Inventar persediaan aset cloud

Halaman inventori aset Microsoft Defender untuk Cloud menunjukkan postur keamanan sumber daya yang terhubung. Ini memberi Anda satu tampilan infrastruktur cloud di seluruh Azure, Amazon Web Services (AWS), dan Google Cloud Platform (GCP). Ini mengelompokkan aset berdasarkan beban kerja, kekritisan, dan status cakupan. Ini juga menggabungkan data kesehatan, tindakan perangkat, dan sinyal risiko di satu tempat.

Defender untuk Cloud menganalisis status keamanan sumber daya yang terhubung secara berkala. Saat sumber daya memiliki rekomendasi keamanan aktif atau pemberitahuan keamanan, sumber daya tersebut muncul di inventori.

Mengakses inventaris aset di portal Azure

Di portal Azure, navigasikan ke Microsoft Defender untuk Cloud>Inventory.

Halaman Inventori menyediakan informasi tentang:

• Sumber daya yang terhubung. Dengan cepat melihat sumber daya mana yang terhubung ke Defender untuk Cloud.
• Status keamanan keseluruhan: Dapatkan ringkasan yang jelas tentang status keamanan sumber daya Azure, AWS, dan GCP yang terhubung, termasuk total sumber daya yang terhubung ke Defender untuk Cloud, sumber daya berdasarkan lingkungan, dan jumlah sumber daya yang tidak aman.
• Rekomendasi, pemberitahuan: Telusuri paling detail status sumber daya tertentu untuk melihat rekomendasi keamanan aktif dan pemberitahuan keamanan untuk sumber daya.
• Prioritas risiko: Rekomendasi berbasis risiko menetapkan tingkat risiko ke rekomendasi, berdasarkan faktor-faktor seperti sensitivitas data, paparan internet, potensi gerakan lateral, dan jalur serangan potensial.
• Prioritas risiko tersedia saat paket Defender CSPM diaktifkan.
• Perangkat lunak. Anda dapat meninjau sumber daya dengan aplikasi yang diinstal. Untuk memanfaatkan inventori perangkat lunak, paket Defender Cloud Security Posture Management (CSPM), atau paket Defender untuk Server harus diaktifkan.

Inventory menggunakan Azure Resource Graph (ARG) untuk mengkueri dan mengambil data dalam skala besar. Untuk wawasan kustom yang mendalam, Anda dapat menggunakan KQL untuk mengkueri inventarisasi.

Tinjau inventaris

1. Di Defender untuk Cloud di portal Azure, pilih Inventory. Secara default, sumber daya diurutkan berdasarkan jumlah rekomendasi keamanan aktif.
2. Tinjau pengaturan yang tersedia:
   • Di Pencarian, Anda dapat menggunakan pencarian teks gratis untuk menemukan sumber daya.
   • sumber daya Total menampilkan jumlah sumber daya yang tersambung ke Defender untuk Cloud.
   • Sumber daya yang tidak sehat menampilkan jumlah sumber daya dengan rekomendasi dan pemberitahuan keamanan aktif.
   • Jumlah sumber daya berdasarkan lingkungan: Total jumlah sumber daya Azure, AWS, dan GCP.
3. Pilih sumber daya untuk menelusuri detailnya.
4. Pada halaman Resource Health untuk sumber daya, tinjau informasi tentang sumber daya.
   • Tab Rekomendasi menunjukkan rekomendasi keamanan aktif apa pun, dalam urutan risiko. Anda dapat menelusuri setiap rekomendasi untuk melihat detail lebih lanjut dan opsi remediasi.
   • Tab Pemberitahuan memperlihatkan pemberitahuan keamanan yang relevan.

