Erstellen von umfassenden, interaktiven Berichten zu Defender for Cloud-Daten mithilfe von Arbeitsmappen

  • Artikel

Azure-Arbeitsmappen sind flexible Canvas, mit denen Sie Daten analysieren und umfangreiche, visuelle Berichte im Azure-Portal erstellen können. In Arbeitsmappen können Sie auf mehrere Datenquellen in Azure zugreifen. Kombinieren Sie Arbeitsmappen in einheitliche, interaktive Erfahrungen.

Arbeitsmappen bieten eine Vielzahl von Funktionen zur Visualisierung Ihrer Azure-Daten. Detaillierte Informationen über die einzelnen Visualisierungstypen finden Sie in den Beispielen und der Dokumentation zu Visualisierungen.

In Microsoft Defender for Cloud können Sie auf integrierte Arbeitsmappen zugreifen, um den Sicherheitsstatus Ihrer Organisation nachzuverfolgen. Sie können auch benutzerdefinierte Arbeitsmappen erstellen, um eine breite Palette von Daten aus Defender für Cloud oder anderen unterstützten Datenquellen anzuzeigen.

Screenshot that shows the Secure Score Over Time workbook.

Informationen zu den Preisen finden Sie auf der Preisseite.

Voraussetzungen

Erforderliche Rollen und Berechtigungen: Um eine Arbeitsmappe zu speichern, müssen Sie mindestens über die Berechtigungen als Mitwirkender für Arbeitsmappen für die relevante Ressourcengruppe verfügen.

Cloudverfügbarkeit: Kommerzielle Clouds National (Azure Government, Microsoft Azure operated by 21Vianet)

In Defender for Cloud können Sie integrierte Azure-Arbeitsmappenfunktionen verwenden, um benutzerdefinierte, interaktive Arbeitsmappen zu erstellen, die Ihre Sicherheitsdaten anzeigen. Defender for Cloud enthält einen Arbeitsmappenkatalog mit den folgenden Arbeitsmappen, die Sie sofort anpassen können:

  • Arbeitsmappe „Abdeckung“: Verfolgen Sie die Abdeckung von Defender for Cloud-Plänen und -Erweiterungen in Ihren Umgebungen und Abonnements.
  • Arbeitsmappe „Sicherheitsscore im Zeitverlauf“: Verfolgen Sie die Scores Ihres Abonnements und Änderungen von Empfehlungen für Ihre Ressourcen.
  • Arbeitsmappe „Systemupdates“: Zeigen Sie fehlende Systemupdates nach Ressource, Betriebssystem, Schweregrad und mehr an.
  • Arbeitsmappe „Ergebnisse der Sicherheitsrisikobewertung“: Zeigen Sie die Ergebnisse von Sicherheitsrisikoscans für Ihre Azure-Ressourcen an.
  • Arbeitsmappe „Konformität im Zeitverlauf“: Zeigen Sie den Konformitätsstatus eines Abonnements mit den von Ihnen ausgewählten gesetzlichen Standards oder Branchenstandards an.
  • Arbeitsmappe „Aktive Warnungen“: Zeigen Sie aktive Warnungen nach Schweregrad, Typ, Tag, MITRE ATT&CK-Taktiken und Ort an.
  • Arbeitsmappe „Preisschätzung“: Zeigen Sie monatliche konsolidierte Preisschätzungen für Defender for Cloud-Pläne basierend auf den Ressourcentelemetriedaten in Ihrer Umgebung an. Die Zahlen sind Schätzungen, die auf Einzelhandelspreisen basieren, und sie stellen keine tatsächlichen Abrechnungs- oder Rechnungsdaten dar.
  • Arbeitsmappe „Governance“: Verwenden Sie den Governancebericht in den Einstellungen der Governanceregeln, um den Status der Regeln zu verfolgen, die sich auf Ihre Organisation auswirken.
  • Arbeitsmappe „DevOps-Sicherheit (Vorschau)“: Sehen Sie sich eine anpassbare Grundlage an, die Ihnen hilft, den Zustand Ihres DevOps-Status für die von Ihnen eingerichteten Konnektoren zu visualisieren.

