Utilizar o inventário de recursos para gerir a postura de segurança dos seus recursos
A página de inventário de recursos do Microsoft Defender para a Cloud mostra a postura de segurança dos recursos que ligou ao Defender para Cloud. O Defender para Cloud analisa periodicamente o estado de segurança dos recursos ligados às suas subscrições para identificar potenciais problemas de segurança e fornece-lhe recomendações ativas. As recomendações ativas são recomendações que podem ser resolvidas para melhorar a sua postura de segurança.
Utilize esta vista e os respetivos filtros para abordar questões como:
- Qual das minhas subscrições com planos do Defender ativadas tem recomendações pendentes?
- Qual das minhas máquinas com a etiqueta "Produção" não tem o agente do Log Analytics?
- Quantos dos meus computadores etiquetados com uma etiqueta específica têm recomendações pendentes?
- Que máquinas num grupo de recursos específico têm uma vulnerabilidade conhecida (com um número CVE)?
As recomendações de segurança na página de inventário de ativos também são apresentadas na página Recomendações , mas aqui são apresentadas de acordo com o recurso afetado. Saiba mais sobre como implementar recomendações de segurança.
Disponibilidade
Aspeto | Detalhes |
---|---|
Estado da versão: | Disponibilidade geral (GA) |
Preços: | Gratuito Algumas funcionalidades da página de inventário, como o inventário de software , exigem que as soluções pagas estejam no local |
Funções e permissões necessárias: | Todos os utilizadores |
Clouds: | Clouds comerciais Nacional (Azure Government, Microsoft Azure operado pela 21Vianet) O inventário de software não é atualmente suportado em clouds nacionais. |
Quais são as principais funcionalidades do inventário de ativos?
A página de inventário fornece as seguintes ferramentas:
1 - Resumos
Antes de definir quaisquer filtros, uma faixa proeminente de valores na parte superior da vista de inventário mostra:
- Total de recursos: o número total de recursos ligados ao Defender para a Cloud.
- Recursos em mau estado de funcionamento: recursos com recomendações de segurança ativas que pode implementar. Saiba mais sobre como implementar recomendações de segurança.
- Recursos não monitorizados: recursos com problemas de monitorização de agentes – têm o agente do Log Analytics implementado, mas o agente não está a enviar dados ou tem outros problemas de estado de funcionamento.
- Subscrições não registadas: qualquer subscrição no âmbito selecionado que ainda não tenha sido ligada ao Microsoft Defender para a Cloud.
2 - Filtros
Os múltiplos filtros na parte superior da página fornecem uma forma de refinar rapidamente a lista de recursos de acordo com a pergunta que está a tentar responder. Por exemplo, se quiser saber quais dos seus computadores com a etiqueta "Produção" estão em falta no agente do Log Analytics, pode filtrar a lista para Monitorização do agente:"Não instalado" e Etiquetas:"Produção".
Assim que tiver aplicado filtros, os valores de resumo são atualizados para se relacionarem com os resultados da consulta.
3 - Ferramentas de gestão de recursos e exportação
Opções de exportação – o inventário inclui uma opção para exportar os resultados das opções de filtro selecionadas para um ficheiro CSV. Também pode exportar a própria consulta para o Explorador de Resource Graph do Azure para refinar, guardar ou modificar ainda mais a consulta Linguagem de Pesquisa Kusto (KQL).
Dica
A documentação do KQL fornece uma base de dados com alguns dados de exemplo, juntamente com algumas consultas simples para obter a "funcionalidade" do idioma. Saiba mais neste tutorial do KQL.
Opções de gestão de recursos – quando encontrar os recursos que correspondem às suas consultas, o inventário fornece atalhos para operações como:
- Atribuir etiquetas aos recursos filtrados - selecione as caixas de verificação juntamente com os recursos que pretende etiquetar.
- Integrar novos servidores no Defender para a Cloud – utilize o botão Adicionar servidores não Azure .
- Automatizar cargas de trabalho com o Azure Logic Apps – utilize o botão Acionar Aplicação Lógica para executar uma aplicação lógica num ou mais recursos. As suas aplicações lógicas têm de ser preparadas com antecedência e aceitar o tipo de acionador relevante (pedido HTTP). Saiba mais sobre aplicações lógicas.
Como funciona o inventário de ativos?
O inventário de ativos utiliza o Azure Resource Graph (ARG), um serviço do Azure que lhe permite consultar os dados de postura de segurança do Defender para a Cloud em várias subscrições.
O ARG foi concebido para proporcionar uma exploração eficiente de recursos com a capacidade de consultar em escala.
Pode utilizar Linguagem de Pesquisa Kusto (KQL) no inventário de recursos para produzir rapidamente informações aprofundadas ao fazer referência cruzada a dados do Defender para Cloud com outras propriedades de recursos.
Como utilizar o inventário de recursos
Na barra lateral do Defender para Cloud, selecione Inventário.
Utilize a caixa Filtrar por nome para apresentar um recurso específico ou utilize os filtros para se concentrar em recursos específicos.
Por predefinição, os recursos são ordenados pelo número de recomendações de segurança ativas.
Importante
As opções em cada filtro são específicas dos recursos nas subscrições atualmente selecionadas e das suas seleções nos outros filtros.
Por exemplo, se tiver selecionado apenas uma subscrição e a subscrição não tiver recursos com recomendações de segurança pendentes para remediar (0 recursos em mau estado de funcionamento), o filtro Recomendações não terá opções.
Para utilizar o filtro Resultados de segurança , introduza texto livre do ID, verificação de segurança ou nome CVE de uma descoberta de vulnerabilidade para filtrar para os recursos afetados:
Dica
Os resultados de segurança contêm e os filtros de Etiquetas só aceitam um único valor. Para filtrar por mais do que um, utilize Adicionar filtros.
Para utilizar o filtro Defender para Cloud , selecione uma ou mais opções (Desativado, Ativado ou Parcial):
Desativado – recursos não protegidos por um plano de Microsoft Defender. Pode clicar com o botão direito do rato nos recursos e atualizá-los:
Em - Recursos protegidos por um plano de Microsoft Defender
Parcial - Subscrições com alguns, mas não todos os planos de Microsoft Defender desativados. Por exemplo, a subscrição seguinte tem sete planos Microsoft Defender desativados.
Para examinar melhor os resultados da consulta, selecione os recursos que lhe interessam.
Para ver as opções de filtro selecionadas atuais como uma consulta no Resource Graph Explorer, selecione Abrir consulta.
Se tiver definido alguns filtros e deixado a página aberta, o Defender para Cloud não atualizará os resultados automaticamente. Quaisquer alterações aos recursos não afetarão os resultados apresentados, a menos que recarregue manualmente a página ou selecione Atualizar.
Aceder a um inventário de software
Para aceder ao inventário de software, precisará de uma das seguintes soluções pagas :
- Análise de máquinas sem agente do Defender Cloud Security Posture Management (CSPM).
- Análise de máquinas sem agente do Defender para Servidores P2.
- Microsoft Defender para Endpoint integração do Defender para Servidores.
Se já tiver ativado a integração com Microsoft Defender para Endpoint e ativado Microsoft Defender para Servidores, terá acesso ao inventário de software.
Nota
A opção "Em Branco" mostra máquinas sem Microsoft Defender para Endpoint ou sem Microsoft Defender para Servidores.
Além dos filtros na página de inventário de recursos, pode explorar os dados de inventário de software do Azure Resource Graph Explorer.
Exemplos de utilização do Explorador de Resource Graph do Azure para aceder e explorar dados de inventário de software:
Abra o Explorador de Resource Graph do Azure.
Selecione o seguinte âmbito de subscrição: securityresources/softwareinventories
Introduza qualquer uma das seguintes consultas (ou personalize-as ou escreva as suas próprias!) e selecione Executar consulta.
Para gerar uma lista básica de software instalado:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Para filtrar por números de versão:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version) | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
Para localizar máquinas com uma combinação de produtos de software:
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = properties.azureVmId | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql" | summarize count() by tostring(vmId) | where count_ > 1
Combinação de um produto de software com outra recomendação de segurança:
(Neste exemplo – máquinas com o MySQL instalado e portas de gestão expostas)
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = tolower(properties.azureVmId) | where properties.softwareName == "mysql" | join ( securityresources | where type == "microsoft.security/assessments" | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy" | extend vmId = tolower(properties.resourceDetails.Id) ) on vmId
Passos seguintes
Este artigo descreveu a página de inventário de recursos do Microsoft Defender para a Cloud.
Para obter mais informações sobre ferramentas relacionadas, consulte as seguintes páginas:
- Azure Resource Graph (ARG)
- Linguagem de Consulta Kusto (KQL)
- Ver pergunta comum sobre o inventário de recursos