Share via


Assetinventaris gebruiken om de beveiligingspostuur van uw resources te beheren

De pagina assetinventaris van Microsoft Defender voor Cloud toont de beveiligingspostuur van de resources die u hebt verbonden met Defender voor Cloud. Defender voor Cloud analyseert periodiek de beveiligingsstatus van resources die zijn verbonden met uw abonnementen om potentiële beveiligingsproblemen te identificeren en u actieve aanbevelingen te geven. Actieve aanbevelingen zijn aanbevelingen die kunnen worden opgelost om uw beveiligingspostuur te verbeteren.

Gebruik deze weergave en de bijbehorende filters om te reageren op vragen als:

  • Welke van mijn abonnementen waarvoor Defender-abonnementen zijn ingeschakeld, hebben openstaande aanbevelingen?
  • Welke van mijn machines met de tag Productie ontbreekt de Log Analytics-agent?
  • Hoeveel van mijn computers die zijn getagd met een specifieke tag, hebben uitstekende aanbevelingen?
  • Welke machines in een specifieke resourcegroep hebben een bekend beveiligingsprobleem (met behulp van een CVE-nummer)?

De beveiligingsaankopen op de pagina Assetinventaris worden ook weergegeven op de pagina Aanbevelingen , maar hier worden ze weergegeven op basis van de betreffende resource. Meer informatie over het implementeren van beveiligingsaan aanbevelingen.

Beschikbaarheid

Aspect DETAILS
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Gratis
Sommige functies van de inventarispagina, zoals de software-inventaris , vereisen dat betaalde oplossingen in-place zijn
Vereiste rollen en machtigingen: Alle gebruikers
Clouds: Commerciële clouds
National (Azure Government, Microsoft Azure beheerd door 21Vianet)

Software-inventaris wordt momenteel niet ondersteund in nationale clouds.

Wat zijn de belangrijkste functies van assetinventaris?

De inventarispagina bevat de volgende hulpprogramma's:

Belangrijkste functies van de pagina assetinventaris in Microsoft Defender voor Cloud.

1 - Samenvattingen

Voordat u filters definieert, ziet u boven aan de voorraadweergave een prominente strook met waarden:

  • Totaal aantal resources: het totale aantal resources dat is verbonden met Defender voor Cloud.
  • Beschadigde resources: resources met actieve beveiligingsaanaanveling die u kunt implementeren. Meer informatie over het implementeren van beveiligingsaan aanbevelingen.
  • Niet-bewaakte resources: resources met agentbewakingsproblemen: ze hebben de Log Analytics-agent geïmplementeerd, maar de agent verzendt geen gegevens of heeft andere statusproblemen.
  • Niet-geregistreerde abonnementen: elk abonnement in het geselecteerde bereik dat nog niet is verbonden met Microsoft Defender voor Cloud.

2 - Filters

De meerdere filters boven aan de pagina bieden een manier om de lijst met resources snel te verfijnen op basis van de vraag die u wilt beantwoorden. Als u bijvoorbeeld wilt weten welke van uw machines met de tag Productie ontbreekt in de Log Analytics-agent, kunt u de lijst filteren op agentbewaking: 'Niet geïnstalleerd' en Tags:'Productie'.

Zodra u filters hebt toegepast, worden de samenvattingswaarden bijgewerkt zodat deze betrekking hebben op de queryresultaten.

3 - Hulpprogramma's voor exporteren en assetbeheer

Exportopties - Inventaris bevat een optie voor het exporteren van de resultaten van de geselecteerde filteropties naar een CSV-bestand. U kunt de query ook exporteren naar Azure Resource Graph Explorer om de Kusto-querytaal -query (KQL) verder te verfijnen, op te slaan of te wijzigen.

Tip

De KQL-documentatie biedt een database met enkele voorbeeldgegevens, samen met enkele eenvoudige query's om de taal 'gevoel' te krijgen. Meer informatie vindt u in deze KQL-zelfstudie.

Opties voor assetbeheer : wanneer u de resources hebt gevonden die overeenkomen met uw query's, biedt inventaris snelkoppelingen voor bewerkingen zoals:

  • Tags toewijzen aan de gefilterde resources: schakel de selectievakjes in naast de resources die u wilt taggen.
  • Onboarding van nieuwe servers voor Defender voor Cloud: gebruik de werkbalkknop Niet-Azure-servers toevoegen.
  • Workloads automatiseren met Azure Logic Apps: gebruik de knop Logische app activeren om een logische app uit te voeren op een of meer resources. Uw logische apps moeten vooraf worden voorbereid en het relevante triggertype (HTTP-aanvraag) accepteren. Meer informatie over logische apps.

Hoe werkt assetinventaris?

Assetinventaris maakt gebruik van Azure Resource Graph (ARG), een Azure-service waarmee u query's kunt uitvoeren op de beveiligingspostuurgegevens van Defender voor Cloud in meerdere abonnementen.

ARG is ontworpen om efficiënt resources te verkennen met de mogelijkheid om op schaal query's uit te voeren.

U kunt Kusto-querytaal (KQL) in de assetinventaris gebruiken om snel diepgaande inzichten te verkrijgen door te verwijzen naar Defender voor Cloud gegevens met andere resource-eigenschappen.

Assetinventaris gebruiken

  1. Selecteer Inventaris in de zijbalk van Defender voor Cloud.

  2. Gebruik het vak Filteren op naam om een specifieke resource weer te geven of gebruik de filters om u te richten op specifieke resources.

    Standaard worden de resources gesorteerd op het aantal actieve beveiligingsaanaanvelingen.

    Belangrijk

    De opties in elk filter zijn specifiek voor de resources in de momenteel geselecteerde abonnementen en uw selecties in de andere filters.

    Als u bijvoorbeeld slechts één abonnement hebt geselecteerd en het abonnement geen resources heeft met uitstekende beveiligingsaan aanbevelingen om te herstellen (0 beschadigde resources), heeft het filter Aanbevelingen geen opties.

    De filteropties in de assetinventaris van Microsoft Defender voor Cloud gebruiken om resources te filteren op productiebronnen die niet worden bewaakt

  3. Als u de beveiligingsresultaten wilt gebruiken, voert u vrije tekst in van de id, beveiligingscontrole of CVE-naam van een beveiligingsprobleem om te filteren op de betrokken resources:

    Filter 'Beveiligingsresultaten bevatten'

    Tip

    De beveiligingsresultaten bevatten en tagsfilters accepteren slechts één waarde. Als u wilt filteren op meerdere filters, gebruikt u Filters toevoegen.

  4. Als u het filter Defender voor Cloud wilt gebruiken, selecteert u een of meer opties (Uit, Aan of Gedeeltelijk):

    • Uit : resources die niet worden beveiligd door een Microsoft Defender-abonnement. U kunt met de rechtermuisknop op de resources klikken en deze upgraden:

      Werk een resource bij die moet worden beveiligd door het relevante Microsoft Defender-abonnement via de rechtermuisknop.

    • Aan - Resources die worden beveiligd door een Microsoft Defender-abonnement

    • Gedeeltelijke - abonnementen met sommige, maar niet alle Microsoft Defender-abonnementen zijn uitgeschakeld. Het volgende abonnement heeft bijvoorbeeld zeven Microsoft Defender-abonnementen uitgeschakeld.

      Abonnement gedeeltelijk beveiligd door Microsoft Defender-abonnementen.

  5. Als u de resultaten van uw query verder wilt bekijken, selecteert u de resources die u interesseren.

  6. Als u de huidige geselecteerde filteropties wilt weergeven als een query in Resource Graph Explorer, selecteert u Query openen.

    Inventarisquery in ARG.

  7. Als u bepaalde filters hebt gedefinieerd en de pagina geopend hebt gelaten, Defender voor Cloud de resultaten niet automatisch bijwerken. Wijzigingen in resources hebben geen invloed op de weergegeven resultaten, tenzij u de pagina handmatig opnieuw laadt of Vernieuwen selecteert.

Toegang tot een software-inventaris

Voor toegang tot de software-inventaris hebt u een van de volgende betaalde oplossingen nodig:

Als u de integratie al hebt ingeschakeld met Microsoft Defender voor Eindpunt en Microsoft Defender for Servers hebt ingeschakeld, hebt u toegang tot de software-inventaris.

Als u de oplossing voor bedreigingen en beveiligingsproblemen hebt ingeschakeld, biedt Defender voor Cloud assetinventaris een filter om resources te selecteren op basis van hun geïnstalleerde software.

Notitie

Met de optie Leeg worden machines weergegeven zonder Microsoft Defender voor Eindpunt of zonder Microsoft Defender voor Servers.

Naast de filters op de pagina assetinventaris kunt u de software-inventarisgegevens van Azure Resource Graph Explorer verkennen.

Voorbeelden van het gebruik van Azure Resource Graph Explorer voor toegang tot en het verkennen van software-inventarisgegevens:

  1. Open Azure Resource Graph Explorer.

    Aanbevelingspagina van Azure Resource Graph Explorer** starten

  2. Selecteer het volgende abonnementsbereik: securityresources/softwareinwareries

  3. Voer een van de volgende query's in (of pas deze aan of schrijf uw eigen query)) en selecteer Query uitvoeren.

    • Een basislijst met geïnstalleerde software genereren:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Filteren op versienummers:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Machines zoeken met een combinatie van softwareproducten:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinatie van een softwareproduct met een andere beveiligingsaanveling:

      (In dit voorbeeld: machines waarop MySQL is geïnstalleerd en weergegeven beheerpoorten)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Volgende stappen

In dit artikel wordt de pagina assetinventaris van Microsoft Defender voor Cloud beschreven.

Zie de volgende pagina's voor meer informatie over gerelateerde hulpprogramma's: