Поделиться через

Создавайте интерактивные отчеты с книгами Azure Monitor

  • Статья

Книги Azure — это гибкий холст, который можно использовать для анализа данных и создания расширенных визуальных отчетов в портал Azure. В книгах можно получить доступ к нескольким источникам данных в Azure. Объедините книги в унифицированные интерактивные интерфейсы.

Книги предоставляют широкий набор возможностей для визуализации данных Azure. Подробные сведения о каждом типе визуализации см. в примерах визуализаций и документации.

В Microsoft Defender для облака вы можете получить доступ к встроенным книгам для отслеживания состояния безопасности организации. Вы также можете создавать настраиваемые книги для просмотра широкого диапазона данных из Defender для облака или других поддерживаемых источников данных.

Снимок экрана: книга

Сведения о ценах см. на странице цен.

Необходимые компоненты

Необходимые роли и разрешения. Чтобы сохранить книгу, необходимо иметь по крайней мере разрешения участника книги для соответствующей группы ресурсов.

Доступность облака: коммерческие облака National (Azure для государственных организаций, Microsoft Azure, управляемые 21Vianet)

В Defender для облака можно использовать интегрированные функции книг Azure для создания пользовательских интерактивных книг, отображающих данные безопасности. Defender для облака включает коллекцию книг, которая содержит следующие книги, готовые к настройке:

  • Книга покрытия. Отслеживание охвата планов и расширений Defender для облака в средах и подписках.
  • Книга "Оценка безопасности с течением времени": отслеживание показателей подписки и изменения рекомендаций для ресурсов.
  • Книга обновлений системы: просмотр отсутствующих обновлений системы по ресурсам, ОС, серьезности и т. д.
  • Книга "Результаты оценки уязвимостей": просмотрите результаты сканирования уязвимостей ресурсов Azure.
  • Книга соответствия требованиям по времени. Просмотрите состояние соответствия подписки нормативным стандартам или отраслевым стандартам, которые вы выбрали.
  • Книга "Активные оповещения": просмотр активных оповещений по серьезности, типу, тегу, тактике MITRE ATT&CK и расположению.
  • Книга по оценке цен. Просмотр ежемесячных, консолидированных оценок цен для планов в Defender для облака на основе телеметрии ресурсов в вашей среде. Цифры — это оценки, основанные на розничных ценах и не представляющие фактические данные выставления счетов или счетов.
  • Книга управления. Используйте отчет об управлении в параметрах правил управления для отслеживания хода выполнения правил, влияющих на вашу организацию.
  • Книга DevOps Security (предварительная версия) — просмотр настраиваемой основы, которая помогает визуализировать состояние настроенного соединителя DevOps.

Наряду со встроенными книгами можно найти полезные книги в категории Сообщества . Эти книги предоставляются как есть и не поддерживают соглашение об уровне обслуживания или поддержке. Вы можете выбрать одну из предоставленных книг или создать собственную книгу.

Снимок экрана: коллекция встроенных книг в Microsoft Defender для облака.

Совет

Чтобы настроить любую из книг, нажмите кнопку "Изменить ". Когда вы закончите редактирование, нажмите кнопку "Сохранить". Изменения сохраняются в новой книге.

Снимок экрана, на котором показано, как изменить предоставленную книгу, чтобы настроить ее для ваших потребностей.

Книга покрытия

Если вы включаете Defender для облака в нескольких подписках и средах (Azure, Amazon Web Services и Google Cloud Platform), возможно, сложно отслеживать, какие планы активны. Это особенно верно, если у вас несколько подписок и сред.

Книга "Покрытие" помогает отслеживать, какие планы Defender для облака активны в некоторых частях сред. Эта книга поможет вам обеспечить полную защиту сред и подписок. Имея доступ к подробным сведениям о охвате, можно определить области, которые могут потребовать больше защиты, чтобы вы могли принять меры для решения этих областей.

Снимок экрана: книга покрытия, в которой отображаются планы и расширения, которые включены в различных подписках и средах.

В этой книге можно выбрать подписку (или все подписки), а затем просмотреть следующие вкладки:

  • Дополнительные сведения: отображаются заметки о выпуске и описание каждого переключателя.
  • Относительное покрытие. Показывает процент подписок или соединителей, имеющих определенный план Defender для облака.
  • Абсолютное покрытие: показывает состояние каждого плана для каждой подписки.
  • Подробный охват: показывает дополнительные параметры, которые можно включить или которые необходимо включить для соответствующих планов, чтобы получить полное значение каждого плана.

Вы также можете выбрать среду Azure, Amazon Web Services или Google Cloud Platform в каждой или всех подписках, чтобы узнать, какие планы и расширения включены для сред.

Книга "Оценка безопасности с течением времени"

Книга "Оценка безопасности с течением времени" использует данные оценки безопасности из рабочей области Log Analytics. Данные необходимо экспортировать с помощью средства непрерывного экспорта, как описано в разделе "Настройка непрерывного экспорта для Defender для облака" в портал Azure.

При настройке непрерывного экспорта в разделе "Частота экспорта" выберите обновления потоковой передачи и моментальные снимки (предварительная версия).

Снимок экрана: параметры частоты экспорта для непрерывного экспорта в книге

Примечание.

Моментальные снимки экспортируются еженедельно. После экспорта первого моментального снимка задержка составляет не менее одной недели, прежде чем просматривать данные в книге.

Совет

Чтобы настроить непрерывный экспорт в организации, используйте указанные DeployIfNotExist политики в Политика Azure, описанные в разделе "Настройка непрерывного экспорта в масштабе".

Книга "Оценка безопасности с течением времени" содержит пять графов для подписок, которые сообщают в выбранные рабочие области:

График Пример
Тренды оценки за последние неделю и месяц
Этот раздел используется для отслеживания текущей оценки и общих трендов оценок для подписок.		 Снимок экрана: тенденции оценки безопасности в встроенной книге.
Агрегированная оценка для всех выбранных подписок
Наведите указатель мыши на любую точку линии тренда, чтобы просмотреть агрегированную оценку в любой день в выбранном периоде времени.		 Снимок экрана: агрегированная оценка для всех выбранных подписок.
Рекомендации относительно большинства неработоспособных ресурсов
Эта таблица помогает просмотреть рекомендации, которые имели большинство ресурсов, которые изменились на неработоспособное состояние в выбранном периоде.		 Снимок экрана: рекомендации, имеющие самые неработоспособные ресурсы.
Оценки для конкретных элементов управления безопасностью
Элементы управления безопасностью в Defender для облака — это логические группировки рекомендаций. На этой диаграмме показаны еженедельные оценки для всех элементов управления.		 Снимок экрана: оценки для элементов управления безопасностью за выбранный период времени.
Изменения ресурсов
Здесь перечислены рекомендации, которые имеют больше всего ресурсов, которые изменили состояние (работоспособное, неработоспособное или неработоспособное) в течение выбранного периода. Выберите любую рекомендацию в списке, чтобы открыть новую таблицу, в которую перечислены определенные ресурсы.		 Снимок экрана: рекомендации, имеющие большинство ресурсов, которые изменили состояние работоспособности в течение выбранного периода.

Книга "Обновления системы"

Книга "Обновления системы" основана на рекомендации по обеспечению безопасности, которые должны быть установлены на компьютерах. Книга помогает определить компьютеры, которые имеют обновления для применения.

Состояние обновления для выбранных подписок можно просмотреть следующими способами:

  • Список ресурсов, которые имеют выдающиеся обновления для применения.
  • Список обновлений, отсутствующих в ресурсах.

книга обновления системы Defender для облака на основе отсутствующих рекомендаций по обеспечению безопасности обновлений.

Книга "Результаты оценки уязвимостей"

Defender для облака включает сканеры уязвимостей для компьютеров, контейнеров в реестрах контейнеров и компьютерах под управлением SQL Server.

Дополнительные сведения об использовании этих средств проверки

Результаты для каждого из этих типов ресурсов указываются в отдельных рекомендациях.

Книга "Результаты оценки уязвимостей" собирает эти результаты и упорядочивает их по серьезности, типу ресурсов и категории.

Снимок экрана: отчет о результатах оценки уязвимостей Defender для облака.

Книга соответствия требованиям с течением времени

Служба "Microsoft Defender для облака" постоянно сравнивает конфигурацию ресурсов на соответствие требованиям отраслевых стандартов, тестам производительности и нормативным требованиям. Встроенные стандарты включают NIST SP 800-53, SWIFT CSP CSCF v2020, Федеральный стандарт PBMM Канады, HIPAA HITRUST и другие. Вы можете выбрать стандарты, относящиеся к вашей организации, с помощью панели мониторинга соответствия нормативным требованиям. Дополнительные сведения см. в статье Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Книга "Соответствие с течением времени" отслеживает состояние соответствия с течением времени с помощью различных стандартов, которые вы добавляете на панель мониторинга.

Снимок экрана, на котором показано, как выбрать стандарты для отчета о соответствии с течением времени.

При выборе стандарта в области обзора отчета на нижней панели отображается более подробная разбивка:

Снимок экрана: подробный анализ изменений в отношении определенного стандарта.

Чтобы просмотреть ресурсы, переданные или завершив сбой каждого элемента управления, можно продолжить детализацию до уровня рекомендаций.

Совет

Для каждой панели отчета можно экспортировать данные в Excel с помощью параметра "Экспорт в Excel ".

Снимок экрана: экспорт данных книги соответствия в Excel.

Книга "Активные оповещения"

В книге "Активные оповещения" отображаются активные оповещения системы безопасности для подписок на одной панели мониторинга. Оповещения системы безопасности — это уведомления, которые Defender для облака создаются при обнаружении угроз для ваших ресурсов. Defender для облака приоритеты и список оповещений с информацией, необходимой для быстрого изучения и исправления.

Эта книга помогает вам знать и определять приоритеты активных угроз в вашей среде.

Примечание.

Большинство книг используют Azure Resource Graph для запроса данных. Например, для отображения представления карты данные запрашиваются в рабочей области Log Analytics. Непрерывный экспорт должен быть включен. Экспорт оповещений системы безопасности в рабочую область Log Analytics.

Активные оповещения можно просматривать по серьезности, группе ресурсов и тегу.

Снимок экрана: пример представления оповещений, просматриваемых по серьезности, группе ресурсов и тегу.

Вы также можете просматривать основные оповещения в своей подписки по типам атакуемых ресурсов, типам оповещений и новым оповещениям.

Снимок экрана: основные оповещения для подписок.

Чтобы просмотреть дополнительные сведения об оповещении, выберите оповещение.

Снимок экрана: все активные оповещения с высоким уровнем серьезности для определенного ресурса.

Вкладка тактики MITRE ATT&CK содержит оповещения в порядке "убить цепочку" и количество оповещений, которые подписка имеет на каждом этапе.

Снимок экрана: порядок цепочки и количество оповещений.

Все активные оповещения можно просмотреть в таблице и отфильтровать по столбцам.

Снимок экрана: таблица активных оповещений.

Чтобы просмотреть сведения о конкретном оповещении, выберите оповещение в таблице и нажмите кнопку "Открыть представление оповещений".

Снимок экрана: сведения о оповещении и кнопка

Чтобы просмотреть все оповещения по расположению в представлении карты, выберите вкладку "Вид карты".

Снимок экрана: оповещения при просмотре на карте в представлении карты.

Выберите расположение на карте, чтобы просмотреть все оповещения для этого расположения.

Снимок экрана: оповещения в определенном расположении в представлении карты.

Чтобы просмотреть сведения об оповещении, выберите оповещение и нажмите кнопку "Открыть представление оповещений".

Книга "Безопасность DevOps"

Книга DevOps Security предоставляет настраиваемый визуальный отчет о состоянии безопасности DevOps. Эту книгу можно использовать для просмотра аналитических сведений о репозиториях, имеющих наибольшее количество распространенных уязвимостей и уязвимостей (CVEs) и слабых мест, активных репозиториев, у которых отключена расширенная безопасность, оценки безопасности конфигураций среды DevOps и многое другое. Настройте и добавьте собственные визуальные отчеты с помощью расширенного набора данных в Azure Resource Graph в соответствии с потребностями вашей группы безопасности.

Снимок экрана: страница примеров результатов после выбора книги DevOps.

Примечание.

Для использования этой книги среда должна иметь соединитель GitHub, соединитель GitLab или соединитель Azure DevOps.

Чтобы развернуть книгу, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Microsoft Defender для облака> Workbooks.

  3. Выберите книгу DevOps Security (предварительная версия).

Книга загружает и отображает вкладку "Обзор ". На этой вкладке вы увидите количество открытых секретов, безопасность кода и безопасность DevOps. Результаты отображаются в общей сложности для каждого репозитория и по серьезности.

Чтобы просмотреть количество по типу секрета, перейдите на вкладку "Секреты ".

Снимок экрана: вкладка

Вкладка "Код" отображает количество выводов по инструменту и репозиторию. В нем отображаются результаты сканирования кода по серьезности.

Снимок экрана: вкладка

На вкладке "Уязвимости OSS" отображаются уязвимости безопасности с открытым исходным кодом (OSS) по серьезности и количеству результатов по репозиторию.

Снимок экрана, на котором показана вкладка

Вкладка "Инфраструктура как код" отображает результаты по инструменту и репозиторию.

Снимок экрана, на котором показана вкладка

Вкладка "Осанка" отображает состояние безопасности по серьезности и репозиторию.

Снимок экрана: вкладка

На вкладке "Угрозы и тактика" отображается количество угроз и тактик по репозиторию и общему количеству.

Снимок экрана, на котором показана вкладка

Импорт книг из других коллекций книг

Чтобы переместить книги, которые вы создаете в других службах Azure, в коллекцию книг Microsoft Defender для облака:

  1. Откройте книгу, которую вы хотите импортировать.

  2. На панели инструментов выберите Редактировать.

    Снимок экрана: изменение книги.

  3. На панели инструментов выберите </> , чтобы открыть расширенный редактор.

    Снимок экрана: открытие расширенного редактора для копирования кода JSON шаблона коллекции.

  4. В шаблоне коллекции книг выберите весь JSON-файл и скопируйте его.

  5. Откройте коллекцию книг в Defender для облака, а затем выберите "Создать" в строке меню.

  6. Выберите <или> откройте Расширенный редактор.

  7. Вставьте весь код JSON шаблона коллекции.

  8. Выберите Применить.

  9. На панели инструментов нажмите кнопку "Сохранить как".

    Снимок экрана: сохранение книги в коллекции в Defender для облака.

  10. Чтобы сохранить изменения в книге, введите или выберите следующие сведения:

    • Имя книги.
    • Используемый регион Azure.
    • Любая соответствующая информация о подписке, группе ресурсов и совместном доступе.

Чтобы найти сохраненную книгу, перейдите в категорию недавно измененных книг.

Связанный контент

В этой статье описывается страница Defender для облака интегрированных книг Azure с встроенными отчетами и возможностью создания собственных пользовательских интерактивных отчетов.

  • Дополнительные сведения о книгах Azure.

Встроенные книги получают данные из рекомендаций Defender для облака.