Condividi tramite

Creare report interattivi con cartelle di lavoro di Monitoraggio di Azure

  • Articolo

Le cartelle di lavoro di Azure sono aree di disegno flessibili che è possibile usare per analizzare i dati e creare report visivi avanzati nel portale di Azure. Nelle cartelle di lavoro è possibile accedere a diverse origini dati in Azure. Combinare cartelle di lavoro in esperienze unificate interattive.

Le cartelle di lavoro offrono un set completo di funzionalità per la visualizzazione dei dati di Azure. Per informazioni dettagliate su ogni tipo di visualizzazione, vedere gli esempi e la documentazione sulle visualizzazioni.

In Microsoft Defender per il cloud è possibile accedere alle cartelle di lavoro predefinite per tenere traccia della postura di sicurezza dell'organizzazione. È anche possibile creare cartelle di lavoro personalizzate per visualizzare un'ampia gamma di dati da Defender per il cloud o da altre origini dati supportate.

Screenshot che mostra la cartella di lavoro Secure Score Over Time.

Per informazioni sui prezzi, vedere la pagina dei prezzi.

Prerequisiti

Ruoli e autorizzazioni necessari: per salvare una cartella di lavoro, è necessario avere almeno autorizzazioni Collaboratore cartella di lavoro per il gruppo di risorse pertinente.

Disponibilità cloud: Cloud commerciali Nazionali (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

In Defender per il cloud è possibile usare la funzionalità integrata delle cartelle di lavoro di Azure per creare cartelle di lavoro personalizzate e interattive che visualizzano i dati di sicurezza. Defender per il cloud include una raccolta di cartelle di lavoro con le cartelle di lavoro seguenti pronte per la personalizzazione:

  • Cartella di lavoro Copertura: tenere traccia della copertura dei piani e delle estensioni di Defender per il cloud negli ambienti e nelle sottoscrizioni.
  • Cartella di lavoro Secure Score nel tempo: tenere traccia dei punteggi e delle modifiche apportate alle raccomandazioni per le risorse.
  • Cartella di lavoro Aggiornamenti di sistema: visualizzare gli aggiornamenti di sistema mancanti in base a risorsa, sistema operativo, gravità e altro ancora.
  • Cartella di lavoro Risultati della valutazione della vulnerabilità: visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure.
  • Cartella di lavoro Conformità nel tempo: visualizzare lo stato della conformità di una sottoscrizione agli standard normativi o agli standard di settore selezionati.
  • Cartella di lavoro Avvisi attivi: visualizzare gli avvisi attivi in base a gravità, tipo, tag, tattiche MITRE ATT&CK e posizione.
  • Cartella di lavoro Stima prezzi: visualizzare stime dei prezzi mensili e consolidate per i piani in Defender per il cloud, in base ai dati di telemetria delle risorse nell'ambiente in uso. I numeri sono stime basate sui prezzi al dettaglio e non rappresentano i dati effettivi di fatturazione o fattura.
  • Cartella di lavoro governance: usare il report di governance nelle impostazioni delle regole di governance per tenere traccia dello stato di avanzamento delle regole che influiscono sull'organizzazione.
  • Cartella di lavoro Sicurezza DevOps (anteprima): visualizzare una base personalizzabile che consente di visualizzare lo stato della postura DevOps per i connettori configurati.

Insieme alle cartelle di lavoro predefinite, è possibile trovare cartelle di lavoro utili nella categoria Community. Queste cartelle di lavoro vengono fornite così come sono e non hanno alcun contratto di servizio o supporto. È possibile scegliere una delle cartelle di lavoro fornite o creare una cartella di lavoro personalizzata.

Screenshot che mostra la raccolta di cartelle di lavoro predefinite in Microsoft Defender per il cloud.

Suggerimento

Per personalizzare una delle cartelle di lavoro, selezionare il pulsante Modifica. Al termine della modifica, selezionare Salva. Le modifiche vengono salvate in una nuova cartella di lavoro.

Screenshot che mostra come modificare una cartella di lavoro fornita per personalizzarla in base alle proprie esigenze.

Cartella di lavoro Copertura

Se si abilita Defender per il cloud tra più sottoscrizioni e ambienti (Azure, Amazon Web Services e Google Cloud Platform), potrebbe risultare difficile tenere traccia dei piani attivi. È particolarmente vero se si hanno più sottoscrizioni e ambienti.

La cartella di lavoro Coverage consente di tenere traccia dei piani di Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è possibile identificare le aree che potrebbero richiedere una maggiore protezione in modo da poter intervenire per risolvere tali aree.

Screenshot che mostra la cartella di lavoro Coverage, che mostra i piani e le estensioni abilitati in varie sottoscrizioni e ambienti.

In questa cartella di lavoro è possibile selezionare una sottoscrizione (o tutte le sottoscrizioni) e quindi visualizzare le schede seguenti:

  • Informazioni aggiuntive: mostra le note sulla versione e una spiegazione di ogni interruttore.
  • Copertura relativa: mostra la percentuale di sottoscrizioni o connettori con un piano specifico di Defender per il cloud abilitato.
  • Copertura assoluta: mostra lo stato di ogni piano per sottoscrizione.
  • Copertura dettagliata: mostra impostazioni aggiuntive che è possibile abilitare o che devono essere abilitate nei piani pertinenti per ottenere il valore completo di ogni piano.

È anche possibile selezionare l'ambiente Azure, Amazon Web Services o Google Cloud Platform in ogni sottoscrizione o in tutte le sottoscrizioni per visualizzare i piani e le estensioni abilitati per gli ambienti.

Cartella di lavoro Secure Score Over Time

La cartella di lavoro Secure Score Over Time usa i dati del punteggio di sicurezza dell'area di lavoro Log Analytics. I dati devono essere esportati usando lo strumento di esportazione continua come descritto in Configurare l'esportazione continua per Defender per il cloud nel portale di Azure.

Quando si configura l'esportazione continua, in Frequenza di esportazioneselezionare sia Aggiornamenti di streaming che Snapshot (anteprima).

Screenshot che mostra le opzioni di frequenza di esportazione da selezionare per l'esportazione continua nella cartella di lavoro Secure Score Over Time.

Nota

Gli snapshot vengono esportati settimanalmente. Si verifica un ritardo di almeno una settimana dopo l'esportazione del primo snapshot prima di poter visualizzare i dati nella cartella di lavoro.

Suggerimento

Per configurare l'esportazione continua nell'organizzazione, usare i criteri forniti DeployIfNotExist in Criteri di Azure descritti in Configurare l'esportazione continua su larga scala.

La cartella di lavoro Secure Score Over Time include cinque grafici per le sottoscrizioni che segnalano alle aree di lavoro selezionate:

Grafico Esempio
Assegnare un punteggio alle tendenze dell'ultima settimana e mese
Usare questa sezione per monitorare il punteggio corrente e le tendenze generali dei punteggi per le sottoscrizioni.		 Screenshot che mostra le tendenze per il punteggio di sicurezza nella cartella di lavoro predefinita.
Punteggio aggregato per tutte le sottoscrizioni selezionate
Passare il puntatore del mouse su qualsiasi punto della linea di tendenza per visualizzare il punteggio aggregato in qualsiasi data nell'intervallo di tempo selezionato.		 Screenshot che mostra un punteggio aggregato per tutte le sottoscrizioni selezionate.
Raccomandazioni con le risorse maggiormente non integre
Questa tabella consente di valutare le raccomandazioni con la maggior parte delle risorse che sono state modificate in uno stato non integro nel periodo selezionato.		 Screenshot che mostra le raccomandazioni con le risorse più non integre.
Punteggi per controlli di sicurezza specifici
I controlli di sicurezza in Defender per il cloud sono raggruppamenti logici di raccomandazioni. Questo grafico mostra a colpo d'occhio i punteggi settimanali per tutti i controlli.		 Screenshot che mostra i punteggi per i controlli di sicurezza nel periodo di tempo selezionato.
Modifiche alle risorse
Le raccomandazioni con la maggior parte delle risorse che hanno modificato lo stato (integro, non integro o non applicabile) durante il periodo selezionato sono elencate qui. Selezionare una raccomandazione nell'elenco per aprire una nuova tabella che elenca le risorse specifiche.		 Screenshot che mostra le raccomandazioni con la maggior parte delle risorse che hanno modificato lo stato di integrità durante il periodo selezionato.

Cartella di lavoro Aggiornamenti di sistema

La cartella di lavoro Aggiornamenti di sistema si basa sulla raccomandazione di sicurezza che gli aggiornamenti di sistema devono essere installati nei computer. La cartella di lavoro consente di identificare i computer con aggiornamenti da applicare.

È possibile visualizzare lo stato di aggiornamento per le sottoscrizioni selezionate:

  • Elenco di risorse con aggiornamenti in sospeso da applicare.
  • Elenco di aggiornamenti mancanti nelle risorse.

Cartella di lavoro degli aggiornamenti di sistema di Defender per il cloud in base alla raccomandazione sulla sicurezza degli aggiornamenti mancanti.

Cartella di lavoro Risultati valutazione vulnerabilità

Defender per il cloud include scanner di vulnerabilità per i computer, i contenitori nei registri contenitori e i computer che eseguono SQL Server.

Altre informazioni sull'uso di questi scanner:

I risultati per ogni tipo di risorsa vengono segnalati in raccomandazioni separate:

La cartella di lavoro Risultati valutazione della vulnerabilità raccoglie questi risultati e li organizza in base alla gravità, al tipo di risorsa e alla categoria.

Screenshot che mostra il report sui risultati della valutazione delle vulnerabilità di Defender per il cloud.

Cartella di lavoro Conformità nel tempo

Microsoft Defender for Cloud confronta continuamente la configurazione delle risorse con i requisiti di benchmark, normative e standard del settore. Gli standard predefiniti includono NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST e altro ancora. È possibile selezionare gli standard rilevanti per l'organizzazione usando il dashboard di conformità alle normative. Altre informazioni su Personalizzazione del set di standard nel dashboard di conformità alle normative.

La cartella di lavoro Compliance Over Time tiene traccia dello stato di conformità nel tempo usando i vari standard aggiunti al dashboard.

Screenshot che mostra come selezionare gli standard per il report Conformità nel tempo.

Quando si seleziona uno standard nell'area di panoramica del report, nel riquadro inferiore viene visualizzata una suddivisione più dettagliata:

Screenshot che mostra come una suddivisione dettagliata delle modifiche relative a uno standard specifico.

Per visualizzare le risorse passate o non riuscite a ogni controllo, è possibile continuare a eseguire il drill-down fino al livello di raccomandazione.

Suggerimento

Per ogni pannello del report, è possibile esportare i dati in Excel usando l'opzione Esporta in Excel.

Screenshot che mostra come esportare i dati di una cartella di lavoro di conformità in Excel.

Cartella di lavoro Avvisi attivi

La cartella di lavoro Avvisi attivi visualizza gli avvisi di sicurezza attivi per le sottoscrizioni in un unico dashboard. Gli avvisi di sicurezza sono le notifiche generate da Defender per il cloud quando rileva le minacce contro le risorse. Defender per il cloud assegna priorità ed elenca gli avvisi con le informazioni necessarie per analizzare e correggere rapidamente.

Questa cartella di lavoro offre vantaggi grazie alla consapevolezza e alla priorità delle minacce attive nell'ambiente in uso.

Nota

La maggior parte delle cartelle di lavoro usa Azure Resource Graph per eseguire query sui dati. Ad esempio, per visualizzare una visualizzazione mappa, i dati vengono sottoposti a query in un'area di lavoro Log Analytics. È necessario abilitare Esportazione continua. Esportare gli avvisi di sicurezza nell'area di lavoro Log Analytics.

È possibile visualizzare gli avvisi attivi in base alla gravità, al gruppo di risorse e al tag.

Screenshot che mostra una visualizzazione di esempio degli avvisi visualizzati in base alla gravità, al gruppo di risorse e al tag.

È anche possibile visualizzare gli avvisi principali della sottoscrizione da risorse attaccate, tipi di avviso e nuovi avvisi.

Screenshot che evidenzia gli avvisi principali per le sottoscrizioni.

Per visualizzare altri dettagli su un avviso, selezionare l'avviso.

Screenshot che mostra tutti gli avvisi attivi con gravità elevata per una risorsa specifica.

La scheda Tattiche MITRE ATT&CK elenca gli avvisi nell'ordine della "kill chain" e il numero di avvisi presenti nella sottoscrizione in ogni fase.

Screenshot che mostra l'ordine della catena e il numero di avvisi.

È possibile visualizzare tutti gli avvisi attivi in una tabella e filtrare in base alle colonne.

Screenshot che mostra la tabella degli avvisi attivi.

Per visualizzare i dettagli per un avviso specifico, selezionare l'avviso nella tabella, quindi selezionare il pulsante Apri visualizzazione avvisi.

Screenshot che mostra i dettagli di un avviso e il pulsante Apri visualizzazione avvisi.

Per visualizzare tutti gli avvisi in base alla posizione in una vista mappa, selezionare la scheda Vista mappa.

Screenshot che mostra gli avvisi visualizzati in una mappa in Visualizzazione mappa.

Selezionare una posizione sulla mappa per visualizzare tutti gli avvisi per tale posizione.

Screenshot che mostra gli avvisi in una posizione specifica in Visualizzazione mappa.

Per visualizzare i dettagli per un avviso, selezionare un avviso e quindi selezionare il pulsante Apri vista avvisi.

