Compartilhar via

Revise o inventário de ativos

  • Artigo

A página de inventário de ativos do Microsoft Defender para Nuvem mostra a postura de segurança dos recursos conectados ao Defender para Nuvem. O Defender para Nuvem analisa periodicamente o estado de segurança dos recursos conectados às suas assinaturas para identificar potenciais problemas de segurança e fornece recomendações ativas. Recomendações ativas são recomendações que podem ser resolvidas para aprimorar sua postura de segurança.

O Defender para Nuvem analisa periodicamente o estado de segurança dos recursos conectados a ele. Quando os recursos têm recomendações de segurança ou alertas de segurança ativos associados a eles, eles aparecem no inventário.

A página Inventário fornece informações sobre:

  • Recursos conectados. Veja rapidamente quais recursos estão conectados ao Defender para Nuvem.
  • Estado geral de segurança: obtenha um resumo claro sobre o estado de segurança dos recursos conectados do Azure, AWS e GCP, incluindo o total de recursos conectados ao Defender para Nuvem, recursos por ambiente e uma contagem de recursos não íntegros.
  • Recomendações, alertas: analise detalhadamente o estado de recursos específicos para ver recomendações de segurança ativas e alertas de segurança para um recurso.
  • Priorização de risco: recomendações baseadas em risco atribuem níveis de risco às recomendações, com base em fatores como sensibilidade de dados, exposição à Internet, potencial de movimento lateral e possíveis caminhos de ataque.
  • A priorização de riscos está disponível quando o plano Defender CSPM está habilitado.
  • Software. Você pode revisar recursos por aplicativos instalados. Para aproveitar o inventário de software, o plano Defender Cloud Security Posture Management (CSPM) ou um plano Defender para servidores deve estar habilitado.

O inventário usa o Azure Resource Graph (ARG) para consultar e recuperar dados em escala. Para obter insights personalizados mais profundos, você pode usar o KQL para consultar o inventário.

Revise o inventário

  1. No Defender para Nuvem no portal do Azure, selecione Inventário. Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.
  2. Revise as configurações disponíveis:
    • Na Pesquisa, você pode usar uma pesquisa de texto livre para encontrar recursos.
    • Total de recursos exibe o número de recursos conectados ao Defender para Nuvem.
    • Recursos não íntegros exibe o número de recursos com recomendações e alertas de segurança ativos.
    • Contagem de recursos por ambiente: total de recursos do Azure, AWS e GCP.
  3. Selecione um recurso para obter detalhes.
  4. Na página Azure Resource Health do recurso, revise as informações sobre o recurso.
    • A aba Recomendações mostra todas as recomendações de segurança ativas, em ordem de risco. Você pode analisar cada recomendação para obter mais detalhes e opções de correção.
    • A guia Alertas mostra todos os alertas de segurança relevantes.

Revisar inventário de software

Captura de tela que mostra os principais recursos da página de inventário de ativos no Microsoft Defender para Nuvem.

  1. Selecione Aplicativo instalado
  2. Em Valor, selecione os aplicativos para filtrar.
  • Total de recursos: O número total de recursos conectados ao Defender para Nuvem.
  • Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre a implementação de recomendações de segurança.
  • Contagem de recursos por ambiente: O número de recursos em cada ambiente.
  • Assinaturas não registradas: qualquer assinatura no escopo selecionado que ainda não foi conectada ao Microsoft Defender para Nuvem.
  1. Os recursos conectados ao Defender para Nuvem e executando esses aplicativos são exibidos. As opções em branco mostram máquinas onde o Defender para servidores/Defender for Endpoint não está disponível.

Filtrar o inventário

Assim que você aplicar filtros, os valores de resumo serão atualizados para se relacionar aos resultados da consulta.

3 - Ferramentas de exportação

Baixar relatório CSV - Exporte os resultados das opções de filtro selecionadas para um arquivo CSV.

Abrir consulta - Exporte a própria consulta para o Azure Resource Graph (ARG) para refinar, salvar ou modificar a consulta KQL (Kusto Query Language).

Como funciona o inventário de ativos?

Além dos filtros predefinidos, você pode explorar os dados de inventário de software do Resource Graph Explorer.

O ARG foi projetado para fornecer uma exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar KQL (Kusto Query Language) no inventário de ativos para produzir rapidamente insights detalhados por meio da referência cruzada de dados do Defender para Nuvem com outras propriedades de recurso.

Como usar o inventário de ativos

  1. Na barra lateral do Defender para Nuvem, selecione Inventário.

  2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

    Por padrão, os recursos são classificados com o número de recomendações de segurança ativas.

    Importante

    As opções em cada filtro são específicas aos recursos nas assinaturas atualmente selecionadas e suas seleções nos outros filtros.

    Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com as recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro de Recomendações não terá opções.

  3. Para usar o filtro Resultados de segurança, insira texto livre da ID, da verificação de segurança ou do nome CVE de uma vulnerabilidade para filtrar os recursos afetados:

    Captura de tela mostrando como definir o filtro de resultados de segurança.

    Dica

    Os filtros Resultados de segurança e Categorias aceitam apenas um único valor. Para filtrar mais de um, use adicionar filtros.

  4. Para exibir as opções de filtro selecionadas atualmente como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

    Consulta de inventário no ARG.

  5. Se você definir alguns filtros e deixar a página aberta, o Defender para Nuvem não atualizará os resultados automaticamente. Quaisquer alterações nos recursos não afetarão os resultados exibidos, a menos que você recarregue a página manualmente ou selecione Atualizar.

Acessar um inventário de software

Para acessar o inventário de software, você precisa de um dos seguintes planos:

Exemplos de uso do Azure Resource Graph Explorer para acessar e explorar dados de inventário de software

  1. Abra o Explorador do Azure Resource Graph.

    A captura de tela mostra como iniciar a página de recomendações do Azure Resource Graph Explorer**.

  2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

  3. Insira qualquer uma das consultas a seguir (personalize-as ou escreva uma própria!) e selecione Executar consulta.

Exemplos de consulta

Para gerar uma lista básica de softwares instalados:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Para filtrar por números de versão:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Para localizar computadores com uma combinação de produtos de software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Para combinar um produto de software com outra recomendação de segurança:

(Neste exemplo – computadores com o MySQL instalado e portas de gerenciamento expostas)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Exportar o inventário

  1. Para salvar o inventário filtrado no formato CSV, selecione Baixar relatório CSV.

  2. Para salvar uma consulta no Resource Graph Explorer, selecione Abrir uma consulta. Quando estiver pronto para salvar uma consulta, selecione Salvar como e em Salvar consulta, especifique um nome e uma descrição para a consulta e se ela é privada ou compartilhada.

    Consulta de inventário no ARG.

As alterações feitas nos recursos não afetarão os resultados exibidos, a menos que você recarregue a página manualmente ou selecione Atualizar.