Eszközleltár használata az erőforrások biztonsági állapotának kezeléséhez
A felhőhöz készült Microsoft Defender eszközleltár oldalán látható a Felhőhöz készült Defenderhez csatlakoztatott erőforrások biztonsági állapota. A Defender for Cloud rendszeres időközönként elemzi az előfizetéseihez kapcsolódó erőforrások biztonsági állapotát a potenciális biztonsági problémák azonosítása és aktív javaslatok biztosításához. Az aktív javaslatok olyan javaslatok, amelyek megoldhatók a biztonsági helyzet javítása érdekében.
Használja ezt a nézetet és szűrőit az alábbi kérdések megválaszolásához:
- A Defender-csomagokkal rendelkező előfizetéseim közül melyik rendelkezik kiemelkedő javaslatokkal?
- A "Production" címkével rendelkező gépek közül melyik hiányzik a Log Analytics-ügynökből?
- Hány, adott címkével ellátott gépem rendelkezik kiemelkedő javaslatokkal?
- Egy adott erőforráscsoport mely gépei rendelkeznek ismert biztonsági réssel (CVE-számot használva)?
Az eszközleltár oldalán található biztonsági javaslatok a Javaslatok lapon is megjelennek, de itt az érintett erőforrásnak megfelelően jelennek meg. További információ a biztonsági javaslatok implementálásáról.
Rendelkezésre állás
Szempont | Részletek |
---|---|
Kiadási állapot: | Általános rendelkezésre állás (GA) |
Árképzés: | Ingyenes A leltároldal egyes funkcióinak, például a szoftverleltárnak fizetős megoldásokat kell használnia |
Szükséges szerepkörök és engedélyek: | Minden felhasználó |
Felhők: | Kereskedelmi felhők Nemzeti (Azure Government, a 21Vianet által üzemeltetett Microsoft Azure) A szoftverleltár jelenleg nem támogatott az országos felhőkben. |
Mik az eszközleltár fő jellemzői?
A leltárlap a következő eszközöket biztosítja:
1 – Összefoglalók
A szűrők definiálása előtt a leltárnézet tetején látható egy kiemelt értéksáv:
- Összes erőforrás: A Felhőhöz készült Defenderhez csatlakoztatott erőforrások teljes száma.
- Nem kifogástalan állapotú erőforrások: Olyan erőforrások, amelyeken az aktív biztonsági javaslatok implementálhatók. További információ a biztonsági javaslatok implementálásáról.
- Nem figyelt erőforrások: Ügynökfigyelési problémákkal rendelkező erőforrások – üzembe helyezték a Log Analytics-ügynököt, de az ügynök nem küld adatokat, vagy egyéb állapotproblémákkal rendelkezik.
- Nem regisztrált előfizetések: A kiválasztott hatókörben lévő olyan előfizetések, amelyek még nem csatlakoztak a felhőhöz Microsoft Defender.
2 – Szűrők
A lap tetején található több szűrő lehetővé teszi az erőforrások listájának gyors finomítását a megválaszolni kívánt kérdésnek megfelelően. Ha például tudni szeretné, hogy a "Production" címkével rendelkező gépek közül melyik hiányzik a Log Analytics-ügynökből, szűrheti az Ügynökfigyelés:"Nincs telepítve" és a Tags:"Production" listára.
Amint szűrőket alkalmazott, az összegző értékek frissülnek, hogy kapcsolódjanak a lekérdezés eredményeihez.
3 – Exportálási és eszközkezelési eszközök
Exportálási beállítások – A leltár tartalmaz egy lehetőséget a kiválasztott szűrőbeállítások eredményeinek CSV-fájlba való exportálására. A lekérdezést exportálhatja az Azure Resource Graph Explorerbe is a Kusto lekérdezésnyelv (KQL) lekérdezés további finomításához, mentéséhez vagy módosításához.
Tipp
A KQL dokumentációja egy adatbázist biztosít néhány mintaadattal és néhány egyszerű lekérdezéssel a nyelv "tapintatának" lekéréséhez. További információt ebben a KQL-oktatóanyagban talál.
Eszközkezelési beállítások – Ha megtalálta a lekérdezéseknek megfelelő erőforrásokat, a leltár parancsikonokat biztosít az olyan műveletekhez, mint például:
- Címkék hozzárendelése a szűrt erőforrásokhoz – jelölje be a címkézni kívánt erőforrások melletti jelölőnégyzeteket.
- Új kiszolgálók előkészítése a Felhőhöz készült Defenderbe – használja a Nem Azure-kiszolgálók hozzáadása eszköztár gombot.
- Számítási feladatok automatizálása az Azure Logic Appsszel – a Logikai alkalmazás aktiválása gombbal futtathat logikai alkalmazást egy vagy több erőforráson. A logikai alkalmazásokat előre fel kell készíteni, és el kell fogadni a megfelelő eseményindítótípust (HTTP-kérés). További információ a logikai alkalmazásokról.
Hogyan működik az eszközleltár?
Az eszközleltár az Azure Resource Graph (ARG) szolgáltatást használja, amely lehetővé teszi a Defender for Cloud biztonsági állapotadatainak lekérdezését több előfizetésben.
