你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用资产清单管理资源的安全状况

Microsoft Defender for Cloud 的资产清单页显示已连接到 Defender for Cloud 的资源的安全状况。 Defender for Cloud 定期分析连接到订阅的资源的安全状态,以识别潜在的安全问题,并为你提供有效的建议。 活动建议是可以解决以改进安全状况的建议。

使用此视图及其筛选器可以解决以下这类问题:

  • 我的哪些启用了 Defender 计划的订阅具有重要建议?
  • 我的哪些标记为“生产”的计算机缺少 Log Analytics 代理?
  • 我的多少台标记有特定标记的计算机具有重要建议?
  • 特定资源组中的哪些计算机存在已知漏洞(使用 CVE 编号)?

资产库存页面上的安全建议也会显示在“建议”页中,但资产库存页面会根据受影响的资源进行显示。 详细了解实施安全性建议

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 免费
库存页的某些功能(例如软件库存)需要付费解决方案到位
所需角色和权限: 所有用户
云: 商用云
全国(Azure 政府、由世纪互联运营的 Microsoft Azure)

国家云目前不支持软件清单。

资产库存的主要功能是什么?

库存页提供以下工具:

屏幕截图显示 Microsoft Defender for Cloud 中的资产清单页的主要功能。

1 - 摘要

在定义任何筛选器之前,会显示库存视图顶部突出的值条带:

  • 资源总数:已连接到 Defender for Cloud 的资源总数。
  • 运行不正常的资源:具有可实施的活动安全建议的资源。 详细了解实施安全性建议
  • 按环境进行的资源计数:每个环境中的资源数量。
  • 未注册的订阅:所选范围内尚未连接到 Microsoft Defender for Cloud 的任何订阅。

2 - 筛选器

页面顶部的多个筛选器提供一种根据你尝试回答的问题快速优化资源列表的方法。 例如,如果想知道哪些标记为“生产”的计算机缺少 Log Analytics 代理,可以筛选列表“代理监视”:“未安装”和“标记”:“生产”。

一旦应用筛选器,摘要值就会更新为与查询结果相关的值。

3 - 导出工具

下载 CSV 报表 - 将所选筛选器选项的结果导出到 CSV 文件。

打开查询 - 将查询本身导出到 Azure Resource Graph (ARG),以进一步优化、保存或修改 Kusto 查询语言 (KQL) 查询。

提示

KQL 文档为数据库提供一些示例数据以及一些简单的查询,以获取相应语言的体验。 通过此 KQL 教程了解详细信息

资产库存的工作方式?

资产库存利用 Azure Resource Graph (ARG),这是一种 Azure 服务,可以让你跨多个订阅查询 Defender for Cloud 的安全态势数据。

ARG 用于提供高效资源探索,并具有大规模查询的功能。

可以使用资产库存中的 Kusto 查询语言 (KQL),通过将 Defender for Cloud 数据与其他资源属性进行交叉引用来快速生成深度见解。

如何使用资产库存

  1. 在 Defender for Cloud 的边栏中,选择“清单”

  2. 使用“按名称筛选”框可显示特定资源,或使用筛选器专注于特定资源。

    默认情况下,资源按有效安全建议的数量排序。

    重要

    每个筛选器中的选项特定于当前选择的订阅中的资源你在其他筛选器中的选择。

    例如,如果你仅选择了一个订阅,并且该订阅没有要修正的具有重要安全建议的资源(0 个运行不正常的资源),则“建议”筛选器将没有选项。

  3. 若要使用“安全检查结果”筛选器,请通过漏洞检查结果的 ID、安全检查或 CVE 名称输入自由文本以筛选受影响的资源

    屏幕截图显示如何设置“安全检查结果”筛选器。

    提示

    “安全检查结果”和“标记”筛选器仅接受单个值。 若要使用多个筛选器,请使用“添加筛选器”

  4. 若要在 Resource Graph Explorer 中以查询的形式查看当前选定的筛选器选项,请选择“打开查询”

    ARG 中的库存查询。

  5. 如果你定义了一些筛选器并使页面保持打开状态,则 Defender for Cloud 不自动更新结果。 除非手动重新加载页面或选择“刷新”,否则对资源的任何更改都不会影响显示的结果。

访问软件清单

若要访问软件清单,需要以下付费解决方案之一

使用 Azure Resource Graph 浏览器访问和浏览软件清单数据的示例

  1. 打开“Azure Resource Graph 资源管理器”

    屏幕截图显示如何启动 Azure Resource Graph 浏览器**建议页面。

  2. 选择以下订阅范围:securityresources/softwareinventories

  3. 输入以下任何查询(或自定义或编写你自己的查询!),然后选择“运行查询”

    • 生成已安装软件的基本列表:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • 按版本号筛选:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • 使用软件产品组合查找计算机:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • 软件产品与其他安全建议的组合:

      (在本例中 - 安装了 MySQL 并公开管理端口的计算机)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

后续步骤

本文介绍了 Microsoft Defender for Cloud 的资产清单页。

有关相关工具的详细信息,请参阅以下页面: