Używanie spisu zasobów do zarządzania stanem zabezpieczeń zasobów

  • Artykuł

Na stronie spisu zasobów Microsoft Defender dla chmury przedstawiono stan zabezpieczeń zasobów połączonych z usługą Defender for Cloud. Usługa Defender for Cloud okresowo analizuje stan zabezpieczeń zasobów połączonych z subskrypcjami w celu zidentyfikowania potencjalnych problemów z zabezpieczeniami i zapewnia aktywne zalecenia. Aktywne zalecenia to zalecenia, które można rozwiązać, aby poprawić stan zabezpieczeń.

Użyj tego widoku i jego filtrów, aby rozwiązać takie pytania, jak:

  • Które z moich subskrypcji z włączonymi planami usługi Defender mają zaległe zalecenia?
  • Które z moich maszyn z tagiem "Produkcja" brakuje agenta usługi Log Analytics?
  • Ile moich maszyn oznaczonych określonym tagiem ma wybitne zalecenia?
  • Które maszyny w określonej grupie zasobów mają znaną lukę w zabezpieczeniach (przy użyciu numeru CVE)?

Zalecenia dotyczące zabezpieczeń na stronie spisu zasobów są również wyświetlane na stronie Zalecenia , ale w tym miejscu są one wyświetlane zgodnie z zasobem, którego dotyczy problem. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Ceny: Bezpłatna
Niektóre funkcje strony spisu, takie jak spis oprogramowania , wymagają wprowadzenia płatnych rozwiązań
Wymagane role i uprawnienia: Wszyscy użytkownicy
Chmury: Chmury komercyjne
National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)

Spis oprogramowania nie jest obecnie obsługiwany w chmurach krajowych.

Jakie są kluczowe funkcje spisu zasobów?

Strona spisu zawiera następujące narzędzia:

Główne funkcje strony spisu zasobów w Microsoft Defender for Cloud.

1 — Podsumowania

Przed zdefiniowaniem filtrów widoczny pasek wartości w górnej części widoku spisu pokazuje:

  • Łączna liczba zasobów: całkowita liczba zasobów połączonych z usługą Defender for Cloud.
  • Zasoby w złej kondycji: zasoby z aktywnymi zaleceniami dotyczącymi zabezpieczeń, które można zaimplementować. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.
  • Niemonitorowane zasoby: zasoby z problemami z monitorowaniem agenta — mają wdrożonego agenta usługi Log Analytics, ale agent nie wysyła danych ani nie ma innych problemów z kondycją.
  • Niezarejestrowane subskrypcje: dowolna subskrypcja w wybranym zakresie, która nie została jeszcze połączona z Microsoft Defender for Cloud.

2 — Filtry

Wiele filtrów w górnej części strony umożliwia szybkie uściślinie listy zasobów zgodnie z pytaniem, na które próbujesz odpowiedzieć. Jeśli na przykład chcesz wiedzieć, które maszyny z tagiem "Production" brakuje agenta usługi Log Analytics, możesz przefiltrować listę monitorowania agenta: "Nie zainstalowano" i Tagi:"Produkcja".

Po zastosowaniu filtrów wartości podsumowania są aktualizowane tak, aby odnosiły się do wyników zapytania.

3 — Eksportowanie i narzędzia do zarządzania zasobami

Opcje eksportu — spis zawiera opcję eksportowania wyników wybranych opcji filtru do pliku CSV. Możesz również wyeksportować zapytanie do eksploratora usługi Azure Resource Graph w celu dalszego uściślania, zapisywania lub modyfikowania zapytania język zapytań Kusto (KQL).

Porada

Dokumentacja języka KQL zawiera bazę danych z przykładowymi danymi wraz z prostymi zapytaniami w celu uzyskania "działania" dla języka. Dowiedz się więcej w tym samouczku KQL.

Opcje zarządzania zasobami — po znalezieniu zasobów pasujących do zapytań spis udostępnia skróty do operacji, takich jak:

  • Przypisz tagi do filtrowanych zasobów — zaznacz pola wyboru obok zasobów, które chcesz oznaczyć.
  • Dołączanie nowych serwerów do usługi Defender for Cloud — użyj przycisku Dodaj serwery spoza platformy Azure .
  • Automatyzowanie obciążeń za pomocą usługi Azure Logic Apps — użyj przycisku Wyzwalaj aplikację logiki , aby uruchomić aplikację logiki w co najmniej jednym zasobie. Aplikacje logiki muszą być przygotowane z wyprzedzeniem i zaakceptować odpowiedni typ wyzwalacza (żądanie HTTP). Dowiedz się więcej o aplikacjach logiki.

Jak działa spis zasobów?

Spis zasobów korzysta z usługi Azure Resource Graph (ARG) — usługi platformy Azure, która umożliwia wykonywanie zapytań dotyczących stanu zabezpieczeń usługi Defender for Cloud w wielu subskrypcjach.

Usługa ARG została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę.

Możesz użyć język zapytań Kusto (KQL) w spisie zasobów, aby szybko uzyskać szczegółowe informacje, odwołując się do danych usługi Defender for Cloud z innymi właściwościami zasobów.

