Uso del inventario de recursos para administrar la posición de seguridad de los recursos

La página de inventario de recursos de Microsoft Defender for Cloud proporciona una sola página para ver la posición de seguridad de los recursos que ha conectado a Microsoft Defender for Cloud.

Defender for Cloud analiza periódicamente el estado de seguridad de los recursos conectados a las suscripciones para identificar posibles vulnerabilidades de seguridad. A continuación, se proporcionan recomendaciones sobre cómo corregir dichos puntos vulnerables.

Cuando algún recurso tenga recomendaciones pendientes, aparecerán en el inventario.

Use esta vista y sus filtros para abordar preguntas como:

  • ¿Cuál de mis suscripciones con características de seguridad mejoradas habilitadas tiene recomendaciones pendientes?
  • ¿A cuál de mis máquinas con la etiqueta "producción" le falta el agente de Log Analytics?
  • ¿Cuántas máquinas, etiquetadas con una etiqueta específica, tienen recomendaciones pendientes?
  • ¿Qué máquinas de un grupo de recursos concreto tienen una vulnerabilidad conocida (con un número CVE)?

Las posibilidades de administración de recursos de esta herramienta son sustanciales y continúan creciendo.

Sugerencia

Las recomendaciones de seguridad de la página del inventario de recursos son las mismas que las de la página Recomendaciones, pero aquí se muestran según el recurso afectado. Para obtener más información sobre cómo resolver las recomendaciones, consulte Implementación de recomendaciones de seguridad en Microsoft Defender for Cloud.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Gratis*
* Algunas características de la página de inventario, como el inventario de software, requieren la aplicación de soluciones de pago.
Roles y permisos necesarios: Todos los usuarios
Nubes: Nubes comerciales
Nacionales (Azure Government, Azure China 21Vianet)

¿Cuáles son las características clave del inventario de recursos?

La página de inventario proporciona las siguientes herramientas:

Main features of the asset inventory page in Microsoft Defender for Cloud.

1: Resúmenes

Antes de definir ningún filtro, una franja destacada de valores en la parte superior de la vista de inventario muestra lo siguiente:

  • Recursos totales: el número total de recursos conectados a Defender for Cloud.
  • Recursos con estado incorrecto : recursos con recomendaciones de seguridad activas. Más información sobre las recomendaciones de seguridad.
  • Unmonitored resources (Recursos no supervisados): recursos con problemas de supervisión del agente; tienen implementado el agente de Log Analytics, pero no envía datos o tiene otros problemas de estado.
  • Suscripciones no registradas: cualquier suscripción del ámbito seleccionado que todavía no se ha conectado a Microsoft Defender for Cloud.

2: Filtros

Los distintos filtros de la parte superior de la página proporcionan una manera de refinar rápidamente la lista de recursos según la pregunta que intenta responder. Por ejemplo, si quisiera responder a la pregunta ¿A cuáles de mis máquinas con la etiqueta "Producción" les falta el agente de Log Analytics? , podría combinar el filtro Supervisión del agente con el filtro Etiquetas.

En cuanto haya aplicado filtros, los valores de resumen se actualizarán para relacionarlos con los resultados de la consulta.

3: Herramientas de administración de recursos y exportación

Opciones de exportación: el inventario incluye una opción para exportar los resultados de las opciones de filtro seleccionadas a un archivo CSV. También puede exportar la consulta propiamente dicha a Azure Resource Graph Explorer para refinar aún más, guardar o modificar la consulta del lenguaje de consulta Kusto (KQL).

Sugerencia

La documentación de KQL proporciona una base de datos con algunos datos de ejemplo junto con algunas consultas sencillas para saber cómo funciona el lenguaje. Más información en este tutorial de KQL.

Opciones de administración de recursos: cuando se encuentran los recursos que coinciden con las consultas, el inventario proporciona accesos directos a operaciones como:

  • Asignación de etiquetas a los recursos filtrados: active las casillas junto a los recursos que quiere etiquetar.
  • Incorpore nuevos servidores a Defender for Cloud: use el botón de la barra de herramientas Agregar servidores que no son de Azure.
  • Automatización de cargas de trabajo con Azure Logic Apps: use el botón Desencadenar aplicación lógica para ejecutar una aplicación lógica en uno o varios recursos. Las aplicaciones lógicas deben prepararse de antemano y aceptar el tipo de desencadenador correspondiente (solicitud HTTP). Más información sobre las aplicaciones lógicas

¿Cómo funciona el inventario de recursos?

El inventario de recursos emplea Azure Resource Graph (ARG), un servicio de Azure que proporciona la capacidad de consultar los datos de la posición de seguridad de Defender for Cloud en varias suscripciones.

ARG está diseñado para proporcionar una exploración de recursos eficaz con la posibilidad de realizar consultas a escala.

Con el lenguaje de consulta de Kusto (KQL), el inventario de recursos puede generar rápidamente información detallada gracias a la referencia cruzada de los datos de Defender for Cloud con otras propiedades de recursos.

Uso del inventario de recursos

  1. En la barra lateral de Defender for Cloud, seleccione Inventario.

  2. Use el cuadro Filtrar por nombre para mostrar un recurso específico o use los filtros como se describe a continuación.

  3. Seleccione las opciones correspondientes de los filtros para crear la consulta específica que quiere realizar.

    De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.

    Importante

    Las opciones de cada filtro son específicas de los recursos de las suscripciones seleccionadas actualmente y de las selecciones de los otros filtros.

    Por ejemplo, si ha seleccionado solo una suscripción y esta no tiene ningún recurso con recomendaciones de seguridad pendientes de corregir (0 recursos incorrectos), el filtro Recomendaciones no tendrán ninguna opción.

    Using the filter options in Microsoft Defender for Cloud's asset inventory to filter resources to production resources that aren't monitored

  4. Para usar el filtro Security findings contain (Las conclusiones de seguridad contienen), escriba texto libre para el identificador, la comprobación de seguridad o el nombre de CVE de una conclusión de vulnerabilidad para filtrar los recursos afectados:

    Sugerencia

    Los filtros Security findings contain (Las conclusiones de seguridad contienen) y Etiquetas solo aceptan un único valor. Para filtrar por más de uno, use Agregar filtros.

  5. Para usar el filtro Defender for Cloud, seleccione una o varias opciones (Desactivado, Activado o Parcial):

    • Desactivado: recursos que no están protegidos por un plan de Microsoft Defender. Puede hacer clic con el botón derecho en cualquiera de ellos y actualizarlos:

      Upgrade a resource to be protected by the relevant Microsoft Defender plan via right-click.

    • Activado: recursos que están protegidos por un plan de Microsoft Defender.

    • Parcial: esto se aplica a suscripciones que tienen algunos planes de Microsoft Defender deshabilitados, pero no todos. Por ejemplo, la siguiente suscripción tiene siete planes de Microsoft Defender deshabilitados.

      Subscription partially protected by Microsoft Defender plans.

  6. Para examinar más detalladamente los resultados de la consulta, seleccione los recursos que le interesen.

  7. Para ver las opciones de filtro seleccionadas actualmente en forma de consulta en Resource Graph Explorer, seleccione Abrir consulta.

    Inventory query in ARG.

  8. Si ha definido algunos filtros y ha dejado la página abierta, Defender for Cloud no actualizará los resultados de forma automática. Cualquier cambio en los recursos no afectará a los resultados mostrados a menos que se vuelva a cargar manualmente la página o se seleccione Actualizar.

Acceso a un inventario de software

Si ha habilitado la integración con Microsoft Defender para punto de conexión y ha habilitado Microsoft Defender para servidores, tendrá acceso al inventario de software.

If you've enabled the threat and vulnerability solution, Defender for Cloud's asset inventory offers a filter to select resources by their installed software.

Nota

La opción "En blanco" muestra las máquinas sin Microsoft Defender para punto de conexión (o sin Microsoft Defender para servidores).

Además de los filtros de la página de inventario de recursos, puede explorar los datos de inventario de software de Azure Resource Graph Explorer.

Ejemplos de uso de Azure Resource Graph Explorer para acceder a los datos de inventario de software y explorarlos:

  1. Abra Azure Resource Graph Explorer.

    Launching Azure Resource Graph Explorer** recommendation page

  2. Seleccione el siguiente ámbito de suscripción: securityresources/softwareinventories

  3. Escriba cualquiera de las siguientes consultas (o personalícelas o escriba las suyas propias) y seleccione Ejecutar consulta.

    • Para generar una lista básica del software instalado:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Para filtrar por los números de versión:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Para buscar máquinas con una combinación de productos de software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinación de un producto de software con otra recomendación de seguridad:

      (En este ejemplo: máquinas con MySQL instalado y puertos de administración expuestos)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Preguntas frecuentes sobre el inventario

¿Por qué no se muestran todas las suscripciones, máquinas, cuentas de almacenamiento, etc.?

En la vista de inventario se muestran los recursos conectados de Defender for Cloud desde la perspectiva de la administración de la posición de seguridad en la nube (CSPM). Los filtros no devuelven todos los recursos del entorno; solo los que tengan recomendaciones pendientes (o "activas").

Por ejemplo, en la captura de pantalla siguiente se muestra un usuario con acceso a 8 suscripciones, pero solo 7 tienen recomendaciones actualmente. Por tanto, cuando se filtran por Tipo de recurso = Suscripciones, solo las 7 suscripciones con recomendaciones activas aparecen en el inventario:

Not all subs returned when there are no active recommendations.

¿Por qué algunos de mis recursos muestran valores en blanco en las columnas Defender for Cloud o Agente de supervisión?

No todos los recursos supervisados de Defender for Cloud tienen agentes. Por ejemplo, las cuentas de Azure Storage o los recursos de PaaS como discos, Logic Apps, Data Lake Analysis y el Centro de eventos no necesitan que Defender for Cloud supervise los agentes.

Cuando el precio o la supervisión del agente no son pertinentes para un recurso, no se mostrará nada en esas columnas de inventario.

Some resources show blank info in the monitoring agent or Defender for Cloud columns.

Pasos siguientes

En este artículo se ha descrito la página de inventario de recursos de Microsoft Defender for Cloud.

Para más información sobre las herramientas relacionadas, consulte las siguientes páginas: