Inventar persediaan aset cloud

Halaman inventori aset Microsoft Defender untuk Cloud menunjukkan postur keamanan sumber daya yang Anda sambungkan ke Defender untuk Cloud. Ini menawarkan tampilan terpadu dan kontekstual infrastruktur cloud di Azure, AWS, dan GCP. Ini mengategorikan aset berdasarkan beban kerja, kekritisan, dan status cakupan, sambil mengintegrasikan data kesehatan, tindakan perangkat, dan sinyal risiko ke dalam satu antarmuka. Defender untuk Cloud menganalisis status keamanan sumber daya yang terhubung ke langganan Anda secara berkala untuk mengidentifikasi potensi masalah keamanan dan memberi Anda rekomendasi aktif. Rekomendasi aktif adalah rekomendasi yang dapat diselesaikan untuk meningkatkan postur keamanan Anda.

Defender untuk Cloud menganalisis status keamanan sumber daya yang terhubung secara berkala. Ketika sumber daya memiliki rekomendasi keamanan aktif atau pemberitahuan keamanan yang terkait dengannya, sumber daya tersebut muncul di inventori.

Mengakses inventaris aset di portal Azure

Di portal Azure, navigasikan ke Microsoft Defender untuk Cloud>Inventory.

Halaman Inventori menyediakan informasi tentang:

• Sumber daya yang terhubung. Dengan cepat melihat sumber daya mana yang terhubung ke Defender untuk Cloud.
• Status keamanan keseluruhan: Dapatkan ringkasan yang jelas tentang status keamanan sumber daya Azure, AWS, dan GCP yang terhubung, termasuk total sumber daya yang terhubung ke Defender untuk Cloud, sumber daya berdasarkan lingkungan, dan jumlah sumber daya yang tidak aman.
• Rekomendasi, pemberitahuan: Telusuri paling detail status sumber daya tertentu untuk melihat rekomendasi keamanan aktif dan pemberitahuan keamanan untuk sumber daya.
• Prioritas risiko: Rekomendasi berbasis risiko menetapkan tingkat risiko ke rekomendasi, berdasarkan faktor-faktor seperti sensitivitas data, paparan internet, potensi gerakan lateral, dan jalur serangan potensial.
• Prioritas risiko tersedia saat paket Defender CSPM diaktifkan.
• Perangkat lunak. Anda dapat meninjau sumber daya dengan aplikasi yang diinstal. Untuk memanfaatkan inventori perangkat lunak, paket Defender Cloud Security Posture Management (CSPM), atau paket Defender untuk Server harus diaktifkan.

Inventory menggunakan Azure Resource Graph (ARG) untuk mengkueri dan mengambil data dalam skala besar. Untuk wawasan kustom yang mendalam, Anda dapat menggunakan KQL untuk mengkueri inventarisasi.

Tinjau inventaris

1. Di Defender untuk Cloud di portal Azure, pilih Inventory. Secara default, sumber daya diurutkan berdasarkan jumlah rekomendasi keamanan aktif.
2. Tinjau pengaturan yang tersedia:
   • Di Pencarian, Anda dapat menggunakan pencarian teks gratis untuk menemukan sumber daya.
   • sumber daya Total menampilkan jumlah sumber daya yang tersambung ke Defender untuk Cloud.
   • Sumber daya yang tidak sehat menampilkan jumlah sumber daya dengan rekomendasi dan pemberitahuan keamanan aktif.
   • Jumlah sumber daya berdasarkan lingkungan: Total jumlah sumber daya Azure, AWS, dan GCP.
3. Pilih sumber daya untuk menelusuri detailnya.
4. Pada halaman Resource Health untuk sumber daya, tinjau informasi tentang sumber daya.
   • Tab Rekomendasi menunjukkan rekomendasi keamanan aktif apa pun, dalam urutan risiko. Anda dapat menelusuri setiap rekomendasi untuk melihat detail lebih lanjut dan opsi remediasi.
   • Tab Pemberitahuan memperlihatkan pemberitahuan keamanan yang relevan.

Meninjau inventaris perangkat lunak

1. Pilih Aplikasi terinstal
2. Di Nilai, pilih aplikasi untuk difilter.

• sumber daya Total: Jumlah total sumber daya yang tersambung ke Defender untuk Cloud.
• Sumber daya yang tidak sehat: Sumber daya dengan rekomendasi keamanan aktif yang dapat Anda terapkan. Pelajari selengkapnya tentang menerapkan rekomendasi keamanan.
• Jumlah sumber daya menurut lingkungan: Jumlah sumber daya di setiap lingkungan.
• Langganan Tidak terdaftar: Langganan apa pun dalam cakupan yang dipilih belum tersambung ke Microsoft Defender untuk Cloud.

1. Sumber daya yang terhubung ke Defender untuk Cloud dan menjalankan aplikasi tersebut ditampilkan. Opsi kosong memperlihatkan mesin di mana Defender untuk Server/Defender untuk Titik Akhir tidak tersedia.

Memfilter inventaris

Segera setelah Anda menerapkan filter, nilai ringkasan diperbarui untuk berhubungan dengan hasil kueri.

Alat Ekspor

Unduh laporan CSV - Ekspor hasil opsi filter yang Anda pilih ke file CSV.

Buka kueri - Ekspor kueri itu sendiri ke Azure Resource Graph (ARG) untuk menyempurnakan lebih lanjut, menyimpan, atau mengubah kueri menggunakan Bahasa Kueri Kusto (KQL).

Bagaimana cara kerja inventaris aset?

Selain filter yang telah ditentukan sebelumnya, Anda dapat menjelajahi data inventaris perangkat lunak dari Resource Graph Explorer.

ARG dirancang untuk memberikan eksplorasi sumber daya yang efisien dengan kemampuan untuk melakukan kueri pada skala yang luas.

Anda dapat menggunakan Kusto Query Language (KQL) dalam inventaris aset untuk menghasilkan wawasan mendalam dengan cepat dengan mereferensikan silang Defender untuk Cloud data dengan properti sumber daya lainnya.

Cara menggunakan inventaris aset

1. Dari bilah sisi Defender untuk Cloud, pilih Inventory.

2. Gunakan kotak Filter menurut nama untuk menampilkan sumber daya tertentu, atau gunakan filter untuk fokus pada sumber daya tertentu.

   Secara default, sumber daya diurutkan berdasarkan jumlah rekomendasi keamanan aktif.

   Penting

   Opsi di setiap filter khusus untuk sumber daya di langganan yang saat ini dipilih dan pilihan Anda di filter lainnya.

   Misalnya, jika Anda hanya memilih satu langganan, dan langganan tidak memiliki sumber daya dengan rekomendasi keamanan yang luar biasa untuk memulihkan (0 sumber daya tidak sehat), filter Rekomendasi tidak akan memiliki opsi.

3. Untuk menggunakan filter Temuan Keamanan, masukkan teks bebas dari ID, pemeriksaan keamanan, atau nama CVE dari temuan kerentanan untuk memfilter ke sumber daya yang terpengaruh.

   

   Tips

   Temuan keamanan dan filter Tag hanya menerima satu nilai. Untuk memfilter menurut lebih dari satu, gunakan Tambahkan filter.

4. Untuk menampilkan opsi filter yang dipilih saat ini sebagai kueri di Resource Graph Explorer, pilih Buka kueri.

   

5. Jika Anda menentukan beberapa filter dan membiarkan halaman terbuka, Defender untuk Cloud tidak memperbarui hasilnya secara otomatis. Setiap perubahan pada sumber daya tidak akan memengaruhi hasil yang ditampilkan kecuali Anda memuat ulang halaman secara manual atau memilih Refresh.

Ekspor persediaan

1. Untuk menyimpan inventori yang difilter dalam formulir CSV, pilih Unduh laporan CSV.

2. Untuk menyimpan kueri di Resource Graph Explorer, pilih Buka kueri. Saat Anda siap untuk menyimpan kueri, pilih Simpan sebagai dan di Simpan kueri, khusus nama dan deskripsi kueri, dan apakah kueri bersifat privat atau dibagikan.

   

Perubahan yang dilakukan pada sumber daya tidak akan memengaruhi hasil yang ditampilkan kecuali Anda memuat ulang halaman secara manual atau pilih Refresh.

Mengakses inventaris perangkat lunak

Untuk mengakses inventori perangkat lunak, Anda memerlukan salah satu paket berikut:

• pemindaian perangkat tanpa agen dari Defender Cloud Security Posture Management (CSPM).
• Pemindaian mesin tanpa agen dari Defender untuk Server P2.
• Integrasi Microsoft Defender untuk Endpoint dengan Defender untuk Server.

Contoh menggunakan Azure Resource Graph Explorer untuk mengakses dan menjelajahi data inventori perangkat lunak

1. Buka Azure Resource Graph Explorer.

   

2. Pilih cakupan langganan berikut: securityresources/softwareinventories

3. Masukkan salah satu kueri berikut (atau sesuaikan atau tulis milik Anda sendiri!) dan pilih Jalankan kueri.

Contoh kueri pencarian

Untuk membuat daftar dasar perangkat lunak yang diinstal:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Untuk memfilter berdasarkan nomor versi:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Untuk menemukan mesin dengan kombinasi produk perangkat lunak:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Untuk menggabungkan produk perangkat lunak dengan rekomendasi keamanan lain:

(Dalam contoh ini – mesin yang menginstal MySQL dan mengekspos port manajemen)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Langkah selanjutnya

• Meninjau rekomendasi keamanan
• Mengelola dan menangani peringatan keamanan
• Ekspor berkelanjutan - Ekspor data keamanan ke SIEM, SOAR, atau alat lainnya
• Buat dasbor keamanan kustom dengan buku kerja Azure
• Enable Defender untuk Cloud paket
• Menyambungkan akun AWS
• Menyambungkan proyek GCP

Artikel ini menjelaskan cara menggunakan inventarifikasi aset cloud terpadu di Microsoft Defender untuk Cloud dalam portal Microsoft Defender XDR untuk mengelola dan memantau infrastruktur multicloud Anda.

Gambaran Umum

Inventarisasi aset cloud menyediakan tampilan infrastruktur cloud terpadu dan kontekstual di seluruh lingkungan Azure, AWS, dan GCP. Ini mengategorikan aset berdasarkan beban kerja, kekritisan, dan status cakupan sambil mengintegrasikan data kesehatan, tindakan perangkat, dan sinyal risiko ke dalam satu antarmuka.

Kemampuan utama

Pemantauan multicloud terpadu

• Cakupan Menyeluruh: Melihat semua aset cloud di seluruh Azure, AWS, GCP, dan platform lain yang didukung
• Antarmuka yang konsisten: Panel kaca tunggal untuk manajemen aset multicloud
• Sinkronisasi real time: Informasi aset terbaru di semua lingkungan cloud yang terhubung
• Hubungan lintas platform: Memahami dependensi dan koneksi antara aset di berbagai penyedia cloud

Wawasan yang spesifik untuk beban kerja

Inventarisasi diatur berdasarkan jenis beban kerja, masing-masing menyediakan visibilitas dan data yang disesuaikan:

• Virtual Machines: Instans komputasi di seluruh penyedia cloud dengan postur keamanan dan data kerentanan
• Sumber Daya Data: Database, akun penyimpanan, dan layanan data dengan wawasan kepatuhan dan paparan
• Kontainer: Kluster Kubernetes, instans kontainer, dan registri kontainer dengan hasil pemindaian keamanan
• Layanan AI/ML: Kecerdasan buatan dan sumber daya pembelajaran mesin dengan konteks tata kelola dan keamanan
• API: REST API, fungsi tanpa server, dan layanan integrasi dengan analisis paparan
• Sumber Daya DevOps: Alur CI/CD, repositori, dan alat pengembangan dengan wawasan keamanan
• Sumber Daya Identitas: Akun layanan, identitas terkelola, dan komponen kontrol akses
• Tanpa server: Fungsi, aplikasi logika, dan sumber daya komputasi berbasis peristiwa

Pemfilteran dan cakupan tingkat lanjut

• Cakupan persisten: Memanfaatkan cakupan cloud guna memastikan pemfilteran yang konsisten di seluruh pengalaman
• Pemfilteran multi-dimensi: Filter menurut lingkungan, beban kerja, tingkat risiko, status kepatuhan, dan lainnya
• Kemampuan pencarian: Penemuan aset cepat melalui fungsionalitas pencarian yang komprehensif
• Tampilan tersimpan: Membuat dan memelihara tampilan terfilter kustom untuk kebutuhan operasional yang berbeda

Kategorisasi dan metadata aset

Klasifikasi kekritisan aset

Aset secara otomatis diklasifikasikan berdasarkan:

• Dampak bisnis: Ditentukan oleh jenis aset, dependensi, dan kepentingan organisasi
• Postur keamanan: Berdasarkan konfigurasi, kerentanan, dan status kepatuhan
• Faktor risiko: Termasuk paparan internet, sensitivitas data, dan pola akses
• Klasifikasi khusus: Aturan kekritisan yang ditetapkan oleh pengguna dan penggantian manual

Indikator status cakupan

Setiap aset menampilkan informasi cakupan:

• Protected: Perlindungan penuh Defender untuk Cloud aktif
• Parsial: Beberapa fitur keamanan diaktifkan, yang lain tersedia untuk peningkatan
• Unprotected: Tidak ada perlindungan Defender untuk Cloud, memerlukan proses pendaftaran awal
• Dikecualikan: Secara eksplisit dikecualikan dari pemantauan atau perlindungan

Sinyal kesehatan dan risiko

Indikator risiko terintegrasi menyediakan konteks aset yang komprehensif:

• Pemberitahuan keamanan: Insiden keamanan aktif dan deteksi ancaman
• Kerentanan: Kelemahan keamanan yang diketahui dan patch yang diperlukan
• Status kepatuhan: Penilaian kepatuhan terhadap peraturan dan kebijakan
• Metrik paparan: Aksesibilitas internet, akses istimewa, dan data permukaan serangan

Navigasi dan pemfilteran

Mengakses inventaris cloud

1. Navigasi ke portal Microsoft Defender
2. Pilih Aset>Cloud dari navigasi utama
3. Gunakan tab khusus beban kerja untuk tampilan terfokus:
   • Semua Aset: Tampilan komprehensif di semua jenis beban kerja
   • VM: Inventarisasi dan wawasan khusus komputer virtual
   • Data: Sumber daya data termasuk database dan penyimpanan
   • Kontainer: Sumber daya Kontainer dan Kubernetes
   • AI: Kecerdasan buatan dan layanan pembelajaran mesin
   • API: API dan layanan integrasi
   • DevOps: Sumber daya alur pengembangan dan penyebaran
   • Identitas: Komponen manajemen identitas dan akses
   • Tanpa server: Fungsi dan sumber daya komputasi berbasis peristiwa

Menggunakan filter secara efektif

• Penyaringan Lingkungan: Pilih penyedia cloud tertentu (Azure, AWS, GCP) atau lihat semua lingkungan
• Pemfilteran cakupan: Menerapkan cakupan awan untuk pengelolaan batas organisasi
• Pemfilteran berbasis risiko: Fokus pada aset berisiko tinggi atau terekspos yang membutuhkan perhatian segera
• Pemfilteran beban kerja: Mempersempit hasil ke jenis sumber daya cloud tertentu
• Pemfilteran status: Filter menurut status perlindungan, status kepatuhan, atau indikator kesehatan

Pencarian dan penemuan

• Pencarian teks: Menemukan aset berdasarkan nama, ID sumber daya, atau atribut metadata
• Pencarian berbasis tag: Menemukan aset menggunakan tag dan label penyedia cloud
• Kueri tingkat lanjut: Gunakan kombinasi filter kompleks untuk penemuan aset yang tepat
• Kemampuan ekspor: Mengekspor hasil yang difilter untuk pelaporan dan analisis

Detil aset dan wawasan

Informasi aset komprehensif

Setiap aset menyediakan informasi terperinci termasuk:

• Metadata dasar: Nama sumber daya, ID, lokasi, dan tanda waktu pembuatan
• Detail konfigurasi: Pengaturan, kebijakan, dan konfigurasi yang diterapkan saat ini
• Postur keamanan: Status kepatuhan, penilaian kerentanan, dan rekomendasi keamanan
• Penilaian risiko: Analisis paparan, inteligensi ancaman, dan penilaian risiko
• Hubungan: Dependensi, koneksi, dan sumber daya terkait di seluruh lingkungan

Integrasi rekomendasi keamanan

Tautan aset langsung ke rekomendasi keamanan yang relevan:

• Peningkatan konfigurasi: Kesalahan konfigurasi dan peluang penguatan keamanan
• Remediasi kerentanan: Manajemen patch dan pembaruan keamanan
• Kontrol akses: Pengoptimalan identitas dan izin
• Keamanan jaringan: Aturan firewall, segmentasi jaringan, dan pengurangan paparan

Alur kerja respons insiden

Inventori mendukung operasi keamanan melalui:

• Korelasi pemberitahuan: Menautkan pemberitahuan keamanan ke aset tertentu untuk penyelidikan yang lebih cepat
• Tindakan respons: Akses langsung ke alur kerja remediasi dan kemampuan respons
• Dukungan forensik: Konteks aset terperinci untuk investigasi dan analisis insiden
• Integrasi otomatisasi: Akses API untuk orkestrasi keamanan dan respons otomatis

Integrasi dengan Manajemen Paparan

Visualisasi jalur serangan

Aset dalam inventori terintegrasi dengan analisis jalur serangan:

• Partisipasi jalur: Lihat jalur serangan mana yang menyertakan aset tertentu
• Identifikasi titik ketersumbatan: Sorot aset yang merupakan titik konvergensi penting
• Klasifikasi target: Mengidentifikasi aset yang merupakan target serangan umum
• Analisis titik masuk: Memahami aset mana yang memberikan peluang akses awal

Manajemen aset penting

Inventori mendukung alur kerja aset penting:

• Klasifikasi otomatis: Aset dapat secara otomatis diklasifikasikan sebagai penting berdasarkan aturan yang telah ditentukan sebelumnya
• Penuntasan manual: Tim keamanan dapat menunjuk aset secara manual sebagai penting
• Pewarisan kekritisan: Hubungan aset dapat memengaruhi klasifikasi kekritisan
• Prioritas perlindungan: Aset penting menerima pemantauan dan perlindungan yang ditingkatkan

Integrasi manajemen kerentanan

Aset cloud terhubung tanpa hambatan dengan manajemen kerentanan:

• Tampilan kerentanan terpadu: Lihat kerentanan cloud dan endpoint di dasbor terkonsolidasi
• Prioritas berbasis risiko: Kerentanan diprioritaskan berdasarkan konteks aset dan dampak bisnis
• Pelacakan remediasi: Memantau kemajuan remediasi kerentanan di seluruh lingkungan cloud
• Pelaporan kepatuhan: Menghasilkan laporan kerentanan yang menyertakan data cloud dan titik akhir

Pelaporan dan analitik

Pelaporan bawaan

• laporan Coverage: Menilai penyebaran Defender untuk Cloud di seluruh estat cloud Anda
• Penilaian risiko: Analisis risiko komprehensif di seluruh lingkungan multicloud
• Dasbor kepatuhan: Melacak status kepatuhan terhadap peraturan di semua aset cloud
• Analisis tren: Memantau perubahan postur keamanan dari waktu ke waktu

Analitik kustom

• Perburuan tingkat lanjut: Mengkueri data aset cloud menggunakan KQL untuk analisis kustom
• Akses API: Akses terprogram ke data inventarisasi untuk pelaporan dan integrasi kustom
• Kemampuan ekspor: Mengekspor data aset dalam berbagai format untuk analisis eksternal
• Integrasi dasbor: Membuat dasbor kustom menggunakan data inventarisasi aset cloud

Batasan dan pertimbangan

Batasan saat ini

• Pembaruan real-time: Beberapa perubahan aset mungkin memiliki sedikit keterlambatan sebelum muncul di inventori
• Data historis: Informasi aset historis terbatas selama periode peluncuran awal

Pertimbangan performa

• Lingkungan besar: Pemfilteran dan cakupan membantu mengelola performa di lingkungan dengan ribuan aset
• Laju refresh: Data aset di-refresh secara berkala; data real-time mungkin memerlukan akses konsol penyedia cloud langsung
• Dependensi jaringan: Fungsionalitas inventarisasi memerlukan konektivitas yang andal ke API penyedia cloud

Batasan cakupan

Beberapa aset mungkin muncul di luar cakupan cloud yang ditentukan:

• Dependensi lintas cakupan: Aset dengan hubungan yang mencakup beberapa cakupan
• Aset mengambang: Jenis aset tertentu yang tidak mendukung cakupan yang terperinci
• Izin yang diwariskan: Aset yang mewarisi izin dari sumber daya induk di luar cakupan

Praktik terbaik

Manajemen inventori

• Ulasan reguler: Meninjau inventori aset secara berkala untuk akurasi dan kelengkapan
• Strategi pemberian tag: Menerapkan pemberian tag yang konsisten di seluruh lingkungan cloud untuk organisasi yang lebih baik
• Konfigurasi cakupan: Siapkan cakupan cloud yang sesuai agar sesuai dengan struktur organisasi
• Pengoptimalan filter: Membuat dan menyimpan kombinasi filter yang berguna untuk operasi harian yang efisien

Operasi keamanan

• Fokus aset penting: Memprioritaskan pemantauan dan perlindungan aset penting bisnis
• Pendekatan berbasis risiko: Gunakan indikator risiko untuk memandu perhatian keamanan dan alokasi sumber daya
• Alur kerja integrasi: Memanfaatkan data inventori dalam proses respons insiden dan manajemen kerentanan
• Peluang otomatisasi: Mengidentifikasi tugas berulang yang dapat diotomatisasi menggunakan API inventarisasi

Tinjau inventaris

1. Di portal Microsoft Defender, navigasikan ke Assets>Cloud.

2. Tinjau gambaran umum aset cloud terpadu:

   • Total sumber daya di semua lingkungan cloud yang terhubung
   • Ringkasan postur keamanan menunjukkan sumber daya yang sehat vs. tidak sehat
   • Metrika cakupan menunjukkan status perlindungan Defender untuk Cloud
   • Distribusi risiko yang menunjukkan aset berdasarkan tingkat risiko

3. Gunakan tab khusus beban kerja untuk fokus pada jenis aset tertentu:

   • Pilih VM untuk komputer virtual dan instans komputasi
   • Pilih Data untuk database dan sumber daya penyimpanan
   • Pilih Kontainer untuk Kubernetes dan aset terkait kontainer
   • Pilih AI untuk beban kerja AI dan pembelajaran mesin
   • Pilih API untuk manajemen API dan titik akhir
   • Pilih DevOps untuk sumber daya alur pengembangan
   • Pilih Identitas untuk aset manajemen identitas dan akses
   • Pilih Tanpa Server untuk fungsi dan komputasi tanpa server

4. Terapkan filter cakupan global untuk fokus pada cakupan cloud atau batas organisasi tertentu

5. Pilih aset untuk melihat informasi terperinci:

   • Rekomendasi keamanan diprioritaskan berdasarkan tingkat risiko
   • Pemberitahuan keamanan dengan wawasan deteksi ancaman
   • Keterlibatan jalur serangan yang menunjukkan partisipasi dalam skenario serangan potensial
   • Status kepatuhan terhadap standar keamanan
   • Faktor risiko termasuk paparan internet dan potensi pergerakan lateral

Langkah selanjutnya

• Gambaran Umum Dasbor Cloud
• Mengelola rekomendasi keamanan