Jak używać spisu zasobów

  1. Na pasku bocznym usługi Defender for Cloud wybierz pozycję Spis.

  2. Użyj pola Filtruj według nazwy , aby wyświetlić określony zasób lub użyć filtrów, aby skoncentrować się na określonych zasobach.

    Domyślnie zasoby są sortowane według liczby aktywnych zaleceń dotyczących zabezpieczeń.

    Ważne

    Opcje w każdym filtrze są specyficzne dla zasobów w aktualnie wybranych subskrypcjach i wybranych opcjach w innych filtrach.

    Jeśli na przykład wybrano tylko jedną subskrypcję, a subskrypcja nie ma żadnych zasobów z wybitnymi zaleceniami dotyczącymi zabezpieczeń w celu skorygowania (0 zasobów w złej kondycji), filtr Zalecenia nie będzie miał żadnych opcji.

    Używanie opcji filtrowania w spisie zasobów Microsoft Defender dla chmury w celu filtrowania zasobów w zasobach produkcyjnych, które nie są monitorowane

  3. Aby użyć filtru Wyniki zabezpieczeń , wprowadź dowolny tekst z identyfikatora, sprawdzania zabezpieczeń lub nazwy CVE wyszukiwania luk w zabezpieczeniach, aby filtrować do zasobów, których dotyczy problem:

    Filtr

    Porada

    Wyniki zabezpieczeń zawierają filtry i Tagi akceptują tylko jedną wartość. Aby filtrować według więcej niż jednego, użyj polecenia Dodaj filtry.

  4. Aby użyć filtru usługi Defender for Cloud , wybierz co najmniej jedną opcję (Wyłączone, Włączone lub Częściowe):

    • Wyłączone — zasoby nie są chronione przez plan Microsoft Defender. Możesz kliknąć prawym przyciskiem myszy zasoby i uaktualnić je:

      Uaktualnij zasób, aby był chroniony przez odpowiedni plan Microsoft Defender, klikając prawym przyciskiem myszy.

    • Włączone — zasoby chronione przez plan Microsoft Defender

    • Częściowe - Subskrypcje z niektórymi, ale nie wszystkimi planami Microsoft Defender wyłączone. Na przykład następująca subskrypcja ma siedem planów Microsoft Defender wyłączonych.

      Subskrypcja częściowo chroniona przez plany Microsoft Defender.

  5. Aby dokładniej zbadać wyniki zapytania, wybierz interesujące Cię zasoby.

  6. Aby wyświetlić bieżące wybrane opcje filtru jako zapytanie w eksploratorze Resource Graph, wybierz pozycję Otwórz zapytanie.

    Zapytanie spisu w usłudze ARG.

  7. Jeśli zdefiniowano niektóre filtry i pozostawiono otwartą stronę, usługa Defender for Cloud nie zaktualizuje wyników automatycznie. Wszelkie zmiany w zasobach nie będą mieć wpływu na wyświetlane wyniki, chyba że ręcznie ponownie załadujesz stronę lub wybierz pozycję Odśwież.

Uzyskiwanie dostępu do spisu oprogramowania

Aby uzyskać dostęp do spisu oprogramowania, potrzebujesz jednego z następujących płatnych rozwiązań:

Jeśli włączono już integrację z Ochrona punktu końcowego w usłudze Microsoft Defender i włączono Microsoft Defender dla serwerów, będziesz mieć dostęp do spisu oprogramowania.

Jeśli włączono rozwiązanie do zagrożeń i luk w zabezpieczeniach, spis zasobów usługi Defender for Cloud oferuje filtr umożliwiający wybranie zasobów według zainstalowanego oprogramowania.

Uwaga

Opcja "Puste" pokazuje maszyny bez Ochrona punktu końcowego w usłudze Microsoft Defender lub bez Microsoft Defender dla serwerów.

Oprócz filtrów na stronie spisu zasobów możesz eksplorować dane spisu oprogramowania z usługi Azure Resource Graph Explorer.

Przykłady używania eksploratora usługi Azure Resource Graph do uzyskiwania dostępu do danych spisu oprogramowania i eksplorowania ich:

  1. Otwórz Eksploratora usługi Azure Resource Graph.

    Uruchamianie strony rekomendacji Eksploratora usługi Azure Resource Graph**

  2. Wybierz następujący zakres subskrypcji: securityresources/softwareinventories

  3. Wprowadź dowolne z poniższych zapytań (lub dostosuj je lub napisz własne) i wybierz pozycję Uruchom zapytanie.

    • Aby wygenerować podstawową listę zainstalowanego oprogramowania:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Aby filtrować według numerów wersji:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • Aby znaleźć maszyny z kombinacją produktów oprogramowania:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Połączenie produktu programowego z innym zaleceniem w sprawie zabezpieczeń:

      (W tym przykładzie — maszyny z zainstalowanymi i uwidocznionym portami zarządzania programu MySQL)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Następne kroki

W tym artykule opisano stronę spisu zasobów Microsoft Defender for Cloud.

Aby uzyskać więcej informacji na temat powiązanych narzędzi, zobacz następujące strony: