使用資產清查來管理資源的安全性態勢

  • 發行項

適用於雲端的 Microsoft Defender 的資產清查頁面會顯示,已連線至適用於雲端的 Defender 之資源的安全性態勢。 適用於雲端的 Defender 會定期分析連線至訂用帳戶的資源安全性狀態,以找出潛在的安全性問題,並提供作用中的建議。 作用中建議是可解決以改善安全性態勢的建議。

請使用此檢視及篩選條件來處理下列問題:

  • 哪些已啟用 Defender 方案的訂用帳戶有未處理的建議?
  • 哪些有「生產」標籤的機器缺少 Log Analytics 代理程式?
  • 有多少加上特定標籤的機器個有未處理的建議?
  • 特定資源群組中的哪些機器有已知的弱點 (使用 CVE 編號)?

資產清查分頁上的安全性建議也會顯示在 [建議] 分頁上,但此處會根據受影響的資源顯示。 深入了解如何實作安全性建議

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 免費
清查分頁的某些功能,例如軟體清查需要有付費的解決方案
必要的角色和權限: 所有使用者
雲端: 商業雲端
國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure)

國家雲端目前不支援軟體清查。

資產清查的重要功能為何?

[清查] 頁面提供下列工具:

Main features of the asset inventory page in Microsoft Defender for Cloud.

1 - 摘要

在您定義任何篩選條件之前,清查檢視頂端有個明顯的帶狀區域會顯示:

  • 資源總數:連線至適用於雲端的 Defender 的資源總數。
  • 狀況不良的資源:具有您可以實作之作用中安全性建議的資源。 深入了解如何實作安全性建議
  • 未受監視的資源:有代理程式監視問題的資源;這類資源已部署 Log Analytics 代理程式,但代理程式沒有傳送資料或有其他健康情況問題。
  • 未註冊的訂閱:所選取範圍中未連線至適用於雲端的 Microsoft Defender 的任何訂閱。

2 - 篩選條件

分頁頂端的多個篩選條件可根據您要回答的問題快速縮小資源清單範圍。 例如,如果想要知道哪些帶有「生產」標籤的機器缺少 Log Analytics 代理程式,您可以篩選代理程式監視清單:「未安裝」和標籤:「生產」。

套用篩選條件之後,摘要值就會更新以和查詢結果相關聯。

3 - 匯出和資產管理工具

匯出選項:清查功能包含可將您選取的篩選條件選項結果匯出至 CSV 檔案的選項。 您也可以將查詢本身匯出到 Azure Resource Graph Explorer,以進一步精簡、儲存或修改 Kusto 查詢語言 (KQL) 查詢。

提示

KQL 文件提供一些範例資料的資料庫,以及一些簡單的查詢,以取得語言的「感覺」。 在此 KQL 教學課程中深入了解.

資產管理選項:當您找到符合查詢的資源,清查功能會提供作業的捷徑,例如:

  • 將標籤指派給已篩選的資源 - 選取您想要加上標籤的資源旁的核取方塊。
  • 將新伺服器上線到適用於雲端的 Defender:使用 [新增非 Azure 伺服器] 工具列按鈕。
  • 使用 Azure Logic Apps 將工作負載自動化:使用 [觸發邏輯應用程式] 按鈕,在一或多個資源上執行邏輯應用程式。 您必須事先準備邏輯應用程式,並接受相關的觸發型別 (HTTP 要求)。 深入了解邏輯應用程式

資產清查的運作方式為何?

資產清查會利用 Azure Resource Graph (ARG),這項 Azure 服務可讓您跨多個訂閱查詢適用於雲端的 Defender 安全性態勢資料。

ARG 的目的是提供有效率的資源探索以及大規模查詢的功能。

您可以在資產清查使用 Kusto 查詢語言 (KQL),交互參照適用於雲端的 Defender 資料和其他資源屬性,以快速產生深入解析。

如何使用資產清查

  1. 從適用於雲端的 Defender 側邊欄中,選取 [清查]

  2. 使用 [依名稱篩選] 方塊來顯示特定資源,或使用篩選條件將焦點放在特定資源上。

    根據預設,資源會依作用中安全性建議的數目來排序。

    重要

    每個篩選條件中的選項都專屬於目前所選訂閱中的資源,以及您在其他篩選條件中的選取項目。

    例如,如果您只選取一個訂閱,且訂閱沒有任何資源有未處理的安全性建議需要補救 (0 個狀況不良的資源),建議篩選條件將不會有任何選項。

    Using the filter options in Microsoft Defender for Cloud's asset inventory to filter resources to production resources that aren't monitored

  3. 若要使用 [安全性結果包含] 篩選條件,請輸入任意格式文字如識別碼、安全性檢查或弱點結果的 CVE 名稱,以篩選出受影響的資源:

    提示

    安全性結果包含標籤篩選條件僅接受單一值。 若要根據多個條件進行篩選,請使用 [新增篩選條件]

  4. 若要使用適用於雲端的 Defender 篩選條件,請選取一或多個選項 ([關閉]、[開啟] 或 [部分]):

    • 關閉:不受 Microsoft Defender 方案保護的資源。 您可以在資源按一下滑鼠右鍵並加以升級:

      Upgrade a resource to be protected by the relevant Microsoft Defender plan via right-click.

    • 開啟:受 Microsoft Defender 方案保護的資源

    • 部分 - 適用於已停用部分但並非所有 Microsoft Defender 方案的訂閱。 例如,下列訂閱已停用七個 Microsoft Defender 方案。

      Subscription partially protected by Microsoft Defender plans.

  5. 若要進一步檢查查詢的結果,請選取您感興趣的資源。

  6. 若要在 Resource Graph Explorer 中檢視目前選取的篩選選項做為查詢,請選取 [開啟查詢]

    Inventory query in ARG.

  7. 如果您已定義一些篩選條件,並讓分頁保持開啟狀態,適用於雲端的 Defender 將不會自動更新結果。 除非您手動重新載入分頁或選取 [重新整理],否則對資源所做的任何變更不會影響顯示的結果。

存取軟體清查

若要存取軟體清查,您需要下列其中一個付費解決方案:

如果您已啟用與適用於端點的 Microsoft Defender 的整合,並已啟用適用於伺服器的 Microsoft Defender,即可存取軟體清查。

If you've enabled the threat and vulnerability solution, Defender for Cloud's asset inventory offers a filter to select resources by their installed software.

注意

[空白] 選項會顯示沒有適用於端點的 Microsoft Defender (或沒有適用於伺服器的 Microsoft Defender) 的機器。

除了資產清查分頁中的篩選條件以外,您也可以從 Azure Resource Graph Explorer 探索軟體清查資料。

使用 Azure Resource Graph Explorer 來存取和探索軟體清查資料的範例:

  1. 開啟 [Azure Resource Graph 總管]

    Launching Azure Resource Graph Explorer** recommendation page

  2. 選取下列訂閱範圍:securityresources/softwareinventories

  3. 輸入下列任一查詢 (或加以自訂,或自行撰寫!),然後選取 [執行查詢]

    • 若要產生已安裝軟體的基本清單:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • 若要依版本號碼篩選:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • 若要尋找具有軟體產品組合的機器:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • 軟體產品與其他安全性建議的組合:

      (在此範例中為已安裝 MySQL 和公開管理連接埠的機器)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

下一步

本文說明適用於雲端的 Microsoft Defender 的資產清查分頁。

如需相關工具的詳細資訊,請參閱下列分頁: