Eszközleltár használata az erőforrások biztonsági helyzetének kezeléséhez
A Felhőhöz készült Microsoft Defender eszközleltár lapján látható a Felhőhöz készült Defender csatlakoztatott erőforrások biztonsági állapota. Felhőhöz készült Defender rendszeresen elemzi az előfizetéseihez kapcsolódó erőforrások biztonsági állapotát a lehetséges biztonsági problémák azonosítása érdekében, és aktív javaslatokat tesz. Az aktív javaslatok olyan javaslatok, amelyek megoldhatók a biztonsági helyzet javítása érdekében.
Használja ezt a nézetet és szűrőit az alábbi kérdések megválaszolásához:
- A Defender-csomagokkal rendelkező előfizetéseim közül melyik rendelkezik kiemelkedő javaslatokkal?
- A "Production" címkével rendelkező gépek közül melyik hiányzik a Log Analytics-ügynökből?
- Hány, adott címkével ellátott gépem rendelkezik kiemelkedő javaslatokkal?
- Egy adott erőforráscsoport mely gépei rendelkeznek ismert biztonsági réssel (CVE-számmal)?
Az eszközleltár oldalán található biztonsági javaslatok a Javaslatok lapon is megjelennek, de itt az érintett erőforrásnak megfelelően jelennek meg. További információ a biztonsági javaslatok implementálásáról.
Elérhetőség
Szempont | Részletek |
---|---|
Kiadási állapot: | Általános rendelkezésre állás (GA) |
Díjszabás: | Ingyenes A leltároldal egyes funkcióinak, például a szoftverleltárnak fizetős megoldásokat kell használnia |
Szükséges szerepkörök és engedélyek: | Minden felhasználó |
Felhők: | Kereskedelmi felhők National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet) A szoftverleltár jelenleg nem támogatott az országos felhőkben. |
Mik az eszközleltár főbb jellemzői?
A leltárlap a következő eszközöket tartalmazza:
1 – Összegzések
A szűrők definiálása előtt a leltárnézet tetején egy kiemelt értéksáv jelenik meg:
- Összes erőforrás: A Felhőhöz készült Defender csatlakoztatott erőforrások teljes száma.
- Nem kifogástalan erőforrások: Azokat az erőforrásokat, amelyeken aktív biztonsági javaslatok implementálhatók. További információ a biztonsági javaslatok implementálásáról.
- Nem figyelt erőforrások: Ügynökfigyelési problémákkal rendelkező erőforrások – üzembe helyezték a Log Analytics-ügynököt, de az ügynök nem küld adatokat, vagy egyéb állapotproblémákkal is rendelkezik.
- Nem regisztrált előfizetések: A kiválasztott hatókörben lévő előfizetések, amelyek még nem csatlakoztak Felhőhöz készült Microsoft Defender.
2 – Szűrők
A lap tetején található több szűrő lehetővé teszi az erőforrások listájának gyors finomítását a megválaszolni kívánt kérdésnek megfelelően. Ha például tudni szeretné, hogy a "Production" címkével rendelkező gépek közül melyik hiányzik a Log Analytics-ügynökből, szűrheti az ügynökfigyelés listáját:"Nincs telepítve" és Címkék:"Éles üzem".
Amint szűrőket alkalmazott, az összegző értékek frissülnek, hogy a lekérdezés eredményeihez kapcsolódjanak.
3 – Exportálási és eszközkezelési eszközök
Exportálási beállítások – Az Inventory tartalmaz egy lehetőséget a kiválasztott szűrőbeállítások eredményeinek CSV-fájlba való exportálására. A lekérdezést az Azure Resource Graph Explorerbe is exportálhatja a Kusto lekérdezésnyelv (KQL) lekérdezés további finomításához, mentéséhez vagy módosításához.
Tipp.
A KQL dokumentációja néhány mintaadatot tartalmazó adatbázist és néhány egyszerű lekérdezést biztosít a nyelv "tapintásához". További információ ebben a KQL-oktatóanyagban.
Eszközkezelési lehetőségek – Ha megtalálta a lekérdezéseknek megfelelő erőforrásokat, a leltár parancsikonokat biztosít az olyan műveletekhez, mint például:
- Címkék hozzárendelése a szűrt erőforrásokhoz – jelölje be a címkézni kívánt erőforrások melletti jelölőnégyzeteket.
- Új kiszolgálók előkészítése Felhőhöz készült Defender – használja a Nem Azure-beli kiszolgálók hozzáadása eszköztárat.
- Számítási feladatok automatizálása az Azure Logic Appsszel – a Logikai alkalmazás aktiválása gombbal logikai alkalmazást futtathat egy vagy több erőforráson. A logikai alkalmazásokat előre fel kell készíteni, és el kell fogadni a megfelelő triggertípust (HTTP-kérés). További információ a logikai alkalmazásokról.
Hogyan működik az eszközleltár?
Az eszközleltár az Azure Resource Graphot (ARG) használja, amely lehetővé teszi Felhőhöz készült Defender biztonsági helyzetadatainak lekérdezését több előfizetésben.