Meninjau inventaris perangkat lunak

Untuk meninjau detail inventori perangkat lunak:

1. Pilih Aplikasi terinstal.
2. Di Nilai, pilih aplikasi untuk difilter.
   • sumber daya Total: Jumlah total sumber daya yang tersambung ke Defender untuk Cloud.
   • Sumber daya yang tidak sehat: Sumber daya dengan rekomendasi keamanan aktif yang dapat Anda terapkan. Untuk panduan remediasi, lihat Meninjau rekomendasi keamanan.
   • Jumlah sumber daya menurut lingkungan: Jumlah sumber daya di setiap lingkungan.
   • Langganan Tidak terdaftar: Langganan apa pun dalam cakupan yang dipilih belum tersambung ke Microsoft Defender untuk Cloud.
3. Sumber daya yang terhubung ke Defender untuk Cloud yang menjalankan aplikasi tersebut ditampilkan. Opsi kosong memperlihatkan mesin di mana Defender untuk Server atau Defender untuk Titik Akhir tidak tersedia.

Memfilter inventaris

Segera setelah Anda menerapkan filter, nilai ringkasan diperbarui untuk berhubungan dengan hasil kueri.

Alat Ekspor

Unduh laporan CSV - Ekspor hasil opsi filter yang Anda pilih ke file CSV.

Buka kueri - Ekspor kueri itu sendiri ke Azure Resource Graph (ARG) untuk menyempurnakan lebih lanjut, menyimpan, atau mengubah kueri menggunakan Bahasa Kueri Kusto (KQL).

Bagaimana cara kerja inventaris aset?

Selain filter yang telah ditentukan sebelumnya, Anda dapat menjelajahi data inventaris perangkat lunak dari Resource Graph Explorer.

ARG dirancang untuk memberikan eksplorasi sumber daya yang efisien dengan kemampuan untuk melakukan kueri pada skala yang luas.

Anda dapat menggunakan Kusto Query Language (KQL) dalam inventaris aset untuk menghasilkan wawasan mendalam dengan cepat dengan mereferensikan silang Defender untuk Cloud data dengan properti sumber daya lainnya.

Cara menggunakan inventaris aset

Untuk menggunakan filter dan opsi kueri pada inventaris aset:

1. Dari bilah sisi Defender untuk Cloud, pilih Inventory.

2. Gunakan kotak Filter menurut nama untuk menampilkan sumber daya tertentu, atau gunakan filter untuk fokus pada sumber daya tertentu.

   Secara default, sumber daya diurutkan berdasarkan jumlah rekomendasi keamanan aktif.

   Penting

   Opsi di setiap filter khusus untuk sumber daya di langganan yang saat ini dipilih dan pilihan Anda di filter lainnya.

   Misalnya, jika Anda hanya memilih satu langganan, dan langganan tidak memiliki sumber daya dengan rekomendasi keamanan yang luar biasa untuk memulihkan (0 sumber daya tidak sehat), filter Rekomendasi tidak akan memiliki opsi.

3. Untuk menggunakan filter Temuan Keamanan, masukkan teks bebas dari ID, pemeriksaan keamanan, atau nama CVE dari temuan kerentanan untuk memfilter ke sumber daya yang terpengaruh.

   

   Tips

   Temuan keamanan dan filter Tag hanya menerima satu nilai. Untuk memfilter menurut lebih dari satu, gunakan Tambahkan filter.

4. Untuk menampilkan opsi filter yang dipilih saat ini sebagai kueri di Resource Graph Explorer, pilih Buka kueri.

   

5. Jika Anda menentukan beberapa filter dan membiarkan halaman terbuka, Defender untuk Cloud tidak memperbarui hasilnya secara otomatis. Setiap perubahan pada sumber daya tidak akan memengaruhi hasil yang ditampilkan kecuali Anda memuat ulang halaman secara manual atau memilih Refresh.

Ekspor persediaan

Untuk mengekspor data inventori yang difilter:

1. Untuk menyimpan inventori yang difilter dalam formulir CSV, pilih Unduh laporan CSV.

2. Untuk menyimpan kueri di Resource Graph Explorer, pilih Buka kueri. Saat Anda siap untuk menyimpan kueri, pilih Simpan sebagai. Di Simpan kueri, tentukan nama kueri, deskripsi, dan apakah kueri bersifat privat atau dibagikan.

   

Perubahan yang dilakukan pada sumber daya tidak akan memengaruhi hasil yang ditampilkan kecuali Anda memuat ulang halaman secara manual atau pilih Refresh.

Mengakses inventaris perangkat lunak

Untuk mengakses inventori perangkat lunak, Anda memerlukan salah satu paket berikut:

• pemindaian perangkat tanpa agen dari Defender Cloud Security Posture Management (CSPM).
• Pemindaian mesin tanpa agen dari Defender untuk Server P2.
• Integrasi Microsoft Defender untuk Endpoint dengan Defender untuk Server.

Contoh menggunakan Azure Resource Graph Explorer untuk mengakses dan menjelajahi data inventori perangkat lunak

Untuk mengkueri data inventori perangkat lunak di Azure Resource Graph Explorer:

1. Buka Azure Resource Graph Explorer.

   

2. Pilih cakupan langganan berikut: securityresources/softwareinventories

3. Masukkan salah satu kueri berikut (atau sesuaikan atau tulis milik Anda sendiri!) dan pilih Jalankan kueri.

Contoh kueri pencarian

Untuk membuat daftar dasar perangkat lunak yang diinstal:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Untuk memfilter berdasarkan nomor versi:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Untuk menemukan mesin dengan kombinasi produk perangkat lunak:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Untuk menggabungkan produk perangkat lunak dengan rekomendasi keamanan lain:

(Dalam contoh ini: komputer yang telah menginstal MySQL dan mengekspos port manajemen.)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Langkah selanjutnya

• Meninjau rekomendasi keamanan
• Mengelola dan menangani peringatan keamanan
• Ekspor berkelanjutan - Ekspor data keamanan ke SIEM, SOAR, atau alat lainnya
• Buat dasbor keamanan kustom dengan buku kerja Azure
• Enable Defender untuk Cloud paket
• Menyambungkan akun AWS
• Menyambungkan proyek GCP

Artikel ini menjelaskan cara menggunakan inventarifikasi aset cloud terpadu di Microsoft Defender untuk Cloud dalam portal Microsoft Defender XDR untuk mengelola dan memantau infrastruktur multicloud Anda.

Gambaran Umum

Inventarisasi aset cloud memberi Anda satu tampilan infrastruktur cloud di seluruh Azure, Amazon Web Services (AWS), dan Google Cloud Platform (GCP). Ini mengelompokkan aset berdasarkan beban kerja, kekritisan, dan status cakupan. Ini juga menggabungkan data kesehatan, tindakan perangkat, dan sinyal risiko dalam satu antarmuka.

Kemampuan utama

Pemantauan multicloud terpadu

• Cakupan komprehensif: Lihat aset di Azure, AWS, GCP, dan platform lain yang didukung.
• Antarmuka yang konsisten: Gunakan satu antarmuka untuk mengelola aset multicloud.
• Sinkronisasi real time: Lihat data aset saat ini dari lingkungan cloud yang terhubung.
• Hubungan lintas platform: Tinjau dependensi di seluruh penyedia cloud.

Wawasan yang spesifik untuk beban kerja

Inventarisasi diatur berdasarkan jenis beban kerja, masing-masing menyediakan visibilitas dan data yang disesuaikan:

• Virtual Machines: Instans komputasi di seluruh penyedia cloud dengan postur keamanan dan data kerentanan
• Sumber Daya Data: Database, akun penyimpanan, dan layanan data dengan wawasan kepatuhan dan paparan
• Kontainer: Kluster Kubernetes, instans kontainer, dan registri kontainer dengan hasil pemindaian keamanan
• Layanan AI dan ML: Sumber daya kecerdasan buatan (AI) dan pembelajaran mesin (ML) dengan konteks tata kelola dan keamanan.
• API: Antarmuka pemrograman aplikasi (API) Representational State Transfer (REST), fungsi tanpa server, dan layanan integrasi dengan analisis paparan.
• Sumber daya DevOps: Alur integrasi berkelanjutan dan penyebaran berkelanjutan (CI/CD), repositori, dan alat pengembangan dengan wawasan keamanan.
• Sumber Daya Identitas: Akun layanan, identitas terkelola, dan komponen kontrol akses
• Tanpa server: Fungsi, aplikasi logika, dan sumber daya komputasi berbasis peristiwa

Pemfilteran dan cakupan tingkat lanjut

• Cakupan tetap: Gunakan cakupan cloud untuk pemfilteran yang konsisten di berbagai pengalaman.
• Pemfilteran multi-dimensi: Filter menurut lingkungan, beban kerja, tingkat risiko, dan status kepatuhan.
• Kemampuan pencarian: Temukan aset dengan cepat dengan pencarian bawaan.
• Tampilan tersimpan: Simpan tampilan yang difilter untuk tugas operasional berulang.

Kategorisasi dan metadata aset

Klasifikasi kekritisan aset

Aset secara otomatis diklasifikasikan berdasarkan:

• Dampak bisnis: Ditentukan oleh jenis aset, dependensi, dan kepentingan organisasi
• Postur keamanan: Berdasarkan konfigurasi, kerentanan, dan status kepatuhan
• Faktor risiko: Termasuk paparan internet, sensitivitas data, dan pola akses
• Klasifikasi khusus: Aturan kekritisan yang ditetapkan oleh pengguna dan penggantian manual

Indikator status cakupan

Setiap aset menampilkan informasi cakupan:

• Protected: Perlindungan penuh Defender untuk Cloud aktif
• Parsial: Beberapa fitur keamanan diaktifkan, yang lain tersedia untuk peningkatan
• Unprotected: Tidak ada perlindungan Defender untuk Cloud, memerlukan proses pendaftaran awal
• Dikecualikan: Secara eksplisit dikecualikan dari pemantauan atau perlindungan

Sinyal kesehatan dan risiko

Indikator risiko terintegrasi menyediakan konteks aset yang komprehensif:

• Pemberitahuan keamanan: Insiden keamanan aktif dan deteksi ancaman
• Kerentanan: Kelemahan keamanan yang diketahui dan patch yang diperlukan
• Status kepatuhan: Penilaian kepatuhan terhadap peraturan dan kebijakan
• Metrik paparan: Aksesibilitas internet, akses istimewa, dan data permukaan serangan

Navigasi dan pemfilteran

Mengakses inventaris cloud

Untuk membuka inventaris cloud di portal Microsoft Defender:

1. Navigasi ke portal Microsoft Defender
2. Pilih Aset>Cloud dari navigasi utama
3. Gunakan tab khusus beban kerja untuk tampilan terfokus:
   • Semua Aset: Tampilan komprehensif di semua jenis beban kerja
   • VM: Inventarisasi dan wawasan khusus komputer virtual
   • Data: Sumber daya data termasuk database dan penyimpanan
   • Kontainer: Sumber daya Kontainer dan Kubernetes
   • AI: Kecerdasan buatan dan layanan pembelajaran mesin
   • API: API dan layanan integrasi
   • DevOps: Sumber daya alur pengembangan dan penyebaran
   • Identitas: Komponen manajemen identitas dan akses
   • Tanpa server: Fungsi dan sumber daya komputasi berbasis peristiwa

Menggunakan filter secara efektif

• Pemfilteran lingkungan: Pilih penyedia cloud tertentu atau lihat semua lingkungan.
• Pemfilteran cakupan: Terapkan cakupan cloud agar sesuai dengan batas organisasi.
• Pemfilteran berbasis risiko: Fokus pada aset berisiko tinggi atau terekspos.
• Pemfilteran beban kerja: Mempersempit hasil ke jenis sumber daya cloud tertentu.
• Pemfilteran status: Filter menurut status perlindungan, status kepatuhan, atau indikator kesehatan.

Pencarian dan penemuan

• Pencarian teks: Temukan aset berdasarkan nama, ID sumber daya, atau metadata.
• Pencarian berbasis tag: Temukan aset menurut tag dan label penyedia cloud.
• Kueri tingkat lanjut: Menggabungkan filter untuk penemuan aset yang tepat.
• Kemampuan ekspor: Ekspor hasil yang difilter untuk pelaporan dan analisis.

Detil aset dan wawasan

Informasi aset komprehensif

Setiap aset menyediakan informasi terperinci termasuk:

• Metadata dasar: Nama sumber daya, ID, lokasi, dan waktu pembuatan.
• Detail konfigurasi: Pengaturan, kebijakan, dan konfigurasi yang diterapkan saat ini.
• Postur keamanan: Status kepatuhan, penilaian kerentanan, dan rekomendasi keamanan.
• Penilaian risiko: Analisis paparan, inteligensi ancaman, dan skor risiko.
• Hubungan: Dependensi, koneksi, dan sumber daya terkait.

Integrasi rekomendasi keamanan

Tautan aset langsung ke rekomendasi keamanan yang relevan:

• Peningkatan konfigurasi: Perbaiki kesalahan konfigurasi dan tingkatkan pengerasan.
• Remediasi kerentanan: Prioritaskan patching dan pembaruan keamanan.
• Kontrol akses: Meningkatkan pengaturan identitas dan izin.
• Keamanan jaringan: Meningkatkan aturan firewall, segmentasi, dan kontrol paparan.

Alur kerja respons insiden

Inventori mendukung operasi keamanan melalui:

• Korelasi pemberitahuan: Tautkan pemberitahuan ke aset tertentu untuk penyelidikan yang lebih cepat.
• Tindakan respons: Buka alur kerja remediasi langsung dari konteks aset.
• Dukungan forensik: Gunakan konteks aset terperinci selama analisis insiden.
• Integrasi otomatisasi: Gunakan akses API untuk orkestrasi dan respons otomatis.

Integrasi dengan Manajemen Paparan

Visualisasi jalur serangan

Aset dalam inventori terintegrasi dengan analisis jalur serangan:

• Keterlibatan jalur: Lihat jalur serangan mana yang mencakup aset tertentu.
• Identifikasi titik kritis: Soroti aset yang menjadi titik konvergensi utama.
• Klasifikasi target: Identifikasi target serangan umum.
• Analisis titik masuk: Mengidentifikasi aset yang dapat menyediakan jalur akses awal.

Manajemen aset penting

Inventori mendukung alur kerja aset penting:

• Klasifikasi otomatis: Aset dapat ditandai penting oleh aturan yang telah ditentukan sebelumnya.
• Penandaan manual: Tim keamanan dapat menandai aset secara manual sebagai penting.
• Pewarisan kekritisan: Hubungan aset dapat memengaruhi klasifikasi kekritisan.
• Prioritas perlindungan: Aset penting mendapatkan pemantauan dan perlindungan yang ditingkatkan.

Integrasi manajemen kerentanan

Aset cloud terhubung tanpa hambatan dengan manajemen kerentanan:

• Tampilan kerentanan terpadu: Lihat kerentanan cloud dan titik akhir dalam satu dasbor.
• Prioritas berbasis risiko: Prioritaskan kerentanan berdasarkan konteks aset dan dampak bisnis.
• Pelacakan remediasi: Melacak kemajuan remediasi di seluruh lingkungan cloud.
• Pelaporan kepatuhan: Hasilkan laporan yang menyertakan data cloud dan titik akhir.

Pelaporan dan analitik

Pelaporan bawaan

• Laporan cakupan: Menilai cakupan penerapan Defender untuk Cloud di seluruh lingkungan cloud Anda.
• Penilaian risiko: Tinjau risiko di seluruh lingkungan multicloud.
• Dasbor kepatuhan: Melacak status kepatuhan terhadap peraturan di seluruh aset cloud.
• Analisis tren: Memantau perubahan postur keamanan dari waktu ke waktu.

Analitik kustom

• Perburuan tingkat lanjut: Mengkueri data aset cloud dengan menggunakan Kusto Query Language (KQL).
• Akses API: Mengakses data inventarisasi secara terprogram untuk laporan dan integrasi kustom.
• Kemampuan ekspor: Ekspor data aset dalam beberapa format untuk analisis eksternal.
• Integrasi dasbor: Bangun dasbor kustom dengan menggunakan data inventarisasi aset cloud.

Batasan dan pertimbangan

Batasan saat ini

• Pembaruan real-time: Beberapa perubahan aset dapat memakan waktu untuk muncul dalam inventori.
• Data historis: Data aset historis dapat dibatasi selama peluncuran awal.

Pertimbangan performa

• Lingkungan besar: Pemfilteran dan cakupan meningkatkan performa di lingkungan dengan banyak aset.
• Laju refresh: Data aset di-refresh secara berkala. Untuk pemeriksaan real time, gunakan konsol penyedia cloud.
• Dependensi jaringan: Fitur inventarisasi memerlukan konektivitas yang andal ke antarmuka pemrograman aplikasi (API) penyedia cloud.

Batasan cakupan

Beberapa aset mungkin muncul di luar cakupan cloud yang ditentukan:

• Dependensi lintas cakupan: Aset dengan hubungan yang mencakup beberapa cakupan.
• Aset mengambang: Beberapa jenis aset tidak mendukung cakupan berbahan halus.
• Izin yang diwariskan: Aset yang mewarisi izin dari sumber daya induk di luar cakupan.

Praktik terbaik

Manajemen inventori

• Ulasan reguler: Tinjau inventori secara teratur untuk akurasi dan kelengkapan.
• Strategi pemberian tag: Gunakan tag yang konsisten di seluruh lingkungan cloud untuk organisasi yang lebih baik.
• Konfigurasi cakupan: Konfigurasikan cakupan cloud agar sesuai dengan organisasi Anda.
• Pengoptimalan filter: Simpan kombinasi filter yang berguna untuk tugas harian.

Operasi keamanan

• Fokus aset penting: Prioritaskan pemantauan dan perlindungan untuk aset penting bisnis.
• Pendekatan berbasis risiko: Gunakan indikator risiko untuk memandu fokus keamanan dan alokasi sumber daya.
• Alur kerja integrasi: Gunakan data inventori dalam respons insiden dan alur kerja kerentanan.
• Peluang otomatisasi: Identifikasi tugas berulang untuk mengotomatiskan dengan menggunakan API inventarisasi.

Tinjau inventaris

1. Di portal Microsoft Defender, navigasikan ke Assets>Cloud.

2. Tinjau gambaran umum aset cloud terpadu:

   • Total sumber daya di semua lingkungan cloud yang terhubung
   • Ringkasan postur keamanan menunjukkan sumber daya yang sehat vs. tidak sehat
   • Metrika cakupan menunjukkan status perlindungan Defender untuk Cloud
   • Distribusi risiko yang menunjukkan aset berdasarkan tingkat risiko

3. Gunakan tab khusus beban kerja untuk fokus pada jenis aset tertentu:

   • Pilih VM untuk komputer virtual dan instans komputasi
   • Pilih Data untuk database dan sumber daya penyimpanan
   • Pilih Kontainer untuk Kubernetes dan aset terkait kontainer
   • Pilih AI untuk beban kerja AI dan pembelajaran mesin
   • Pilih API untuk manajemen API dan titik akhir
   • Pilih DevOps untuk sumber daya alur pengembangan
   • Pilih Identitas untuk aset manajemen identitas dan akses
   • Pilih Tanpa Server untuk fungsi dan komputasi tanpa server

4. Terapkan filter cakupan global untuk fokus pada cakupan cloud atau batas organisasi tertentu

5. Pilih aset untuk melihat informasi terperinci:

   • Rekomendasi keamanan diprioritaskan berdasarkan tingkat risiko
   • Pemberitahuan keamanan dengan wawasan deteksi ancaman
   • Keterlibatan jalur serangan yang menunjukkan partisipasi dalam skenario serangan potensial
   • Status kepatuhan terhadap standar keamanan
   • Faktor risiko termasuk paparan internet dan potensi pergerakan lateral

Langkah selanjutnya

• Gambaran Umum Dasbor Cloud
• Mengelola rekomendasi keamanan