Usar o inventário de ativos para gerenciar a postura de segurança de seus recursos

A página de inventário de ativos do Microsoft Defender para Nuvem mostra a postura de segurança dos recursos conectados ao Defender para Nuvem. O Defender para Nuvem analisa periodicamente o estado de segurança dos recursos conectados às suas assinaturas para identificar potenciais problemas de segurança e fornece recomendações ativas. Recomendações ativas são recomendações que podem ser resolvidas para aprimorar sua postura de segurança.

Use essa exibição e seus filtros para resolver perguntas como:

• Quais das minhas assinaturas com Planos do Defender habilitados têm recomendações pendentes?
• Quais dos meus computadores com a marca "Produção" não têm o agente do Log Analytics?
• Quantos dos meus computadores com uma marca específica têm recomendações pendentes?
• Quais máquinas em um grupo de recursos específico têm uma vulnerabilidade conhecida (usando um número CVE)?

As recomendações de segurança na página do inventário de ativos também aparecem na página Recomendações, mas aqui são mostradas de acordo com o recurso afetado. Saiba mais sobre a implementação de recomendações de segurança.

Disponibilidade

Aspecto	Detalhes
Estado da versão:	Disponibilidade Geral (GA)
Preço:	Gratuita Alguns recursos da página de inventário, como o estoque de software, requerem as soluções pagas
Funções e permissões necessárias:	todos os usuários
Nuvens:	Nuvens comerciais Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet) Atualmente, não há suporte para o estoque de software em nuvens nacionais.

Quais são as características fundamentais do inventário de ativos?

A página do inventário fornece as seguintes ferramentas:

1 -Resumos

Antes de você definir quaisquer filtros, uma faixa de valores proeminente na parte superior da exibição de inventário mostra:

• Total de recursos: O número total de recursos conectados ao Defender para Nuvem.
• Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre a implementação de recomendações de segurança.
• Contagem de recursos por ambiente: O número de recursos em cada ambiente.
• Assinaturas não registradas: qualquer assinatura no escopo selecionado que ainda não foi conectada ao Microsoft Defender para Nuvem.

2-Filtros

Os múltiplos filtros na parte superior da página fornecem uma maneira de refinar rapidamente a lista de recursos conforme a pergunta que você esteja tentando responder. Por exemplo, se você quiser saber qual de seus computadores com a marca 'Produção' não tem o agente do Log Analytics, filtre a lista para Monitoramento do agente: "Não instalado" e Marcas:"Produção".

Assim que você aplicar filtros, os valores de resumo serão atualizados para se relacionar aos resultados da consulta.

3 - Ferramentas de exportação

Baixar relatório CSV - Exporte os resultados das opções de filtro selecionadas para um arquivo CSV.

Abrir consulta - Exporte a própria consulta para o Azure Resource Graph (ARG) para refinar, salvar ou modificar a consulta KQL (Kusto Query Language).

Dica

A documentação do KQL fornece um banco de dados com alguns dados da amostra junto com algumas consultas simples para obter a "sensação" da linguagem. Saiba mais no tutorial de KQL.

Como funciona o inventário de ativos?

O inventário de ativos utiliza o ARG (Azure Resource Graph), um serviço do Azure que permite consultar dados de postura de segurança do Defender para Nuvem em várias assinaturas.

O ARG foi projetado para fornecer uma exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar KQL (Kusto Query Language) no inventário de ativos para produzir rapidamente insights detalhados por meio da referência cruzada de dados do Defender para Nuvem com outras propriedades de recurso.

Como usar o inventário de ativos

1. Na barra lateral do Defender para Nuvem, selecione Inventário.

2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

   Por padrão, os recursos são classificados com o número de recomendações de segurança ativas.

   Importante

   As opções em cada filtro são específicas aos recursos nas assinaturas atualmente selecionadas e suas seleções nos outros filtros.

   Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com as recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro de Recomendações não terá opções.

3. Para usar o filtro Resultados de segurança, insira texto livre da ID, da verificação de segurança ou do nome CVE de uma vulnerabilidade para filtrar os recursos afetados:

   

   Dica

   Os filtros Resultados de segurança e Categorias aceitam apenas um único valor. Para filtrar mais de um, use adicionar filtros.

4. Para exibir as opções de filtro selecionadas atualmente como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

   

5. Se você definir alguns filtros e deixar a página aberta, o Defender para Nuvem não atualizará os resultados automaticamente. As alterações nos recursos não impactarão os resultados exibidos, a menos que você recarregue a página manualmente ou selecione Atualizar.

Acessar um inventário de software

Para acessar o inventário de software, você precisa de uma das seguintes soluções pagas:

• Verificação de computador sem agente do CSPM (Gerenciamento da Postura de Segurança na Nuvem do Defender).
• Verificação de computador sem agente do Defender para servidores P2.
• Integração do Microsoft Defender para Ponto de Extremidade do Defender para servidores.

Exemplos de uso do Azure Resource Graph Explorer para acessar e explorar dados de inventário de software

1. Abra o Explorador do Azure Resource Graph.

   

2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

3. Insira qualquer uma das consultas a seguir (personalize-as ou escreva uma própria!) e selecione Executar consulta.

   • Para gerar uma lista básica de softwares instalados:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
     

   • Para filtrar por números de versão:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
     | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
     

   • Para localizar computadores com uma combinação de produtos de software:

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | extend vmId = properties.azureVmId
     | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
     | summarize count() by tostring(vmId)
     | where count_ > 1
     

   • Combinação de um produto de software com outra recomendação de segurança:

     (Neste exemplo – computadores com o MySQL instalado e portas de gerenciamento expostas)

     securityresources
     | where type == "microsoft.security/softwareinventories"
     | extend vmId = tolower(properties.azureVmId)
     | where properties.softwareName == "mysql"
     | join (
     securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
     | extend vmId = tolower(properties.resourceDetails.Id)
     ) on vmId
     

Próximas etapas

Este artigo descreveu a página de inventário de ativos do Microsoft Defender para Nuvem.

Para obter mais informações relacionadas às ferramentas, consulte as seguintes páginas:

• ARG (Azure Resource Graph)
• KQL (Kusto Query Language)
• Exibir pergunta comum sobre o inventário de ativos