使用英语阅读

通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看资产清单

  • 项目

Microsoft Defender for Cloud 的资产清单页显示已连接到 Defender for Cloud 的资源的安全状况。 Defender for Cloud 定期分析连接到订阅的资源的安全状态,以识别潜在的安全问题,并为你提供有效的建议。 活动建议是可以解决以改进安全状况的建议。

Defender for Cloud 定期分析与其连接的资源的安全状态。 当资源具有与之关联的活动安全建议安全警报时,它们就会出现在清单中。

清单页提供有关以下内容的信息:

  • 已连接的资源。 快速查看有哪些资源连接到 Defender for Cloud。
  • 整体安全状态:获取有关连接的 Azure、AWS 和 GCP 资源的安全状态的清晰摘要,包括连接到 Defender for Cloud 的资源总数、按环境划分的资源数以及运行不正常的资源数
  • 建议、警报:向下钻取特定资源的状态,以查看资源的活动安全建议和安全警报
  • 风险优先级:基于风险的建议根据数据敏感度、Internet 暴露、横向移动可能性和潜在攻击路径等因素为建议分配风险级别
  • 启用 Defender CSPM 计划后,风险优先级可用。
  • 软件。 可以按已安装的应用程序查看资源。 要利用软件清单,必须启用 Defender 云安全态势管理 (CSPM) 计划或 Defender for Servers 计划。

清单使用 Azure Resource Graph (ARG) 来大规模查询和检索数据。 要获得深入的自定义见解,可以使用 KQL 来查询清单。

查看清单

  1. 在 Azure 门户的 Defender for Cloud 中,选择“清单”。 默认情况下,资源按活动安全建议的数量排序。
  2. 查看可用的设置:
    • 在“搜索”中,可以使用自由文本搜索来查找资源
    • “资源总数”显示连接到 Defender for Cloud 的资源数
    • “运行不正常的资源”显示具有活动安全建议和警报的资源数量
    • 按环境划分的资源数:Azure、AWS 和 GCP 资源总数
  3. 选择一个资源可向下钻取其详细信息。
  4. 在资源的“资源运行状况”页上,查看有关该资源的信息
    • “建议”选项卡按风险顺序显示所有活动安全建议。 可以向下钻取每项建议的更多详细信息和修正选项。
    • “警报”选项卡显示任何相关的安全警报

查看软件清单

屏幕截图显示 Microsoft Defender for Cloud 中的资产清单页的主要功能。

  1. 选择“已安装的应用程序”
  2. 在“值”中,选择要作为筛选依据的应用
  • 资源总数:已连接到 Defender for Cloud 的资源总数。
  • 运行不正常的资源:具有可实施的活动安全建议的资源。 详细了解实施安全性建议
  • 按环境进行的资源计数:每个环境中的资源数量。
  • 未注册的订阅:所选范围内尚未连接到 Microsoft Defender for Cloud 的任何订阅。
  1. 系统随即显示连接到 Defender for Cloud 并运行这些应用的资源。 空白选项显示 Defender for Servers/Defender for Endpoint 不可用的计算机。

筛选清单

一旦应用筛选器,摘要值就会更新为与查询结果相关的值。

3 - 导出工具

下载 CSV 报表 - 将所选筛选器选项的结果导出到 CSV 文件。

打开查询 - 将查询本身导出到 Azure Resource Graph (ARG),以进一步优化、保存或修改 Kusto 查询语言 (KQL) 查询。

资产库存的工作方式?

除了预定义的筛选器之外,还可以从 Resource Graph 资源管理器中浏览软件清单数据。

ARG 用于提供高效资源探索,并具有大规模查询的功能。

可以使用资产库存中的 Kusto 查询语言 (KQL),通过将 Defender for Cloud 数据与其他资源属性进行交叉引用来快速生成深度见解。

如何使用资产库存

  1. 在 Defender for Cloud 的边栏中,选择“清单”

  2. 使用“按名称筛选”框可显示特定资源,或使用筛选器专注于特定资源。

    默认情况下,资源按有效安全建议的数量排序。

    重要

    每个筛选器中的选项特定于当前选择的订阅中的资源你在其他筛选器中的选择。

    例如,如果你仅选择了一个订阅,并且该订阅没有要修正的具有重要安全建议的资源(0 个运行不正常的资源),则“建议”筛选器将没有选项。

  3. 若要使用“安全检查结果”筛选器,请通过漏洞检查结果的 ID、安全检查或 CVE 名称输入自由文本以筛选受影响的资源

    屏幕截图显示如何设置“安全检查结果”筛选器。

    提示

    “安全检查结果”和“标记”筛选器仅接受单个值。 若要使用多个筛选器,请使用“添加筛选器”

  4. 若要在 Resource Graph Explorer 中以查询的形式查看当前选定的筛选器选项,请选择“打开查询”

    ARG 中的库存查询。

  5. 如果你定义了一些筛选器并使页面保持打开状态,则 Defender for Cloud 不自动更新结果。 除非手动重新加载页面或选择“刷新”,否则对资源的任何更改都不会影响显示的结果

访问软件清单

要访问软件清单,需要以下计划之一:

使用 Azure Resource Graph 浏览器访问和浏览软件清单数据的示例

  1. 打开“Azure Resource Graph 资源管理器”

    屏幕截图显示如何启动 Azure Resource Graph 浏览器**建议页面。

  2. 选择以下订阅范围:securityresources/softwareinventories

  3. 输入以下任何查询(或自定义或编写你自己的查询!),然后选择“运行查询”

查询示例

生成已安装软件的基本列表:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

按版本号筛选:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

使用软件产品组合查找计算机:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

合并软件产品与另一项安全建议:

(在本例中 - 安装了 MySQL 并公开管理端口的计算机)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

导出清单

  1. 要以 CSV 格式保存筛选后的清单,请选择“下载 CSV 报告”

  2. 要在 Resource Graph 资源管理器中保存查询,请选择“打开查询”。 准备好保存查询时,选择“另存为”,然后在“保存查询”中指定查询名称和说明,以及查询是专用的还是共享的

    ARG 中的库存查询。

除非手动重新加载页面或选择“刷新”,否则对资源的更改不会影响显示的结果