Dela via

Granska tillgångsinventeringen

  • Artikel

Sidan tillgångsinventering i Microsoft Defender för molnet visar säkerhetsstatusen för de resurser som du har anslutit till Defender för molnet. Defender för molnet analyserar regelbundet säkerhetstillståndet för resurser som är anslutna till dina prenumerationer för att identifiera potentiella säkerhetsproblem och ger dig aktiva rekommendationer. Aktiva rekommendationer är rekommendationer som kan lösas för att förbättra din säkerhetsstatus.

Defender för molnet analyserar regelbundet säkerhetstillståndet för resurser som är anslutna till den. När resurser har aktiva säkerhetsrekommendationer eller säkerhetsaviseringar kopplade till sig visas de i inventeringen.

Sidan Inventering innehåller information om:

  • Anslutna resurser. Se snabbt vilka resurser som är anslutna till Defender för molnet.
  • Övergripande säkerhetstillstånd: Få en tydlig sammanfattning av säkerhetstillståndet för anslutna Azure-, AWS- och GCP-resurser, inklusive det totala antalet resurser som är anslutna till Defender för molnet, resurser efter miljö och antalet resurser som inte är felfria.
  • Rekommendationer, aviseringar: Öka detaljnivån för specifika resurser för att se aktiva säkerhetsrekommendationer och säkerhetsaviseringar för en resurs.
  • Riskprioritering: Riskbaserade rekommendationer tilldelar risknivåer till rekommendationer, baserat på faktorer som datakänslighet, Internetexponering, lateral rörelsepotential och potentiella attackvägar.
  • Riskprioritering är tillgängligt när Defender CSPM-planen är aktiverad.
  • Programvara. Du kan granska resurser genom installerade program. Om du vill dra nytta av programvaruinventeringen måste antingen CSPM-planen (Defender Cloud Security Posture Management) eller en Defender for Servers-plan vara aktiverad.

Inventeringen använder Azure Resource Graph (ARG) för att köra frågor mot och hämta data i stor skala. För djupgående anpassade insikter kan du använda KQL för att fråga inventeringen.

Granska inventeringen

  1. I Defender för molnet i Azure Portal väljer du Inventering. Som standard sorteras resurserna efter antalet aktiva säkerhetsrekommendationer.
  2. Granska de tillgängliga inställningarna:
    • I Sök kan du använda en sökning i fritext för att hitta resurser.
    • Totalt antal resurser visar antalet resurser som är anslutna till Defender för molnet.
    • Resurser som inte är felfria visar antalet resurser med aktiva säkerhetsrekommendationer och aviseringar.
    • Resursantal per miljö: Totalt antal Azure-, AWS- och GCP-resurser.
  3. Välj en resurs för att öka detaljnivån för mer information.
  4. På sidan Resource Health för resursen granskar du information om resursen.
    • Fliken Rekommendationer visar alla aktiva säkerhetsrekommendationer i riskordning. Du kan öka detaljnivån i varje rekommendation för mer information och reparationsalternativ.
    • fliken Aviseringar visas alla relevanta säkerhetsaviseringar.

Granska programvaruinventering

Skärmbild som visar huvudfunktionerna på sidan för tillgångsinventering i Microsoft Defender för molnet.

  1. Välj Installerat program
  2. I Värde väljer du de appar som ska filtreras på.
  • Totalt antal resurser: Det totala antalet resurser som är anslutna till Defender för molnet.
  • Resurser som inte är felfria: Resurser med aktiva säkerhetsrekommendationer som du kan implementera. Läs mer om hur du implementerar säkerhetsrekommendationer.
  • Antal resurser per miljö: Antalet resurser i varje miljö.
  • Oregistrerade prenumerationer: Alla prenumerationer i det valda omfånget som ännu inte har anslutits till Microsoft Defender för molnet.
  1. Resurser som är anslutna till Defender för molnet och som kör dessa appar visas. Tomma alternativ visar datorer där Defender för servrar/Defender för Endpoint inte är tillgängligt.

Filtrera inventeringen

Så snart du tillämpar filter uppdateras sammanfattningsvärdena för att relatera till frågeresultatet.

3 – Exportera verktyg

Ladda ned CSV-rapport – Exportera resultatet av de valda filteralternativen till en CSV-fil.

Öppen fråga – Exportera själva frågan till Azure Resource Graph (ARG) för att ytterligare förfina, spara eller ändra frågan Kusto-frågespråk (KQL).

Hur fungerar tillgångslager?

Förutom de fördefinierade filtren kan du utforska programvaruinventeringsdata från Resource Graph Explorer.

ARG är utformat för att ge effektiv resursutforskning med möjlighet att fråga i stor skala.

Du kan använda Kusto-frågespråk (KQL) i tillgångslagret för att snabbt skapa djupa insikter genom att korsreferera Defender för molnet data med andra resursegenskaper.

Så här använder du tillgångsinventering

  1. Välj Inventering i sidofältet i Defender för molnet.

  2. Använd rutan Filtrera efter namn för att visa en specifik resurs eller använd filtren för att fokusera på specifika resurser.

    Som standard sorteras resurserna efter antalet aktiva säkerhetsrekommendationer.

    Viktigt!

    Alternativen i varje filter är specifika för resurserna i de aktuella prenumerationerna och dina val i de andra filtren.

    Om du till exempel bara har valt en prenumeration och prenumerationen inte har några resurser med utestående säkerhetsrekommendationer för att åtgärda (0 resurser som inte är felfria) har filtret Rekommendationer inga alternativ.

  3. Om du vill använda filtret Säkerhetsresultat anger du fritext från ID, säkerhetskontroll eller CVE-namn för en sårbarhetssökning för att filtrera till de berörda resurserna:

    Skärmbild som visar hur du anger filtret för säkerhetsresultat.

    Dricks

    Filter för säkerhetsresultat och taggar accepterar bara ett enda värde. Om du vill filtrera efter fler än en använder du Lägg till filter.

  4. Om du vill visa de aktuella valda filteralternativen som en fråga i Resource Graph Explorer väljer du Öppna fråga.

    Inventeringsfråga i ARG.

  5. Om du har definierat vissa filter och lämnat sidan öppen uppdaterar Defender för molnet inte resultatet automatiskt. Eventuella ändringar av resurser påverkar inte de resultat som visas om du inte läser in sidan manuellt eller väljer Uppdatera.

Få åtkomst till en programvaruinventering

För att få åtkomst till programvaruinventeringen behöver du något av följande planer:

Exempel som använder Azure Resource Graph Explorer för att komma åt och utforska programvaruinventeringsdata

  1. Öppna Azure Resource Graph Explorer.

    Skärmbild som visar hur du startar rekommendationssidan för Azure Resource Graph Explorer**.

  2. Välj följande prenumerationsomfång: securityresources/softwareinventories

  3. Ange någon av följande frågor (eller anpassa dem eller skriv dina egna!) och välj Kör fråga.

Exempelfrågor

Så här genererar du en grundläggande lista över installerad programvara:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Så här filtrerar du efter versionsnummer:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Så här hittar du datorer med en kombination av programvaruprodukter:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Så här kombinerar du en programvaruprodukt med en annan säkerhetsrekommendations:

(I det här exemplet – datorer med MySQL installerade och exponerade hanteringsportar)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Exportera inventeringen

  1. Om du vill spara filtrerat lager i CSV-formulär väljer du Ladda ned CSV-rapport.

  2. Om du vill spara en fråga i Resource Graph Explorer väljer du Öppna en fråga. När du är redo att spara en fråga väljer du Spara som och i Spara fråga, specifikt ett frågenamn och en beskrivning och om frågan är privat eller delad.

    Inventeringsfråga i ARG.

Ändringar som görs i resurser påverkar inte de resultat som visas om du inte läser in sidan manuellt eller väljer Uppdatera.