Assetinventaris gebruiken om de beveiligingspostuur van uw resources te beheren

Op de pagina assetinventarisatie van Microsoft Defender for Cloud ziet u de beveiligingsstatus van de resources die u hebt verbonden met Defender for Cloud. Defender for Cloud analyseert periodiek de beveiligingsstatus van resources die zijn verbonden met uw abonnementen om mogelijke beveiligingsproblemen te identificeren en geeft u actieve aanbevelingen. Actieve aanbevelingen zijn aanbevelingen die kunnen worden opgelost om uw beveiligingspostuur te verbeteren.

Gebruik deze weergave en de bijbehorende filters om vragen te beantwoorden, zoals:

• Welke van mijn abonnementen waarvoor Defender-abonnementen zijn ingeschakeld, hebben uitstekende aanbevelingen?
• Op welke van mijn machines met de tag 'Productie' ontbreekt de Log Analytics-agent?
• Hoeveel van mijn machines met een specifieke tag hebben uitstekende aanbevelingen?
• Welke machines in een specifieke resourcegroep hebben een bekend beveiligingsprobleem (met behulp van een CVE-nummer)?

De beveiligingsaanbeveling op de pagina assetinventaris wordt ook weergegeven op de pagina Aanbevelingen , maar hier worden ze weergegeven op basis van de betrokken resource. Meer informatie over het implementeren van beveiligingsaanbeveling.

Beschikbaarheid

Aspect	Details
Releasestatus:	Algemene beschikbaarheid (GA)
Prijzen:	Gratis Voor sommige functies van de inventarispagina, zoals de software-inventaris , moeten betaalde oplossingen ter plaatse zijn
Vereiste rollen en machtigingen:	Alle gebruikers
Clouds:	Commerciële clouds National (Azure Government, Microsoft Azure beheerd door 21Vianet) Software-inventarisatie wordt momenteel niet ondersteund in nationale clouds.

Wat zijn de belangrijkste kenmerken van de inventaris van activa?

De inventarispagina biedt de volgende hulpprogramma's:

1 - Samenvattingen

Voordat u filters definieert, ziet u het volgende in een prominente strook waarden bovenaan de voorraadweergave:

• Totaal aantal resources: het totale aantal resources dat is verbonden met Defender for Cloud.
• Resources die niet in orde zijn: resources met actieve beveiligingsaanbeveling die u kunt implementeren. Meer informatie over het implementeren van beveiligingsaanbeveling.
• Niet-bewaakte resources: resources met agentbewakingsproblemen: ze hebben de Log Analytics-agent geïmplementeerd, maar de agent verzendt geen gegevens of heeft andere statusproblemen.
• Niet-geregistreerde abonnementen: elk abonnement in het geselecteerde bereik dat nog niet is verbonden met Microsoft Defender for Cloud.

2 - Filters

De meerdere filters boven aan de pagina bieden een manier om de lijst met resources snel te verfijnen op basis van de vraag die u probeert te beantwoorden. Als u bijvoorbeeld wilt weten op welke van uw machines met de tag 'Productie' de Log Analytics-agent ontbreekt, kunt u de lijst filteren op Agentbewaking: 'Niet geïnstalleerd' en Tags:'Productie'.

Zodra u filters hebt toegepast, worden de samenvattingswaarden bijgewerkt zodat deze betrekking hebben op de queryresultaten.

3 - Hulpprogramma's voor exporteren en assetbeheer

Exportopties : voorraad bevat een optie om de resultaten van de geselecteerde filteropties te exporteren naar een CSV-bestand. U kunt de query ook exporteren naar Azure Resource Graph Explorer om de KQL-query (Kusto-querytaal) verder te verfijnen, op te slaan of te wijzigen.

Tip

De KQL-documentatie biedt een database met enkele voorbeeldgegevens, samen met enkele eenvoudige query's om het 'gevoel' voor de taal te krijgen. Meer informatie in deze KQL-zelfstudie.

Opties voor assetbeheer : wanneer u de resources hebt gevonden die overeenkomen met uw query's, biedt inventaris snelkoppelingen voor bewerkingen zoals:

• Tags toewijzen aan de gefilterde resources: schakel de selectievakjes in naast de resources die u wilt taggen.
• Nieuwe servers onboarden bij Defender for Cloud: gebruik de werkbalkknop Niet-Azure-servers toevoegen .
• Workloads automatiseren met Azure Logic Apps: gebruik de knop Logische app activeren om een logische app uit te voeren op een of meer resources. Uw logische apps moeten van tevoren worden voorbereid en het relevante triggertype (HTTP-aanvraag) accepteren. Meer informatie over logische apps.

Hoe werkt assetinventaris?

Assetinventaris maakt gebruik van Azure Resource Graph (ARG), een Azure-service waarmee u query's kunt uitvoeren op de beveiligingspostuurgegevens van Defender for Cloud voor meerdere abonnementen.

ARG is ontworpen om efficiënt resources te verkennen met de mogelijkheid om query's op schaal uit te voeren.

U kunt Kusto-querytaal (KQL) in de assetinventaris gebruiken om snel diepgaande inzichten te verkrijgen door defender voor Cloud-gegevens kruislings te verwijzen naar andere resource-eigenschappen.

Assetinventaris gebruiken

1. Selecteer inventaris in de zijbalk van Defender for Cloud.

2. Gebruik het vak Filteren op naam om een specifieke resource weer te geven of gebruik de filters om u te richten op specifieke resources.

   De resources worden standaard gesorteerd op het aantal actieve beveiligingsaanbeveling.

   Belangrijk

   De opties in elk filter zijn specifiek voor de resources in de momenteel geselecteerde abonnementen en uw selecties in de andere filters.

   Als u bijvoorbeeld slechts één abonnement hebt geselecteerd en het abonnement geen resources heeft met uitstekende beveiligingsaanbeveling om te herstellen (0 beschadigde resources), heeft het filter Aanbevelingen geen opties.

   

3. Als u het filter Beveiligingsresultaten bevatten wilt gebruiken, voert u vrije tekst in van de id, beveiligingscontrole of CVE-naam van een gevonden beveiligingsprobleem om te filteren op de betrokken resources:

   

   Tip

   De beveiligingsresultaten bevatten en tagsfilters accepteren slechts één waarde. Als u wilt filteren op meer dan één, gebruikt u Filters toevoegen.

4. Als u het Defender for Cloud-filter wilt gebruiken, selecteert u een of meer opties (Uit, Aan of Gedeeltelijk):

   • Uit: resources die niet worden beveiligd door een Microsoft Defender-plan. U kunt met de rechtermuisknop op de resources klikken en deze upgraden:

     

   • Aan: resources die worden beveiligd door een Microsoft Defender-plan

   • Gedeeltelijke - Abonnementen waarbij sommige, maar niet alle Microsoft Defender abonnementen zijn uitgeschakeld. Voor het volgende abonnement zijn bijvoorbeeld zeven Microsoft Defender-abonnementen uitgeschakeld.

     

5. Als u de resultaten van uw query verder wilt bekijken, selecteert u de resources die u interesseren.

6. Als u de huidige geselecteerde filteropties wilt weergeven als een query in Resource Graph Explorer, selecteert u Query openen.

   

7. Als u enkele filters hebt gedefinieerd en de pagina geopend hebt gelaten, worden de resultaten niet automatisch bijgewerkt in Defender for Cloud. Wijzigingen in resources hebben geen invloed op de weergegeven resultaten, tenzij u de pagina handmatig opnieuw laadt of Vernieuwen selecteert.

Toegang tot een software-inventaris

Voor toegang tot de software-inventaris hebt u een van de volgende betaalde oplossingen nodig:

• Machinescans zonder agent vanuit Defender Cloud Security Posture Management (CSPM).
• Scannen van machines zonder agent vanuit Defender voor Servers P2.
• Microsoft Defender voor Eindpunt integratie van Defender voor Servers.

Als u de integratie met Microsoft Defender voor Eindpunt en Microsoft Defender voor servers al hebt ingeschakeld, hebt u toegang tot de software-inventaris.

Notitie

De optie 'Leeg' toont machines zonder Microsoft Defender voor Eindpunt of zonder Microsoft Defender voor servers.

Naast de filters op de pagina assetinventarisatie kunt u de software-inventarisgegevens van Azure Resource Graph Explorer verkennen.

Voorbeelden van het gebruik van Azure Resource Graph Explorer om software-inventarisgegevens te openen en te verkennen:

1. Open Azure Resource Graph Explorer.

   

2. Selecteer het volgende abonnementsbereik: securityresources/softwareinventories

3. Voer een van de volgende query's in (of pas deze aan of schrijf uw eigen query's!) en selecteer Query uitvoeren.

   • Een eenvoudige lijst met geïnstalleerde software genereren:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
     

   • Filteren op versienummers:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
     | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
     

   • Machines zoeken met een combinatie van softwareproducten:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | extend vmId = properties.azureVmId
     | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
     | summarize count() by tostring(vmId)
     | where count_ > 1
     

   • Combinatie van een softwareproduct met een andere beveiligingsaanbieding:

     (In dit voorbeeld: computers waarop MySQL is geïnstalleerd en beheerpoorten beschikbaar maken)

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | extend vmId = tolower(properties.azureVmId)
     | where properties.softwareName == "mysql"
     | join (
     securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
     | extend vmId = tolower(properties.resourceDetails.Id)
     ) on vmId
     

Volgende stappen

In dit artikel wordt de pagina assetinventarisatie van Microsoft Defender for Cloud beschreven.

Zie de volgende pagina's voor meer informatie over gerelateerde hulpprogramma's:

• Azure Resource Graph (ARG)
• Kusto-querytaal (KQL)
• Algemene vragen over assetinventaris weergeven