Partilhar via

Revisar o inventário de ativos

  • Artigo

A página de inventário de ativos do Microsoft Defender for Cloud mostra a postura de segurança dos recursos conectados ao Defender for Cloud. O Defender for Cloud analisa periodicamente o estado de segurança dos recursos ligados às suas subscrições para identificar potenciais problemas de segurança e fornece-lhe recomendações ativas. As recomendações ativas são recomendações que podem ser resolvidas para melhorar a sua postura de segurança.

O Defender for Cloud analisa periodicamente o estado de segurança dos recursos conectados a ele. Quando os recursos têm recomendações de segurança ativas ou alertas de segurança associados, eles aparecem no inventário.

A página Inventário fornece informações sobre:

  • Recursos conectados. Veja rapidamente quais recursos estão conectados ao Defender for Cloud.
  • Estado geral de segurança: obtenha um resumo claro sobre o estado de segurança dos recursos conectados do Azure, AWS e GCP, incluindo o total de recursos conectados ao Defender for Cloud, recursos por ambiente e uma contagem de recursos não íntegros.
  • Recomendações, alertas: Analise detalhadamente o estado de recursos específicos para ver recomendações de segurança ativas e alertas de segurança para um recurso.
  • Priorização de risco: as recomendações baseadas em risco atribuem níveis de risco às recomendações, com base em fatores como sensibilidade aos dados, exposição à Internet, potencial de movimento lateral e possíveis caminhos de ataque.
  • A priorização de risco está disponível quando o plano Defender CSPM está habilitado.
  • Software. Você pode revisar recursos por aplicativos instalados. Para aproveitar o inventário de software, o plano Defender Cloud Security Posture Management (CSPM) ou um plano Defender for Servers deve ser habilitado.

O Inventário usa o Azure Resource Graph (ARG) para consultar e recuperar dados em escala. Para obter informações personalizadas detalhadas, você pode usar o KQL para consultar o inventário.

Rever o inventário

  1. No Defender for Cloud no portal do Azure, selecione Inventário. Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.
  2. Analise as configurações disponíveis:
    • Na Pesquisa, você pode usar uma pesquisa de texto livre para encontrar recursos.
    • Total de recursos exibe o número de recursos conectados ao Defender for Cloud.
    • Recursos não íntegros exibem o número de recursos com recomendações e alertas de segurança ativos.
    • Contagem de recursos por ambiente: total de recursos do Azure, AWS e GCP.
  3. Selecione um recurso para detalhar os detalhes.
  4. Na página Estado de Funcionamento do Recurso, reveja as informações sobre o recurso.
    • A guia Recomendações mostra todas as recomendações de segurança ativas, em ordem de risco. Você pode detalhar cada recomendação para obter mais detalhes e opções de correção.
    • A guia Alertas mostra todos os alertas de segurança relevantes.

Rever o inventário de software

Captura de tela que mostra os principais recursos da página de inventário de ativos no Microsoft Defender for Cloud.

  1. Selecione o aplicativo instalado
  2. Em Valor, selecione os aplicativos para filtrar.
  • Total de recursos: o número total de recursos conectados ao Defender for Cloud.
  • Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre como implementar recomendações de segurança.
  • Contagem de recursos por ambiente: o número de recursos em cada ambiente.
  • Subscrições não registadas: qualquer subscrição no âmbito selecionado que ainda não tenha sido ligada ao Microsoft Defender for Cloud.
  1. Os recursos conectados ao Defender for Cloud e executando esses aplicativos são exibidos. As opções em branco mostram máquinas onde o Defender for Servers/Defender for Endpoint não está disponível.

Filtrar o inventário

Assim que você aplica filtros, os valores de resumo são atualizados para se relacionarem aos resultados da consulta.

3 - Ferramentas de exportação

Baixar relatório CSV - Exporte os resultados das opções de filtro selecionadas para um arquivo CSV.

Abrir consulta - Exporte a própria consulta para o Azure Resource Graph (ARG) para refinar, salvar ou modificar ainda mais a consulta KQL (Kusto Query Language).

Como funciona o inventário de ativos?

Além dos filtros predefinidos, você pode explorar os dados de inventário de software do Resource Graph Explorer.

O ARG foi projetado para fornecer exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar a Kusto Query Language (KQL) no inventário de ativos para produzir rapidamente insights profundos cruzando dados do Defender for Cloud com outras propriedades de recursos.

Como usar o inventário de ativos

  1. Na barra lateral do Defender for Cloud, selecione Inventário.

  2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

    Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.

    Importante

    As opções em cada filtro são específicas para os recursos nas assinaturas selecionadas no momento e suas seleções nos outros filtros.

    Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro Recomendações não terá opções.

  3. Para usar o filtro Descobertas de segurança, insira texto livre da ID, verificação de segurança ou nome CVE de uma descoberta de vulnerabilidade para filtrar os recursos afetados:

    Captura de ecrã a mostrar como definir o filtro de resultados de segurança.

    Gorjeta

    Os filtros Verificações de segurança e Tags só aceitam um único valor. Para filtrar por mais de um, use Adicionar filtros.

  4. Para exibir as opções de filtro selecionadas atuais como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

    Consulta de inventário no ARG.

  5. Se você definiu alguns filtros e deixou a página aberta, o Defender for Cloud não atualiza os resultados automaticamente. Quaisquer alterações nos recursos não afetarão os resultados exibidos, a menos que você recarregue manualmente a página ou selecione Atualizar.

Aceder a um inventário de software

Para acessar o inventário de software, você precisa de um dos seguintes planos:

Exemplos de utilização do Azure Resource Graph Explorer para aceder e explorar dados de inventário de software

  1. Abra o Azure Resource Graph Explorer.

    A captura de tela mostra como iniciar a página de recomendação do Azure Resource Graph Explorer**.

  2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

  3. Insira qualquer uma das seguintes consultas (ou personalize-as ou escreva as suas!) e selecione Executar consulta.

Query examples (Exemplos de consultas)

Para gerar uma lista básica de software instalado:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Para filtrar por números de versão:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Para encontrar máquinas com uma combinação de produtos de software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Para combinar um produto de software com outra recomendação de segurança:

(Neste exemplo – máquinas com MySQL instalado e portas de gerenciamento expostas)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Exportar o inventário

  1. Para salvar o inventário filtrado no formulário CSV, selecione Baixar relatório CSV.

  2. Para salvar uma consulta no Gerenciador de Gráficos de Recursos, selecione Abrir uma consulta. Quando estiver pronto para salvar uma consulta, selecione Salvar como e em Salvar consulta, especifique um nome e uma descrição da consulta e se a consulta é privada ou compartilhada.

    Consulta de inventário no ARG.

As alterações feitas nos recursos não afetarão os resultados exibidos, a menos que você recarregue manualmente a página ou selecione Atualizar.