Zusammen mit integrierten Arbeitsmappen finden Sie nützliche Arbeitsmappen in der Kategorie Community. Diese Arbeitsmappen werden „wie gesehen“ bereitgestellt und haben keine SLA oder Unterstützung. Sie können eine der bereitgestellten Arbeitsmappen auswählen oder Ihre eigene Arbeitsmappe erstellen.

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

Tipp

Um eine der Arbeitsmappen anzupassen, wählen Sie die Schaltfläche Bearbeiten aus. Wenn Sie die Bearbeitung abgeschlossen haben, klicken Sie auf Speichern. Die Änderungen werden in einer neuen Arbeitsmappe gespeichert.

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

Arbeitsmappe „Abdeckung“

Wenn Sie Defender for Cloud in mehreren Abonnements und Umgebungen (Azure, Amazon Web Services und Google Cloud Platform) aktivieren, kann es schwierig sein, nachzuverfolgen, welche Pläne aktiv sind. Dies gilt besonders dann, wenn Sie über mehrere Abonnements und Umgebungen verfügen.

Die Arbeitsmappe „Abdeckung“ hilft Ihnen nachzuverfolgen, welche Defender for Cloud-Pläne für welche Teile in Ihren Umgebungen aktiv sind. Diese Arbeitsmappe kann Ihnen helfen, sicherzustellen, dass Ihre Umgebungen und Abonnements vollständig geschützt sind. Durch den Zugriff auf detaillierte Abdeckungsinformationen können Sie alle Bereiche identifizieren, die möglicherweise mehr Schutz benötigen, so dass Sie Maßnahmen ergreifen können, um diese Bereiche zu schützen.

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

In dieser Arbeitsmappe können Sie ein Abonnement (oder alle Abonnements) auswählen und dann die folgenden Registerkarten anzeigen:

  • Zusätzliche Informationen: Zeigt Versionshinweise und eine Erläuterung der einzelnen Umschaltflächen an.
  • Relative Abdeckung: Zeigt den Prozentsatz der Abonnements oder Connectors an, für die ein bestimmter Defender for Cloud-Plan aktiviert ist.
  • Absolute Abdeckung: Zeigt den Status jedes Plans pro Abonnement an.
  • Detaillierte Abdeckung: Zeigt zusätzliche Einstellungen an, die aktiviert werden können oder die in den entsprechenden Plänen aktiviert werden müssen, um den vollen Wert des jeweiligen Plans zu erhalten.

Sie können auch die Azure-, Amazon Web Services- oder Google Cloud Platform-Umgebung in jedem einzelnen oder in allen Abonnements auswählen, um zu sehen, welche Pläne und Erweiterungen für die Umgebungen aktiviert sind.

Arbeitsmappe „Sicherheitsscore im Zeitverlauf“

Die Arbeitsmappe „Sicherheitsscore im Zeitverlauf" verwendet Sicherheitsscoredaten aus Ihrem Log Analytics-Arbeitsbereich. Die Daten müssen mithilfe des Tools für den fortlaufenden Export exportiert werden, wie unter Einrichten des fortlaufenden Exports für Defender for Cloud im Azure-Portal beschrieben.

Wenn Sie den fortlaufenden Export einrichten, wählen Sie unter Exporthäufigkeit sowohl Streamingupdates als auch Momentaufnahmen (Vorschau) aus.

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

Hinweis

Momentaufnahmen werden wöchentlich exportiert. Nach dem Export der ersten Momentaufnahme gibt es eine Verzögerung von mindestens einer Woche, bis Sie die Daten in der Arbeitsmappe anzeigen können.

Tipp

Um den fortlaufenden Export in Ihrer gesamten Organisation zu konfigurieren, verwenden Sie die bereitgestellten DeployIfNotExist-Richtlinien in Azure Policy, die unter Einrichten des fortlaufenden Exports im großen Stil beschrieben sind.

