Przeglądanie spisu zasobów
Na stronie spisu zasobów Microsoft Defender dla Chmury przedstawiono stan zabezpieczeń zasobów połączonych z Defender dla Chmury. Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów połączonych z subskrypcjami w celu zidentyfikowania potencjalnych problemów z zabezpieczeniami i udostępnia aktywne zalecenia. Aktywne zalecenia to zalecenia, które można rozwiązać w celu poprawy stanu zabezpieczeń.
Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów połączonych z nim. Gdy zasoby mają skojarzone aktywne zalecenia dotyczące zabezpieczeń lub alerty zabezpieczeń, są one wyświetlane w spisie.
Strona Spis zawiera informacje o:
- Połączone zasoby. Szybko sprawdź, które zasoby są połączone z Defender dla Chmury.
- Ogólny stan zabezpieczeń: Zapoznaj się z jasnym podsumowaniem stanu zabezpieczeń połączonych zasobów platformy Azure, usług AWS i GCP, w tym łącznej ilości zasobów połączonych z Defender dla Chmury, zasobów według środowiska i liczby zasobów w złej kondycji.
- Zalecenia, alerty: przechodzenie do szczegółów stanu określonych zasobów w celu wyświetlenia aktywnych zaleceń dotyczących zabezpieczeń i alertów zabezpieczeń dla zasobu.
- Priorytetyzacja ryzyka: zalecenia oparte na ryzyku przypisują poziomy ryzyka do zaleceń na podstawie czynników, takich jak wrażliwość danych, ekspozycja w Internecie, potencjalny ruch poprzeczny i potencjalne ścieżki ataków.
- Priorytetyzacja ryzyka jest dostępna po włączeniu planu CSPM w usłudze Defender.
- Oprogramowanie. Zasoby można przeglądać według zainstalowanych aplikacji. Aby móc korzystać ze spisu oprogramowania, należy włączyć plan zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Defender lub plan usługi Defender for Servers.
Spis używa usługi Azure Resource Graph (ARG) do wykonywania zapytań i pobierania danych na dużą skalę. Aby uzyskać szczegółowe informacje niestandardowe, możesz użyć języka KQL do wykonywania zapytań dotyczących spisu.
Przeglądanie spisu
- W Defender dla Chmury w witrynie Azure Portal wybierz pozycję Spis. Domyślnie zasoby są sortowane według liczby aktywnych zaleceń dotyczących zabezpieczeń.
- Przejrzyj dostępne ustawienia:
- W obszarze Wyszukiwanie możesz znaleźć zasoby za pomocą wyszukiwania tekstu bezpłatnego.
- Łączna liczba zasobów zawiera liczbę zasobów połączonych z Defender dla Chmury.
- Zasoby w złej kondycji wyświetla liczbę zasobów z aktywnymi zaleceniami dotyczącymi zabezpieczeń i alertami.
- Liczba zasobów według środowiska: łączna liczba zasobów platformy Azure, usług AWS i GCP.
- Wybierz zasób, aby przejść do szczegółów.
- Na stronie Resource Health zasobu przejrzyj informacje o zasobie.
- Na karcie Zalecenia są wyświetlane wszystkie aktywne zalecenia dotyczące zabezpieczeń w kolejności ryzyka. Możesz przejść do szczegółów poszczególnych zaleceń, aby uzyskać więcej szczegółów i opcji korygowania.
- Na karcie Alerty są wyświetlane wszystkie odpowiednie alerty zabezpieczeń.
Przeglądanie spisu oprogramowania
- Wybierz pozycję Zainstalowana aplikacja
- W obszarze Wartość wybierz aplikacje do filtrowania.
- Łączna liczba zasobów: łączna liczba zasobów połączonych z Defender dla Chmury.
- Zasoby w złej kondycji: zasoby z aktywnymi zaleceniami dotyczącymi zabezpieczeń, które można zaimplementować. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.
- Liczba zasobów według środowiska: liczba zasobów w każdym środowisku.
- Niezarejestrowane subskrypcje: dowolna subskrypcja w wybranym zakresie, która nie została jeszcze połączona z Microsoft Defender dla Chmury.
- Zostaną wyświetlone zasoby połączone z Defender dla Chmury i uruchomione te aplikacje. Puste opcje pokazują maszyny, na których usługa Defender for Servers/Defender for Endpoint nie jest dostępna.
Filtrowanie spisu
Po zastosowaniu filtrów wartości podsumowania są aktualizowane tak, aby odnosiły się do wyników zapytania.
3 — Eksportowanie narzędzi
Pobierz raport CSV — umożliwia wyeksportowanie wyników wybranych opcji filtru do pliku CSV.
Otwarte zapytanie — wyeksportuj samo zapytanie do usługi Azure Resource Graph (ARG), aby dokładniej uściślić, zapisać lub zmodyfikować zapytanie język zapytań Kusto (KQL).
Jak działa spis zasobów?
Oprócz wstępnie zdefiniowanych filtrów można eksplorować dane spisu oprogramowania w Eksploratorze usługi Resource Graph.
Usługa ARG została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę.
Możesz użyć język zapytań Kusto (KQL) w spisie zasobów, aby szybko uzyskać szczegółowe informacje, odwołując się do danych Defender dla Chmury z innymi właściwościami zasobów.
Jak używać spisu zasobów
Na pasku bocznym Defender dla Chmury wybierz pozycję Spis.
Użyj pola Filtruj według nazwy , aby wyświetlić określony zasób lub użyj filtrów, aby skoncentrować się na określonych zasobach.
Domyślnie zasoby są sortowane według liczby aktywnych zaleceń dotyczących zabezpieczeń.
Ważne
Opcje w każdym filtrze są specyficzne dla zasobów w aktualnie wybranych subskrypcjach i wyborach w innych filtrach.
Jeśli na przykład wybrano tylko jedną subskrypcję, a subskrypcja nie ma zasobów z wybitnymi zaleceniami dotyczącymi zabezpieczeń w celu skorygowania (0 zasobów w złej kondycji), filtr Rekomendacje nie będzie miał żadnych opcji.
Aby użyć filtru Wyniki zabezpieczeń, wprowadź dowolny tekst z identyfikatora, sprawdzania zabezpieczeń lub nazwy CVE znalezionej luki w zabezpieczeniach, aby filtrować do zasobów, których dotyczy problem:
Napiwek
Wyniki zabezpieczeń i tagi filtrów akceptują tylko jedną wartość. Aby filtrować według więcej niż jednego, użyj polecenia Dodaj filtry.
Aby wyświetlić bieżące wybrane opcje filtru jako zapytanie w Eksploratorze usługi Resource Graph, wybierz pozycję Otwórz zapytanie.
Jeśli zdefiniowano niektóre filtry i pozostawiono otwartą stronę, Defender dla Chmury nie zaktualizuje wyników automatycznie. Wszelkie zmiany zasobów nie będą mieć wpływu na wyświetlane wyniki, chyba że ręcznie ponownie załadujesz stronę lub wybierzesz pozycję Odśwież.
Uzyskiwanie dostępu do spisu oprogramowania
Aby uzyskać dostęp do spisu oprogramowania, potrzebujesz jednego z następujących planów:
- Skanowanie maszyn bez agenta z zarządzania stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender.
- Skanowanie maszyn bez agenta z usługi Defender for Servers P2.
- Ochrona punktu końcowego w usłudze Microsoft Defender integracji z usługą Defender for Servers.
Przykłady używania Eksploratora usługi Azure Resource Graph do uzyskiwania dostępu do danych spisu oprogramowania i eksplorowania ich
Otwórz Eksploratora usługi Azure Resource Graph.
Wybierz następujący zakres subskrypcji: securityresources/softwareinventories
Wprowadź dowolne z następujących zapytań (lub dostosuj je lub napisz własne)) i wybierz pozycję Uruchom zapytanie.
Przykłady zapytań
Aby wygenerować podstawową listę zainstalowanego oprogramowania:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Aby filtrować według numerów wersji:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
Aby znaleźć maszyny z kombinacją produktów oprogramowania:
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1
Aby połączyć produkt oprogramowania z innym zaleceniem zabezpieczeń:
(W tym przykładzie — maszyny z zainstalowanymi i uwidocznionym portami zarządzania programu MySQL)
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId
Eksportowanie spisu
Aby zapisać przefiltrowany spis w formularzu CSV, wybierz pozycję Pobierz raport CSV.
Aby zapisać zapytanie w Eksploratorze usługi Resource Graph, wybierz pozycję Otwórz zapytanie. Gdy wszystko będzie gotowe do zapisania zapytania, wybierz pozycję Zapisz jako i w polu Zapisz zapytanie określ nazwę i opis zapytania oraz określ, czy zapytanie jest prywatne, czy udostępnione.
Zmiany wprowadzone w zasobach nie będą mieć wpływu na wyświetlane wyniki, chyba że ręcznie ponownie załadujesz stronę lub wybierzesz pozycję Odśwież.