Usare l'inventario asset per gestire il comportamento di sicurezza delle risorse

La pagina dell'inventario asset di Microsoft Defender per Cloud mostra il comportamento di sicurezza delle risorse connesse a Defender for Cloud. Defender for Cloud analizza periodicamente lo stato di sicurezza delle risorse connesse alle sottoscrizioni per identificare potenziali problemi di sicurezza e fornisce consigli attivi. Le raccomandazioni attive sono raccomandazioni che possono essere risolte per migliorare il comportamento di sicurezza.

Usare questa visualizzazione e i relativi filtri per rispondere alle domande seguenti:

  • Quale delle sottoscrizioni con i piani Defender è abilitata hanno raccomandazioni in sospeso?
  • Quali computer con il tag 'Produzione' non hanno l'agente di Log Analytics?
  • Quanti computer contrassegnati con uno specifico tag hanno raccomandazioni in sospeso?
  • Quali computer in un gruppo di risorse specifico hanno una vulnerabilità nota (usando un numero CVE)?

Le raccomandazioni per la sicurezza nella pagina inventario asset vengono visualizzate anche nella pagina Raccomandazioni , ma qui vengono visualizzate in base alla risorsa interessata. Altre informazioni sull'implementazione delle raccomandazioni sulla sicurezza.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Livello gratuito
Alcune funzionalità della pagina di inventario, ad esempio l'inventario software richiedono soluzioni a pagamento per essere sul posto
Autorizzazioni e ruoli obbligatori: tutti gli utenti
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

L'inventario software non è attualmente supportato nei cloud nazionali.

Quali sono le caratteristiche principali dell'inventario delle risorse?

La pagina dell'inventario contiene gli strumenti seguenti:

Funzionalità principali della pagina dell'inventario asset in Microsoft Defender for Cloud.

1 - Riepiloghi

Prima di definire eventuali filtri, viene visualizzata una striscia di valori di rilievo nella parte superiore della visualizzazione di inventario:

  • Totale risorse: numero totale di risorse connesse a Defender for Cloud.
  • Risorse non integre: risorse con raccomandazioni di sicurezza attive che è possibile implementare. Altre informazioni sull'implementazione delle raccomandazioni sulla sicurezza.
  • Risorse non monitorate: risorse con problemi di monitoraggio dell'agente: l'agente di Log Analytics è stato distribuito, ma l'agente non invia dati o presenta altri problemi di integrità.
  • Sottoscrizioni non registrate: qualsiasi sottoscrizione nell'ambito selezionato che non è ancora stata connessa a Microsoft Defender per Cloud.

2 - Filtri

I più filtri nella parte superiore della pagina forniscono un modo per perfezionare rapidamente l'elenco delle risorse in base alla domanda che si sta tentando di rispondere. Ad esempio, se si vuole conoscere quale computer con il tag 'Production' manca l'agente di Log Analytics, è possibile filtrare l'elenco per il monitoraggio dell'agente:"Non installato" e Tag:"Production".

Non appena vengono applicati i filtri, i valori riepilogativi vengono aggiornati in base ai risultati della query.

3 - Strumenti di gestione delle risorse ed esportazione

Opzioni di esportazione : l'inventario include un'opzione per esportare i risultati delle opzioni di filtro selezionate in un file CSV. È anche possibile esportare la query stessa in Azure Resource Graph Explorer per affinare, salvare o modificare la query in linguaggio Kusto (KQL).

Suggerimento

La documentazione di KQL fornisce un database con alcuni dati di esempio insieme ad alcune semplici query per ottenere la "sensazione" per il linguaggio. Altre informazioni in questa esercitazione su KQL.

Opzioni di gestione degli asset : quando sono state trovate le risorse corrispondenti alle query, l'inventario fornisce collegamenti per operazioni come:

  • Assegnare i tag alle risorse filtrate: selezionare le caselle di controllo accanto alle risorse da contrassegnare.
  • Eseguire l'onboarding di nuovi server in Defender for Cloud: usare il pulsante Aggiungi barra degli strumenti dei server non di Azure .
  • Automatizzare i carichi di lavoro con App per la logica di Azure: usare il pulsante Trigger Logic App per eseguire un'app per la logica in una o più risorse. Le app per la logica devono essere preparate in anticipo e accettano il tipo di trigger pertinente (richiesta HTTP). Altre informazioni sulle app per la logica.

Come funziona l'inventario degli asset?

L'inventario degli asset usa Azure Resource Graph (ARG), un servizio di Azure che consente di eseguire query sui dati relativi al comportamento di sicurezza di Defender for Cloud in più sottoscrizioni.

Il servizio ARG è progettato per fornire un'efficace esplorazione delle risorse con la possibilità di eseguire query su larga scala.

È possibile usare Linguaggio di query Kusto (KQL) nell'inventario degli asset per produrre rapidamente informazioni approfondite facendo riferimento incrociato ai dati di Defender for Cloud con altre proprietà delle risorse.

Come usare l'inventario degli asset

  1. Dalla barra laterale di Defender for Cloud selezionare Inventario.

  2. Utilizzare la casella Filtro per nome per visualizzare una risorsa specifica oppure usare i filtri per concentrarsi sulle risorse specifiche.

    Per impostazione predefinita, le risorse vengono ordinate in base al numero di raccomandazioni di sicurezza attive.

    Importante

    Le opzioni in ogni filtro sono specifiche per le risorse nelle sottoscrizioni attualmente selezionate e le selezioni negli altri filtri.

    Ad esempio, se è stata selezionata una sola sottoscrizione e la sottoscrizione non dispone di risorse con raccomandazioni di sicurezza in sospeso per correggere (0 risorse non integre), il filtro Raccomandazioni non avrà opzioni.

    Uso delle opzioni di filtro in Microsoft Defender per l'inventario delle risorse del cloud per filtrare le risorse alle risorse di produzione non monitorate

  3. Per usare i risultati della sicurezza contengono il filtro, immettere testo libero dall'ID, dal controllo di sicurezza o dal nome CVE di una vulnerabilità che consente di filtrare le risorse interessate:

    Filtro

    Suggerimento

    I risultati della sicurezza contengono e i filtri Tag accettano solo un singolo valore. Per filtrare per più di uno, usare Aggiungi filtri.

  4. Per usare il filtro Defender for Cloud , selezionare una o più opzioni (Off, On o Partial):

    • Off- Risorse non protette da un piano di Microsoft Defender. È possibile fare clic con il pulsante destro del mouse sulle risorse e aggiornarli:

      Aggiornare una risorsa da proteggere dal piano di Microsoft Defender pertinente tramite il pulsante destro del mouse.

    • On - Risorse protette da un piano di Microsoft Defender

    • Parziale - Sottoscrizioni con alcuni ma non tutti i piani di Microsoft Defender disabilitati. Ad esempio, la sottoscrizione seguente include sette piani Microsoft Defender disabilitati.

      Sottoscrizione parzialmente protetta dai piani di Microsoft Defender.

  5. Per esaminare ulteriormente i risultati della query, selezionare le risorse che interessano.

  6. Per visualizzare le opzioni di filtro selezionate correnti come query in Esplora Resource Graph, selezionare Apri query.

    Query di inventario in ARG.

  7. Se sono stati definiti alcuni filtri e si lascia aperta la pagina, Defender for Cloud non aggiornerà automaticamente i risultati. Le modifiche apportate alle risorse non influisce sui risultati visualizzati, a meno che non si ricarica manualmente la pagina o si seleziona Aggiorna.

Accedere a un inventario software

Per accedere all'inventario software, è necessaria una delle soluzioni a pagamento seguenti:

Se l'integrazione è già stata abilitata con Microsoft Defender per endpoint e abilitata Microsoft Defender per i server, sarà possibile accedere all'inventario software.

Se è stata abilitata la soluzione di minaccia e vulnerabilità, l'inventario delle risorse di Defender for Cloud offre un filtro per selezionare le risorse dal software installato.

Nota

L'opzione "Vuoto" mostra i computer senza Microsoft Defender per endpoint o senza Microsoft Defender per server.

Oltre ai filtri nella pagina inventario asset, è possibile esplorare i dati di inventario software da Azure Resource Graph Explorer.

Esempi di uso di Azure Resource Graph Explorer per accedere ed esplorare i dati di inventario software:

  1. Aprire Azure Resource Graph Explorer.

    Pagina di avvio di Azure Resource Graph Explorer**

  2. Selezionare l'ambito di sottoscrizione seguente: securityresources/softwareinventories

  3. Immettere una delle query seguenti (o personalizzarle o scriverle in modo personalizzato!) e selezionare Esegui query.

    • Per generare un elenco di base di software installato:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Per filtrare in base ai numeri di versione:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Per trovare computer con una combinazione di prodotti software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinazione di un prodotto software con un'altra raccomandazione per la sicurezza:

      In questo esempio, i computer con porte di gestione installate e esposte di MySQL

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Passaggi successivi

Questo articolo descrive la pagina dell'inventario delle risorse di Microsoft Defender per Cloud.

Per altre informazioni sugli strumenti correlati, vedere le pagine seguenti: