Używanie spisu zasobów do zarządzania stanem zabezpieczeń zasobów
Na stronie spisu zasobów Microsoft Defender dla chmury przedstawiono stan zabezpieczeń zasobów połączonych z usługą Defender for Cloud. Usługa Defender for Cloud okresowo analizuje stan zabezpieczeń zasobów połączonych z subskrypcjami w celu zidentyfikowania potencjalnych problemów z zabezpieczeniami i zapewnia aktywne zalecenia. Aktywne zalecenia to zalecenia, które można rozwiązać, aby poprawić stan zabezpieczeń.
Użyj tego widoku i jego filtrów, aby rozwiązać takie pytania, jak:
- Które z moich subskrypcji z włączonymi planami usługi Defender mają zaległe zalecenia?
- Które z moich maszyn z tagiem "Produkcja" brakuje agenta usługi Log Analytics?
- Ile moich maszyn oznaczonych określonym tagiem ma wybitne zalecenia?
- Które maszyny w określonej grupie zasobów mają znaną lukę w zabezpieczeniach (przy użyciu numeru CVE)?
Zalecenia dotyczące zabezpieczeń na stronie spisu zasobów są również wyświetlane na stronie Zalecenia , ale w tym miejscu są one wyświetlane zgodnie z zasobem, którego dotyczy problem. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.
Dostępność
Aspekt | Szczegóły |
---|---|
Stan wydania: | Ogólna dostępność |
Ceny: | Bezpłatna Niektóre funkcje strony spisu, takie jak spis oprogramowania , wymagają wprowadzenia płatnych rozwiązań |
Wymagane role i uprawnienia: | Wszyscy użytkownicy |
Chmury: | Chmury komercyjne National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet) Spis oprogramowania nie jest obecnie obsługiwany w chmurach krajowych. |
Jakie są kluczowe funkcje spisu zasobów?
Strona spisu zawiera następujące narzędzia:
1 — Podsumowania
Przed zdefiniowaniem filtrów widoczny pasek wartości w górnej części widoku spisu pokazuje:
- Łączna liczba zasobów: całkowita liczba zasobów połączonych z usługą Defender for Cloud.
- Zasoby w złej kondycji: zasoby z aktywnymi zaleceniami dotyczącymi zabezpieczeń, które można zaimplementować. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.
- Niemonitorowane zasoby: zasoby z problemami z monitorowaniem agenta — mają wdrożonego agenta usługi Log Analytics, ale agent nie wysyła danych ani nie ma innych problemów z kondycją.
- Niezarejestrowane subskrypcje: dowolna subskrypcja w wybranym zakresie, która nie została jeszcze połączona z Microsoft Defender for Cloud.
2 — Filtry
Wiele filtrów w górnej części strony umożliwia szybkie uściślinie listy zasobów zgodnie z pytaniem, na które próbujesz odpowiedzieć. Jeśli na przykład chcesz wiedzieć, które maszyny z tagiem "Production" brakuje agenta usługi Log Analytics, możesz przefiltrować listę monitorowania agenta: "Nie zainstalowano" i Tagi:"Produkcja".
Po zastosowaniu filtrów wartości podsumowania są aktualizowane tak, aby odnosiły się do wyników zapytania.
3 — Eksportowanie i narzędzia do zarządzania zasobami
Opcje eksportu — spis zawiera opcję eksportowania wyników wybranych opcji filtru do pliku CSV. Możesz również wyeksportować zapytanie do eksploratora usługi Azure Resource Graph w celu dalszego uściślania, zapisywania lub modyfikowania zapytania język zapytań Kusto (KQL).
Porada
Dokumentacja języka KQL zawiera bazę danych z przykładowymi danymi wraz z prostymi zapytaniami w celu uzyskania "działania" dla języka. Dowiedz się więcej w tym samouczku KQL.
Opcje zarządzania zasobami — po znalezieniu zasobów pasujących do zapytań spis udostępnia skróty do operacji, takich jak:
- Przypisz tagi do filtrowanych zasobów — zaznacz pola wyboru obok zasobów, które chcesz oznaczyć.
- Dołączanie nowych serwerów do usługi Defender for Cloud — użyj przycisku Dodaj serwery spoza platformy Azure .
- Automatyzowanie obciążeń za pomocą usługi Azure Logic Apps — użyj przycisku Wyzwalaj aplikację logiki , aby uruchomić aplikację logiki w co najmniej jednym zasobie. Aplikacje logiki muszą być przygotowane z wyprzedzeniem i zaakceptować odpowiedni typ wyzwalacza (żądanie HTTP). Dowiedz się więcej o aplikacjach logiki.
Jak działa spis zasobów?
Spis zasobów korzysta z usługi Azure Resource Graph (ARG) — usługi platformy Azure, która umożliwia wykonywanie zapytań dotyczących stanu zabezpieczeń usługi Defender for Cloud w wielu subskrypcjach.
Usługa ARG została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę.
Możesz użyć język zapytań Kusto (KQL) w spisie zasobów, aby szybko uzyskać szczegółowe informacje, odwołując się do danych usługi Defender for Cloud z innymi właściwościami zasobów.
Jak używać spisu zasobów
Na pasku bocznym usługi Defender for Cloud wybierz pozycję Spis.
Użyj pola Filtruj według nazwy , aby wyświetlić określony zasób lub użyć filtrów, aby skoncentrować się na określonych zasobach.
Domyślnie zasoby są sortowane według liczby aktywnych zaleceń dotyczących zabezpieczeń.
Ważne
Opcje w każdym filtrze są specyficzne dla zasobów w aktualnie wybranych subskrypcjach i wybranych opcjach w innych filtrach.
Jeśli na przykład wybrano tylko jedną subskrypcję, a subskrypcja nie ma żadnych zasobów z wybitnymi zaleceniami dotyczącymi zabezpieczeń w celu skorygowania (0 zasobów w złej kondycji), filtr Zalecenia nie będzie miał żadnych opcji.
Aby użyć filtru Wyniki zabezpieczeń , wprowadź dowolny tekst z identyfikatora, sprawdzania zabezpieczeń lub nazwy CVE wyszukiwania luk w zabezpieczeniach, aby filtrować do zasobów, których dotyczy problem:
Porada
Wyniki zabezpieczeń zawierają filtry i Tagi akceptują tylko jedną wartość. Aby filtrować według więcej niż jednego, użyj polecenia Dodaj filtry.
Aby użyć filtru usługi Defender for Cloud , wybierz co najmniej jedną opcję (Wyłączone, Włączone lub Częściowe):
Wyłączone — zasoby nie są chronione przez plan Microsoft Defender. Możesz kliknąć prawym przyciskiem myszy zasoby i uaktualnić je:
Włączone — zasoby chronione przez plan Microsoft Defender
Częściowe - Subskrypcje z niektórymi, ale nie wszystkimi planami Microsoft Defender wyłączone. Na przykład następująca subskrypcja ma siedem planów Microsoft Defender wyłączonych.
Aby dokładniej zbadać wyniki zapytania, wybierz interesujące Cię zasoby.
Aby wyświetlić bieżące wybrane opcje filtru jako zapytanie w eksploratorze Resource Graph, wybierz pozycję Otwórz zapytanie.
Jeśli zdefiniowano niektóre filtry i pozostawiono otwartą stronę, usługa Defender for Cloud nie zaktualizuje wyników automatycznie. Wszelkie zmiany w zasobach nie będą mieć wpływu na wyświetlane wyniki, chyba że ręcznie ponownie załadujesz stronę lub wybierz pozycję Odśwież.
Uzyskiwanie dostępu do spisu oprogramowania
Aby uzyskać dostęp do spisu oprogramowania, potrzebujesz jednego z następujących płatnych rozwiązań:
- Skanowanie maszyn bez agenta z poziomu zarządzania stanem zabezpieczeń w chmurze w usłudze Defender (CSPM).
- Skanowanie maszyn bez agenta z usługi Defender for Servers P2.
- Ochrona punktu końcowego w usłudze Microsoft Defender integracji z usługą Defender for Servers.
Jeśli włączono już integrację z Ochrona punktu końcowego w usłudze Microsoft Defender i włączono Microsoft Defender dla serwerów, będziesz mieć dostęp do spisu oprogramowania.
Uwaga
Opcja "Puste" pokazuje maszyny bez Ochrona punktu końcowego w usłudze Microsoft Defender lub bez Microsoft Defender dla serwerów.
Oprócz filtrów na stronie spisu zasobów możesz eksplorować dane spisu oprogramowania z usługi Azure Resource Graph Explorer.
Przykłady używania eksploratora usługi Azure Resource Graph do uzyskiwania dostępu do danych spisu oprogramowania i eksplorowania ich:
Otwórz Eksploratora usługi Azure Resource Graph.
Wybierz następujący zakres subskrypcji: securityresources/softwareinventories
Wprowadź dowolne z poniższych zapytań (lub dostosuj je lub napisz własne) i wybierz pozycję Uruchom zapytanie.
Aby wygenerować podstawową listę zainstalowanego oprogramowania:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Aby filtrować według numerów wersji:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version) | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
Aby znaleźć maszyny z kombinacją produktów oprogramowania:
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = properties.azureVmId | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql" | summarize count() by tostring(vmId) | where count_ > 1
Połączenie produktu programowego z innym zaleceniem w sprawie zabezpieczeń:
(W tym przykładzie — maszyny z zainstalowanymi i uwidocznionym portami zarządzania programu MySQL)
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = tolower(properties.azureVmId) | where properties.softwareName == "mysql" | join ( securityresources | where type == "microsoft.security/assessments" | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy" | extend vmId = tolower(properties.resourceDetails.Id) ) on vmId
Następne kroki
W tym artykule opisano stronę spisu zasobów Microsoft Defender for Cloud.
Aby uzyskać więcej informacji na temat powiązanych narzędzi, zobacz następujące strony:
- Azure Resource Graph (ARG)
- Kusto Query Language (KQL)
- Wyświetlanie typowego pytania dotyczącego spisu zasobów
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla