Udostępnij za pośrednictwem

Zarządzanie stanem zabezpieczeń zasobów przy użyciu spisu zasobów

  • Artykuł

Na stronie spisu zasobów Microsoft Defender dla Chmury przedstawiono stan zabezpieczeń zasobów połączonych z Defender dla Chmury. Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów połączonych z subskrypcjami w celu zidentyfikowania potencjalnych problemów z zabezpieczeniami i udostępnia aktywne zalecenia. Aktywne zalecenia to zalecenia, które można rozwiązać w celu poprawy stanu zabezpieczeń.

Użyj tego widoku i jego filtrów, aby rozwiązać takie pytania, jak:

  • Które z moich subskrypcji z włączonymi planami usługi Defender mają zaległe zalecenia?
  • Które z moich maszyn z tagiem "Production" brakuje agenta usługi Log Analytics?
  • Ile moich maszyn oznaczonych określonym tagiem ma zaległe rekomendacje?
  • Które maszyny w określonej grupie zasobów mają znaną lukę w zabezpieczeniach (przy użyciu numeru CVE)?

Zalecenia dotyczące zabezpieczeń na stronie spisu zasobów są również wyświetlane na stronie Zalecenia , ale w tym miejscu są one wyświetlane zgodnie z zasobem, którego dotyczy problem. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Cennik: Bezpłatna
Niektóre funkcje strony spisu, takie jak spis oprogramowania, wymagają wprowadzenia płatnych rozwiązań
Wymagane role i uprawnienia: Wszyscy użytkownicy
Chmury: Chmury komercyjne
National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)

Spis oprogramowania nie jest obecnie obsługiwany w chmurach krajowych.

Jakie są kluczowe funkcje spisu zasobów?

Strona spisu udostępnia następujące narzędzia:

Główne funkcje strony spisu zasobów w Microsoft Defender dla Chmury.

1 — Podsumowania

Przed zdefiniowaniem filtrów widoczny pasek wartości w górnej części widoku spisu pokazuje:

  • Łączna liczba zasobów: łączna liczba zasobów połączonych z Defender dla Chmury.
  • Zasoby w złej kondycji: zasoby z aktywnymi zaleceniami dotyczącymi zabezpieczeń, które można zaimplementować. Dowiedz się więcej na temat implementowania zaleceń dotyczących zabezpieczeń.
  • Niemonitorowane zasoby: zasoby z problemami z monitorowaniem agenta — mają wdrożonego agenta usługi Log Analytics, ale agent nie wysyła danych ani nie ma innych problemów z kondycją.
  • Niezarejestrowane subskrypcje: dowolna subskrypcja w wybranym zakresie, która nie została jeszcze połączona z Microsoft Defender dla Chmury.

2 — Filtry

Wiele filtrów w górnej części strony umożliwia szybkie uściślenie listy zasobów zgodnie z pytaniem, na które próbujesz odpowiedzieć. Jeśli na przykład chcesz wiedzieć, które maszyny z tagiem "Production" brakuje agenta usługi Log Analytics, możesz przefiltrować listę monitorowania agenta: "Nie zainstalowano" i Tagi:"Produkcja".

Po zastosowaniu filtrów wartości podsumowania są aktualizowane tak, aby odnosiły się do wyników zapytania.

3 — Narzędzia do eksportowania i zarządzania zasobami

Opcje eksportu — spis zawiera opcję eksportowania wyników wybranych opcji filtru do pliku CSV. Możesz również wyeksportować zapytanie do Eksploratora usługi Azure Resource Graph, aby dokładniej uściślić, zapisać lub zmodyfikować zapytanie język zapytań Kusto (KQL).

Napiwek

Dokumentacja języka KQL zawiera bazę danych z przykładowymi danymi wraz z prostymi zapytaniami w celu uzyskania "działania" dla języka. Dowiedz się więcej w tym samouczku języka KQL.

Opcje zarządzania zasobami — po znalezieniu zasobów pasujących do zapytań spis udostępnia skróty do operacji, takich jak:

  • Przypisz tagi do filtrowanych zasobów — zaznacz pola wyboru obok zasobów, które chcesz oznaczyć.
  • Dołączanie nowych serwerów do Defender dla Chmury — użyj przycisku Dodaj serwery spoza platformy Azure.
  • Automatyzowanie obciążeń za pomocą usługi Azure Logic Apps — użyj przycisku Wyzwalaj aplikację logiki, aby uruchomić aplikację logiki na co najmniej jednym zasobie. Aplikacje logiki muszą być przygotowane z wyprzedzeniem i zaakceptować odpowiedni typ wyzwalacza (żądanie HTTP). Dowiedz się więcej o aplikacjach logiki.

Jak działa spis zasobów?

Spis zasobów korzysta z usługi Azure Resource Graph (ARG) — usługi platformy Azure, która umożliwia wykonywanie zapytań dotyczących stanu zabezpieczeń Defender dla Chmury w wielu subskrypcjach.

Usługa ARG została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę.

Możesz użyć język zapytań Kusto (KQL) w spisie zasobów, aby szybko uzyskać szczegółowe informacje, odwołując się do danych Defender dla Chmury z innymi właściwościami zasobów.

Jak używać spisu zasobów

  1. Na pasku bocznym Defender dla Chmury wybierz pozycję Spis.

  2. Użyj pola Filtruj według nazwy , aby wyświetlić określony zasób lub użyj filtrów, aby skoncentrować się na określonych zasobach.

    Domyślnie zasoby są sortowane według liczby aktywnych zaleceń dotyczących zabezpieczeń.

    Ważne

    Opcje w każdym filtrze są specyficzne dla zasobów w aktualnie wybranych subskrypcjach i wyborach w innych filtrach.

    Jeśli na przykład wybrano tylko jedną subskrypcję, a subskrypcja nie ma zasobów z wybitnymi zaleceniami dotyczącymi zabezpieczeń w celu skorygowania (0 zasobów w złej kondycji), filtr Rekomendacje nie będzie miał żadnych opcji.

    Używanie opcji filtru w spisie zasobów Microsoft Defender dla Chmury w celu filtrowania zasobów do zasobów produkcyjnych, które nie są monitorowane

  3. Aby użyć filtru Wyniki zabezpieczeń, wprowadź dowolny tekst z identyfikatora, sprawdzania zabezpieczeń lub nazwy CVE znalezionej luki w zabezpieczeniach, aby filtrować do zasobów, których dotyczy problem:

    Filtr

    Napiwek

    Wyniki zabezpieczeń zawierają i filtry Tagi akceptują tylko jedną wartość. Aby filtrować według więcej niż jednego, użyj polecenia Dodaj filtry.

  4. Aby użyć filtru Defender dla Chmury, wybierz jedną lub więcej opcji (Wyłączone, Włączone lub Częściowe):

    • Wyłączone — zasoby nie są chronione przez plan usługi Microsoft Defender. Możesz kliknąć prawym przyciskiem myszy zasoby i uaktualnić je:

      Uaktualnij zasób, aby był chroniony przez odpowiedni plan usługi Microsoft Defender, klikając prawym przyciskiem myszy.

    • Włączone — zasoby chronione przez plan usługi Microsoft Defender

    • Częściowe - subskrypcje z niektórymi , ale nie wszystkie plany usługi Microsoft Defender są wyłączone. Na przykład następująca subskrypcja ma siedem wyłączonych planów usługi Microsoft Defender.

      Subskrypcja częściowo chroniona przez plany usługi Microsoft Defender.

  5. Aby dokładniej zbadać wyniki zapytania, wybierz interesujące Cię zasoby.

  6. Aby wyświetlić bieżące wybrane opcje filtru jako zapytanie w Eksploratorze usługi Resource Graph, wybierz pozycję Otwórz zapytanie.

    Zapytanie spisu w usłudze ARG.

  7. Jeśli zdefiniowano niektóre filtry i pozostawiono otwartą stronę, Defender dla Chmury nie zaktualizuje wyników automatycznie. Wszelkie zmiany zasobów nie będą mieć wpływu na wyświetlane wyniki, chyba że ręcznie ponownie załadujesz stronę lub wybierzesz pozycję Odśwież.

Uzyskiwanie dostępu do spisu oprogramowania

Aby uzyskać dostęp do spisu oprogramowania, potrzebujesz jednego z następujących płatnych rozwiązań:

Jeśli włączono już integrację z usługą Ochrona punktu końcowego w usłudze Microsoft Defender i włączoną usługą Microsoft Defender dla serwerów, będziesz mieć dostęp do spisu oprogramowania.

Jeśli włączono rozwiązanie do zagrożeń i luk w zabezpieczeniach, spis zasobów Defender dla Chmury oferuje filtr do wybierania zasobów według zainstalowanego oprogramowania.

Uwaga

Opcja "Puste" pokazuje maszyny bez Ochrona punktu końcowego w usłudze Microsoft Defender lub bez usługi Microsoft Defender dla serwerów.

Oprócz filtrów na stronie spisu zasobów można eksplorować dane spisu oprogramowania w Eksploratorze usługi Azure Resource Graph.

Przykłady użycia Eksploratora usługi Azure Resource Graph do uzyskiwania dostępu do danych spisu oprogramowania i eksplorowania ich:

  1. Otwórz Eksploratora usługi Azure Resource Graph.

    Strona rekomendacji Uruchamianie Eksploratora usługi Azure Resource Graph**

  2. Wybierz następujący zakres subskrypcji: securityresources/softwareinventories

  3. Wprowadź dowolne z następujących zapytań (lub dostosuj je lub napisz własne)) i wybierz pozycję Uruchom zapytanie.

    • Aby wygenerować podstawową listę zainstalowanego oprogramowania:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Aby filtrować według numerów wersji:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • Aby znaleźć maszyny z kombinacją produktów oprogramowania:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Połączenie produktu oprogramowania z innym zaleceniem zabezpieczeń:

      (W tym przykładzie — maszyny z zainstalowanymi i uwidocznionym portami zarządzania programu MySQL)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Następne kroki

W tym artykule opisano stronę spisu zasobów Microsoft Defender dla Chmury.

Aby uzyskać więcej informacji na temat powiązanych narzędzi, zobacz następujące strony: