Sdílet prostřednictvím

Kontrola inventáře prostředků

  • Článek

Na stránce inventáře prostředků v Programu Microsoft Defender for Cloud se zobrazuje stav zabezpečení prostředků, které jste připojili k Programu Defender for Cloud. Defender for Cloud pravidelně analyzuje stav zabezpečení prostředků připojených k vašim předplatným, aby identifikoval potenciální problémy se zabezpečením a poskytuje aktivní doporučení. Aktivní doporučení jsou doporučení, která je možné vyřešit, aby se zlepšil stav zabezpečení.

Defender for Cloud pravidelně analyzuje stav zabezpečení prostředků připojených k cloudu. Pokud jsou k prostředkům přidružená aktivní doporučení zabezpečení nebo výstrahy zabezpečení, zobrazí se v inventáři.

Na stránce Inventář najdete informace o:

  • Připojené prostředky. Rychle zjistíte, které prostředky jsou připojené k Defenderu pro cloud.
  • Celkový stav zabezpečení: Získejte jasný přehled o stavu zabezpečení připojených prostředků Azure, AWS a GCP, včetně celkových prostředků připojených k Defenderu for Cloud, prostředků podle prostředí a počtu prostředků, které nejsou v pořádku.
  • Doporučení, výstrahy: Přechod k podrobnostem o stavu konkrétních prostředků a zobrazení aktivních doporučení zabezpečení a výstrah zabezpečení pro prostředek
  • Stanovení priority rizik: Doporučení založená na rizicích přiřazují úrovně rizik doporučením na základě faktorů, jako je citlivost dat, expozice na internetu, potenciální pohyb laterální pohyb a potenciální cesty útoku.
  • Stanovení priorit rizik je k dispozici, pokud je povolený plán CSPM v programu Defender.
  • Software. Prostředky můžete zkontrolovat nainstalovanými aplikacemi. Pokud chcete využít inventář softwaru, musí být povolený plán Správa stavu zabezpečení cloudu v programu Defender (CSPM) nebo plán Defenderu pro servery.

Inventář používá Azure Resource Graph (ARG) k dotazování a načítání dat ve velkém měřítku. Pokud chcete získat podrobné vlastní přehledy, můžete k dotazování inventáře použít KQL .

Kontrola inventáře

  1. V programu Defender for Cloud na webu Azure Portal vyberte Inventory. Ve výchozím nastavení jsou prostředky seřazené podle počtu aktivních doporučení zabezpečení.
  2. Zkontrolujte dostupná nastavení:
    • Ve službě Search můžete k vyhledání prostředků použít bezplatné vyhledávání textu.
    • Celkový počet prostředků připojených k Defenderu pro cloud
    • Prostředky , které nejsou v pořádku, zobrazují počet prostředků s aktivními doporučeními zabezpečení a výstrahami.
    • Počet prostředků podle prostředí: Celkový počet prostředků Azure, AWS a GCP
  3. Výběrem prostředku zobrazíte podrobnosti.
  4. Na stránce Resource Health prostředku zkontrolujte informace o prostředku.
    • Na kartě Doporučení se zobrazují všechna aktivní doporučení zabezpečení v pořadí rizika. Můžete přejít k podrobnostem jednotlivých doporučení a získat další podrobnosti a možnosti nápravy.
    • Na kartě Výstrahy se zobrazují všechny relevantní výstrahy zabezpečení.

Kontrola inventáře softwaru

Snímek obrazovky znázorňující hlavní funkce stránky inventáře prostředků v Programu Microsoft Defender for Cloud

  1. Výběr nainstalované aplikace
  2. V části Hodnota vyberte aplikace, podle které chcete filtrovat.
  • Celkový počet prostředků: Celkový počet prostředků připojených k Defenderu pro cloud.
  • Prostředky, které nejsou v pořádku: Prostředky s aktivním doporučením zabezpečení, které můžete implementovat. Přečtěte si další informace o implementaci doporučení zabezpečení.
  • Počet prostředků podle prostředí: Počet prostředků v každém prostředí.
  • Neregistrovaná předplatná: Všechna předplatná ve vybraném oboru, která ještě nebyla připojená k Programu Microsoft Defender for Cloud.
  1. Zobrazí se prostředky připojené k defenderu pro cloud a spouštění těchto aplikací. Prázdné možnosti zobrazují počítače, u kterých není k dispozici Defender pro servery nebo defender pro koncový bod.