Die Arbeitsmappe „Sicherheitsscore im Zeitverlauf“ enthält fünf Diagramme für die Abonnements, die an die ausgewählten Arbeitsbereiche berichten:

Graph Beispiel
Bewertungstrends für die letzte Woche und den Monat
Verwenden Sie diesen Abschnitt, um die aktuelle Bewertung und allgemeine Bewertungstrends für Ihre Abonnements zu überwachen.		 Screenshot that shows trends for secure score on the built-in workbook.
Aggregierte Bewertung für alle ausgewählten Abonnements
Bewegen Sie die Maus über einen beliebigen Punkt in der Trendlinie, um die aggregierte Bewertung an einem bestimmten Datum im ausgewählten Zeitraum anzuzeigen.		 Screenshot that shows an aggregated score for all selected subscriptions.
Empfehlungen mit den fehlerhaftesten Ressourcen
Diese Tabelle hilft Ihnen bei der Selektierung der Empfehlungen, welche die meisten Ressourcen aufwiesen, die im ausgewählten Zeitraum in einen Status „fehlerhaft“ geändert wurden.		 Screenshot that shows recommendations that have the most unhealthy resources.
Bewertungen für bestimmte Sicherheitskontrollen
Die Sicherheitskontrollen von Defender for Cloud sind logische Gruppierungen von Empfehlungen. Dieses Diagramm zeigt Ihnen auf einen Blick die wöchentlichen Scores für alle Ihre Kontrollen.		 Screenshot that shows scores for your security controls over the selected time period.
Ressourcenänderungen
Empfehlungen, welche die meisten Ressourcen aufweisen, deren Zustand (fehlerfrei, fehlerhaft oder nicht zutreffend) sich während des ausgewählten Zeitraums geändert hat, werden hier aufgelistet. Wählen Sie eine beliebige Empfehlung aus der Liste aus, um eine neue Tabelle zu öffnen, welche die spezifischen Ressourcen auflistet.		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

Arbeitsmappe „Systemupdates“

Die Arbeitsmappe „Systemupdates“ basiert auf der Sicherheitsempfehlung, dass Systemupdates auf Ihren Computern installiert sein sollten. Diese Arbeitsmappe hilft Ihnen, Computer zu identifizieren, auf die Updates angewendet werden müssen.

Sie können den Updatestatus für ausgewählte Abonnements wie folgt anzeigen:

  • Eine Liste der Ressourcen mit ausstehenden Updates, die angewendet werden müssen.
  • Eine Liste der Updates, die in Ihren Ressourcen fehlen.

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

Arbeitsmappe „Ergebnisse der Sicherheitsrisikobewertung“

Defender for Cloud enthält Sicherheitsrisikoscanner für Ihre Computer, Container in Containerregistrierungen und Computer, auf denen SQL Server ausgeführt wird.

Weitere Informationen zur Verwendung dieser Überprüfungen:

Die Ergebnisse für die einzelnen Ressourcentypen werden in separaten Empfehlungen angegeben:

Die Arbeitsmappe „Ergebnisse der Sicherheitsrisikobewertung“ sammelt diese Ergebnisse und organisiert sie nach Schweregrad, Ressourcentyp und Kategorie.

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

Arbeitsmappe „Konformität im Zeitverlauf“

Microsoft Defender für Cloud vergleicht die Konfiguration Ihrer Ressourcen ständig mit den Anforderungen aus Branchenstandards, Vorschriften und Benchmarks. Zu den integrierten Standards gehören beispielsweise NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM und HIPAA HITRUST. Sie können die Standards auswählen, die für Ihre Organisation relevant sind, indem Sie das Dashboard zur Einhaltung gesetzlicher Bestimmungen verwenden. Weitere Informationen finden Sie unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen

Die Arbeitsmappe „Konformität im Zeitverlauf“ verfolgt Ihren Konformitätsstatus im Zeitverlauf mithilfe der verschiedenen Standards nach, die Sie Ihrem Dashboard hinzufügen.

Screenshot that shows how to select the standards for your Compliance Over Time report.

Wenn Sie im Übersichtsbereich des Berichts einen Standard auswählen, zeig der untere Bereich eine detaillierte Aufschlüsselung an:

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

Um die Ressourcen anzuzeigen, welche die einzelnen Kontrollen bestanden oder nicht bestanden haben, können Sie einen Drilldown bis zur Empfehlungsebene ausführen

Tipp

Für jeden Bereich des Berichts können Sie die Daten mithilfe der Option In Excel exportieren nach Excel exportieren.

Screenshot that shows how to export a compliance workbook data to Excel.

Arbeitsmappe „Aktive Warnungen“

Die Arbeitsmappe „Aktive Warnungen“ zeigt die aktiven Sicherheitswarnungen für Ihre Abonnements auf einem Dashboard an. Sicherheitswarnungen sind die Benachrichtigungen, die Defender for Cloud generiert, wenn Bedrohungen gegen Ihre Ressourcen erkannt werden. Defender for Cloud priorisiert und listet die Warnungen mit den Informationen auf, die Sie benötigen, um schnell zu untersuchen und zu beheben.

Diese Arbeitsmappe hilft Ihnen, die aktiven Bedrohungen in Ihrer Umgebung zu erkennen und zu priorisieren.

Hinweis

Die meisten Arbeitsmappen verwenden Azure Resource Graph zum Abfragen von Daten. Um beispielsweise eine Kartenansicht anzuzeigen, werden Daten in einem Log Analytics-Arbeitsbereich abgefragt. Fortlaufender Export sollte aktiviert sein. Exportieren Sie die Sicherheitswarnungen in den Log Analytics-Arbeitsbereich.

Sie können die aktiven Warnungen nach Schweregrad, Ressourcengruppe oder Tag anzeigen.

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

Sie können auch die wichtigsten Warnungen Ihres Abonnements nach angegriffenen Ressourcen, Warnungstypen und neuen Warnungen anzeigen.

Screenshot that highlights the top alerts for your subscriptions.

Um weitere Details zu einer Warnung anzuzeigen, wählen Sie die Warnung aus.

Screenshot that shows all high-severity active alerts for a specific resource.

Auf der Registerkarte MITRE ATT&CK-Taktiken werden Warnungen in der Reihenfolge der Kill Chain und die Anzahl der Warnungen in jeder Phase des Abonnements aufgelistet.

Screenshot that shows the order of the kill chain and the number of alerts.

Sie können alle aktiven Warnungen in einer Tabelle anzeigen und nach Spalten filtern.

Screenshot that shows the table of active alerts.

Um Details zu einer bestimmten Warnung anzuzeigen, wählen Sie die Warnung in der Tabelle aus, und wählen Sie dann die Schaltfläche Warnungsansicht öffnen aus.

Screenshot that shows an alert's details and the Open Alert View button.

Um alle Warnungen nach Ort in einer Kartenansicht anzuzeigen, wählen Sie die Registerkarte Kartenansicht aus.

Screenshot that shows the alerts when viewed in a map in Map View.

Wählen Sie einen Ort auf der Karte aus, um alle Warnungen für diesen Ort anzuzeigen.

Screenshot that shows the alerts in a specific location in Map View.

Um die Details für eine Warnung anzuzeigen, wählen Sie eine Warnung und dann die Schaltfläche Warnungsansicht öffnen aus.

Arbeitsmappe „DevOps-Sicherheit“

Die Arbeitsmappe „DevOps-Sicherheit“ bietet einen anpassbaren visuellen Bericht über Ihren DevOps-Sicherheitsstatus. Sie können diese Arbeitsmappe verwenden, um Erkenntnisse für Ihre Repositorys anzuzeigen, welche die höchste Anzahl häufiger Sicherheitsrisiken und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) und Schwachstellen aufweisen, für aktive Repositorys, welche die erweiterte Sicherheit deaktiviert haben, für Sicherheitsstatusbewertungen Ihrer DevOps-Umgebungskonfigurationen und vieles mehr. Passen Sie Ihre eigenen visuellen Berichte mithilfe der umfangreichen Daten in Azure Resource Graph an, und fügen Sie diese hinzu, um den geschäftlichen Anforderungen Ihres Sicherheitsteams gerecht zu werden.

Screenshot that shows a sample results page after you select the DevOps workbook.

Hinweis

Um diese Arbeitsmappe verwenden zu können, muss Ihre Umgebung über einen GitHub-Connector, GitLab-Connector oder Azure DevOps-Connector verfügen.

So stellen Sie die Arbeitsmappe bereit

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Arbeitsmappen.

  3. Wählen Sie die Arbeitsmappe DevOps-Sicherheit (Vorschau) aus.

Die Arbeitsmappe wird geladen und zeigt die Registerkarte Übersicht an. Auf dieser Registerkarte können Sie die Anzahl der offengelegten Geheimnisse, die Codesicherheit und die DevOps-Sicherheit sehen. Die Ergebnisse werden für jedes Repository nach Gesamtergebnis und nach Schweregrad angezeigt.

Um die Anzahl nach Geheimnistyp anzuzeigen, wählen Sie die Registerkarte Geheimnisse aus.

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

Auf der Registerkarte Code wird die Anzahl der Ergebnisse nach Tool und Repository angezeigt. Sie zeigt die Ergebnisse aus dem Scannen Ihres Codes nach Schweregrad an.

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

Auf der Registerkarte OSS-Sicherheitsrisiken werden OSS (Open Source Security)-Sicherheitsrisiken nach Schweregrad und der Anzahl der Ergebnisse nach Repository angezeigt.

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

Auf der Registerkarte Infrastruktur als Code werden Ihre Ergebnisse nach Tool und Repository angezeigt.

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

Auf der Registerkarte Status wird der Sicherheitsstatus nach Schweregrad und Repository angezeigt.

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

Auf der Registerkarte Bedrohungen und Taktiken wird die Anzahl der Bedrohungen und Taktiken nach Repository und die Gesamtanzahl angezeigt.

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

Importieren von Arbeitsmappen aus anderen Arbeitsmappenkatalogen

So verschieben Sie Arbeitsmappen, die Sie in anderen Azure-Diensten erstellt haben, in Ihren Microsoft Defender for Cloud-Arbeitsmappenkatalog:

  1. Öffnen Sie die Arbeitsmappe, die Sie importieren möchten.

  2. Wählen Sie in der Symbolleiste Bearbeiten aus.

    Screenshot that shows how to edit a workbook.

  3. Wählen Sie auf der Symbolleiste </> aus, um den erweiterten Editor zu öffnen.

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. Wählen Sie in der Vorlage des Arbeitsmappenkatalogs den gesamten JSON-Code in der Datei aus, und kopieren Sie ihn.

  5. Öffnen Sie den Arbeitsmappenkatalog in Defender for Cloud, und wählen Sie dann auf der Menüleiste Neu aus.

  6. Wählen Sie </> aus, um den Erweiterten Editor zu öffnen.

  7. Fügen Sie gesamten JSON-Code der Katalogvorlage ein.

  8. Wählen Sie Übernehmen.

  9. Wählen Sie auf der Symbolleiste Speichern als aus.

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. Um Änderungen an der Arbeitsmappe zu speichern, geben Sie die folgenden Informationen ein oder wählen diese aus:

    • Einen Namen für die Arbeitsmappe.
    • Die zu verwendende Azure-Region.
    • Alle relevanten Informationen zu Abonnement, Ressourcengruppe und Freigabe.

Um die gespeicherte Arbeitsmappe zu finden, wechseln Sie zur Kategorie Zuletzt geänderte Arbeitsmappen.

Zugehöriger Inhalt

Dieser Artikel beschreibt die in Defender for Cloud integrierte Seite „Azure-Arbeitsmappen“ mit eingebauten Berichten und der Option zum Erstellen Ihrer eigenen benutzerdefinierten, interaktiven Berichte.

Eingebaute Arbeitsmappen erhalten ihre Daten aus den Empfehlungen von Defender for Cloud.