Uso del inventario de recursos para administrar la posición de seguridad de los recursos
La página de inventario de recursos de Microsoft Defender for Cloud muestra la posición de seguridad de los recursos que se han conectado a Defender for Cloud. Defender for Cloud analiza periódicamente el estado de seguridad de los recursos conectados a las suscripciones para identificar posibles problemas de seguridad y le ofrece recomendaciones activas. Las recomendaciones activas son recomendaciones que se pueden resolver para mejorar la posición de seguridad.
Use esta vista y sus filtros para abordar preguntas como:
- ¿Cuál de mis suscripciones con los planes de Defender habilitado tiene recomendaciones pendientes?
- ¿A cuál de mis máquinas con la etiqueta "producción" le falta el agente de Log Analytics?
- ¿Cuántas máquinas, etiquetadas con una etiqueta específica, tienen recomendaciones pendientes?
- ¿Qué máquinas de un grupo de recursos concreto tienen una vulnerabilidad conocida (con un número CVE)?
Las recomendaciones de seguridad de la página del inventario de recursos también se muestran en la página Recomendaciones, pero aquí se muestran según el recurso afectado. Obtenga más información sobre la implementación de recomendaciones de seguridad.
Disponibilidad
| Aspecto | Detalles |
|---|---|
| Estado de la versión: | Disponibilidad general (GA) |
| Precios: | Gratuito Algunas características de la página de inventario, como el inventario de software, requieren soluciones de pago. |
| Roles y permisos necesarios: | Todos los usuarios |
| Nubes: |  Nubes comerciales Nacional (Azure Government, Microsoft Azure operado por 21Vianet) El inventario de software no se admite actualmente en nubes nacionales. |
¿Cuáles son las características clave del inventario de recursos?
La página de inventario proporciona las siguientes herramientas:
1: Resúmenes
Antes de definir ningún filtro, una franja destacada de valores en la parte superior de la vista de inventario muestra lo siguiente:
- Recursos totales: el número total de recursos conectados a Defender for Cloud.
- Recursos incorrectos: recursos con recomendaciones de seguridad activas que puede implementar. Obtenga más información sobre la implementación de recomendaciones de seguridad.
- Recuento de recursos por entorno: el número de recursos de cada entorno.
- Suscripciones no registradas: cualquier suscripción del ámbito seleccionado que todavía no se ha conectado a Microsoft Defender for Cloud.
2: Filtros
Los distintos filtros de la parte superior de la página proporcionan una manera de refinar rápidamente la lista de recursos según la pregunta que intenta responder. Por ejemplo, si desea saber cuáles de las máquinas con la etiqueta "Producción" faltan al agente de Log Analytics, puede filtrar la lista de supervisión del agente:"No instalado" y Etiquetas:"Producción".
En cuanto haya aplicado filtros, los valores de resumen se actualizarán para relacionarlos con los resultados de la consulta.
3 - Exportar herramientas
Descargar informe CSV: exporte los resultados de las opciones de filtro seleccionadas a un archivo CSV.
Abrir consulta: exporte la consulta propiamente dicha a Azure Resource Graph (ARG) para refinar aún más, guardar o modificar la consulta del Lenguaje de consulta Kusto (KQL).
Sugerencia
La documentación de KQL proporciona una base de datos con algunos datos de ejemplo junto con algunas consultas sencillas para saber cómo funciona el lenguaje. Más información en este tutorial de KQL.
¿Cómo funciona el inventario de recursos?
El inventario de recursos utiliza Azure Resource Graph (ARG), un servicio de Azure que le permite consultar los datos de la posición de seguridad de Defender for Cloud en varias suscripciones.
ARG está diseñado para proporcionar una exploración de recursos eficaz con la posibilidad de realizar consultas a escala.
Puede usar Kusto Query Language (KQL) en el inventario de recursos para producir rápidamente conocimientos profundos cruzando los datos de Defender for Cloud con otras propiedades de los recursos.
Uso del inventario de recursos
En la barra lateral de Defender for Cloud, seleccione Inventario.
Use la casilla Filtrar por nombre para mostrar un recurso concreto, o utilice los filtros para centrarse en recursos específicos.
De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.
Importante
Las opciones de cada filtro son específicas de los recursos de las suscripciones seleccionadas actualmente y de las selecciones de los otros filtros.
Por ejemplo, si ha seleccionado solo una suscripción y esta no tiene ningún recurso con recomendaciones de seguridad pendientes de corregir (0 recursos incorrectos), el filtro Recomendaciones no tendrán ninguna opción.
Para usar el filtro de Resultados de seguridad, escriba texto libre del identificador, la comprobación de seguridad o el nombre de CVE de un resultado de vulnerabilidad para filtrar los recursos afectados:
Sugerencia
Los filtros Resultados de seguridad y Etiquetas solo aceptan un único valor. Para filtrar por más de uno, use Agregar filtros.
Para ver las opciones de filtro seleccionadas actualmente en forma de consulta en Resource Graph Explorer, seleccione Abrir consulta.
Si definió algunos filtros y dejó la página abierta, Defender for Cloud no actualiza los resultados de forma automática. Cualquier cambio en los recursos no afectará a los resultados mostrados a menos que se vuelva a cargar manualmente la página o se seleccione Actualizar.
Acceso a un inventario de software
Para acceder al inventario de software, necesita una de las siguientes soluciones de pago:
- Examen sin agente para máquinas de Administración de la posición de seguridad en la nube (CSPM) de Defender.
- Examen sin agente para máquinas de Defender para servidores P2.
- Integración de Microsoft Defender para punto de conexión de Defender para servidores.
Ejemplos de uso de Azure Resource Graph Explorer para acceder a los datos de inventario de software y explorarlos
Abra Azure Resource Graph Explorer.
Seleccione el siguiente ámbito de suscripción: securityresources/softwareinventories
Escriba cualquiera de las siguientes consultas (o personalícelas o escriba las suyas propias) y seleccione Ejecutar consulta.
Para generar una lista básica del software instalado:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.versionPara filtrar por los números de versión:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version) | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")Para buscar máquinas con una combinación de productos de software:
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = properties.azureVmId | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql" | summarize count() by tostring(vmId) | where count_ > 1Combinación de un producto de software con otra recomendación de seguridad:
(En este ejemplo: máquinas con MySQL instalado y puertos de administración expuestos)
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = tolower(properties.azureVmId) | where properties.softwareName == "mysql" | join ( securityresources | where type == "microsoft.security/assessments" | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy" | extend vmId = tolower(properties.resourceDetails.Id) ) on vmId
Pasos siguientes
En este artículo se ha descrito la página de inventario de recursos de Microsoft Defender for Cloud.
Para más información sobre las herramientas relacionadas, consulte las siguientes páginas:
- Azure Resource Graph (AGR)
- Lenguaje de consulta de Kusto (KQL)
- Ver preguntas comunes sobre el inventario de recursos