Filtrování inventáře

Jakmile použijete filtry, souhrnné hodnoty se aktualizují tak, aby souvisely s výsledky dotazu.

3. Export nástrojů

Stáhnout sestavu CSV – Export výsledků vybraných možností filtru do souboru CSV

Otevřený dotaz – Export samotného dotazu do Azure Resource Graphu (ARG) pro další upřesnění, uložení nebo úpravu dotazu dotazovací jazyk Kusto (KQL).

Jak funguje inventář prostředků?

Kromě předdefinovaných filtrů můžete prozkoumat data inventáře softwaru z Průzkumníka služby Resource Graph.

ARG je navržená tak, aby poskytovala efektivní zkoumání prostředků s možností dotazování ve velkém měřítku.

Pomocí dotazovací jazyk Kusto (KQL) v inventáři prostředků můžete rychle vytvořit podrobné přehledy křížovým odkazem na data Defenderu pro cloud s jinými vlastnostmi prostředků.

Jak používat inventář prostředků

  1. Na bočním panelu Defenderu pro Cloud vyberte Inventář.

  2. Pomocí pole Filtrovat podle názvu zobrazíte konkrétní prostředek nebo pomocí filtrů se zaměříte na konkrétní prostředky.

    Ve výchozím nastavení jsou prostředky seřazené podle počtu aktivních doporučení zabezpečení.

    Důležité

    Možnosti v jednotlivých filtrech jsou specifické pro prostředky v aktuálně vybraných předplatných a vaše výběry v ostatních filtrech.

    Pokud jste například vybrali jenom jedno předplatné a předplatné nemá žádné prostředky s nevyřízených doporučeními zabezpečení k nápravě (0 prostředků, které nejsou v pořádku), filtr Doporučení nebude mít žádné možnosti.

  3. Pokud chcete použít filtr zjištění zabezpečení, zadejte volný text z ID, kontroly zabezpečení nebo názvu CVE, který hledá ohrožení zabezpečení pro filtrování ovlivněných prostředků:

    Snímek obrazovky znázorňující, jak nastavit filtr zjištění zabezpečení

    Tip

    Závěry zabezpečení a filtry značek přijímají pouze jednu hodnotu. Pokud chcete filtrovat podle více než jednoho, použijte přidat filtry.

  4. Pokud chcete zobrazit aktuální vybrané možnosti filtru jako dotaz v Průzkumníku služby Resource Graph, vyberte Otevřít dotaz.

    Dotaz inventáře v ARG.

  5. Pokud jste definovali nějaké filtry a opustili stránku otevřenou, Defender for Cloud výsledky automaticky neaktualizuje. Jakékoli změny prostředků nebudou mít vliv na zobrazené výsledky, pokud stránku znovu nenačtete ručně nebo nevyberete Aktualizovat.

Přístup k inventáři softwaru

Pro přístup k inventáři softwaru potřebujete jeden z následujících plánů:

Příklady použití Azure Resource Graph Exploreru pro přístup k datům inventáře softwaru a jejich zkoumání

  1. Otevřete Azure Resource Graph Explorer.

    Snímek obrazovky ukazuje, jak spustit stránku doporučení Azure Resource Graph Exploreru**.

  2. Vyberte následující rozsah předplatného: securityresources/softwareinventories

  3. Zadejte libovolný z následujících dotazů (nebo je přizpůsobte nebo napište vlastní)) a vyberte Spustit dotaz.

Příklady dotazů

Generování základního seznamu nainstalovaného softwaru:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Filtrování podle čísel verzí:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Vyhledání počítačů s kombinací softwarových produktů:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Kombinování softwarového produktu s jiným doporučením k zabezpečení:

(V tomto příkladu – počítače s nainstalovaným a vystaveným portem pro správu MySQL)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Export inventáře

  1. Pokud chcete uložit filtrovaný inventář ve formuláři CSV, vyberte Stáhnout sestavu CSV.

  2. Pokud chcete uložit dotaz v Průzkumníku služby Resource Graph, vyberte Otevřít dotaz. Až budete připraveni dotaz uložit, vyberte Uložit jako a v dotazu Uložit, zadejte konkrétní název a popis dotazu a to, jestli je dotaz soukromý nebo sdílený.

    Dotaz inventáře v ARG.

Změny provedené v prostředcích nebudou mít vliv na zobrazené výsledky, pokud stránku znovu nenačtete ručně nebo nevyberete Aktualizovat.