Udostępnij za pośrednictwem


Tworzenie interaktywnych raportów za pomocą skoroszytów usługi Azure Monitor

Skoroszyty platformy Azure to elastyczna kanwa, której można używać do analizowania danych i tworzenia rozbudowanych, wizualnych raportów w witrynie Azure Portal. W skoroszytach można uzyskać dostęp do wielu źródeł danych na platformie Azure. Połącz skoroszyty w ujednolicone, interaktywne środowiska.

Skoroszyty udostępniają bogaty zestaw możliwości wizualizacji danych platformy Azure. Aby uzyskać szczegółowe informacje o poszczególnych typach wizualizacji, zobacz przykłady wizualizacji i dokumentację.

W Microsoft Defender dla Chmury możesz uzyskać dostęp do wbudowanych skoroszytów w celu śledzenia stanu zabezpieczeń organizacji. Możesz również utworzyć niestandardowe skoroszyty, aby wyświetlić szeroką gamę danych z Defender dla Chmury lub innych obsługiwanych źródeł danych.

Zrzut ekranu przedstawiający skoroszyt Wskaźnik bezpieczeństwa w czasie.

Aby uzyskać informacje o cenach, zobacz stronę cennika.

Wymagania wstępne

Wymagane role i uprawnienia: aby zapisać skoroszyt, musisz mieć co najmniej uprawnienia współautora skoroszytu dla odpowiedniej grupy zasobów.

Dostępność chmury: chmury komercyjne krajowe (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)

W Defender dla Chmury możesz użyć zintegrowanych funkcji skoroszytów platformy Azure do tworzenia niestandardowych, interaktywnych skoroszytów, które wyświetlają dane zabezpieczeń. Defender dla Chmury zawiera galerię skoroszytów, która ma następujące skoroszyty gotowe do dostosowania:

  • Skoroszyt pokrycia: śledzenie pokrycia planów i rozszerzeń Defender dla Chmury w środowiskach i subskrypcjach.
  • Skoroszyt Wskaźnik bezpieczeństwa w czasie: śledź wyniki subskrypcji i zmiany zaleceń dotyczących zasobów.
  • Skoroszyt aktualizacji systemu: wyświetlanie brakujących aktualizacji systemu według zasobów, systemu operacyjnego, ważności i nie tylko.
  • Skoroszyt wyników oceny luk w zabezpieczeniach: wyświetl wyniki skanowania luk w zabezpieczeniach zasobów platformy Azure.
  • Skoroszyt Zgodności w czasie: wyświetlanie stanu zgodności subskrypcji ze standardami regulacyjnymi lub wybranymi standardami branżowymi.
  • Skoroszyt Aktywne alerty: wyświetlanie aktywnych alertów według ważności, typu, tagu, taktyki MITRE ATT&CK i lokalizacji.
  • Skoroszyt szacowania cen: wyświetlanie miesięcznych, skonsolidowanych szacunków cen dla planów w Defender dla Chmury na podstawie danych telemetrycznych zasobów w danym środowisku. Liczby są szacowane na podstawie cen detalicznych i nie reprezentują rzeczywistych danych rozliczeniowych ani faktur.
  • Skoroszyt ładu: użyj raportu ładu w ustawieniach reguł ładu, aby śledzić postęp reguł wpływających na organizację.
  • Skoroszyt usługi DevOps Security (wersja zapoznawcza): wyświetl dostosowywalną podstawę, która ułatwia wizualizowanie stanu stanu metodyki DevOps dla skonfigurowanych łączników.

Oprócz wbudowanych skoroszytów można znaleźć przydatne skoroszyty w kategorii Społeczność . Te skoroszyty są udostępniane zgodnie z rzeczywistymi wymaganiami i nie mają umowy SLA ani pomocy technicznej. Możesz wybrać jeden z podanych skoroszytów lub utworzyć własny skoroszyt.

Zrzut ekranu przedstawiający galerię wbudowanych skoroszytów w Microsoft Defender dla Chmury.

Napiwek

Aby dostosować dowolny skoroszyt, wybierz przycisk Edytuj . Po zakończeniu edytowania wybierz pozycję Zapisz. Zmiany są zapisywane w nowym skoroszycie.

Zrzut ekranu przedstawiający sposób edytowania dostarczonego skoroszytu w celu dostosowania go do Twoich potrzeb.

Skoroszyt pokrycia

Jeśli włączysz Defender dla Chmury w wielu subskrypcjach i środowiskach (Azure, Amazon Web Services i Google Cloud Platform), może okazać się trudne, aby śledzić, które plany są aktywne. Jest to szczególnie ważne, jeśli masz wiele subskrypcji i środowisk.

Skoroszyt Pokrycie pomaga śledzić, które plany Defender dla Chmury są aktywne w których częściach środowiska. Ten skoroszyt może pomóc w zapewnieniu, że środowiska i subskrypcje są w pełni chronione. Mając dostęp do szczegółowych informacji o zasięgu, można zidentyfikować obszary, które mogą wymagać większej ochrony, dzięki czemu można podjąć działania w celu rozwiązania tych obszarów.

Zrzut ekranu przedstawiający skoroszyt Pokrycie, w którym są wyświetlane plany i rozszerzenia, które są włączone w różnych subskrypcjach i środowiskach.

W tym skoroszycie możesz wybrać subskrypcję (lub wszystkie subskrypcje), a następnie wyświetlić następujące karty:

  • Dodatkowe informacje: przedstawia informacje o wersji i objaśnienie każdego przełącznika.
  • Pokrycie względne: przedstawia procent subskrypcji lub łączników z włączonym określonym planem Defender dla Chmury.
  • Pokrycie bezwzględne: pokazuje stan każdego planu na subskrypcję.
  • Szczegółowe pokrycie: pokazuje dodatkowe ustawienia, które można włączyć lub które muszą być włączone w odpowiednich planach, aby uzyskać pełną wartość każdego planu.

Możesz również wybrać środowisko Platformy Azure, Amazon Web Services lub Google Cloud Platform w każdej lub wszystkich subskrypcjach, aby zobaczyć, które plany i rozszerzenia są włączone dla środowisk.

Skoroszyt wskaźnika bezpieczeństwa w czasie

Skoroszyt Wskaźnik bezpieczeństwa w czasie używa danych wskaźnika bezpieczeństwa z obszaru roboczego usługi Log Analytics. Dane muszą być eksportowane przy użyciu narzędzia eksportu ciągłego zgodnie z opisem w temacie Konfigurowanie eksportu ciągłego dla Defender dla Chmury w witrynie Azure Portal.

Podczas konfigurowania eksportu ciągłego w obszarze Częstotliwość eksportu wybierz zarówno aktualizacje przesyłania strumieniowego, jak i migawki (wersja zapoznawcza).

Zrzut ekranu przedstawiający opcje częstotliwości eksportu do wybrania dla eksportu ciągłego w skoroszycie Wskaźnik bezpieczeństwa w czasie.

Uwaga

Migawki są eksportowane co tydzień. Przed wyświetleniem danych w skoroszycie opóźnienie trwa co najmniej tydzień po wyeksportowaniu pierwszej migawki.

Napiwek

Aby skonfigurować eksport ciągły w całej organizacji, użyj podanych DeployIfNotExist zasad w usłudze Azure Policy opisanych w temacie Konfigurowanie eksportu ciągłego na dużą skalę.

Skoroszyt Wskaźnik bezpieczeństwa w czasie zawiera pięć grafów dla subskrypcji, które raportują do wybranych obszarów roboczych:

Wykres Przykład
Ocenianie trendów w ostatnim tygodniu i miesiącu
Ta sekcja służy do monitorowania bieżącego wyniku i ogólnych trendów wyników dla subskrypcji.
Zrzut ekranu przedstawiający trendy dotyczące wskaźnika bezpieczeństwa we wbudowanym skoroszycie.
Zagregowany wynik dla wszystkich wybranych subskrypcji
Umieść wskaźnik myszy na dowolnym punkcie w wierszu trendu, aby zobaczyć zagregowany wynik w dowolnym dniu w wybranym zakresie czasu.
Zrzut ekranu przedstawiający zagregowany wynik dla wszystkich wybranych subskrypcji.
Zalecenia dotyczące najbardziej w złej kondycji zasobów
Ta tabela ułatwia klasyfikację zaleceń, które miały najwięcej zasobów, które zmieniły się na stan złej kondycji w wybranym okresie.
Zrzut ekranu przedstawiający zalecenia, które mają najwięcej zasobów w złej kondycji.
Wyniki dla określonych mechanizmów kontroli zabezpieczeń
Mechanizmy kontroli zabezpieczeń w Defender dla Chmury są logicznymi grupami zaleceń. Ten wykres przedstawia błyskawiczne wyniki tygodniowe dla wszystkich kontrolek.
Zrzut ekranu przedstawiający wyniki kontroli zabezpieczeń w wybranym przedziale czasu.
Zmiany zasobów
Zalecenia, które mają najwięcej zasobów, które zmieniły stan (w dobrej kondycji, złej kondycji lub nie dotyczy) w wybranym okresie, są wymienione tutaj. Wybierz dowolne zalecenie na liście, aby otworzyć nową tabelę zawierającą listę określonych zasobów.
Zrzut ekranu przedstawiający zalecenia, które mają najwięcej zasobów, które zmieniły stan kondycji w wybranym okresie.

Skoroszyt aktualizacji systemu

Skoroszyt Aktualizacje systemu jest oparty na rekomendacji zabezpieczeń, że aktualizacje systemu powinny być instalowane na maszynach. Skoroszyt ułatwia identyfikowanie maszyn, które mają aktualizacje do zastosowania.

Stan aktualizacji dla wybranych subskrypcji można wyświetlić, wykonując następujące czynności:

  • Lista zasobów, które mają zaległe aktualizacje do zastosowania.
  • Lista aktualizacji, których brakuje w zasobach.

Defender dla Chmury skoroszyt aktualizacji systemu na podstawie zalecenia dotyczącego zabezpieczeń brakujących aktualizacji.

Skoroszyt wyników oceny luk w zabezpieczeniach

Defender dla Chmury obejmuje skanery luk w zabezpieczeniach dla maszyn, kontenerów w rejestrach kontenerów i komputerów z uruchomionym programem SQL Server.

Dowiedz się więcej o korzystaniu z tych skanerów:

Wyniki dla każdego typu zasobu są raportowane w osobnych zaleceniach:

Skoroszyt Wyniki oceny luk w zabezpieczeniach zbiera te wyniki i organizuje je według ważności, typu zasobu i kategorii.

Zrzut ekranu przedstawiający raport wyników oceny luk w zabezpieczeniach Defender dla Chmury.

Skoroszyt Zgodności w czasie

Usługa Microsoft Defender for Cloud stale porównuje konfigurację zasobów z wymaganiami dotyczącymi standardów branżowych, przepisów i testów porównawczych. Wbudowane standardy obejmują NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST i nie tylko. Możesz wybrać standardy, które są istotne dla organizacji, korzystając z pulpitu nawigacyjnego zgodności z przepisami. Dowiedz się więcej w artykule Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Skoroszyt Zgodność w czasie śledzi stan zgodności w czasie przy użyciu różnych standardów dodanych do pulpitu nawigacyjnego.

Zrzut ekranu przedstawiający sposób wybierania standardów raportu Zgodność w czasie.

Po wybraniu standardu z obszaru przeglądu raportu dolne okienko wyświetli bardziej szczegółowy podział:

Zrzut ekranu przedstawiający szczegółowy podział zmian dotyczących określonego standardu.

Aby wyświetlić zasoby, które przeszły lub zakończyły się niepowodzeniem w każdej kontrolce, możesz przejść do szczegółów aż do poziomu rekomendacji.

Napiwek

Dla każdego panelu raportu można wyeksportować dane do programu Excel przy użyciu opcji Eksportuj do programu Excel .

Zrzut ekranu przedstawiający sposób eksportowania danych skoroszytu zgodności do programu Excel.

Skoroszyt Aktywne alerty

W skoroszycie Aktywne alerty są wyświetlane aktywne alerty zabezpieczeń dla subskrypcji na jednym pulpicie nawigacyjnym. Alerty zabezpieczeń to powiadomienia, które Defender dla Chmury generują, gdy wykrywa zagrożenia dla zasobów. Defender dla Chmury priorytetyzuje i wyświetla alerty z informacjami, które należy szybko zbadać i skorygować.

Ten skoroszyt zapewnia korzyści, pomagając ci znać i określać priorytety aktywnych zagrożeń w danym środowisku.

Uwaga

Większość skoroszytów używa usługi Azure Resource Graph do wykonywania zapytań dotyczących danych. Na przykład aby wyświetlić widok mapy, dane są odpytywane w obszarze roboczym usługi Log Analytics. Eksport ciągły powinien być włączony. Wyeksportuj alerty zabezpieczeń do obszaru roboczego usługi Log Analytics.

Aktywne alerty można wyświetlać według ważności, grupy zasobów i tagu.

Zrzut ekranu przedstawiający przykładowy widok alertów wyświetlanych według ważności, grupy zasobów i tagu.

Możesz również wyświetlić najważniejsze alerty subskrypcji przez zaatakowane zasoby, typy alertów i nowe alerty.

Zrzut ekranu przedstawiający najważniejsze alerty dotyczące subskrypcji.

Aby wyświetlić więcej szczegółów na temat alertu, wybierz alert.

Zrzut ekranu przedstawiający wszystkie aktywne alerty o wysokiej ważności dla określonego zasobu.

Karta Taktyka MITRE ATT&CK wyświetla alerty w kolejności "łańcucha zabić" i liczbę alertów, które subskrypcja ma na każdym etapie.

Zrzut ekranu przedstawiający kolejność łańcucha i liczbę alertów.

Wszystkie aktywne alerty można wyświetlić w tabeli i filtrować według kolumn.

Zrzut ekranu przedstawiający tabelę aktywnych alertów.

Aby wyświetlić szczegóły określonego alertu, wybierz alert w tabeli, a następnie wybierz przycisk Otwórz widok alertu.

Zrzut ekranu przedstawiający szczegóły alertu i przycisk Otwórz widok alertu.

Aby wyświetlić wszystkie alerty według lokalizacji w widoku mapy, wybierz kartę Widok mapy.

Zrzut ekranu przedstawiający alerty wyświetlane na mapie w widoku mapy.

Wybierz lokalizację na mapie, aby wyświetlić wszystkie alerty dla tej lokalizacji.

Zrzut ekranu przedstawiający alerty w określonej lokalizacji w widoku mapy.

Aby wyświetlić szczegóły alertu, wybierz alert, a następnie wybierz przycisk Otwórz widok alertu.

Skoroszyt usługi DevOps Security

Skoroszyt usługi DevOps Security zawiera dostosowywalny raport wizualny stanu zabezpieczeń metodyki DevOps. Możesz użyć tego skoroszytu, aby wyświetlić szczegółowe informacje o repozytoriach, które mają największą liczbę typowych luk w zabezpieczeniach i ekspozycji (CVE) i słabości, aktywne repozytoria, które mają wyłączone zabezpieczenia zaawansowane, oceny stanu zabezpieczeń konfiguracji środowiska DevOps i wiele innych. Dostosowywanie i dodawanie własnych raportów wizualnych przy użyciu rozbudowanego zestawu danych w usłudze Azure Resource Graph w celu dopasowania ich do potrzeb biznesowych zespołu ds. zabezpieczeń.

Zrzut ekranu przedstawiający przykładową stronę wyników po wybraniu skoroszytu DevOps.

Uwaga

Aby użyć tego skoroszytu, środowisko musi mieć łącznik GitHub, łącznik GitLab lub łącznik usługi Azure DevOps.

Aby wdrożyć skoroszyt:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Microsoft Defender dla Chmury> Workbook.

  3. Wybierz skoroszyt DevOps Security (wersja zapoznawcza).

Skoroszyt ładuje się i wyświetla kartę Przegląd . Na tej karcie można zobaczyć liczbę uwidocznionych wpisów tajnych, zabezpieczenia kodu i zabezpieczenia metodyki DevOps. Wyniki są wyświetlane według sumy dla każdego repozytorium i według ważności.

Aby wyświetlić liczbę według typu wpisu tajnego, wybierz kartę Wpisy tajne .

Zrzut ekranu przedstawiający kartę Wpisy tajne, która wyświetla liczbę wyników według typu wpisu tajnego.

Na karcie Kod zostanie wyświetlona liczba wyników według narzędzia i repozytorium. Przedstawia wyniki skanowania kodu według ważności.

Zrzut ekranu przedstawiający kartę Kod i jego wyniki według narzędzia, repozytorium i ważności.

Na karcie Luki w zabezpieczeniach systemu operacyjnego są wyświetlane luki w zabezpieczeniach typu open source (OSS) według ważności i liczby ustaleń według repozytorium.

Zrzut ekranu przedstawiający kartę Luki w zabezpieczeniach systemu operacyjnego, która wyświetla ważność i wyniki według repozytorium.

Karta Infrastruktura jako kod wyświetla wyniki według narzędzia i repozytorium.

Zrzut ekranu przedstawiający kartę Infrastruktura jako kod, która pokazuje wyniki według narzędzia i repozytorium.

Karta Stan zawiera stan zabezpieczeń według ważności i repozytorium.

Zrzut ekranu przedstawiający kartę Stan, która wyświetla stan zabezpieczeń według ważności i repozytorium.

Na karcie Zagrożenia i taktyka jest wyświetlana liczba zagrożeń i taktyki według repozytorium oraz łączna liczba.

Zrzut ekranu przedstawiający kartę Zagrożenia i taktyka, na której jest wyświetlana łączna liczba zagrożeń i taktyki oraz liczba na repozytorium.

Importowanie skoroszytów z innych galerii skoroszytów

Aby przenieść skoroszyty utworzone w innych usługach platformy Azure do galerii skoroszytów Microsoft Defender dla Chmury:

  1. Otwórz skoroszyt, który chcesz zaimportować.

  2. Wybierz Edytuj na pasku narzędzi.

    Zrzut ekranu przedstawiający sposób edytowania skoroszytu.

  3. Na pasku narzędzi wybierz pozycję </> , aby otworzyć edytor zaawansowany.

    Zrzut ekranu przedstawiający sposób otwierania edytora zaawansowanego w celu skopiowania kodu JSON szablonu galerii.

  4. W szablonie galerii skoroszytów wybierz cały kod JSON w pliku i skopiuj go.

  5. Otwórz galerię skoroszytów w Defender dla Chmury, a następnie wybierz pozycję Nowy na pasku menu.

  6. Wybierz </>, aby otworzyć Edytor zaawansowany.

  7. Wklej cały kod JSON szablonu galerii.

  8. Wybierz Zastosuj.

  9. Na pasku narzędzi wybierz pozycję Zapisz jako.

    Zrzut ekranu przedstawiający zapisywanie skoroszytu w galerii w Defender dla Chmury.

  10. Aby zapisać zmiany w skoroszycie, wprowadź lub wybierz następujące informacje:

    • Nazwa skoroszytu.
    • Region świadczenia usługi Azure do użycia.
    • Wszelkie istotne informacje o subskrypcji, grupie zasobów i udostępnianiu.

Aby znaleźć zapisany skoroszyt, przejdź do kategorii Ostatnio zmodyfikowane skoroszyty .

W tym artykule opisano stronę Defender dla Chmury zintegrowanych skoroszytów platformy Azure z wbudowanymi raportami i opcją tworzenia własnych niestandardowych, interaktywnych raportów.

Wbudowane skoroszyty pobierają dane z zaleceń Defender dla Chmury.