Использование инвентаризации ресурсов для управления состоянием безопасности ресурсов

Страница инвентаризации ресурсов службы Microsoft Defender для облака — это единая страница для просмотра данных о состоянии безопасности ресурсов, подключенных к Microsoft Defender для облака.

Defender для облака периодически анализирует состояние безопасности ресурсов, подключенных к вашим подпискам, и выявляет потенциальные уязвимости системы безопасности. Затем он предоставляет рекомендации по устранению этих уязвимостей.

Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.

Следует использовать это представление и его фильтры для решения следующих вопросов.

  • Какие из моих подписок с включенными функциями усиленной безопасности содержат необработанные рекомендации?
  • На каких из наших компьютеров с тегом Production отсутствует агент Log Analytics?
  • На скольких компьютерах, помеченных конкретным тегом, имеются необработанные рекомендации?
  • Какие компьютеры в определенной группе ресурсов имеют известную уязвимость (с использованием номера CVE)?

Возможности управления ресурсами для данного средства значительно увеличиваются и продолжают расти.

Совет

На странице инвентаризации активов приведены те же рекомендации по безопасности, что и на странице Рекомендации, но здесь показываются рекомендации, относящиеся конкретно к затронутому ресурсу. Дополнительные сведения о том, как разрешить рекомендации, см. в разделе Внедрение рекомендаций по безопасности в Microsoft Defender для облака.

Доступность

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены Free
Для некоторых функций страницы инвентаризации, таких как инвентаризация программного обеспечения , требуется, чтобы платные решения были на месте
Требуемые роли и разрешения все пользователи
Облако. Коммерческие облака
Национальные облака (Azure для государственных организаций, Azure для Китая (21Vianet))

Инвентаризация программного обеспечения в настоящее время не поддерживается в национальных облаках.

Каковы основные функции страницы инвентаризации активов?

На странице «Инвентаризация» представлены следующие средства.

Основные функции страницы инвентаризации активов в Microsoft Defender for Cloud.

1\. Сводки

Прежде чем задавать какие-либо фильтры, обратите внимание на полосу со значениями показателей в верхней части представления инвентаризации, на которой отображаются следующие данные.

  • Итого ресурсов: общее количество ресурсов, подключенных к Defender для облака.
  • Небезопасные ресурсы: ресурсы, в отношении которых есть активные рекомендации по безопасности. Дополнительные сведения о рекомендациях по безопасности.
  • Неконтролируемые ресурсы: ресурсы с проблемами мониторинга агентов. На этих ресурсах развернут агент Log Analytics, но он не отправляет данные или его работоспособность нарушена каким-то иным образом.
  • Незарегистрированные подписки: подписки в выбранной области, которые еще не подключены к Microsoft Defender для облака.

2\. Фильтры

Несколько фильтров в верхней части страницы позволяют быстро уточнить список ресурсов в соответствии с вопросом, на который вы пытаетесь ответить. Например, чтобы узнать, на каких компьютерах с тегом "Production" отсутствует агент Log Analytics, можно применить фильтр Мониторинг агентов в сочетании с фильтром Теги.

Как только будут применены фильтры, сводные значения обновляются, чтобы соответствовать результатам запроса.

3\. Экспорт и средства управления активами

Параметры экспорта: на странице инвентаризации вы можете возможность экспортировать отфильтрованные результаты в CSV-файл. Также можно экспортировать сам запрос в Azure Resource Graph Explorer для дальнейшего уточнения, сохранения или изменения запроса Kusto Query Language (KQL).

Совет

В документации по KQL есть база данных с примерами данных, а также ряд простых запросов, позволяющих получить общее впечатление о языке. Дополнительные сведения см. в этом руководстве по KQL.

Параметры управления ресурсами: когда найдены ресурсы, которые соответствуют запросам, инвентаризация предоставляет средства для ускоренного выполнения операций, например:

  • Назначение тегов фильтруемым ресурсам — следует установить флажки рядом с ресурсами, которые нужно пометить.
  • Подключение новых серверов к Defender для облака — следует использовать кнопку на панели инструментов Добавление серверов не из Azure.
  • Автоматизация рабочих нагрузок с Azure Logic Apps — используйте кнопку Запустить приложение логики для запуска приложения логики на одном или нескольких ресурсах. Приложения логики необходимо подготовить заранее и настроить их для приема триггера соответствующего типа (HTTP-запроса). Дополнительные сведения о приложениях логики.

Как работает инвентаризация активов?

Инвентаризация ресурсов использует Azure Resource Graph (ARG). Это служба Azure, которая позволяет запрашивать в Defender для облака данные о безопасности в нескольких подписках.

ARG разработан для обеспечения эффективного исследования ресурсов с возможностью масштабирования запросов.

С помощью языка запросов Kusto (KQL) на странице инвентаризации ресурсов можно быстро получать подробные аналитические сведения, соотнося данные Defender для облака с другими свойствами ресурсов.

Использование инвентаризации активов

  1. На боковой панели Defender для облака выберите элемент Инвентаризация.

  2. Используйте поле Фильтр по имени для отображения определенного ресурса или настройте фильтры, как описано ниже.

  3. Следует выбрать соответствующие параметры в фильтрах, чтобы создать конкретный запрос, который необходимо выполнить.

    По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.

    Важно!

    Параметры каждого фильтра относятся к ресурсам в выбранных подписках и к тому, что выбрано в других фильтрах.

    Например, если вы выбрали только одну подписку, и в ней нет ресурсов с необработанными рекомендациями по безопасности (0 небезопасных ресурсов), у фильтра Рекомендации параметров не будет.

    Использование параметров фильтра в Microsoft Defender инвентаризации ресурсов в облаке для фильтрации ресурсов по рабочим ресурсам, которые не отслеживаются

  4. Чтобы использовать фильтр Содержимое обнаружений безопасности, необходимо ввести произвольный текст, включающий идентификатор, проверку безопасности или обозначение CVE найденной уязвимости для фильтрации по затронутым ресурсам:

    Фильтр

    Совет

    Фильтры Содержимое обнаружений безопасности и Теги позволяют ввести только одно значение. Чтобы выполнить фильтрацию по нескольким значениям, нажмите кнопку Добавить фильтры.

  5. Чтобы использовать фильтр Defender для облака, выберите один или несколько параметров ("Откл.", "Вкл.", или "Частично"):

    • Откл. — ресурсы, не защищенные планом Microsoft Defender. Можно щелкнуть правой кнопкой мыши любой из них и обновить их:

      Обновите ресурс для защиты с помощью соответствующего плана Microsoft Defender, щелкнув правой кнопкой мыши.

    • Вкл. — ресурсы, защищенные планом Microsoft Defender.

    • Частично — относится к подпискам, в которых отключены некоторые (но не все) планы Microsoft Defender. Например, в следующей подписке отключены семь планов Microsoft Defender.

      Подписка частично защищена планами Microsoft Defender.

  6. Чтобы глубже проанализировать результаты запроса, выберите интересующие вас ресурсы.

  7. Чтобы просмотреть текущие параметры фильтров в виде запроса в обозревателе графа ресурсов, выберите Открыть запрос.

    Инвентаризационный запрос в ARG.

  8. Если вы задали какие-то фильтры и оставили страницу открытой, Defender для облака не будет автоматически обновлять результаты. Изменения в ресурсах не будут влиять на отображаемые результаты, если вы не перезагрузите страницу вручную или не нажмете кнопку Обновить.

Доступ к инвентаризации программного обеспечения

Чтобы получить доступ к инвентаризации программного обеспечения, вам потребуется одно из следующих платных решений:

Если вы уже включили интеграцию с Microsoft Defender для конечной точки и включили Microsoft Defender для серверов, у вас будет доступ к инвентаризации программного обеспечения.

Если вы включили решение для угроз и уязвимостей, инвентаризация активов Defender для облака предлагает фильтр для выбора ресурсов по установленному программному обеспечению.

Примечание

Параметр "Пусто" обозначает компьютеры без Microsoft Defender для конечной точки (или без Microsoft Defender для серверов).

Как и в случае с фильтрами на странице инвентаризации ресурсов, вы можете просматривать данные инвентаризации программного обеспечения из обозревателя Azure Resource Graph.

Примеры использования обозревателя Azure Resource Graph для доступа к данным инвентаризации программного обеспечения и их просмотра:

  1. Откройте Обозреватель Azure Resource Graph.

    Страница рекомендаций по запуску обозревателя Azure Resource Graph**

  2. Выберите следующую область подписки: securityresources/softwareinventories.

  3. Введите любой из следующих запросов (либо настройте их или напишите собственный запрос) и выберите Выполнить запрос.

    • Чтобы создать базовый список установленного программного обеспечения:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Для фильтрации по номерам версий:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Чтобы найти компьютеры с сочетанием программных продуктов:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Сочетание программного продукта с другой рекомендацией по безопасности:

      (В этом примере на компьютерах установлен MySQL и открыты порты управления.)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Вопросы и ответы: инвентаризация

Почему отображаются не все мои подписки, компьютеры, учетные записи хранения и т. д.?

В представлении "Инвентаризация" отображаются ресурсы, подключенные к Defender для облака для целей Управления состоянием безопасности облака (CSPM). Фильтры возвращают не все ресурсы в вашей среде, а только те, в отношении которых есть необработанные (или "активные") рекомендации.

Например, на следующем снимке экрана показан пользователь с доступом к 8 подпискам, из которых в настоящее время рекомендации есть только по 7. Поэтому если выбрать Тип ресурса= Подписки, на странице инвентаризации будут показаны только эти 7 подписок с активными рекомендациями:

Если по каким-то подпискам нет активных рекомендаций, то отображаются не все подписки.

Почему у некоторых ресурсов в столбцах "Defender для облака" или "Агент мониторинга" ничего не отображается?

Не для всех ресурсов, отслеживаемых Defender для облака, есть агенты. Например, для учетных записей службы хранилища Azure или ресурсов PaaS, таких как диски, Logic Apps, Data Lake Analysis и концентратор событий, отслеживать агенты с помощью Defender для облака не требуется.

Если для ресурса неактуальны цены или мониторинг агентов, в этих столбцах на странице инвентаризации ничего не отображается.

В некоторых ресурсах отображаются пустые сведения в столбцах агента мониторинга или Defender для облака.

Дальнейшие действия

В этой статье описана страница инвентаризации ресурсов Microsoft Defender для облака.

Дополнительные сведения о соответствующих средствах см. на следующих страницах: