Usare l'inventario asset per gestire il comportamento di sicurezza delle risorse

La pagina inventario asset di Microsoft Defender for Cloud fornisce una singola pagina per visualizzare il comportamento di sicurezza delle risorse connesse a Microsoft Defender per Cloud.

Defender for Cloud analizza periodicamente lo stato di sicurezza delle risorse connesse alle sottoscrizioni per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità.

Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.

Usare questa visualizzazione e i relativi filtri per rispondere alle domande seguenti:

  • Quale delle sottoscrizioni con funzionalità di sicurezza avanzate abilitate offre raccomandazioni in sospeso?
  • Quali computer con il tag 'Produzione' non hanno l'agente di Log Analytics?
  • Quanti computer contrassegnati con uno specifico tag hanno raccomandazioni in sospeso?
  • Quali computer in un gruppo di risorse specifico hanno una vulnerabilità nota (usando un numero CVE)?

Le possibilità di gestione delle risorse offerte da questo strumento sono notevoli e continuano ad aumentare.

Suggerimento

Le raccomandazioni per la sicurezza nella pagina inventario asset sono uguali a quelle nella pagina Raccomandazioni , ma qui vengono visualizzate in base alla risorsa interessata. Per informazioni su come risolvere i consigli, vedere Implementazione di raccomandazioni sulla sicurezza in Microsoft Defender for Cloud.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Livello gratuito
Alcune funzionalità della pagina di inventario, ad esempio l'inventario software richiedono soluzioni a pagamento per essere sul posto
Autorizzazioni e ruoli obbligatori: tutti gli utenti
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

L'inventario software non è attualmente supportato nei cloud nazionali.

Quali sono le caratteristiche principali dell'inventario delle risorse?

La pagina dell'inventario contiene gli strumenti seguenti:

Funzionalità principali della pagina inventario asset in Microsoft Defender for Cloud.

1 - Riepiloghi

Prima di definire eventuali filtri, viene visualizzata una striscia di valori di rilievo nella parte superiore della visualizzazione di inventario:

  • Totale risorse: numero totale di risorse connesse a Defender for Cloud.
  • Risorse non integre: risorse con consigli di sicurezza attivi. Altre informazioni sulle raccomandazioni sulla sicurezza.
  • Risorse non monitorate: risorse con problemi di monitoraggio dell'agente: l'agente di Log Analytics è stato distribuito, ma l'agente non invia dati o presenta altri problemi di integrità.
  • Sottoscrizioni non registrate: qualsiasi sottoscrizione nell'ambito selezionato che non è ancora stata connessa a Microsoft Defender per Cloud.

2 - Filtri

I più filtri nella parte superiore della pagina forniscono un modo per perfezionare rapidamente l'elenco delle risorse in base alla domanda che si sta tentando di rispondere. Ad esempio, se si vuole rispondere alla domanda Quale dei computer con il tag "Production" manca l'agente di Log Analytics? è possibile combinare il filtro di monitoraggio dell'agente con il filtro Tag .

Non appena vengono applicati i filtri, i valori riepilogativi vengono aggiornati in base ai risultati della query.

3 - Strumenti di gestione delle risorse ed esportazione

Opzioni di esportazione : l'inventario include un'opzione per esportare i risultati delle opzioni di filtro selezionate in un file CSV. È anche possibile esportare la query stessa in Azure Resource Graph Explorer per affinare, salvare o modificare la query in linguaggio Kusto (KQL).

Suggerimento

La documentazione di KQL fornisce un database con alcuni dati di esempio insieme ad alcune semplici query per ottenere la "sensazione" per il linguaggio. Altre informazioni in questa esercitazione su KQL.

Opzioni di gestione degli asset : quando sono state trovate le risorse corrispondenti alle query, l'inventario fornisce collegamenti per operazioni come:

  • Assegnare i tag alle risorse filtrate: selezionare le caselle di controllo accanto alle risorse da contrassegnare.
  • Eseguire l'onboarding di nuovi server in Defender for Cloud: usare il pulsante Aggiungi barra degli strumenti dei server non di Azure .
  • Automatizzare i carichi di lavoro con App per la logica di Azure: usare il pulsante Trigger Logic App per eseguire un'app per la logica in una o più risorse. Le app per la logica devono essere preparate in anticipo e accettano il tipo di trigger pertinente (richiesta HTTP). Altre informazioni sulle app per la logica.

Come funziona l'inventario degli asset?

L'inventario degli asset usa Azure Resource Graph (ARG), un servizio di Azure che offre la possibilità di eseguire query sui dati relativi al comportamento di sicurezza di Defender for Cloud in più sottoscrizioni.

Il servizio ARG è progettato per fornire un'efficace esplorazione delle risorse con la possibilità di eseguire query su larga scala.

Usando la Linguaggio di query Kusto (KQL), l'inventario delle risorse può produrre rapidamente informazioni dettagliate facendo riferimento incrociato ai dati di Defender for Cloud con altre proprietà delle risorse.

Come usare l'inventario degli asset

  1. Dalla barra laterale di Defender for Cloud selezionare Inventario.

  2. Utilizzare la casella Filtro per nome per visualizzare una risorsa specifica o usare i filtri come descritto di seguito.

  3. Selezionare le opzioni pertinenti nei filtri per creare la query specifica da eseguire.

    Per impostazione predefinita, le risorse vengono ordinate in base al numero di raccomandazioni di sicurezza attive.

    Importante

    Le opzioni in ogni filtro sono specifiche per le risorse nelle sottoscrizioni attualmente selezionate e le selezioni negli altri filtri.

    Ad esempio, se è stata selezionata una sola sottoscrizione e la sottoscrizione non dispone di risorse con raccomandazioni di sicurezza in sospeso per correggere (0 risorse non integre), il filtro Raccomandazioni non avrà opzioni.

    Uso delle opzioni di filtro in Microsoft Defender per l'inventario delle risorse del cloud per filtrare le risorse alle risorse di produzione non monitorate

  4. Per usare i risultati della sicurezza contengono il filtro, immettere testo libero dall'ID, dal controllo di sicurezza o dal nome CVE di una vulnerabilità che consente di filtrare le risorse interessate:

    Filtro

    Suggerimento

    I risultati della sicurezza contengono e i filtri Tag accettano solo un singolo valore. Per filtrare per più di uno, usare Aggiungi filtri.

  5. Per usare il filtro Defender for Cloud , selezionare una o più opzioni (Off, On o Partial):

    • Off- Risorse che non sono protette da un piano di Microsoft Defender. È possibile fare clic con il pulsante destro del mouse su una di queste risorse per aggiornarle:

      Aggiornare una risorsa da proteggere dal piano di Microsoft Defender pertinente tramite il pulsante destro del mouse.

    • On - Risorse protette da un piano di Microsoft Defender

    • Parziale: questo vale per le sottoscrizioni con alcuni ma non tutti i piani di Microsoft Defender disabilitati. Ad esempio, la sottoscrizione seguente include sette piani Microsoft Defender disabilitati.

      Sottoscrizione parzialmente protetta dai piani di Microsoft Defender.

  6. Per esaminare ulteriormente i risultati della query, selezionare le risorse che interessano.

  7. Per visualizzare le opzioni di filtro selezionate correnti come query in Esplora Resource Graph, selezionare Apri query.

    Query di inventario in ARG.

  8. Se sono stati definiti alcuni filtri e si lascia aperta la pagina, Defender for Cloud non aggiornerà automaticamente i risultati. Le modifiche apportate alle risorse non influisce sui risultati visualizzati, a meno che non si ricarica manualmente la pagina o si seleziona Aggiorna.

Accedere a un inventario software

Per accedere all'inventario software, è necessaria una delle soluzioni a pagamento seguenti:

Se l'integrazione è già stata abilitata con Microsoft Defender per endpoint e abilitata Microsoft Defender per i server, sarà possibile accedere all'inventario software.

Se è stata abilitata la soluzione di minaccia e vulnerabilità, l'inventario delle risorse di Defender for Cloud offre un filtro per selezionare le risorse dal software installato.

Nota

L'opzione "Vuoto" mostra i computer senza Microsoft Defender per endpoint (o senza Microsoft Defender per server).

Oltre ai filtri nella pagina inventario asset, è possibile esplorare i dati di inventario software da Azure Resource Graph Explorer.

Esempi di uso di Azure Resource Graph Explorer per accedere ed esplorare i dati di inventario software:

  1. Aprire Azure Resource Graph Explorer.

    Pagina di avvio di Azure Resource Graph Explorer**

  2. Selezionare l'ambito di sottoscrizione seguente: securityresources/softwareinventories

  3. Immettere una delle query seguenti (o personalizzarle o scriverle autonomamente) e selezionare Esegui query.

    • Per generare un elenco di base di software installato:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Per filtrare in base ai numeri di versione:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Per trovare computer con una combinazione di prodotti software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinazione di un prodotto software con un'altra raccomandazione di sicurezza:

      (In questo esempio: computer con MySQL installato ed esposto porte di gestione)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Domande frequenti - Inventario

Perché non vengono visualizzate tutte le sottoscrizioni, i computer, gli account di archiviazione e così via?

La visualizzazione inventario elenca le risorse connesse di Defender for Cloud dal punto di vista di Cloud Security Posture Management (CSPM). I filtri non restituiscono ogni risorsa nell'ambiente; solo quelli con raccomandazioni in sospeso (o 'attivo').

Ad esempio, lo screenshot seguente mostra un utente con accesso a 8 sottoscrizioni, ma solo 7 hanno attualmente raccomandazioni. Pertanto, quando filtrano in base al tipo di risorsa = Sottoscrizioni, nell'inventario vengono visualizzati solo 7 sottoscrizioni con raccomandazioni attive:

Non tutti i sub restituiti quando non sono presenti raccomandazioni attive.

Perché alcune risorse mostrano valori vuoti nelle colonne di Defender for Cloud o dell'agente di monitoraggio?

Non tutte le risorse monitorate da Defender for Cloud hanno agenti. Ad esempio, gli account di archiviazione di Azure o le risorse PaaS, ad esempio dischi, App per la logica, Analisi Data Lake e Hub eventi, non devono essere monitorati da Defender for Cloud.

Quando il monitoraggio dei prezzi o dell'agente non è rilevante per una risorsa, non verrà visualizzato nulla in tali colonne di inventario.

Alcune risorse mostrano informazioni vuote nelle colonne agente di monitoraggio o Defender for Cloud.

Passaggi successivi

Questo articolo descrive la pagina di inventario degli asset di Microsoft Defender for Cloud.

Per altre informazioni sugli strumenti correlati, vedere le pagine seguenti: