Delen via

De inventaris van activa controleren

  • Artikel

De pagina assetinventaris van Microsoft Defender voor Cloud toont de beveiligingspostuur van de resources die u hebt verbonden met Defender voor Cloud. Defender voor Cloud analyseert periodiek de beveiligingsstatus van resources die zijn verbonden met uw abonnementen om potentiële beveiligingsproblemen te identificeren en u actieve aanbevelingen te geven. Actieve aanbevelingen zijn aanbevelingen die kunnen worden opgelost om uw beveiligingspostuur te verbeteren.

Defender voor Cloud analyseert periodiek de beveiligingsstatus van resources die eraan zijn gekoppeld. Wanneer aan resources actieve beveiligingsaanveling of beveiligingswaarschuwingen zijn gekoppeld, worden deze weergegeven in de inventaris.

De pagina Inventaris bevat informatie over:

  • Verbonden resources. Bekijk snel welke resources zijn verbonden met Defender voor Cloud.
  • Algemene beveiligingsstatus: krijg een duidelijk overzicht van de beveiligingsstatus van verbonden Azure-, AWS- en GCP-resources, waaronder de totale resources die zijn verbonden met Defender voor Cloud, resources per omgeving en een telling van beschadigde resources.
  • Aanbevelingen, waarschuwingen: zoom in op de status van specifieke resources om actieve beveiligingsaanaanveling en beveiligingswaarschuwingen voor een resource te bekijken.
  • Prioriteit aan risico's: aanbevelingen op basis van risico's wijzen risiconiveaus toe aan aanbevelingen, op basis van factoren zoals gegevensgevoeligheid, internetblootstelling, potentieel voor laterale verplaatsing en mogelijke aanvalspaden.
  • Prioriteitstelling van risico's is beschikbaar wanneer het Defender CSPM-abonnement is ingeschakeld.
  • Software. U kunt resources controleren door geïnstalleerde toepassingen. Als u wilt profiteren van de software-inventaris, moet het abonnement Defender Cloud Security Posture Management (CSPM) of een Defender for Servers-plan zijn ingeschakeld.

De inventaris maakt gebruik van Azure Resource Graph (ARG) om gegevens op schaal op te vragen en op te halen. Voor uitgebreide aangepaste inzichten kunt u KQL gebruiken om een query uit te voeren op de inventaris.

De inventaris controleren

  1. Selecteer Inventaris in Defender voor Cloud in Azure Portal. Standaard worden de resources gesorteerd op het aantal actieve beveiligingsaankopen.
  2. Bekijk de beschikbare instellingen:
    • In Zoeken kunt u een zoekfunctie voor vrije tekst gebruiken om resources te vinden.
    • In totaal worden het aantal resources weergegeven dat is verbonden met Defender voor Cloud.
    • Resources met een slechte status geeft het aantal resources weer met actieve beveiligingsaanaanvelingen en -waarschuwingen.
    • Aantal resources per omgeving: Totaal van Azure-, AWS- en GCP-resources.
  3. Selecteer een resource om in te zoomen op details.
  4. Bekijk op de pagina Resource Health voor de resource informatie over de resource.
    • Op het tabblad Aanbevelingen worden actieve beveiligingsaanbevelingsaanbevelen weergegeven in volgorde van risico's. U kunt inzoomen op elke aanbeveling voor meer details en herstelopties.
    • Op het tabblad Waarschuwingen worden alle relevante beveiligingswaarschuwingen weergegeven.

Software-inventaris controleren

Schermopname van de belangrijkste functies van de pagina assetinventaris in Microsoft Defender voor Cloud.

  1. Geïnstalleerde toepassing selecteren
  2. Selecteer in Waarde de apps waarop u wilt filteren.
  • Totaal aantal resources: het totale aantal resources dat is verbonden met Defender voor Cloud.
  • Beschadigde resources: resources met actieve beveiligingsaanaanveling die u kunt implementeren. Meer informatie over het implementeren van beveiligingsaan aanbevelingen.
  • Aantal resources per omgeving: het aantal resources in elke omgeving.
  • Niet-geregistreerde abonnementen: elk abonnement in het geselecteerde bereik dat nog niet is verbonden met Microsoft Defender voor Cloud.
  1. Resources die zijn verbonden met Defender voor Cloud en het uitvoeren van deze apps worden weergegeven. Lege opties geven machines weer waarin Defender voor Servers/Defender voor Eindpunt niet beschikbaar is.

De inventaris filteren

Zodra u filters toepast, worden de samenvattingswaarden bijgewerkt om betrekking te hebben op de queryresultaten.

3 - Hulpprogramma's exporteren

CSV-rapport downloaden : de resultaten van de geselecteerde filteropties exporteren naar een CSV-bestand.

Query openen: exporteer de query zelf naar Azure Resource Graph (ARG) om de Kusto-querytaal -query (KQL) verder te verfijnen, op te slaan of te wijzigen.

Hoe werkt assetinventaris?

Naast de vooraf gedefinieerde filters kunt u de software-inventarisgegevens van Resource Graph Explorer verkennen.

ARG is ontworpen om efficiënt resources te verkennen met de mogelijkheid om op schaal query's uit te voeren.

U kunt Kusto-querytaal (KQL) in de assetinventaris gebruiken om snel diepgaande inzichten te verkrijgen door te verwijzen naar Defender voor Cloud gegevens met andere resource-eigenschappen.

Assetinventaris gebruiken

  1. Selecteer Inventaris in de zijbalk van Defender voor Cloud.

  2. Gebruik het vak Filteren op naam om een specifieke resource weer te geven of gebruik de filters om u te richten op specifieke resources.

    Standaard worden de resources gesorteerd op het aantal actieve beveiligingsaanaanvelingen.

    Belangrijk

    De opties in elk filter zijn specifiek voor de resources in de momenteel geselecteerde abonnementen en uw selecties in de andere filters.

    Als u bijvoorbeeld slechts één abonnement hebt geselecteerd en het abonnement geen resources heeft met uitstekende beveiligingsaan aanbevelingen om te herstellen (0 beschadigde resources), heeft het filter Aanbevelingen geen opties.

  3. Als u het filter Beveiligingsresultaten wilt gebruiken, voert u vrije tekst in van de id, beveiligingscontrole of CVE-naam van een beveiligingsprobleem om te filteren op de betrokken resources:

    Schermopname die laat zien hoe u het filter voor beveiligingsresultaten instelt.

    Tip

    De beveiligingsresultaten en tagsfilters accepteren slechts één waarde. Als u wilt filteren op meerdere filters, gebruikt u Filters toevoegen.

  4. Als u de huidige geselecteerde filteropties wilt weergeven als een query in Resource Graph Explorer, selecteert u Query openen.

    Inventarisquery in ARG.

  5. Als u bepaalde filters hebt gedefinieerd en de pagina open liet, worden de resultaten niet automatisch bijgewerkt Defender voor Cloud. Wijzigingen in resources hebben geen invloed op de weergegeven resultaten, tenzij u de pagina handmatig opnieuw laadt of Vernieuwen selecteert.

Toegang tot een software-inventaris

Voor toegang tot de software-inventaris hebt u een van de volgende abonnementen nodig:

Voorbeelden van het gebruik van Azure Resource Graph Explorer voor toegang tot en het verkennen van software-inventarisgegevens

  1. Open Azure Resource Graph Explorer.

    Schermopname die laat zien hoe u de aanbevelingspagina van Azure Resource Graph Explorer** start.

  2. Selecteer het volgende abonnementsbereik: securityresources/softwareinwareries

  3. Voer een van de volgende query's in (of pas deze aan of schrijf uw eigen query)) en selecteer Query uitvoeren.

Voorbeelden van query's

Een basislijst met geïnstalleerde software genereren:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Filteren op versienummers:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Machines zoeken met een combinatie van softwareproducten:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Een softwareproduct combineren met een andere beveiligingsaanaanveling:

(In dit voorbeeld: machines waarop MySQL is geïnstalleerd en weergegeven beheerpoorten)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

De inventaris exporteren

  1. Als u gefilterde inventaris in CSV-formulier wilt opslaan, selecteert u CSV-rapport downloaden.

  2. Als u een query wilt opslaan in Resource Graph Explorer, selecteert u Een query openen. Wanneer u klaar bent om een query op te slaan, selecteert u Opslaan als en in De query Opslaan, specificeert u een querynaam en beschrijving en of de query privé of gedeeld is.

    Inventarisquery in ARG.

Wijzigingen in resources hebben geen invloed op de weergegeven resultaten, tenzij u de pagina handmatig opnieuw laadt of Vernieuwen selecteert.