Compartir a través de

Revisión del inventario de recursos

  • Artículo

La página de inventario de recursos de Microsoft Defender for Cloud muestra la posición de seguridad de los recursos que se han conectado a Defender for Cloud. Defender for Cloud analiza periódicamente el estado de seguridad de los recursos conectados a las suscripciones para identificar posibles problemas de seguridad y le ofrece recomendaciones activas. Las recomendaciones activas son recomendaciones que se pueden resolver para mejorar la posición de seguridad.

Defender for Cloud analiza periódicamente el estado de seguridad de los recursos conectados a él. Cuando los recursos tienen recomendaciones de seguridad activas o alertas de seguridad asociadas, aparecen en el inventario.

La página Inventario proporciona información sobre:

  • Recursos conectados. Vea rápidamente qué recursos están conectados a Defender for Cloud.
  • Estado de seguridad general: obtenga un resumen claro sobre el estado de seguridad de los recursos de Azure, AWS y GCP conectados, incluidos los recursos totales conectados a Defender for Cloud, los recursos por entorno y un recuento de recursos incorrectos.
  • Recomendaciones, alertas: explore en profundidad el estado de recursos específicos para ver las recomendaciones de seguridad activas y las alertas de seguridad de un recurso.
  • Priorización de riesgos: las recomendaciones basadas en riesgos asignan niveles de riesgo a las recomendaciones, en función de factores como la confidencialidad de los datos, la exposición a Internet, el potencial de movimiento lateral y las posibles rutas de acceso a ataques.
  • La priorización de riesgos está disponible cuando el plan de Defender CSPM está habilitado.
  • Software. Puede revisar los recursos mediante aplicaciones instaladas. Para aprovechar el inventario de software, debe habilitarse el plan de Administración de la posición de seguridad en la nube (CSPM) de Defender o un plan de Defender para servidores.

El inventario usa Azure Resource Graph (ARG) para consultar y recuperar datos a gran escala. Para obtener información detallada personalizada, puede usar KQL para consultar el inventario.

Revisión del inventario

  1. En Defender for Cloud en Azure Portal, seleccione Inventario. De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.
  2. Revise la configuración disponible:
    • En Buscar, puede usar una búsqueda de texto libre para buscar recursos.
    • Total de recursos muestra el número de recursos conectados a Defender for Cloud.
    • Recursos incorrectos muestra el número de recursos con recomendaciones y alertas de seguridad activas.
    • Recuento de recursos por entorno: total de recursos de Azure, AWS y GCP.
  3. Seleccione un recurso para explorar en profundidad para obtener más información.
  4. En la página Resource Health del recurso, revise la información sobre el recurso.
    • En la pestaña Recomendaciones se muestran las recomendaciones de seguridad activas, en orden de riesgo. Puede profundizar en cada recomendación para obtener más detalles y opciones de corrección.
    • En la pestaña Alertas se muestran las alertas de seguridad pertinentes.

Revisión del inventario de software

Captura de pantalla que muestra las características principales de la página de inventario de recursos de Microsoft Defender for Cloud.

  1. Seleccione Aplicación instalada
  2. En Valor, seleccione las aplicaciones en las que filtrar.
  • Recursos totales: el número total de recursos conectados a Defender for Cloud.
  • Recursos incorrectos: recursos con recomendaciones de seguridad activas que puede implementar. Obtenga más información sobre la implementación de recomendaciones de seguridad.
  • Recuento de recursos por entorno: el número de recursos de cada entorno.
  • Suscripciones no registradas: cualquier suscripción del ámbito seleccionado que todavía no se ha conectado a Microsoft Defender for Cloud.
  1. Se muestran los recursos conectados a Defender for Cloud y la ejecución de esas aplicaciones. Las opciones en blanco muestran máquinas en las que Defender para servidores o Defender para punto de conexión no están disponibles.

Filtro del inventario

En cuanto haya aplicado filtros, los valores de resumen se actualizarán para relacionarlos con los resultados de la consulta.

3 - Exportar herramientas

Descargar informe CSV: exporte los resultados de las opciones de filtro seleccionadas a un archivo CSV.

Abrir consulta: exporte la consulta propiamente dicha a Azure Resource Graph (ARG) para refinar aún más, guardar o modificar la consulta del Lenguaje de consulta Kusto (KQL).

¿Cómo funciona el inventario de recursos?

Además de los filtros predefinidos, puede explorar los datos de inventario de software desde el Explorador de Resource Graph.

ARG está diseñado para proporcionar una exploración de recursos eficaz con la posibilidad de realizar consultas a escala.

Puede usar Kusto Query Language (KQL) en el inventario de recursos para producir rápidamente conocimientos profundos cruzando los datos de Defender for Cloud con otras propiedades de los recursos.

Uso del inventario de recursos

  1. En la barra lateral de Defender for Cloud, seleccione Inventario.

  2. Use la casilla Filtrar por nombre para mostrar un recurso concreto, o utilice los filtros para centrarse en recursos específicos.

    De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.

    Importante

    Las opciones de cada filtro son específicas de los recursos de las suscripciones seleccionadas actualmente y de las selecciones de los otros filtros.

    Por ejemplo, si ha seleccionado solo una suscripción y esta no tiene ningún recurso con recomendaciones de seguridad pendientes de corregir (0 recursos incorrectos), el filtro Recomendaciones no tendrán ninguna opción.

  3. Para usar el filtro de Resultados de seguridad, escriba texto libre del identificador, la comprobación de seguridad o el nombre de CVE de un resultado de vulnerabilidad para filtrar los recursos afectados:

    Captura de pantalla que muestra cómo establecer el filtro de resultados de seguridad.

    Sugerencia

    Los filtros Resultados de seguridad y Etiquetas solo aceptan un único valor. Para filtrar por más de uno, use Agregar filtros.

  4. Para ver las opciones de filtro seleccionadas actualmente en forma de consulta en Resource Graph Explorer, seleccione Abrir consulta.

    Consulta de inventario en ARG.

  5. Si definió algunos filtros y dejó la página abierta, Defender for Cloud no actualiza los resultados de forma automática. Cualquier cambio en los recursos no afectará a los resultados mostrados a menos que se vuelva a cargar manualmente la página o se seleccione Actualizar.

Acceso a un inventario de software

Para acceder al inventario de software, necesita uno de los siguientes planes:

Ejemplos de uso de Azure Resource Graph Explorer para acceder a los datos de inventario de software y explorarlos

  1. Abra Azure Resource Graph Explorer.

    Captura de pantalla que muestra la página de recomendaciones de inicio de Azure Resource Graph Explorer**.

  2. Seleccione el siguiente ámbito de suscripción: securityresources/softwareinventories

  3. Escriba cualquiera de las siguientes consultas (o personalícelas o escriba las suyas propias) y seleccione Ejecutar consulta.

Ejemplos de consultas

Para generar una lista básica del software instalado:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Para filtrar por los números de versión:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Para buscar máquinas con una combinación de productos de software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Para combinar un producto de software con otra recomendación de seguridad:

(En este ejemplo: máquinas con MySQL instalado y puertos de administración expuestos)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Exportación del inventario

  1. Para guardar el inventario filtrado en formato CSV, seleccione Descargar informe CSV.

  2. Para guardar una consulta en el Explorador de Resource Graph, seleccione Abrir una consulta. Cuando esté listo para guardar una consulta, seleccione Guardar como y, en Guardar consulta, especifique un nombre de consulta y una descripción, y si la consulta es privada o compartida.

    Consulta de inventario en ARG.

Los cambios realizados en los recursos no afectarán a los resultados mostrados a menos que vuelva a cargar manualmente la página o seleccione Actualizar.