Eszközleltár használata az erőforrások biztonsági állapotának kezeléséhez

  • Cikk

A felhőhöz készült Microsoft Defender eszközleltár oldalán látható a Felhőhöz készült Defenderhez csatlakoztatott erőforrások biztonsági állapota. A Defender for Cloud rendszeres időközönként elemzi az előfizetéseihez kapcsolódó erőforrások biztonsági állapotát a potenciális biztonsági problémák azonosítása és aktív javaslatok biztosításához. Az aktív javaslatok olyan javaslatok, amelyek megoldhatók a biztonsági helyzet javítása érdekében.

Használja ezt a nézetet és szűrőit az alábbi kérdések megválaszolásához:

  • A Defender-csomagokkal rendelkező előfizetéseim közül melyik rendelkezik kiemelkedő javaslatokkal?
  • A "Production" címkével rendelkező gépek közül melyik hiányzik a Log Analytics-ügynökből?
  • Hány, adott címkével ellátott gépem rendelkezik kiemelkedő javaslatokkal?
  • Egy adott erőforráscsoport mely gépei rendelkeznek ismert biztonsági réssel (CVE-számot használva)?

Az eszközleltár oldalán található biztonsági javaslatok a Javaslatok lapon is megjelennek, de itt az érintett erőforrásnak megfelelően jelennek meg. További információ a biztonsági javaslatok implementálásáról.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: Ingyenes
A leltároldal egyes funkcióinak, például a szoftverleltárnak fizetős megoldásokat kell használnia
Szükséges szerepkörök és engedélyek: Minden felhasználó
Felhők: Kereskedelmi felhők
Nemzeti (Azure Government, a 21Vianet által üzemeltetett Microsoft Azure)

A szoftverleltár jelenleg nem támogatott az országos felhőkben.

Mik az eszközleltár fő jellemzői?

A leltárlap a következő eszközöket biztosítja:

A Microsoft Defender for Cloud eszközleltárlapjának fő funkciói.

1 – Összefoglalók

A szűrők definiálása előtt a leltárnézet tetején látható egy kiemelt értéksáv:

  • Összes erőforrás: A Felhőhöz készült Defenderhez csatlakoztatott erőforrások teljes száma.
  • Nem kifogástalan állapotú erőforrások: Olyan erőforrások, amelyeken az aktív biztonsági javaslatok implementálhatók. További információ a biztonsági javaslatok implementálásáról.
  • Nem figyelt erőforrások: Ügynökfigyelési problémákkal rendelkező erőforrások – üzembe helyezték a Log Analytics-ügynököt, de az ügynök nem küld adatokat, vagy egyéb állapotproblémákkal rendelkezik.
  • Nem regisztrált előfizetések: A kiválasztott hatókörben lévő olyan előfizetések, amelyek még nem csatlakoztak a felhőhöz Microsoft Defender.

2 – Szűrők

A lap tetején található több szűrő lehetővé teszi az erőforrások listájának gyors finomítását a megválaszolni kívánt kérdésnek megfelelően. Ha például tudni szeretné, hogy a "Production" címkével rendelkező gépek közül melyik hiányzik a Log Analytics-ügynökből, szűrheti az Ügynökfigyelés:"Nincs telepítve" és a Tags:"Production" listára.

Amint szűrőket alkalmazott, az összegző értékek frissülnek, hogy kapcsolódjanak a lekérdezés eredményeihez.

3 – Exportálási és eszközkezelési eszközök

Exportálási beállítások – A leltár tartalmaz egy lehetőséget a kiválasztott szűrőbeállítások eredményeinek CSV-fájlba való exportálására. A lekérdezést exportálhatja az Azure Resource Graph Explorerbe is a Kusto lekérdezésnyelv (KQL) lekérdezés további finomításához, mentéséhez vagy módosításához.

Tipp

A KQL dokumentációja egy adatbázist biztosít néhány mintaadattal és néhány egyszerű lekérdezéssel a nyelv "tapintatának" lekéréséhez. További információt ebben a KQL-oktatóanyagban talál.

Eszközkezelési beállítások – Ha megtalálta a lekérdezéseknek megfelelő erőforrásokat, a leltár parancsikonokat biztosít az olyan műveletekhez, mint például:

  • Címkék hozzárendelése a szűrt erőforrásokhoz – jelölje be a címkézni kívánt erőforrások melletti jelölőnégyzeteket.
  • Új kiszolgálók előkészítése a Felhőhöz készült Defenderbe – használja a Nem Azure-kiszolgálók hozzáadása eszköztár gombot.
  • Számítási feladatok automatizálása az Azure Logic Appsszel – a Logikai alkalmazás aktiválása gombbal futtathat logikai alkalmazást egy vagy több erőforráson. A logikai alkalmazásokat előre fel kell készíteni, és el kell fogadni a megfelelő eseményindítótípust (HTTP-kérés). További információ a logikai alkalmazásokról.

Hogyan működik az eszközleltár?

Az eszközleltár az Azure Resource Graph (ARG) szolgáltatást használja, amely lehetővé teszi a Defender for Cloud biztonsági állapotadatainak lekérdezését több előfizetésben.

Az ARG-t úgy tervezték, hogy hatékony erőforrás-feltárást biztosítson a nagy léptékű lekérdezések lehetőségével.

Az eszközleltárban Kusto lekérdezésnyelv (KQL) használatával gyorsan mély elemzéseket készíthet, ha a Defender for Cloud-adatokra hivatkozik más erőforrás-tulajdonságokkal.

Eszközleltár használata

  1. A Felhőhöz készült Defender oldalsávján válassza az Inventory (Leltár) lehetőséget.

  2. A Szűrés név szerint mezővel megjeleníthet egy adott erőforrást, vagy a szűrők használatával adott erőforrásokra összpontosíthat.

    Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.

    Fontos

    Az egyes szűrők beállításai az aktuálisan kiválasztott előfizetésekben lévő erőforrásokra és a többi szűrőben lévő beállításokra vonatkoznak.

    Ha például csak egy előfizetést jelölt ki, és az előfizetés nem rendelkezik olyan erőforrásokkal, amelyekhez kimagasló biztonsági javaslatok tartoznak (0 nem kifogástalan állapotú erőforrás), a Javaslatok szűrőnek nincs lehetősége.

    A felhő eszközleltárához tartozó Microsoft Defender szűrőbeállításainak használata az erőforrások figyelés alatt nem álló éles erőforrásokra való szűréséhez

  3. Ha a biztonsági megállapítások szűrőt tartalmaznak, adjon meg egy biztonsági rés-megállapítás azonosítójának, biztonsági ellenőrzésének vagy CVE-nevének szabad szövegét az érintett erőforrásokra való szűréshez:

    Tipp

    A biztonsági megállapítások tartalmazzák, a Címkék szűrők pedig csak egyetlen értéket fogadnak el. Ha több szűrővel szeretne szűrni, használja a Szűrők hozzáadása lehetőséget.

  4. A Felhőhöz készült Defender szűrő használatához válasszon egy vagy több lehetőséget (Ki, Be vagy Részleges):

    • Kikapcsolva – A Microsoft Defender-csomag által nem védett erőforrások. Kattintson a jobb gombbal az erőforrásokra, és frissítse őket:

      Frissítsen egy erőforrást úgy, hogy a megfelelő Microsoft Defender terv védve legyen a jobb gombbal.

    • On – Microsoft Defender-terv által védett erőforrások

    • Részleges - Néhány, de nem az összes Microsoft Defender csomaggal rendelkező előfizetések le vannak tiltva. Az alábbi előfizetésben például hét Microsoft Defender csomag van letiltva.

      Az előfizetést részben Microsoft Defender csomagok védik.

  5. A lekérdezés eredményeinek további vizsgálatához válassza ki az Önt érdeklő erőforrásokat.

  6. Ha az aktuálisan kiválasztott szűrőbeállításokat lekérdezésként szeretné megtekinteni Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget.

    Leltár lekérdezés az ARG-ben.

  7. Ha meghatározott néhány szűrőt, és nyitva hagyta az oldalt, a Defender for Cloud nem frissíti automatikusan az eredményeket. Az erőforrások módosításai csak akkor lesznek hatással a megjelenített eredményekre, ha manuálisan betölti a lapot, vagy nem választja a Frissítés lehetőséget.

Szoftverleltár elérése

A szoftverleltár eléréséhez az alábbi fizetős megoldások egyikére lesz szüksége:

Ha már engedélyezte az integrációt a Végponthoz készült Microsoft Defender és engedélyezte a kiszolgálók Microsoft Defender, akkor hozzáférhet a szoftverleltárhoz.

Ha engedélyezte a fenyegetés- és biztonságirés-megoldást, a Felhőhöz készült Defender eszközleltára egy szűrőt kínál az erőforrásoknak a telepített szoftver által történő kiválasztásához.

Megjegyzés

Az "Üres" beállítás Végponthoz készült Microsoft Defender vagy Microsoft Defender nélküli gépeket jelenít meg a kiszolgálókhoz.

Az eszközleltár oldalán található szűrők mellett az Azure Resource Graph Explorer szoftverleltár-adatait is megismerheti.

Példák az Azure Resource Graph Explorer szoftverleltár-adatok elérésére és feltárására:

  1. Nyissa meg az Azure Resource Graph Explorert.

    Az Azure Resource Graph Explorer** javaslatoldalának elindítása

  2. Válassza ki a következő előfizetési hatókört: securityresources/softwareinventories

  3. Adja meg az alábbi lekérdezések bármelyikét (vagy szabja testre őket, vagy írjon sajátot!), majd válassza a Lekérdezés futtatása lehetőséget.

    • A telepített szoftverek alapszintű listájának létrehozása:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Verziószámok szerinti szűrés:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • A szoftvertermékek kombinációjával rendelkező gépek megkeresése:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Szoftvertermék és egy másik biztonsági javaslat kombinációja:

      (Ebben a példában – a MySQL telepített és közzétett felügyeleti portokkal rendelkező gépek)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Következő lépések

Ez a cikk a felhőhöz készült Microsoft Defender eszközleltár-oldalát ismertette.

A kapcsolódó eszközökkel kapcsolatos további információkért tekintse meg az alábbi oldalakat: