你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看软件清单

Microsoft Defender for Cloud 中的 Defender for Servers 计划使用 Microsoft Defender 漏洞管理提供漏洞扫描。 Microsoft Defender for Endpoint 和 Defender 漏洞管理已原生集成于 Defender for Cloud 中。

Defender 漏洞管理提供的软件清单功能显示组织中已知软件的列表,其中包含有关已发现应用程序的安全信息。

  • Defender for Cloud 在清单页上显示集成软件清单,汇总了连接到 Defender for Cloud 的资源上运行的软件。
  • 若要大规模查询和检索清单数据,请使用 Azure Resource Graph (ARG)。 若要进行深度自定义分析,请使用Kusto 查询语言 (KQL)

本文介绍如何查看软件清单。

先决条件

若要查看软件清单,请启用其中一个付费计划。

注释

如果清单中显示不支持的软件,则只有有限的数据可用。

查看软件清单

  1. 在 Defender for Cloud 中,选择“清单”

  2. 如果满足先决条件,“已安装的应用程序”筛选器会显示环境中部署的软件列表。

  3. 在“值”中,筛选特定应用。

    将显示连接到Defender for Cloud并运行这些应用的资源。 空白选项表示无法使用 Defender for Servers/Defender for Endpoint 的计算机。

查询软件清单

除了预定义的筛选器之外,还可以从 Azure Resource Graph 资源管理器中浏览软件清单数据。

  1. 选择 Azure Resource Graph Explorer

    显示 Azure 门户中打开的 Azure Resource Graph 资源管理器的屏幕截图。

  2. 选择以下订阅范围:securityresources/softwareinventories

  3. 使用以下查询示例之一,自定义一个或编写自己的查询示例。

  4. 选择运行查询

查询示例

生成已安装软件的基本列表:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

按版本号筛选:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

查找含有多种软件产品组合的计算机:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

将某个软件产品与另一项安全建议结合:

(例如,已安装 MySQL 和公开管理端口的计算机)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

导出清单

  1. 要以 CSV 格式保存筛选后的清单,请选择“下载 CSV 报告”
  2. 要在 Resource Graph 资源管理器中保存查询,请选择“打开查询”。 准备好保存查询时,请选择“ 另存为 ”并在 “保存”查询中指定查询名称和说明,以及查询是专用查询还是共享查询。

后续步骤