Uso del inventario de recursos para administrar la posición de seguridad de los recursos

La página de inventario de recursos de Microsoft Defender for Cloud muestra la posición de seguridad de los recursos que se han conectado a Defender for Cloud. Defender for Cloud analiza periódicamente el estado de seguridad de los recursos conectados a las suscripciones para identificar posibles problemas de seguridad y le ofrece recomendaciones activas. Las recomendaciones activas son recomendaciones que se pueden resolver para mejorar la posición de seguridad.

Use esta vista y sus filtros para abordar preguntas como:

  • ¿Cuál de mis suscripciones con los planes de Defender habilitado tiene recomendaciones pendientes?
  • ¿A cuál de mis máquinas con la etiqueta "producción" le falta el agente de Log Analytics?
  • ¿Cuántas máquinas, etiquetadas con una etiqueta específica, tienen recomendaciones pendientes?
  • ¿Qué máquinas de un grupo de recursos concreto tienen una vulnerabilidad conocida (con un número CVE)?

Las recomendaciones de seguridad de la página del inventario de recursos también se muestran en la página Recomendaciones, pero aquí se muestran según el recurso afectado. Obtenga más información sobre la implementación de recomendaciones de seguridad.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Gratuito
Algunas características de la página de inventario, como el inventario de software, requieren soluciones de pago.
Roles y permisos necesarios: Todos los usuarios
Nubes: Nubes comerciales
Nacional (Azure Government, Microsoft Azure operado por 21Vianet)

El inventario de software no se admite actualmente en nubes nacionales.

¿Cuáles son las características clave del inventario de recursos?

La página de inventario proporciona las siguientes herramientas:

Características principales de la página de inventario de recursos de Microsoft Defender for Cloud.

1: Resúmenes

Antes de definir ningún filtro, una franja destacada de valores en la parte superior de la vista de inventario muestra lo siguiente:

  • Recursos totales: el número total de recursos conectados a Defender for Cloud.
  • Recursos incorrectos: recursos con recomendaciones de seguridad activas que puede implementar. Obtenga más información sobre la implementación de recomendaciones de seguridad.
  • Unmonitored resources (Recursos no supervisados): recursos con problemas de supervisión del agente; tienen implementado el agente de Log Analytics, pero no envía datos o tiene otros problemas de estado.
  • Suscripciones no registradas: cualquier suscripción del ámbito seleccionado que todavía no se ha conectado a Microsoft Defender for Cloud.

2: Filtros

Los distintos filtros de la parte superior de la página proporcionan una manera de refinar rápidamente la lista de recursos según la pregunta que intenta responder. Por ejemplo, si desea saber cuáles de las máquinas con la etiqueta "Producción" faltan al agente de Log Analytics, puede filtrar la lista de supervisión del agente:"No instalado" y Etiquetas:"Producción".

En cuanto haya aplicado filtros, los valores de resumen se actualizarán para relacionarlos con los resultados de la consulta.

3: Herramientas de administración de recursos y exportación

Opciones de exportación: el inventario incluye una opción para exportar los resultados de las opciones de filtro seleccionadas a un archivo CSV. También puede exportar la consulta propiamente dicha a Azure Resource Graph Explorer para refinar aún más, guardar o modificar la consulta del lenguaje de consulta Kusto (KQL).

Sugerencia

La documentación de KQL proporciona una base de datos con algunos datos de ejemplo junto con algunas consultas sencillas para saber cómo funciona el lenguaje. Más información en este tutorial de KQL.

Opciones de administración de recursos: cuando se encuentran los recursos que coinciden con las consultas, el inventario proporciona accesos directos a operaciones como:

  • Asignación de etiquetas a los recursos filtrados: active las casillas junto a los recursos que quiere etiquetar.
  • Incorpore nuevos servidores a Defender for Cloud: use el botón de la barra de herramientas Agregar servidores que no son de Azure.
  • Automatización de cargas de trabajo con Azure Logic Apps: use el botón Desencadenar aplicación lógica para ejecutar una aplicación lógica en uno o varios recursos. Las aplicaciones lógicas deben prepararse de antemano y aceptar el tipo de desencadenador correspondiente (solicitud HTTP). Más información sobre las aplicaciones lógicas

¿Cómo funciona el inventario de recursos?

El inventario de recursos utiliza Azure Resource Graph (ARG), un servicio de Azure que le permite consultar los datos de la posición de seguridad de Defender for Cloud en varias suscripciones.

ARG está diseñado para proporcionar una exploración de recursos eficaz con la posibilidad de realizar consultas a escala.

Puede usar Kusto Query Language (KQL) en el inventario de recursos para producir rápidamente conocimientos profundos cruzando los datos de Defender for Cloud con otras propiedades de los recursos.

Uso del inventario de recursos

  1. En la barra lateral de Defender for Cloud, seleccione Inventario.

  2. Use la casilla Filtrar por nombre para mostrar un recurso concreto, o utilice los filtros para centrarse en recursos específicos.

    De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.

    Importante

    Las opciones de cada filtro son específicas de los recursos de las suscripciones seleccionadas actualmente y de las selecciones de los otros filtros.

    Por ejemplo, si ha seleccionado solo una suscripción y esta no tiene ningún recurso con recomendaciones de seguridad pendientes de corregir (0 recursos incorrectos), el filtro Recomendaciones no tendrán ninguna opción.

    Uso de las opciones de filtro en el inventario de recursos de Microsoft Defender for Cloud para filtrar recursos para los recursos de producción no supervisados

  3. Para usar el filtro Security findings contain (Las conclusiones de seguridad contienen), escriba texto libre para el identificador, la comprobación de seguridad o el nombre de CVE de una conclusión de vulnerabilidad para filtrar los recursos afectados:

    Filtro

    Sugerencia

    Los filtros Security findings contain (Las conclusiones de seguridad contienen) y Etiquetas solo aceptan un único valor. Para filtrar por más de uno, use Agregar filtros.

  4. Para usar el filtro Defender for Cloud, seleccione una o varias opciones (Desactivado, Activado o Parcial):

    • Desactivado: recursos que no están protegidos por un plan de Microsoft Defender. Puede hacer clic con el botón derecho en los recursos y actualizarlos:

      Actualización de un recurso para que esté protegido por el plan de Microsoft Defender correspondiente mediante un clic con el botón derecho.

    • Activado: recursos protegidos por un plan de Microsoft Defender.

    • Parcial: - suscripciones con algunos planes de Microsoft Defender deshabilitados, pero no todos. Por ejemplo, la siguiente suscripción tiene siete planes de Microsoft Defender deshabilitados.

      Suscripción parcialmente protegida por planes de Microsoft Defender.

  5. Para examinar más detalladamente los resultados de la consulta, seleccione los recursos que le interesen.

  6. Para ver las opciones de filtro seleccionadas actualmente en forma de consulta en Resource Graph Explorer, seleccione Abrir consulta.

    Consulta de inventario en ARG.

  7. Si ha definido algunos filtros y ha dejado la página abierta, Defender for Cloud no actualizará los resultados de forma automática. Cualquier cambio en los recursos no afectará a los resultados mostrados a menos que se vuelva a cargar manualmente la página o se seleccione Actualizar.

Acceso a un inventario de software

Para acceder al inventario de software, necesitará una de las siguientes soluciones de pago:

Si ya ha habilitado la integración con Microsoft Defender para punto de conexión y también Microsoft Defender para servidores, tendrá acceso al inventario de software.

Si ha habilitado la solución de amenazas y vulnerabilidades, el inventario de recursos de Defender for Cloud ofrece un filtro para seleccionar los recursos por su software instalado.

Nota

La opción "En blanco" muestra las máquinas sin Microsoft Defender para punto de conexión o sin Microsoft Defender para servidores.

Además de los filtros de la página de inventario de recursos, puede explorar los datos de inventario de software de Azure Resource Graph Explorer.

Ejemplos de uso de Azure Resource Graph Explorer para acceder a los datos de inventario de software y explorarlos:

  1. Abra Azure Resource Graph Explorer.

    Inicio de la página de recomendaciones de Azure Resource Graph Explorer**

  2. Seleccione el siguiente ámbito de suscripción: securityresources/softwareinventories

  3. Escriba cualquiera de las siguientes consultas (o personalícelas o escriba las suyas propias) y seleccione Ejecutar consulta.

    • Para generar una lista básica del software instalado:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Para filtrar por los números de versión:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Para buscar máquinas con una combinación de productos de software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinación de un producto de software con otra recomendación de seguridad:

      (En este ejemplo: máquinas con MySQL instalado y puertos de administración expuestos)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Pasos siguientes

En este artículo se ha descrito la página de inventario de recursos de Microsoft Defender for Cloud.

Para más información sobre las herramientas relacionadas, consulte las siguientes páginas: