Använda tillgångsinventering för att hantera dina resursers säkerhetsstatus

  • Artikel

På sidan tillgångsinventering i Microsoft Defender för molnet visas säkerhetsstatusen för de resurser som du har anslutit till Defender för molnet. Defender för molnet analyserar regelbundet säkerhetstillståndet för resurser som är anslutna till dina prenumerationer för att identifiera potentiella säkerhetsproblem och ger dig aktiva rekommendationer. Aktiva rekommendationer är rekommendationer som kan lösas för att förbättra din säkerhetsstatus.

Använd den här vyn och dess filter för att hantera frågor som:

  • Vilka av mina prenumerationer med Defender-planer aktiverade har utestående rekommendationer?
  • Vilka av mina datorer med taggen "Produktion" saknar Log Analytics-agenten?
  • Hur många av mina datorer som har taggats med en viss tagg har utestående rekommendationer?
  • Vilka datorer i en specifik resursgrupp har en känd säkerhetsrisk (med ett CVE-nummer)?

Säkerhetsrekommendationerna på sidan tillgångsinventering visas också på sidan Rekommendationer , men här visas de enligt den berörda resursen. Läs mer om hur du implementerar säkerhetsrekommendationer.

Tillgänglighet

Aspekt Information
Versionstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kostnadsfri
Vissa funktioner på inventeringssidan, till exempel programvaruinventeringen , kräver att betallösningar finns på plats
Nödvändiga roller och behörigheter: Alla användare
Moln: Kommersiella moln
National (Azure Government, Microsoft Azure drivs av 21Vianet)

Programvaruinventering stöds för närvarande inte i nationella moln.

Vilka är de viktigaste funktionerna i tillgångsinventeringen?

Inventeringssidan innehåller följande verktyg:

Huvudfunktionerna på sidan för tillgångsinventering i Microsoft Defender för molnet.

1 – Sammanfattningar

Innan du definierar några filter visas en framträdande remsa med värden överst i lagervyn:

  • Totalt antal resurser: Det totala antalet resurser som är anslutna till Defender för molnet.
  • Resurser med feltillstånd: Resurser med aktiva säkerhetsrekommendationer som du kan implementera. Läs mer om hur du implementerar säkerhetsrekommendationer.
  • Oövervakade resurser: Resurser med agentövervakningsproblem – De har Log Analytics-agenten distribuerad, men agenten skickar inte data eller har andra hälsoproblem.
  • Oregistrerade prenumerationer: Alla prenumerationer i det valda omfånget som ännu inte har anslutits till Microsoft Defender för molnet.

2 – Filter

De flera filtren överst på sidan är ett sätt att snabbt förfina listan över resurser enligt den fråga som du försöker besvara. Om du till exempel vill veta vilka av dina datorer med taggen "Produktion" som saknar Log Analytics-agenten kan du filtrera listan för agentövervakning:"Inte installerad" och Taggar:"Produktion".

Så snart du har tillämpat filter uppdateras sammanfattningsvärdena för att relatera till frågeresultaten.

3 – Verktyg för export och tillgångshantering

Exportalternativ – Inventering innehåller ett alternativ för att exportera resultatet av dina valda filteralternativ till en CSV-fil. Du kan också exportera själva frågan till Azure Resource Graph Explorer för att ytterligare förfina, spara eller ändra frågan Kusto-frågespråk (KQL).

Tips

KQL-dokumentationen innehåller en databas med exempeldata tillsammans med några enkla frågor för att få "känslan" för språket. Läs mer i den här KQL-självstudien.

Alternativ för tillgångshantering – När du har hittat de resurser som matchar dina frågor tillhandahåller inventering genvägar för åtgärder som:

  • Tilldela taggar till de filtrerade resurserna – markera kryssrutorna tillsammans med de resurser som du vill tagga.
  • Registrera nya servrar i Defender för molnet – använd verktygsfältsknappen Lägg till icke-Azure-servrar .
  • Automatisera arbetsbelastningar med Azure Logic Apps – använd knappen Utlösa logikapp för att köra en logikapp på en eller flera resurser. Dina logikappar måste förberedas i förväg och acceptera relevant utlösartyp (HTTP-begäran). Läs mer om logikappar.

Hur fungerar tillgångslager?

Tillgångslager använder Azure Resource Graph (ARG), en Azure-tjänst som gör att du kan köra frågor mot Defender för molnets säkerhetsstatusdata över flera prenumerationer.

ARG är utformat för att ge effektiv resursutforskning med möjlighet att fråga i stor skala.

Du kan använda Kusto-frågespråk (KQL) i tillgångsinventeringen för att snabbt skapa djupa insikter genom att korsreferera Defender för molndata med andra resursegenskaper.

Så här använder du tillgångslager

  1. I sidofältet i Defender för molnet väljer du Inventering.

  2. Använd rutan Filtrera efter namn för att visa en specifik resurs eller använd filtren för att fokusera på specifika resurser.

    Som standard sorteras resurserna efter antalet aktiva säkerhetsrekommendationer.

    Viktigt

    Alternativen i varje filter är specifika för resurserna i de valda prenumerationerna och dina val i de andra filtren.

    Om du till exempel bara har valt en prenumeration och prenumerationen inte har några resurser med utestående säkerhetsrekommendationer för att åtgärda (0 resurser med feltillstånd) har filtret Rekommendationer inga alternativ.

    Använda filteralternativen i Microsoft Defender för molnets tillgångsinventering för att filtrera resurser till produktionsresurser som inte övervakas

  3. Om du vill använda säkerhetsresultaten innehåller filter anger du fritext från ID, säkerhetskontroll eller CVE-namn för en sårbarhetssökning för att filtrera till de berörda resurserna:

    Filtret

    Tips

    Säkerhetsresultaten innehåller och filter för taggar accepterar bara ett enda värde. Om du vill filtrera efter fler än en använder du Lägg till filter.

  4. Om du vill använda Defender för molnet-filtret väljer du ett eller flera alternativ (Av, På eller Delvis):

    • Av – Resurser som inte skyddas av en Microsoft Defender plan. Du kan högerklicka på resurserna och uppgradera dem:

      Uppgradera en resurs som ska skyddas av relevant Microsoft Defender plan via högerklicka.

    • – Resurser som skyddas av en Microsoft Defender plan

    • Partiell - Prenumerationer med vissa men inte alla Microsoft Defender planer inaktiverade. Följande prenumeration har till exempel sju Microsoft Defender planer inaktiverade.

      Prenumerationen skyddas delvis av Microsoft Defender planer.

  5. Om du vill undersöka resultatet av frågan ytterligare väljer du de resurser som intresserar dig.

  6. Om du vill visa de aktuella valda filteralternativen som en fråga i Resource Graph Explorer väljer du Öppna fråga.

    Inventeringsfråga i ARG.

  7. Om du har definierat vissa filter och lämnat sidan öppen uppdaterar inte Defender för molnet resultatet automatiskt. Eventuella ändringar av resurser påverkar inte de resultat som visas om du inte läser in sidan manuellt eller väljer Uppdatera.

Få åtkomst till en programvaruinventering

För att få åtkomst till programvaruinventeringen behöver du någon av följande betallösningar :

Om du redan har aktiverat integreringen med Microsoft Defender för Endpoint och aktiverat Microsoft Defender för servrar har du åtkomst till programvaruinventeringen.

Om du har aktiverat hot- och sårbarhetslösningen erbjuder Defender för molnets tillgångsinventering ett filter för att välja resurser efter deras installerade programvara.

Anteckning

Alternativet "Tom" visar datorer utan Microsoft Defender för Endpoint eller utan Microsoft Defender för servrar.

Förutom filtren på tillgångsinventeringssidan kan du utforska programvaruinventeringsdata från Azure Resource Graph Explorer.

Exempel på hur du använder Azure Resource Graph Explorer för att komma åt och utforska programvaruinventeringsdata:

  1. Öppna Azure Resource Graph Explorer.

    Starta rekommendationssidan för Azure Resource Graph Explorer**

  2. Välj följande prenumerationsomfång: securityresources/softwareinventories

  3. Ange någon av följande frågor (eller anpassa dem eller skriv dina egna!) och välj Kör fråga.

    • Så här genererar du en grundläggande lista över installerad programvara:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Så här filtrerar du efter versionsnummer:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • Så här hittar du datorer med en kombination av programvaruprodukter:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Kombination av en programvaruprodukt med en annan säkerhetsrekommendations:

      (I det här exemplet – datorer som har MySQL installerat och exponerade hanteringsportar)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Nästa steg

I den här artikeln beskrivs sidan för tillgångsinventering i Microsoft Defender för molnet.

Mer information om relaterade verktyg finns på följande sidor: