungen

Erforderliche Rollen und Berechtigungen: Um eine Arbeitsmappe zu speichern, müssen Sie mindestens über die Berechtigungen als Mitwirkender für Arbeitsmappen für die relevante Ressourcengruppe verfügen.

Cloudverfügbarkeit: Kommerzielle Clouds National (Azure Government, Microsoft Azure operated by 21Vianet)

In Defender for Cloud können Sie integrierte Azure-Arbeitsmappenfunktionen verwenden, um benutzerdefinierte, interaktive Arbeitsmappen zu erstellen, die Ihre Sicherheitsdaten anzeigen. Defender for Cloud enthält einen Arbeitsmappenkatalog mit den folgenden Arbeitsmappen, die Sie sofort anpassen können:

  • Arbeitsmappe „Abdeckung“: Verfolgen Sie die Abdeckung von Defender for Cloud-Plänen und -Erweiterungen in Ihren Umgebungen und Abonnements.
  • Arbeitsmappe „Sicherheitsscore im Zeitverlauf“: Verfolgen Sie die Scores Ihres Abonnements und Änderungen von Empfehlungen für Ihre Ressourcen.
  • Arbeitsmappe „Systemupdates“: Zeigen Sie fehlende Systemupdates nach Ressource, Betriebssystem, Schweregrad und mehr an.
  • Arbeitsmappe „Ergebnisse der Sicherheitsrisikobewertung“: Zeigen Sie die Ergebnisse von Sicherheitsrisikoscans für Ihre Azure-Ressourcen an.
  • Arbeitsmappe „Konformität im Zeitverlauf“: Zeigen Sie den Konformitätsstatus eines Abonnements mit den von Ihnen ausgewählten gesetzlichen Standards oder Branchenstandards an.
  • Arbeitsmappe „Aktive Warnungen“: Zeigen Sie aktive Warnungen nach Schweregrad, Typ, Tag, MITRE ATT&CK-Taktiken und Ort an.
  • Arbeitsmappe „Preisschätzung“: Zeigen Sie monatliche konsolidierte Preisschätzungen für Pläne in Defender for Cloud basierend auf den Ressourcentelemetriedaten in Ihrer Umgebung an. Die Zahlen sind Schätzungen, die auf Einzelhandelspreisen basieren, und sie stellen keine tatsächlichen Abrechnungs- oder Rechnungsdaten dar.
  • Arbeitsmappe „Governance“: Verwenden Sie den Governancebericht in den Einstellungen der Governanceregeln, um den Status der Regeln zu verfolgen, die sich auf Ihre Organisation auswirken.
  • Arbeitsmappe „DevOps-Sicherheit (Vorschau)“: Sehen Sie sich eine anpassbare Grundlage an, die Ihnen hilft, den Zustand Ihres DevOps-Status für die von Ihnen eingerichteten Konnektoren zu visualisieren.

Zusammen mit integrierten Arbeitsmappen finden Sie nützliche Arbeitsmappen in der Kategorie Community. Diese Arbeitsmappen werden „wie gesehen“ bereitgestellt und haben keine SLA oder Unterstützung. Sie können eine der bereitgestellten Arbeitsmappen auswählen oder Ihre eigene Arbeitsmappe erstellen.

Screenshot des Katalogs mit integrierten Arbeitsmappen in Microsoft Defender for Cloud

Tipp

Um eine der Arbeitsmappen anzupassen, wählen Sie die Schaltfläche Bearbeiten aus. Wenn Sie die Bearbeitung abgeschlossen haben, klicken Sie auf Speichern. Die Änderungen werden in einer neuen Arbeitsmappe gespeichert.

Screenshot, der zeigt, wie Sie eine bereitgestellte Arbeitsmappe bearbeiten, um sie an Ihre Anforderungen anzupassen

Arbeitsmappe „Abdeckung“

Wenn Sie Defender for Cloud in mehreren Abonnements und Umgebungen (Azure, Amazon Web Services und Google Cloud Platform) aktivieren, kann es schwierig sein, nachzuverfolgen, welche Pläne aktiv sind. Dies gilt besonders dann, wenn Sie über mehrere Abonnements und Umgebungen verfügen.

Die Arbeitsmappe „Abdeckung“ hilft Ihnen nachzuverfolgen, welche Defender for Cloud-Pläne für welche Teile in Ihren Umgebungen aktiv sind. Diese Arbeitsmappe kann Ihnen helfen, sicherzustellen, dass Ihre Umgebungen und Abonnements vollständig geschützt sind. Durch den Zugriff auf detaillierte Abdeckungsinformationen können Sie alle Bereiche identifizieren, die möglicherweise mehr Schutz benötigen, so dass Sie Maßnahmen ergreifen können, um diese Bereiche zu schützen.

Screenshot der Arbeitsmappe „Abdeckung“, in der die Pläne und Erweiterungen angezeigt werden, die in verschiedenen Abonnements und Umgebungen aktiviert sind

In dieser Arbeitsmappe können Sie ein Abonnement (oder alle Abonnements) auswählen und dann die folgenden Registerkarten anzeigen:

  • Zusätzliche Informationen: Zeigt Versionshinweise und eine Erläuterung der einzelnen Umschaltflächen an.
  • Relative Abdeckung: Zeigt den Prozentsatz der Abonnements oder Connectors an, für die ein bestimmter Defender for Cloud-Plan aktiviert ist.
  • Absolute Abdeckung: Zeigt den Status jedes Plans pro Abonnement an.
  • Detaillierte Abdeckung: Zeigt zusätzliche Einstellungen an, die aktiviert werden können oder die in den entsprechenden Plänen aktiviert werden müssen, um den vollen Wert des jeweiligen Plans zu erhalten.

Sie können auch die Azure-, Amazon Web Services- oder Google Cloud Platform-Umgebung in jedem einzelnen oder in allen Abonnements auswählen, um zu sehen, welche Pläne und Erweiterungen für die Umgebungen aktiviert sind.

Arbeitsmappe „Sicherheitsscore im Zeitverlauf“

Die Arbeitsmappe „Sicherheitsscore im Zeitverlauf" verwendet Sicherheitsscoredaten aus Ihrem Log Analytics-Arbeitsbereich. Die Daten müssen mithilfe des Tools für den fortlaufenden Export exportiert werden, wie unter Einrichten des fortlaufenden Exports für Defender for Cloud im Azure-Portal beschrieben.

Wenn Sie den fortlaufenden Export einrichten, wählen Sie unter Exporthäufigkeit sowohl Streamingupdates als auch Momentaufnahmen (Vorschau) aus.

Screenshot der Exporthäufigkeitsoptionen, die für den fortlaufenden Export in der Arbeitsmappe „Sicherheitsbewertung im Zeitverlauf“ ausgewählt werden sollen

Hinweis

Momentaufnahmen werden wöchentlich exportiert. Nach dem Export der ersten Momentaufnahme gibt es eine Verzögerung von mindestens einer Woche, bis Sie die Daten in der Arbeitsmappe anzeigen können.

Tipp

Um den fortlaufenden Export in Ihrer gesamten Organisation zu konfigurieren, verwenden Sie die bereitgestellten DeployIfNotExist-Richtlinien in Azure Policy, die unter Einrichten des fortlaufenden Exports im großen Stil beschrieben sind.

Die Arbeitsmappe „Sicherheitsscore im Zeitverlauf“ enthält fünf Diagramme für die Abonnements, die an die ausgewählten Arbeitsbereiche berichten:

Graph Beispiel
Bewertungstrends für die letzte Woche und den Monat
Verwenden Sie diesen Abschnitt, um die aktuelle Bewertung und allgemeine Bewertungstrends für Ihre Abonnements zu überwachen.		 Screenshot, der Trends für die Sicherheitsbewertung in der integrierten Arbeitsmappe zeigt
Aggregierte Bewertung für alle ausgewählten Abonnements
Bewegen Sie die Maus über einen beliebigen Punkt in der Trendlinie, um die aggregierte Bewertung an einem bestimmten Datum im ausgewählten Zeitraum anzuzeigen.		 Screenshot einer aggregierten Bewertung für alle ausgewählten Abonnements
Empfehlungen mit den fehlerhaftesten Ressourcen
Diese Tabelle hilft Ihnen bei der Selektierung der Empfehlungen, welche die meisten Ressourcen aufwiesen, die im ausgewählten Zeitraum in einen Status „fehlerhaft“ geändert wurden.		 Screenshot mit Empfehlungen, die über die meisten fehlerhaften Ressourcen verfügen
Bewertungen für bestimmte Sicherheitskontrollen
Die Sicherheitskontrollen von Defender for Cloud sind logische Gruppierungen von Empfehlungen. Dieses Diagramm zeigt Ihnen auf einen Blick die wöchentlichen Scores für alle Ihre Kontrollen.		 Screenshot mit den Bewertungen für Ihre Sicherheitskontrollen im ausgewählten Zeitraum
Ressourcenänderungen
Empfehlungen, welche die meisten Ressourcen aufweisen, deren Zustand (fehlerfrei, fehlerhaft oder nicht zutreffend) sich während des ausgewählten Zeitraums geändert hat, werden hier aufgelistet. Wählen Sie eine beliebige Empfehlung aus der Liste aus, um eine neue Tabelle zu öffnen, welche die spezifischen Ressourcen auflistet.		 Screenshot mit Empfehlungen, die die meisten Ressourcen aufweisen, die den Integritätszustand während des ausgewählten Zeitraums geändert haben.

Arbeitsmappe „Systemupdates“

Die Arbeitsmappe „Systemupdates“ basiert auf der Sicherheitsempfehlung, dass Systemupdates auf Ihren Computern installiert sein sollten. Diese Arbeitsmappe hilft Ihnen, Computer zu identifizieren, auf die Updates angewendet werden müssen.

Sie können den Updatestatus für ausgewählte Abonnements wie folgt anzeigen:

  • Eine Liste der Ressourcen mit ausstehenden Updates, die angewendet werden müssen.
  • Eine Liste der Updates, die in Ihren Ressourcen fehlen.

Defender for Cloud-Arbeitsmappe „Systemupdates“, basierend auf der Sicherheitsempfehlung zu fehlenden Updates.

Arbeitsmappe „Ergebnisse der Sicherheitsrisikobewertung“

Defender for Cloud enthält Sicherheitsrisikoscanner für Ihre Computer, Container in Containerregistrierungen und Computer, auf denen SQL Server ausgeführt wird.

Weitere Informationen zur Verwendung dieser Überprüfungen:

Die Ergebnisse für die einzelnen Ressourcentypen werden in separaten Empfehlungen angegeben:

Die Arbeitsmappe „Ergebnisse der Sicherheitsrisikobewertung“ sammelt diese Ergebnisse und organisiert sie nach Schweregrad, Ressourcentyp und Kategorie.

Screenshot des Berichts zu den Ergebnissen der Bewertung von Sicherheitsrisiken in Defender for Cloud

Arbeitsmappe „Konformität im Zeitverlauf“

Microsoft Defender für Cloud vergleicht die Konfiguration Ihrer Ressourcen ständig mit den Anforderungen aus Branchenstandards, Vorschriften und Benchmarks. Zu den integrierten Standards gehören beispielsweise NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM und HIPAA HITRUST. Sie können die Standards auswählen, die für Ihre Organisation relevant sind, indem Sie das Dashboard zur Einhaltung gesetzlicher Bestimmungen verwenden. Weitere Informationen finden Sie unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen

Die Arbeitsmappe „Konformität im Zeitverlauf“ verfolgt Ihren Konformitätsstatus im Zeitverlauf mithilfe der verschiedenen Standards nach, die Sie Ihrem Dashboard hinzufügen.

Screenshot, der zeigt, wie Sie die Standardwerte für Ihren „Compliance im Zeitverlauf“-Bericht auswählen

Wenn Sie im Übersichtsbereich des Berichts einen Standard auswählen, zeig der untere Bereich eine detaillierte Aufschlüsselung an:

Screenshot, der zeigt, wie eine detaillierte Aufschlüsselung der Änderungen in Bezug auf einen bestimmten Standard erstellt wird

Um die Ressourcen anzuzeigen, welche die einzelnen Kontrollen bestanden oder nicht bestanden haben, können Sie einen Drilldown bis zur Empfehlungsebene ausführen

Tipp

Für jeden Bereich des Berichts können Sie die Daten mithilfe der Option In Excel exportieren nach Excel exportieren.

Screenshot, der zeigt, wie Sie Compliancearbeitsmappendaten nach Excel exportieren

Arbeitsmappe „Aktive Warnungen“

Die Arbeitsmappe „Aktive Warnungen“ zeigt die aktiven Sicherheitswarnungen für Ihre Abonnements auf einem Dashboard an. Sicherheitswarnungen sind die Benachrichtigungen, die Defender for Cloud generiert, wenn Bedrohungen gegen Ihre Ressourcen erkannt werden. Defender for Cloud priorisiert und listet die Warnungen mit den Informationen auf, die Sie benötigen, um schnell zu untersuchen und zu beheben.

Diese Arbeitsmappe hilft Ihnen, die aktiven Bedrohungen in Ihrer Umgebung zu erkennen und zu priorisieren.

Hinweis

Die meisten Arbeitsmappen verwenden Azure Resource Graph zum Abfragen von Daten. Um beispielsweise eine Kartenansicht anzuzeigen, werden Daten in einem Log Analytics-Arbeitsbereich abgefragt. Fortlaufender Export sollte aktiviert sein. Exportieren Sie die Sicherheitswarnungen in den Log Analytics-Arbeitsbereich.

Sie können die aktiven Warnungen nach Schweregrad, Ressourcengruppe oder Tag anzeigen.

Screenshot einer Beispielansicht mit Warnungen sortiert nach Schweregrad, Ressourcengruppe und Tag

Sie können auch die wichtigsten Warnungen Ihres Abonnements nach angegriffenen Ressourcen, Warnungstypen und neuen Warnungen anzeigen.

Screenshot der wichtigsten Warnungen für Ihre Abonnements

Um weitere Details zu einer Warnung anzuzeigen, wählen Sie die Warnung aus.

Screenshot, der alle aktiven Warnungen mit hohem Schweregrad für eine bestimmte Ressource zeigt

Auf der Registerkarte MITRE ATT&CK-Taktiken werden Warnungen in der Reihenfolge der „Kill Chain“ und die Anzahl der Warnungen in jeder Phase des Abonnements aufgelistet.

Screenshot der Reihenfolge der Kette und der Anzahl der Warnungen

Sie können alle aktiven Warnungen in einer Tabelle anzeigen und nach Spalten filtern.

Screenshot der Tabelle der aktiven Warnungen

Um Details zu einer bestimmten Warnung anzuzeigen, wählen Sie die Warnung in der Tabelle aus, und wählen Sie dann die Schaltfläche Warnungsansicht öffnen aus.

Screenshot der Details einer Warnung und der Schaltfläche „Warnungsansicht öffnen“

Um alle Warnungen nach Ort in einer Kartenansicht anzuzeigen, wählen Sie die Registerkarte Kartenansicht aus.

Screenshot, der die Warnungen zeigt, wenn sie in einer Karte in der Kartenansicht angezeigt werden

Wählen Sie einen Ort auf der Karte aus, um alle Warnungen für diesen Ort anzuzeigen.

Screenshot der Warnungen an einer bestimmten Position in der Kartenansicht

Um die Details für eine Warnung anzuzeigen, wählen Sie eine Warnung und dann die Schaltfläche Warnungsansicht öffnen aus.

Arbeitsmappe „DevOps-Sicherheit“

Die Arbeitsmappe „DevOps-Sicherheit“ bietet einen anpassbaren visuellen Bericht über Ihren DevOps-Sicherheitsstatus. Sie können diese Arbeitsmappe verwenden, um Erkenntnisse für Ihre Repositorys anzuzeigen, welche die höchste Anzahl häufiger Sicherheitsrisiken und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) und Schwachstellen aufweisen, für aktive Repositorys, welche die erweiterte Sicherheit deaktiviert haben, für Sicherheitsstatusbewertungen Ihrer DevOps-Umgebungskonfigurationen und vieles mehr. Passen Sie Ihre eigenen visuellen Berichte mithilfe der umfangreichen Daten in Azure Resource Graph an, und fügen Sie diese hinzu, um den geschäftlichen Anforderungen Ihres Sicherheitsteams gerecht zu werden.

Screenshot einer Beispielergebnisseite, nachdem Sie die DevOps-Arbeitsmappe ausgewählt haben

Hinweis

Um diese Arbeitsmappe verwenden zu können, muss Ihre Umgebung über einen GitHub-Connector, GitLab-Connector oder Azure DevOps-Connector verfügen.

So stellen Sie die Arbeitsmappe bereit

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Arbeitsmappen.

  3. Wählen Sie die Arbeitsmappe DevOps-Sicherheit (Vorschau) aus.

Die Arbeitsmappe wird geladen und zeigt die Registerkarte Übersicht an. Auf dieser Registerkarte können Sie die Anzahl der offengelegten Geheimnisse, die Codesicherheit und die DevOps-Sicherheit sehen. Die Ergebnisse werden für jedes Repository nach Gesamtergebnis und nach Schweregrad angezeigt.

Um die Anzahl nach Geheimnistyp anzuzeigen, wählen Sie die Registerkarte Geheimnisse aus.

Screenshot der Registerkarte „Geheimnisse“, auf der die Anzahl der Ergebnisse nach Geheimnistyp angezeigt wird

Auf der Registerkarte Code wird die Anzahl der Ergebnisse nach Tool und Repository angezeigt. Sie zeigt die Ergebnisse aus dem Scannen Ihres Codes nach Schweregrad an.

Screenshot der Registerkarte „Code“ und den Ergebnissen nach Tool, Repository und Schweregrad

Auf der Registerkarte OSS-Sicherheitsrisiken werden OSS (Open Source Security)-Sicherheitsrisiken nach Schweregrad und der Anzahl der Ergebnisse nach Repository angezeigt.

Screenshot der Registerkarte „OSS-Sicherheitsanfälligkeiten“, auf der Schweregrade und Ergebnisse nach Repository angezeigt werden

Auf der Registerkarte Infrastruktur als Code werden Ihre Ergebnisse nach Tool und Repository angezeigt.

Screenshot der Registerkarte „Infrastructure-as-Code“, auf der Ihre Ergebnisse nach Tool und Repository angezeigt werden

Auf der Registerkarte Status wird der Sicherheitsstatus nach Schweregrad und Repository angezeigt.

Screenshot der Registerkarte „Status“, auf der der Sicherheitsstatus nach Schweregrad und Repository angezeigt wird

Auf der Registerkarte Bedrohungen und Taktiken wird die Anzahl der Bedrohungen und Taktiken nach Repository und die Gesamtanzahl angezeigt.

Screenshot der Registerkarte „Bedrohungen und Taktiken“, auf der die Gesamtanzahl der Bedrohungen und Taktiken und die Anzahl pro Repository angezeigt wird

Importieren von Arbeitsmappen aus anderen Arbeitsmappenkatalogen

So verschieben Sie Arbeitsmappen, die Sie in anderen Azure-Diensten erstellt haben, in Ihren Microsoft Defender for Cloud-Arbeitsmappenkatalog:

  1. Öffnen Sie die Arbeitsmappe, die Sie importieren möchten.

  2. Wählen Sie in der Symbolleiste Bearbeiten aus.

    Screenshot zum Bearbeiten einer Arbeitsmappe

  3. Wählen Sie auf der Symbolleiste </> aus, um den erweiterten Editor zu öffnen.

    Screenshot, der zeigt, wie Sie den erweiterten Editor öffnen, um den JSON-Code der Katalogvorlage zu kopieren

  4. Wählen Sie in der Vorlage des Arbeitsmappenkatalogs den gesamten JSON-Code in der Datei aus, und kopieren Sie ihn.

  5. Öffnen Sie den Arbeitsmappenkatalog in Defender for Cloud, und wählen Sie dann auf der Menüleiste Neu aus.

  6. Wählen Sie </> aus, um den Erweiterten Editor zu öffnen.

  7. Fügen Sie gesamten JSON-Code der Katalogvorlage ein.

  8. Wählen Sie Übernehmen.

  9. Wählen Sie auf der Symbolleiste Speichern als aus.

    Screenshot, der das Speichern der Arbeitsmappe im Katalog in Defender for Cloud zeigt

  10. Um Änderungen an der Arbeitsmappe zu speichern, geben Sie die folgenden Informationen ein oder wählen diese aus:

    • Einen Namen für die Arbeitsmappe.
    • Die zu verwendende Azure-Region.
    • Alle relevanten Informationen zu Abonnement, Ressourcengruppe und Freigabe.

Um die gespeicherte Arbeitsmappe zu finden, wechseln Sie zur Kategorie Zuletzt geänderte Arbeitsmappen.

Zugehöriger Inhalt

Dieser Artikel beschreibt die in Defender for Cloud integrierte Seite „Azure-Arbeitsmappen“ mit eingebauten Berichten und der Option zum Erstellen Ihrer eigenen benutzerdefinierten, interaktiven Berichte.

Eingebaute Arbeitsmappen erhalten ihre Daten aus den Empfehlungen von Defender for Cloud.