Kaynaklarınızın güvenlik duruşlarını yönetmek için varlık envanterini kullanma

  • Makale

Bulut için Microsoft Defender varlık envanteri sayfası, Bulut için Defender'a bağladığınız kaynakların güvenlik duruşunu gösterir. Bulut için Defender, olası güvenlik sorunlarını belirlemek için aboneliklerinize bağlı kaynakların güvenlik durumunu düzenli aralıklarla analiz eder ve size etkin öneriler sağlar. Etkin öneriler, güvenlik duruşunuzu geliştirmek için çözümlenebilen önerilerdir.

Aşağıdaki gibi soruları gidermek için bu görünümü ve filtrelerini kullanın:

  • Defender planlarının etkinleştirildiği aboneliklerimden hangisinde olağanüstü öneriler var?
  • 'Üretim' etiketine sahip makinelerimden hangisinde Log Analytics aracısı eksik?
  • Belirli bir etiketle etiketlenen makinelerimin kaç tanesinde olağanüstü öneriler var?
  • Belirli bir kaynak grubundaki hangi makinelerin bilinen bir güvenlik açığı vardır (CVE numarası kullanılarak)?

Varlık envanteri sayfasındaki güvenlik önerileri Öneriler sayfasında da gösterilir, ancak burada etkilenen kaynağa göre gösterilir. Güvenlik önerilerini uygulama hakkında daha fazla bilgi edinin.

Kullanılabilirlik

Görünüş Ayrıntılar
Sürüm durumu: Genel kullanılabilirlik (GA)
Fiyatlandırma: Ücretsiz
Envanter sayfasının yazılım envanteri gibi bazı özellikleri için ücretli çözümlerin yerinde olması gerekir
Gerekli roller ve izinler: Tüm kullanıcılar
Bulut: Ticari bulutlar
Ulusal (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure)

Yazılım envanteri şu anda ulusal bulutlarda desteklenmemektedir.

Varlık envanterinin temel özellikleri nelerdir?

Envanter sayfasında aşağıdaki araçlar sağlanır:

Bulut için Microsoft Defender varlık envanteri sayfasının ana özellikleri.

1 - Özetler

Herhangi bir filtre tanımlamadan önce, stok görünümünün üst kısmındaki belirgin bir değer şeridi şunları gösterir:

  • Toplam kaynak: Bulut için Defender'a bağlı toplam kaynak sayısı.
  • İyi durumda olmayan kaynaklar: Uygulayabileceğiniz etkin güvenlik önerileri olan kaynaklar. Güvenlik önerilerini uygulama hakkında daha fazla bilgi edinin.
  • İzlenmeyen kaynaklar: Aracı izleme sorunları olan kaynaklar- Log Analytics aracısını dağıtmış olsalar da aracı veri göndermiyor veya başka sistem durumu sorunları var.
  • Kayıtlı olmayan abonelikler: Seçili kapsamda yer alan ve henüz Bulut için Microsoft Defender bağlanmamış tüm abonelikler.

2 - Filtreler

Sayfanın üst kısmındaki birden çok filtre, yanıtlamaya çalıştığınız soruya göre kaynak listesini hızla daraltmak için bir yol sağlar. Örneğin, 'Üretim' etiketine sahip makinelerinizden hangisinde Log Analytics aracısının eksik olduğunu öğrenmek istiyorsanız Aracı izleme:"Yüklü değil" ve Etiketler:"Üretim" için listeyi filtreleyebilirsiniz.

Filtreleri uyguladığınız anda özet değerler sorgu sonuçlarıyla ilişkilendirecek şekilde güncelleştirilir.

3 - Dışarı aktarma ve varlık yönetimi araçları

Dışarı aktarma seçenekleri - Envanter, seçtiğiniz filtre seçeneklerinin sonuçlarını csv dosyasına aktarma seçeneği içerir. Ayrıca Kusto Sorgu Dili (KQL) sorgusunu daha da daraltmak, kaydetmek veya değiştirmek için sorgunun kendisini Azure Kaynak Grafı Gezgini'ne aktarabilirsiniz.

İpucu

KQL belgeleri, dilin "hissini" almak için bazı basit sorgularla birlikte bazı örnek verileri içeren bir veritabanı sağlar. Bu KQL öğreticisinde daha fazla bilgi edinin.

Varlık yönetimi seçenekleri - Sorgularınızla eşleşen kaynakları bulduğunuzda, envanter aşağıdaki gibi işlemler için kısayollar sağlar:

  • Filtrelenen kaynaklara etiket atama - Etiketlemek istediğiniz kaynakların yanı sıra onay kutularını seçin.
  • Yeni sunucuları Bulut için Defender'a ekleme - Azure dışı sunucu ekle araç çubuğu düğmesini kullanın.
  • Azure Logic Apps ile iş yüklerini otomatikleştirme- Mantıksal Uygulamayı Tetikle düğmesini kullanarak bir veya daha fazla kaynakta mantıksal uygulama çalıştırın. Mantıksal uygulamalarınızın önceden hazırlanması ve ilgili tetikleyici türünü (HTTP isteği) kabul edilmesi gerekir. Mantıksal uygulamalar hakkında daha fazla bilgi edinin.

Varlık envanteri nasıl çalışır?

Varlık envanteri, birden çok abonelikte Bulut için Defender'ın güvenlik duruşu verilerini sorgulamanıza olanak tanıyan bir Azure hizmeti olan Azure Kaynak Grafı(ARG) kullanır.

ARG, uygun ölçekte sorgulama özelliğiyle verimli kaynak keşfi sağlamak için tasarlanmıştır.

Bulut için Defender verilerine diğer kaynak özellikleriyle çapraz başvuruda bulunmak yoluyla hızlı bir şekilde derin içgörüler elde etmek için varlık envanterindeki Kusto Sorgu Dili (KQL) kullanabilirsiniz.

Varlık envanteri kullanma

  1. Bulut için Defender kenar çubuğundan Envanter'i seçin.

  2. Belirli bir kaynağı görüntülemek için Ada göre filtrele kutusunu veya belirli kaynaklara odaklanmak için filtreleri kullanın.

    Varsayılan olarak, kaynaklar etkin güvenlik önerileri sayısına göre sıralanır.

    Önemli

    Her filtredeki seçenekler, o anda seçili olan aboneliklerdeki kaynaklara ve diğer filtrelerdeki seçimlerinize özeldir.

    Örneğin, yalnızca bir abonelik seçtiyseniz ve aboneliğin düzeltilecek bekleyen güvenlik önerileri olan kaynakları yoksa (0 iyi durumda olmayan kaynak), Öneriler filtresinin hiçbir seçeneği olmaz.

    Bulut'un varlık envanteri için Microsoft Defender filtre seçeneklerini kullanarak kaynakları izlenmeyen üretim kaynaklarına filtreleme

  3. Güvenlik bulguları içeren filtresini kullanmak için, etkilenen kaynaklara filtre uygulamak için güvenlik açığı bulgusunun kimliğinden, güvenlik denetiminden veya CVE adından serbest metin girin:

    İpucu

    Güvenlik bulguları içerir ve Etiketler filtreleri yalnızca tek bir değeri kabul eder. Birden fazla filtre uygulamak için Filtre ekle'yi kullanın.

  4. Bulut için Defender filtresini kullanmak için bir veya daha fazla seçenek belirleyin (Kapalı, Açık veya Kısmi):

    • Kapalı - Kaynaklar bir Microsoft Defender planı tarafından korunmaz. Kaynaklara sağ tıklayıp bunları yükseltebilirsiniz:

      Sağ tıklamayla ilgili Microsoft Defender planı tarafından korunacak bir kaynağı yükseltin.

    • Açık - Microsoft Defender planı tarafından korunan kaynaklar

    • Kısmi - Microsoft Defender planlarının tümünün devre dışı bırakılmadığı abonelikler. Örneğin, aşağıdaki abonelikte yedi Microsoft Defender planı devre dışı bırakılmıştır.

      Abonelik kısmen Microsoft Defender planları tarafından korunuyor.

  5. Sorgunuzun sonuçlarını daha fazla incelemek için ilginizi çekebilecek kaynakları seçin.

  6. Seçili geçerli filtre seçeneklerini Kaynak Grafı Gezgini'nde sorgu olarak görüntülemek için Sorguyu aç'ı seçin.

    ARG'de envanter sorgusu.

  7. Bazı filtreler tanımlayıp sayfayı açık bıraktıysanız Bulut için Defender sonuçları otomatik olarak güncelleştirmez. Sayfayı el ile yeniden yüklemediğiniz veya Yenile'yi seçmediğiniz sürece kaynaklarda yapılan değişiklikler görüntülenen sonuçları etkilemez.

Yazılım envantere erişme

Yazılım envanterine erişmek için aşağıdaki ücretli çözümlerden birine ihtiyacınız vardır:

Uç Nokta için Microsoft Defender ile tümleştirmeyi zaten etkinleştirdiyseniz ve Sunucular için Microsoft Defender etkinleştirdiyseniz yazılım envanterine erişebilirsiniz.

Tehdit ve güvenlik açığı çözümünü etkinleştirdiyseniz, Bulut için Defender'ın varlık envanteri, kaynakları yüklü yazılımlarına göre seçmek için bir filtre sunar.

Not

"Boş" seçeneği, sunucular için Uç Nokta için Microsoft Defender veya Microsoft Defender olmayan makineleri gösterir.

Varlık envanteri sayfasındaki filtrelerin yanı sıra Azure Kaynak Grafı Gezgini'nden yazılım envanteri verilerini de keşfedebilirsiniz.

Yazılım envanteri verilerine erişmek ve verileri keşfetmek için Azure Kaynak Grafı Gezgini'ni kullanma örnekleri:

  1. Azure Kaynak Grafı Gezgini'ne gidin.

    Azure Kaynak Grafı Gezgini** öneri sayfasını başlatma

  2. Şu abonelik kapsamını seçin: securityresources/softwareinventories

  3. Aşağıdaki sorgulardan herhangi birini girin (veya özelleştirin veya kendi sorgunuzu yazın!) ve Sorguyu çalıştır'ı seçin.

    • Yüklü yazılımların temel bir listesini oluşturmak için:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Sürüm numaralarına göre filtrelemek için:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • Yazılım ürünlerinin birleşimine sahip makineleri bulmak için:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Bir yazılım ürününün başka bir güvenlik önerisiyle birlikte kullanılması:

      (Bu örnekte – MySQL yüklü ve kullanıma sunulan yönetim bağlantı noktalarına sahip makineler)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Sonraki adımlar

Bu makalede Bulut için Microsoft Defender varlık envanteri sayfası açıklanmıştır.

İlgili araçlar hakkında daha fazla bilgi için aşağıdaki sayfalara bakın: