你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 中的 Defender for Servers 计划使用 Microsoft Defender 漏洞管理提供漏洞扫描。 Microsoft Defender for Endpoint 和 Defender 漏洞管理已原生集成于 Defender for Cloud 中。
Defender 漏洞管理提供的软件清单功能显示组织中已知软件的列表,其中包含有关已发现应用程序的安全信息。
- Defender for Cloud 在清单页上显示集成软件清单,汇总了连接到 Defender for Cloud 的资源上运行的软件。
- 若要大规模查询和检索清单数据,请使用 Azure Resource Graph (ARG)。 若要进行深度自定义分析,请使用Kusto 查询语言 (KQL)。
本文介绍如何查看软件清单。
先决条件
若要查看软件清单,请启用其中一个付费计划。
- 已启用无代理计算机扫描的Defender CSPM 计划。
- 启用了 Defender for Endpoint 集成的 适用于服务器的 Defender 计划 1 或计划 2,或者启用了无代理计算机扫描的适用于服务器的 Defender 计划 2。
注释
如果清单中显示不支持的软件,则只有有限的数据可用。
查看软件清单
在 Defender for Cloud 中,选择“清单”。
如果满足先决条件,“已安装的应用程序”筛选器会显示环境中部署的软件列表。
在“值”中,筛选特定应用。
将显示连接到Defender for Cloud并运行这些应用的资源。 空白选项表示无法使用 Defender for Servers/Defender for Endpoint 的计算机。
查询软件清单
除了预定义的筛选器之外,还可以从 Azure Resource Graph 资源管理器中浏览软件清单数据。
选择 Azure Resource Graph Explorer。
选择以下订阅范围:securityresources/softwareinventories
使用以下查询示例之一,自定义一个或编写自己的查询示例。
选择运行查询。
查询示例
生成已安装软件的基本列表:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
按版本号筛选:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
查找含有多种软件产品组合的计算机:
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1
将某个软件产品与另一项安全建议结合:
(例如,已安装 MySQL 和公开管理端口的计算机)
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId
导出清单
- 要以 CSV 格式保存筛选后的清单,请选择“下载 CSV 报告”。
- 要在 Resource Graph 资源管理器中保存查询,请选择“打开查询”。 准备好保存查询时,请选择“ 另存为 ”并在 “保存”查询中指定查询名称和说明,以及查询是专用查询还是共享查询。