Az ARG úgy lett kialakítva, hogy hatékony erőforrás-feltárást biztosítson a nagy léptékű lekérdezések lehetőségével.
Az eszközleltárban a Kusto lekérdezésnyelv (KQL) használatával gyorsan mély elemzéseket készíthet Felhőhöz készült Defender adatok más erőforrástulajdonságokkal való kereszthivatkozásával.
Eszközleltár használata
Felhőhöz készült Defender oldalsávján válassza az Inventory (Leltár) lehetőséget.
A Szűrés név szerint mezővel megjeleníthet egy adott erőforrást, vagy a szűrőkkel az adott erőforrásokra összpontosíthat.
Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.
Fontos
Az egyes szűrők beállításai az aktuálisan kiválasztott előfizetések erőforrásaira, a többi szűrőben pedig az Ön által kiválasztott erőforrásokra vonatkoznak.
Ha például csak egy előfizetést jelölt ki, és az előfizetés nem rendelkezik olyan erőforrásokkal, amelyekhez kimagasló biztonsági javaslatokat kell tenni a szervizeléshez (0 nem kifogástalan erőforrás), a Javaslatok szűrőnek nincs lehetősége.
Ha a biztonsági megállapítások szűrőt tartalmaznak , írjon be szabad szöveget egy biztonsági réskeresés azonosítójából, biztonsági ellenőrzéséből vagy CVE-nevéből az érintett erőforrásokra való szűréshez:
Tipp.
A biztonsági megállapítások tartalmazzák és a címkék szűrői csak egyetlen értéket fogadnak el. Ha több szűrővel szeretne szűrni, használja a Szűrők hozzáadása parancsot.
A Felhőhöz készült Defender szűrő használatához válasszon egy vagy több beállítást (Ki, Be vagy Részleges):
Kikapcsolva – Microsoft Defender-csomag által nem védett erőforrások. Kattintson a jobb gombbal az erőforrásokra, és frissítse őket:
Be – Microsoft Defender-csomag által védett erőforrások
Részleges - előfizetések , néhány, de nem az összes Microsoft Defender-csomag le van tiltva. Az alábbi előfizetésben például hét Microsoft Defender-csomag van letiltva.
A lekérdezés eredményeinek további vizsgálatához válassza ki az Önt érdeklő erőforrásokat.
Ha az aktuális szűrési beállításokat lekérdezésként szeretné megtekinteni a Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget.
Ha definiált néhány szűrőt, és nyitva hagyta az oldalt, Felhőhöz készült Defender nem frissíti automatikusan az eredményeket. Az erőforrások módosításai csak akkor lesznek hatással a megjelenített eredményekre, ha manuálisan betölti a lapot, vagy nem választja a Frissítés lehetőséget.
Szoftverleltár elérése
A szoftverleltár eléréséhez az alábbi fizetős megoldások egyikére lesz szüksége:
- Ügynök nélküli gépi vizsgálat a Defender Cloud Security Posture Management (CSPM) szolgáltatásból.
- Ügynök nélküli gépi vizsgálat a Defender for Servers P2-ből.
- Végponthoz készült Microsoft Defender Integráció a Defender for Servers szolgáltatásból.
Ha már engedélyezte az integrációt a Végponthoz készült Microsoft Defender és engedélyezte a Microsoft Defender for Servers szolgáltatást, hozzáférhet a szoftverleltárhoz.
Feljegyzés
Az "Üres" lehetőség Végponthoz készült Microsoft Defender vagy a Microsoft Defender for Servers nélkül lévő gépeket jeleníti meg.
Az eszközleltár lapon található szűrők mellett az Azure Resource Graph Explorer szoftverleltár-adatait is megismerheti.
Példák az Azure Resource Graph Explorer szoftverleltár-adatok elérésére és feltárására:
Nyissa meg az Azure Resource Graph Explorert.
Válassza ki a következő előfizetési hatókört: securityresources/softwareinventories
Adja meg a következő lekérdezések bármelyikét (vagy szabja testre őket, vagy írjon sajátot!), és válassza a Lekérdezés futtatása lehetőséget.
A telepített szoftverek alapszintű listájának létrehozása:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Verziószám alapján történő szűrés:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version) | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
A szoftvertermékek kombinációjával rendelkező gépek megkeresése:
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = properties.azureVmId | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql" | summarize count() by tostring(vmId) | where count_ > 1
Szoftvertermék kombinációja egy másik biztonsági javaslattal:
(Ebben a példában – a MySQL-t telepített és közzétett felügyeleti portokkal rendelkező gépek)
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = tolower(properties.azureVmId) | where properties.softwareName == "mysql" | join ( securityresources | where type == "microsoft.security/assessments" | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy" | extend vmId = tolower(properties.resourceDetails.Id) ) on vmId
Következő lépések
Ez a cikk a Felhőhöz készült Microsoft Defender eszközleltár-oldalát ismertette.
A kapcsolódó eszközökkel kapcsolatos további információkért tekintse meg a következő oldalakat:
- Azure Resource Graph (ARG)
- Kusto lekérdezésnyelv (KQL)
- Az eszközleltárral kapcsolatos gyakori kérdés megtekintése