Creare report interattivi con cartelle di lavoro di Monitoraggio di Azure
Le cartelle di lavoro di Azure sono aree di disegno flessibili che è possibile usare per analizzare i dati e creare report visivi avanzati nel portale di Azure. Nelle cartelle di lavoro è possibile accedere a diverse origini dati in Azure. Combinare cartelle di lavoro in esperienze unificate interattive.
Le cartelle di lavoro offrono un set completo di funzionalità per la visualizzazione dei dati di Azure. Per informazioni dettagliate su ogni tipo di visualizzazione, vedere gli esempi e la documentazione sulle visualizzazioni.
In Microsoft Defender per il cloud è possibile accedere alle cartelle di lavoro predefinite per tenere traccia della postura di sicurezza dell'organizzazione. È anche possibile creare cartelle di lavoro personalizzate per visualizzare un'ampia gamma di dati da Defender per il cloud o da altre origini dati supportate.
Per informazioni sui prezzi, vedere la pagina dei prezzi.
Prerequisiti
Ruoli e autorizzazioni necessari: per salvare una cartella di lavoro, è necessario avere almeno autorizzazioni Collaboratore cartella di lavoro per il gruppo di risorse pertinente.
Disponibilità cloud: 
Cloud commerciali Nazionali (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)
Usare le cartelle di lavoro della raccolta di Defender per il cloud
In Defender per il cloud è possibile usare la funzionalità integrata delle cartelle di lavoro di Azure per creare cartelle di lavoro personalizzate e interattive che visualizzano i dati di sicurezza. Defender per il cloud include una raccolta di cartelle di lavoro con le cartelle di lavoro seguenti pronte per la personalizzazione:
- Cartella di lavoro Copertura: tenere traccia della copertura dei piani e delle estensioni di Defender per il cloud negli ambienti e nelle sottoscrizioni.
- Cartella di lavoro Secure Score nel tempo: tenere traccia dei punteggi e delle modifiche apportate alle raccomandazioni per le risorse.
- Cartella di lavoro Aggiornamenti di sistema: visualizzare gli aggiornamenti di sistema mancanti in base a risorsa, sistema operativo, gravità e altro ancora.
- Cartella di lavoro Risultati della valutazione della vulnerabilità: visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure.
- Cartella di lavoro Conformità nel tempo: visualizzare lo stato della conformità di una sottoscrizione agli standard normativi o agli standard di settore selezionati.
- Cartella di lavoro Avvisi attivi: visualizzare gli avvisi attivi in base a gravità, tipo, tag, tattiche MITRE ATT&CK e posizione.
- Cartella di lavoro Stima prezzi: visualizzare stime dei prezzi mensili e consolidate per i piani in Defender per il cloud, in base ai dati di telemetria delle risorse nell'ambiente in uso. I numeri sono stime basate sui prezzi al dettaglio e non rappresentano i dati effettivi di fatturazione o fattura.
- Cartella di lavoro governance: usare il report di governance nelle impostazioni delle regole di governance per tenere traccia dello stato di avanzamento delle regole che influiscono sull'organizzazione.
- Cartella di lavoro Sicurezza DevOps (anteprima): visualizzare una base personalizzabile che consente di visualizzare lo stato della postura DevOps per i connettori configurati.
Insieme alle cartelle di lavoro predefinite, è possibile trovare cartelle di lavoro utili nella categoria Community. Queste cartelle di lavoro vengono fornite così come sono e non hanno alcun contratto di servizio o supporto. È possibile scegliere una delle cartelle di lavoro fornite o creare una cartella di lavoro personalizzata.
Suggerimento
Per personalizzare una delle cartelle di lavoro, selezionare il pulsante Modifica. Al termine della modifica, selezionare Salva. Le modifiche vengono salvate in una nuova cartella di lavoro.
Cartella di lavoro Copertura
Se si abilita Defender per il cloud tra più sottoscrizioni e ambienti (Azure, Amazon Web Services e Google Cloud Platform), potrebbe risultare difficile tenere traccia dei piani attivi. È particolarmente vero se si hanno più sottoscrizioni e ambienti.
La cartella di lavoro Coverage consente di tenere traccia dei piani di Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è possibile identificare le aree che potrebbero richiedere una maggiore protezione in modo da poter intervenire per risolvere tali aree.
In questa cartella di lavoro è possibile selezionare una sottoscrizione (o tutte le sottoscrizioni) e quindi visualizzare le schede seguenti:
- Informazioni aggiuntive: mostra le note sulla versione e una spiegazione di ogni interruttore.
- Copertura relativa: mostra la percentuale di sottoscrizioni o connettori con un piano specifico di Defender per il cloud abilitato.
- Copertura assoluta: mostra lo stato di ogni piano per sottoscrizione.
- Copertura dettagliata: mostra impostazioni aggiuntive che è possibile abilitare o che devono essere abilitate nei piani pertinenti per ottenere il valore completo di ogni piano.
È anche possibile selezionare l'ambiente Azure, Amazon Web Services o Google Cloud Platform in ogni sottoscrizione o in tutte le sottoscrizioni per visualizzare i piani e le estensioni abilitati per gli ambienti.
Cartella di lavoro Secure Score Over Time
La cartella di lavoro Secure Score Over Time usa i dati del punteggio di sicurezza dell'area di lavoro Log Analytics. I dati devono essere esportati usando lo strumento di esportazione continua come descritto in Configurare l'esportazione continua per Defender per il cloud nel portale di Azure.
Quando si configura l'esportazione continua, in Frequenza di esportazioneselezionare sia Aggiornamenti di streaming che Snapshot (anteprima).
Nota
Gli snapshot vengono esportati settimanalmente. Si verifica un ritardo di almeno una settimana dopo l'esportazione del primo snapshot prima di poter visualizzare i dati nella cartella di lavoro.
Suggerimento
Per configurare l'esportazione continua nell'organizzazione, usare i criteri forniti DeployIfNotExist in Criteri di Azure descritti in Configurare l'esportazione continua su larga scala.
La cartella di lavoro Secure Score Over Time include cinque grafici per le sottoscrizioni che segnalano alle aree di lavoro selezionate:
| Grafico | Esempio |
|---|---|
| Assegnare un punteggio alle tendenze dell'ultima settimana e mese Usare questa sezione per monitorare il punteggio corrente e le tendenze generali dei punteggi per le sottoscrizioni. |
|
| Punteggio aggregato per tutte le sottoscrizioni selezionate Passare il puntatore del mouse su qualsiasi punto della linea di tendenza per visualizzare il punteggio aggregato in qualsiasi data nell'intervallo di tempo selezionato. |
|
| Raccomandazioni con le risorse maggiormente non integre Questa tabella consente di valutare le raccomandazioni con la maggior parte delle risorse che sono state modificate in uno stato non integro nel periodo selezionato. |
|
| Punteggi per controlli di sicurezza specifici I controlli di sicurezza in Defender per il cloud sono raggruppamenti logici di raccomandazioni. Questo grafico mostra a colpo d'occhio i punteggi settimanali per tutti i controlli. |
|
| Modifiche alle risorse Le raccomandazioni con la maggior parte delle risorse che hanno modificato lo stato (integro, non integro o non applicabile) durante il periodo selezionato sono elencate qui. Selezionare una raccomandazione nell'elenco per aprire una nuova tabella che elenca le risorse specifiche. |
|
Cartella di lavoro Aggiornamenti di sistema
La cartella di lavoro Aggiornamenti di sistema si basa sulla raccomandazione di sicurezza che gli aggiornamenti di sistema devono essere installati nei computer. La cartella di lavoro consente di identificare i computer con aggiornamenti da applicare.
È possibile visualizzare lo stato di aggiornamento per le sottoscrizioni selezionate:
- Elenco di risorse con aggiornamenti in sospeso da applicare.
