Skapa omfattande, interaktiva rapporter över Defender för molnet data med hjälp av arbetsböcker

  • Artikel

Azure-arbetsböcker är flexibla arbetsytor som du kan använda för att analysera data och skapa omfattande, visuella rapporter i Azure-portalen. I arbetsböcker kan du komma åt flera datakällor i Azure. Kombinera arbetsböcker till enhetliga, interaktiva upplevelser.

Arbetsböcker ger en omfattande uppsättning funktioner för visualisering av dina Azure-data. Detaljerad information om varje visualiseringstyp finns i visualiseringsexempel och dokumentation.

I Microsoft Defender för molnet kan du komma åt inbyggda arbetsböcker för att spåra organisationens säkerhetsstatus. Du kan också skapa anpassade arbetsböcker för att visa en mängd olika data från Defender för molnet eller andra datakällor som stöds.

Screenshot that shows the Secure Score Over Time workbook.

Priser finns på sidan med priser.

Förutsättningar

Nödvändiga roller och behörigheter: Om du vill spara en arbetsbok måste du ha minst behörighet som arbetsboksdeltagare för den relevanta resursgruppen.

Molntillgänglighet:Kommersiella moln National (Azure Government, Microsoft Azure som drivs av 21Vianet)

I Defender för molnet kan du använda integrerade Azure-arbetsböcker för att skapa anpassade interaktiva arbetsböcker som visar dina säkerhetsdata. Defender för molnet innehåller ett arbetsboksgalleri som har följande arbetsböcker redo att anpassas:

  • Täckningsarbetsbok: Spåra täckningen för Defender för molnet planer och tillägg i dina miljöer och prenumerationer.
  • Arbetsbok för säker poäng över tid: Spåra dina prenumerationspoäng och ändringar i rekommendationer för dina resurser.
  • System Uppdateringar arbetsbok: Visa saknade systemuppdateringar efter resurs, operativsystem, allvarlighetsgrad med mera.
  • Arbetsbok om sårbarhetsbedömningsresultat: Visa resultaten av sårbarhetsgenomsökningar av dina Azure-resurser.
  • Arbetsbok för efterlevnad över tid: Visa status för en prenumerations efterlevnad av regelstandarder eller branschstandarder som du väljer.
  • Arbetsbok för aktiva aviseringar: Visa aktiva aviseringar efter allvarlighetsgrad, typ, tagg, MITRE ATT&CK-taktik och plats.
  • Arbetsbok för prisuppskattning: Visa månatliga, konsoliderade prisuppskattningar för Defender för molnet planer baserat på resurstelemetrin i din miljö. Siffrorna är uppskattningar som baseras på detaljhandelspriser och inte representerar faktiska fakturerings- eller fakturadata.
  • Styrningsarbetsbok: Använd styrningsrapporten i inställningarna för styrningsregler för att spåra förloppet för de regler som påverkar din organisation.
  • DevOps Security-arbetsbok (förhandsversion): Visa en anpassningsbar grund som hjälper dig att visualisera tillståndet för din DevOps-hållning för de anslutningsappar som du har konfigurerat.

Tillsammans med inbyggda arbetsböcker kan du hitta användbara arbetsböcker i kategorin Community . Dessa arbetsböcker tillhandahålls som de är och har inget serviceavtal eller stöd. Du kan välja en av de angivna arbetsböckerna eller skapa en egen arbetsbok.

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

Dricks

Om du vill anpassa någon av arbetsböckerna väljer du knappen Redigera . När du är klar med redigeringen väljer du Spara. Ändringarna sparas i en ny arbetsbok.

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

Täckningsarbetsbok

Om du aktiverar Defender för molnet i flera prenumerationer och miljöer (Azure, Amazon Web Services och Google Cloud Platform) kan det vara svårt att hålla reda på vilka planer som är aktiva. Det gäller särskilt om du har flera prenumerationer och miljöer.

Arbetsboken Täckning hjälper dig att hålla reda på vilka Defender för molnet planer är aktiva i vilka delar av dina miljöer. Den här arbetsboken kan hjälpa dig att se till att dina miljöer och prenumerationer är helt skyddade. Genom att ha åtkomst till detaljerad täckningsinformation kan du identifiera områden som kan behöva mer skydd så att du kan vidta åtgärder för att åtgärda dessa områden.

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

I den här arbetsboken kan du välja en prenumeration (eller alla prenumerationer) och sedan visa följande flikar:

  • Ytterligare information: Visar viktig information och en förklaring av varje växlingsknapp.
  • Relativ täckning: Visar procentandelen prenumerationer eller anslutningsappar som har en specifik Defender för molnet plan aktiverad.
  • Absolut täckning: Visar varje plans status per prenumeration.
  • Detaljerad täckning: Visar ytterligare inställningar som kan aktiveras eller som måste aktiveras för relevanta planer för att få varje plans fullständiga värde.

Du kan också välja Azure-, Amazon Web Services- eller Google Cloud Platform-miljön i var och en av prenumerationerna för att se vilka planer och tillägg som är aktiverade för miljöerna.