Az ARG-t úgy tervezték, hogy hatékony erőforrás-feltárást biztosítson a nagy léptékű lekérdezések lehetőségével.
Az eszközleltárban Kusto lekérdezésnyelv (KQL) használatával gyorsan mély elemzéseket készíthet, ha a Defender for Cloud-adatokra hivatkozik más erőforrás-tulajdonságokkal.
Eszközleltár használata
A Felhőhöz készült Defender oldalsávján válassza az Inventory (Leltár) lehetőséget.
A Szűrés név szerint mezővel megjeleníthet egy adott erőforrást, vagy a szűrők használatával adott erőforrásokra összpontosíthat.
Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.
Fontos
Az egyes szűrők beállításai az aktuálisan kiválasztott előfizetésekben lévő erőforrásokra és a többi szűrőben lévő beállításokra vonatkoznak.
Ha például csak egy előfizetést jelölt ki, és az előfizetés nem rendelkezik olyan erőforrásokkal, amelyekhez kimagasló biztonsági javaslatok tartoznak (0 nem kifogástalan állapotú erőforrás), a Javaslatok szűrőnek nincs lehetősége.
Ha a biztonsági megállapítások szűrőt tartalmaznak, adjon meg egy biztonsági rés-megállapítás azonosítójának, biztonsági ellenőrzésének vagy CVE-nevének szabad szövegét az érintett erőforrásokra való szűréshez:
Tipp
A biztonsági megállapítások tartalmazzák, a Címkék szűrők pedig csak egyetlen értéket fogadnak el. Ha több szűrővel szeretne szűrni, használja a Szűrők hozzáadása lehetőséget.
A Felhőhöz készült Defender szűrő használatához válasszon egy vagy több lehetőséget (Ki, Be vagy Részleges):
Kikapcsolva – A Microsoft Defender-csomag által nem védett erőforrások. Kattintson a jobb gombbal az erőforrásokra, és frissítse őket:
On – Microsoft Defender-terv által védett erőforrások
Részleges - Néhány, de nem az összes Microsoft Defender csomaggal rendelkező előfizetések le vannak tiltva. Az alábbi előfizetésben például hét Microsoft Defender csomag van letiltva.
A lekérdezés eredményeinek további vizsgálatához válassza ki az Önt érdeklő erőforrásokat.
Ha az aktuálisan kiválasztott szűrőbeállításokat lekérdezésként szeretné megtekinteni Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget.
Ha meghatározott néhány szűrőt, és nyitva hagyta az oldalt, a Defender for Cloud nem frissíti automatikusan az eredményeket. Az erőforrások módosításai csak akkor lesznek hatással a megjelenített eredményekre, ha manuálisan betölti a lapot, vagy nem választja a Frissítés lehetőséget.
Szoftverleltár elérése
A szoftverleltár eléréséhez az alábbi fizetős megoldások egyikére lesz szüksége:
- Ügynök nélküli gépi vizsgálat a Defender Cloud Security Posture Management (CSPM) szolgáltatásból.
- Ügynök nélküli gépi vizsgálata Defender for Servers P2-ből.
- Végponthoz készült Microsoft Defender Integráció a Defender for Servers szolgáltatásból.
Ha már engedélyezte az integrációt a Végponthoz készült Microsoft Defender és engedélyezte a kiszolgálók Microsoft Defender, akkor hozzáférhet a szoftverleltárhoz.
Megjegyzés
Az "Üres" beállítás Végponthoz készült Microsoft Defender vagy Microsoft Defender nélküli gépeket jelenít meg a kiszolgálókhoz.
Az eszközleltár oldalán található szűrők mellett az Azure Resource Graph Explorer szoftverleltár-adatait is megismerheti.
Példák az Azure Resource Graph Explorer szoftverleltár-adatok elérésére és feltárására:
Nyissa meg az Azure Resource Graph Explorert.
Válassza ki a következő előfizetési hatókört: securityresources/softwareinventories
Adja meg az alábbi lekérdezések bármelyikét (vagy szabja testre őket, vagy írjon sajátot!), majd válassza a Lekérdezés futtatása lehetőséget.
A telepített szoftverek alapszintű listájának létrehozása:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Verziószámok szerinti szűrés:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version) | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
A szoftvertermékek kombinációjával rendelkező gépek megkeresése:
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = properties.azureVmId | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql" | summarize count() by tostring(vmId) | where count_ > 1
Szoftvertermék és egy másik biztonsági javaslat kombinációja:
(Ebben a példában – a MySQL telepített és közzétett felügyeleti portokkal rendelkező gépek)
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = tolower(properties.azureVmId) | where properties.softwareName == "mysql" | join ( securityresources | where type == "microsoft.security/assessments" | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy" | extend vmId = tolower(properties.resourceDetails.Id) ) on vmId
Következő lépések
Ez a cikk a felhőhöz készült Microsoft Defender eszközleltár-oldalát ismertette.
A kapcsolódó eszközökkel kapcsolatos további információkért tekintse meg az alábbi oldalakat:
- Azure Resource Graph (ARG)
- Kusto lekérdezési nyelv (KQL)
- Az eszközleltárral kapcsolatos gyakori kérdés megtekintése