- Elenco di aggiornamenti mancanti nelle risorse.
Cartella di lavoro Risultati valutazione vulnerabilità
Defender per il cloud include scanner di vulnerabilità per i computer, i contenitori nei registri contenitori e i computer che eseguono SQL Server.
Altre informazioni sull'uso di questi scanner:
- Individuare le vulnerabilità con Gestione delle vulnerabilità di Microsoft Defender
- Analizzare le risorse SQL per individuare le vulnerabilità
I risultati per ogni tipo di risorsa vengono segnalati in raccomandazioni separate:
- È consigliabile correggere le vulnerabilità nelle macchine virtuali (include i risultati di Gestione delle vulnerabilità di Microsoft Defender, lo scanner Qualys integrato e le eventuali soluzioni BYOL VA configurate)
- È necessario risolvere le vulnerabilità individuate per le immagini del registro contenitori
- I risultati delle vulnerabilità devono essere risolti nei database SQL
- I risultati delle vulnerabilità devono essere risolti nei server SQL
La cartella di lavoro Risultati valutazione della vulnerabilità raccoglie questi risultati e li organizza in base alla gravità, al tipo di risorsa e alla categoria.
Cartella di lavoro Conformità nel tempo
Microsoft Defender for Cloud confronta continuamente la configurazione delle risorse con i requisiti di benchmark, normative e standard del settore. Gli standard predefiniti includono NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST e altro ancora. È possibile selezionare gli standard rilevanti per l'organizzazione usando il dashboard di conformità alle normative. Altre informazioni su Personalizzazione del set di standard nel dashboard di conformità alle normative.
La cartella di lavoro Compliance Over Time tiene traccia dello stato di conformità nel tempo usando i vari standard aggiunti al dashboard.
Quando si seleziona uno standard nell'area di panoramica del report, nel riquadro inferiore viene visualizzata una suddivisione più dettagliata:
Per visualizzare le risorse passate o non riuscite a ogni controllo, è possibile continuare a eseguire il drill-down fino al livello di raccomandazione.
Suggerimento
Per ogni pannello del report, è possibile esportare i dati in Excel usando l'opzione Esporta in Excel.
Cartella di lavoro Avvisi attivi
La cartella di lavoro Avvisi attivi visualizza gli avvisi di sicurezza attivi per le sottoscrizioni in un unico dashboard. Gli avvisi di sicurezza sono le notifiche generate da Defender per il cloud quando rileva le minacce contro le risorse. Defender per il cloud assegna priorità ed elenca gli avvisi con le informazioni necessarie per analizzare e correggere rapidamente.
Questa cartella di lavoro offre vantaggi grazie alla consapevolezza e alla priorità delle minacce attive nell'ambiente in uso.
Nota
La maggior parte delle cartelle di lavoro usa Azure Resource Graph per eseguire query sui dati. Ad esempio, per visualizzare una visualizzazione mappa, i dati vengono sottoposti a query in un'area di lavoro Log Analytics. È necessario abilitare Esportazione continua. Esportare gli avvisi di sicurezza nell'area di lavoro Log Analytics.
È possibile visualizzare gli avvisi attivi in base alla gravità, al gruppo di risorse e al tag.
È anche possibile visualizzare gli avvisi principali della sottoscrizione da risorse attaccate, tipi di avviso e nuovi avvisi.
Per visualizzare altri dettagli su un avviso, selezionare l'avviso.
La scheda Tattiche MITRE ATT&CK elenca gli avvisi nell'ordine della "kill chain" e il numero di avvisi presenti nella sottoscrizione in ogni fase.
È possibile visualizzare tutti gli avvisi attivi in una tabella e filtrare in base alle colonne.
Per visualizzare i dettagli per un avviso specifico, selezionare l'avviso nella tabella, quindi selezionare il pulsante Apri visualizzazione avvisi.
Per visualizzare tutti gli avvisi in base alla posizione in una vista mappa, selezionare la scheda Vista mappa.
Selezionare una posizione sulla mappa per visualizzare tutti gli avvisi per tale posizione.
Per visualizzare i dettagli per un avviso, selezionare un avviso e quindi selezionare il pulsante Apri vista avvisi.
Cartella di lavoro Sicurezza DevOps
La cartella di lavoro di Sicurezza DevOps fornisce un report visivo personalizzabile della postura di sicurezza DevOps. È possibile usare questa cartella di lavoro per visualizzare informazioni dettagliate sui repository con il maggior numero di vulnerabilità ed esposizioni comuni (CVE) e punti deboli, repository attivi con sicurezza avanzata disattivata, valutazioni della postura di sicurezza delle configurazioni dell'ambiente DevOps e molto altro ancora. Personalizzare e aggiungere report visivi personalizzati usando il set completo di dati in Azure Resource Graph per soddisfare le esigenze aziendali del team di sicurezza.
Nota
Per usare questa cartella di lavoro, l'ambiente deve avere un connettore GitHub, un connettore GitLab o un connettore Azure DevOps.
Per distribuire la cartella di lavoro:
Accedere al portale di Azure.
Andare a Microsoft Defender per il cloud>Cartelle di lavoro.
Selezionare la cartella di lavoro Sicurezza DevOps (anteprima).
La cartella di lavoro viene caricata e visualizzata la scheda Panoramica. In questa scheda è possibile visualizzare il numero di segreti esposti, la sicurezza del codice e la sicurezza DevOps. I risultati vengono visualizzati in totale per ogni repository e per gravità.
Per visualizzare il conteggio in base al tipo di segreto, selezionare la scheda Segreti.
La scheda Codice visualizza il conteggio dei risultati per strumento e repository. Mostra i risultati dell'analisi del codice in base alla gravità.
La scheda Vulnerabilità OSS visualizza le vulnerabilità di Sicurezza Open Source (OSS) in base alla gravità e al numero di risultati per repository.
La scheda Infrastruttura come codice visualizzai risultati in base agli strumenti e al repository.
La scheda Postura visualizza la postura di sicurezza in base alla gravità e al repository.
La scheda Minacce e tattiche visualizza il numero di minacce e tattiche in base al repository e al conteggio totale.
Importare cartelle di lavoro da altre raccolte di cartelle di lavoro
Per spostare cartelle di lavoro compilate in altri servizi di Azure nella raccolta di cartelle di lavoro di Microsoft Defender per il cloud:
Aprire la cartella di lavoro da importare.
Nella barra degli strumenti, seleziona Modifica.
Nella barra degli strumenti selezionare </> per aprire l'Editor avanzato.
Nel modello della raccolta di cartelle di lavoro selezionare tutto il codice JSON nel file e copiarlo.
Aprire la raccolta di cartelle di lavoro in Defender per il cloud e selezionare Nuovo nella barra dei menu.
Selezionare </> per aprire l'Editor avanzato.
Incollare l'intero codice JSON del modello di raccolta.
Selezionare Applica.
Nella barra degli strumenti selezionare Salva con nome.
Per salvare le modifiche apportate alla cartella di lavoro, immettere o selezionare le informazioni seguenti:
- Nome della cartella di lavoro.
- Area di Azure da usare.
- Eventuali informazioni rilevanti sulla sottoscrizione, il gruppo di risorse e la condivisione.
Per trovare la cartella di lavoro salvata, andare alla categoria Cartelle di lavoro modificate di recente.
Contenuto correlato
Questo articolo descrive la pagina cartelle di lavoro di Azure integrate di Defender per il cloud con report predefiniti e l'opzione per creare report personalizzati e interattivi.
- Altre informazioni sulle cartelle di lavoro di Azure.
Le cartelle di lavoro predefinite ottengono i dati dalle raccomandazioni di Defender per il cloud.