Arbetsbok för säker poäng över tid

Arbetsboken Säker poäng över tid använder data för säker poäng från Log Analytics-arbetsytan. Data måste exporteras med hjälp av verktyget för kontinuerlig export enligt beskrivningen i Konfigurera kontinuerlig export för Defender för molnet i Azure-portalen.

När du konfigurerar kontinuerlig export, under Exportfrekvens, väljer du både Direktuppspelningsuppdateringar och Ögonblicksbilder (förhandsversion).

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

Kommentar

Ögonblicksbilder exporteras varje vecka. Det finns en fördröjning på minst en vecka efter att den första ögonblicksbilden har exporterats innan du kan visa data i arbetsboken.

Dricks

Om du vill konfigurera kontinuerlig export i organisationen använder du de angivna DeployIfNotExist principerna i Azure Policy som beskrivs i Konfigurera kontinuerlig export i stor skala.

Arbetsboken Säker poäng över tid har fem diagram för de prenumerationer som rapporterar till de valda arbetsytorna:

Diagram Exempel
Poängtrender för den senaste veckan och månaden
Använd det här avsnittet om du vill övervaka aktuell poäng och allmänna trender för poängen för dina prenumerationer.		 Screenshot that shows trends for secure score on the built-in workbook.
Aggregerad poäng för alla valda prenumerationer
Hovra musen över valfri punkt på trendraden för att se den aggregerade poängen när som helst i det valda tidsintervallet.		 Screenshot that shows an aggregated score for all selected subscriptions.
Rekommendationer med de mest felaktiga resurserna
Den här tabellen hjälper dig att sortera de rekommendationer som hade flest resurser som har ändrats till en status som inte är felfri under den valda perioden.		 Screenshot that shows recommendations that have the most unhealthy resources.
Poäng för specifika säkerhetskontroller
Säkerhetskontrollerna i Defender för molnet är logiska grupper av rekommendationer. Det här diagrammet visar en snabb överblick över veckopoängen för alla dina kontroller.		 Screenshot that shows scores for your security controls over the selected time period.
Resursändringar
Rekommendationer som har flest resurser som har ändrat tillstånd (felfritt eller inte tillämpligt) under den valda perioden visas här. Välj valfri rekommendation i listan för att öppna en ny tabell som visar de specifika resurserna.		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

Arbetsbok för system Uppdateringar

Arbetsboken System Uppdateringar baseras på säkerhetsrekommendationer om att systemuppdateringar ska installeras på dina datorer. Arbetsboken hjälper dig att identifiera datorer som har uppdateringar att tillämpa.

Du kan visa uppdateringsstatus för valda prenumerationer genom att:

  • En lista över resurser som har utestående uppdateringar att tillämpa.
  • En lista över uppdateringar som saknas i dina resurser.

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

Arbetsbok för resultat av sårbarhetsbedömning

Defender för molnet innehåller sårbarhetsskannrar för dina datorer, containrar i containerregister och datorer som kör SQL Server.

Läs mer om hur du använder dessa skannrar:

Resultat för varje resurstyp rapporteras i separata rekommendationer:

Arbetsboken Sårbarhetsbedömningsresultat samlar in dessa resultat och organiserar dem efter allvarlighetsgrad, resurstyp och kategori.

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

Arbetsbok för efterlevnad över tid

Microsoft Defender för molnet jämför kontinuerligt dina resursers konfiguration med krav i branschstandarder, föreskrifter och benchmark-värden. Inbyggda standarder inkluderar NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST med mera. Du kan välja standarder som är relevanta för din organisation med hjälp av instrumentpanelen för regelefterlevnad. Läs mer i Anpassa standarduppsättningen på instrumentpanelen för regelefterlevnad.

Arbetsboken Efterlevnad över tid spårar din efterlevnadsstatus över tid med hjälp av de olika standarder som du lägger till på instrumentpanelen.

Screenshot that shows how to select the standards for your Compliance Over Time report.

När du väljer en standard i översiktsområdet i rapporten visas en mer detaljerad uppdelning i det nedre fönstret:

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

Om du vill visa de resurser som skickade eller misslyckades med varje kontroll kan du fortsätta att öka detaljnivån hela vägen till rekommendationsnivån.

Dricks

För varje panel i rapporten kan du exportera data till Excel med hjälp av alternativet Exportera till Excel .

Screenshot that shows how to export a compliance workbook data to Excel.

Arbetsbok för aktiva aviseringar

Arbetsboken Aktiva aviseringar visar aktiva säkerhetsaviseringar för dina prenumerationer på en instrumentpanel. Säkerhetsaviseringar är de meddelanden som Defender för molnet genererar när den identifierar hot mot dina resurser. Defender för molnet prioriterar och listar aviseringarna med den information som du behöver för att snabbt undersöka och åtgärda.

Den här arbetsboken hjälper dig genom att hjälpa dig att vara medveten om och prioritera de aktiva hoten i din miljö.

Kommentar

De flesta arbetsböcker använder Azure Resource Graph för att fråga efter data. Om du till exempel vill visa en kartvy efterfrågas data på en Log Analytics-arbetsyta. Kontinuerlig export ska vara aktiverat. Exportera säkerhetsaviseringar till Log Analytics-arbetsytan.

Du kan visa aktiva aviseringar efter allvarlighetsgrad, resursgrupp och tagg.

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

Du kan också visa prenumerationens främsta aviseringar av angripna resurser, aviseringstyper och nya aviseringar.

Screenshot that highlights the top alerts for your subscriptions.

Om du vill se mer information om en avisering väljer du aviseringen.

Screenshot that shows all high-severity active alerts for a specific resource.

fliken MITRE ATT&CK-taktik visas aviseringar i ordningen för kill-kedjan och antalet aviseringar som prenumerationen har i varje steg.

Screenshot that shows the order of the kill chain and the number of alerts.

Du kan se alla aktiva aviseringar i en tabell och filtrera efter kolumner.

Screenshot that shows the table of active alerts.

Om du vill se information om en specifik avisering väljer du aviseringen i tabellen och väljer sedan knappen Öppna aviseringsvy .

Screenshot that shows an alert's details and the Open Alert View button.

Om du vill se alla aviseringar efter plats i en kartvy väljer du fliken Kartvy .

Screenshot that shows the alerts when viewed in a map in Map View.

Välj en plats på kartan för att visa alla aviseringar för den platsen.

Screenshot that shows the alerts in a specific location in Map View.

Om du vill visa information om en avisering väljer du en avisering och väljer sedan knappen Öppna aviseringsvy .

DevOps Security-arbetsbok

DevOps Security-arbetsboken innehåller en anpassningsbar visuell rapport om din DevOps-säkerhetsstatus. Du kan använda den här arbetsboken för att visa insikter om dina lagringsplatser som har det högsta antalet vanliga sårbarheter och exponeringar (CVE: er) och svagheter, aktiva lagringsplatser som har Avancerad säkerhet inaktiverade, säkerhetsstatusutvärderingar av dina DevOps-miljökonfigurationer och mycket mer. Anpassa och lägga till egna visuella rapporter med hjälp av den omfattande uppsättningen data i Azure Resource Graph för att passa säkerhetsteamets affärsbehov.

Screenshot that shows a sample results page after you select the DevOps workbook.

Kommentar

Om du vill använda den här arbetsboken måste din miljö ha en GitHub-anslutningsapp, GitLab-anslutning eller Azure DevOps-anslutningsapp.

Så här distribuerar du arbetsboken:

  1. Logga in på Azure-portalen.

  2. Gå till Microsoft Defender för molnet> Arbetsböcker.

  3. Välj arbetsboken DevOps Security (förhandsversion).

Arbetsboken läser in och visar fliken Översikt . På den här fliken kan du se antalet exponerade hemligheter, kodsäkerhet och DevOps-säkerhet. Resultaten visas totalt för varje lagringsplats och efter allvarlighetsgrad.

Om du vill visa antalet efter hemlig typ väljer du fliken Hemligheter .

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

Fliken Kod visar antalet resultat efter verktyg och lagringsplats. Den visar resultatet av kodgenomsökningen efter allvarlighetsgrad.

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

fliken SÅRBARHETER i OSS visas säkerhetsrisker med öppen källkod (OSS) efter allvarlighetsgrad och antalet resultat per lagringsplats.

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

Fliken Infrastruktur som kod visar dina resultat efter verktyg och lagringsplats.

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

Fliken Hållning visar säkerhetsstatus efter allvarlighetsgrad och lagringsplats.

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

Fliken Hot och taktik visar antalet hot och taktiker per lagringsplats och det totala antalet.

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

Importera arbetsböcker från andra arbetsboksgallerier

Så här flyttar du arbetsböcker som du skapar i andra Azure-tjänster till ditt Microsoft Defender för molnet arbetsboksgalleri:

  1. Öppna arbetsboken som du vill importera.

  2. I verktygsfältet klickar du på Redigera.

    Screenshot that shows how to edit a workbook.

  3. I verktygsfältet väljer du </> för att öppna den avancerade redigeraren.

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. I mallen för arbetsboksgalleriet väljer du alla JSON i filen och kopierar den.

  5. Öppna arbetsboksgalleriet i Defender för molnet och välj sedan Nytt på menyraden.

  6. Välj </>för att öppna Avancerad redigerare.

  7. Klistra in hela gallerimallens JSON-kod.

  8. Välj Använd.

  9. I verktygsfältet väljer du Spara som.

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. Om du vill spara ändringar i arbetsboken anger eller väljer du följande information:

    • Ett namn på arbetsboken.
    • Den Azure-region som ska användas.
    • All relevant information om prenumerationen, resursgruppen och delning.

Om du vill hitta den sparade arbetsboken går du till kategorin Nyligen ändrade arbetsböcker .

Relaterat innehåll

Den här artikeln beskriver sidan Defender för molnet integrerade Azure-arbetsböcker som har inbyggda rapporter och alternativet att skapa egna anpassade, interaktiva rapporter.

Inbyggda arbetsböcker hämtar sina data från Defender för molnet rekommendationer.