Cartella di lavoro Sicurezza DevOps

La cartella di lavoro di Sicurezza DevOps fornisce un report visivo personalizzabile della postura di sicurezza DevOps. È possibile usare questa cartella di lavoro per visualizzare informazioni dettagliate sui repository con il maggior numero di vulnerabilità ed esposizioni comuni (CVE) e punti deboli, repository attivi con sicurezza avanzata disattivata, valutazioni della postura di sicurezza delle configurazioni dell'ambiente DevOps e molto altro ancora. Personalizzare e aggiungere report visivi personalizzati usando il set completo di dati in Azure Resource Graph per soddisfare le esigenze aziendali del team di sicurezza.

Screenshot che mostra una pagina dei risultati di esempio dopo aver selezionato la cartella di lavoro di DevOps.

Nota

Per usare questa cartella di lavoro, l'ambiente deve avere un connettore GitHub, un connettore GitLab o un connettore Azure DevOps.

Per distribuire la cartella di lavoro:

  1. Accedere al portale di Azure.

  2. Andare a Microsoft Defender per il cloud>Cartelle di lavoro.

  3. Selezionare la cartella di lavoro Sicurezza DevOps (anteprima).

La cartella di lavoro viene caricata e visualizzata la scheda Panoramica. In questa scheda è possibile visualizzare il numero di segreti esposti, la sicurezza del codice e la sicurezza DevOps. I risultati vengono visualizzati in totale per ogni repository e per gravità.

Per visualizzare il conteggio in base al tipo di segreto, selezionare la scheda Segreti.

Screenshot che mostra la scheda Segreti, che mostra il conteggio dei risultati in base al tipo di segreto.

La scheda Codice visualizza il conteggio dei risultati per strumento e repository. Mostra i risultati dell'analisi del codice in base alla gravità.

Screenshot che mostra la scheda Codice e i relativi risultati in base allo strumento, al repository e alla gravità.

La scheda Vulnerabilità OSS visualizza le vulnerabilità di Sicurezza Open Source (OSS) in base alla gravità e al numero di risultati per repository.

Screenshot che mostra la scheda Vulnerabilità OSS, che mostra i livelli di gravità e i risultati in base al repository.

La scheda Infrastruttura come codice visualizzai risultati in base agli strumenti e al repository.

Screenshot che mostra la scheda Infrastruttura come codice, che mostra i risultati in base allo strumento e al repository.

La scheda Postura visualizza la postura di sicurezza in base alla gravità e al repository.

Screenshot che mostra la scheda Posture che mostra la postura di sicurezza in base alla gravità e al repository.

La scheda Minacce e tattiche visualizza il numero di minacce e tattiche in base al repository e al conteggio totale.

Screenshot che mostra la scheda Minacce e tattiche, che mostra il numero totale di minacce e tattiche e il conteggio per repository.

Importare cartelle di lavoro da altre raccolte di cartelle di lavoro

Per spostare cartelle di lavoro compilate in altri servizi di Azure nella raccolta di cartelle di lavoro di Microsoft Defender per il cloud:

  1. Aprire la cartella di lavoro da importare.

  2. Nella barra degli strumenti, seleziona Modifica.

    Screenshot che mostra come modificare una cartella di lavoro.

  3. Nella barra degli strumenti selezionare </> per aprire l'Editor avanzato.

    Screenshot che mostra come aprire l'editor avanzato per copiare il codice JSON del modello di raccolta.

  4. Nel modello della raccolta di cartelle di lavoro selezionare tutto il codice JSON nel file e copiarlo.

  5. Aprire la raccolta di cartelle di lavoro in Defender per il cloud e selezionare Nuovo nella barra dei menu.

  6. Selezionare </> per aprire l'Editor avanzato.

  7. Incollare l'intero codice JSON del modello di raccolta.

  8. Selezionare Applica.

  9. Nella barra degli strumenti selezionare Salva con nome.

    Screenshot che mostra il salvataggio della cartella di lavoro nella raccolta in Defender per il cloud.

  10. Per salvare le modifiche apportate alla cartella di lavoro, immettere o selezionare le informazioni seguenti:

    • Nome della cartella di lavoro.
    • Area di Azure da usare.
    • Eventuali informazioni rilevanti sulla sottoscrizione, il gruppo di risorse e la condivisione.

Per trovare la cartella di lavoro salvata, andare alla categoria Cartelle di lavoro modificate di recente.

Contenuto correlato

Questo articolo descrive la pagina cartelle di lavoro di Azure integrate di Defender per il cloud con report predefiniti e l'opzione per creare report personalizzati e interattivi.

Le cartelle di lavoro predefinite ottengono i dati dalle raccomandazioni di Defender per il cloud.