治理工作簿

治理工作簿是一个 Azure Monitor 工作簿,它全面概述了 Azure 环境的治理状况。 它包括符合所有规则云采用框架的标准指标,并且能够识别并应用建议来解决不符合的资源。

显示“治理工作簿概述”页的屏幕截图。

本文详细介绍了在工作簿中找到的选项卡和信息。

注意

Azure Resource Graph 查询限制为 10,000 个结果。 如果收到过多行的错误,请尝试选择较小的管理组或减少订阅数。


概述

概述选项卡提供有关环境的一般信息,包括:

  • 资源数
  • 按订阅计算的资源计数(前 10 个)
  • 按类型排序的资源编号(前 10 个)
  • 按 Azure 区域统计的资源计数

虚拟机

虚拟机 ”选项卡侧重于计算资源,以获取有关资源计数和配置的详细信息:

  • 按 OS 类型排序的虚拟机计数
  • 按类型/大小排序的虚拟机(例如 D2ms、D2v3)
  • 虚拟机规模集容量和大小
  • 计算磁盘(附加 OS 和数据磁盘、OS 和数据磁盘大小、OS 磁盘 SKU)
  • 计算网络(NIC、专用 IP、附加公共 IP)
  • 托管磁盘利用率
  • 计算优化
    • 未充分利用的资产(由 Azure 顾问标识)
    • 孤立磁盘
    • 孤立 NIC
    • 当前 VM 状态(正在创建、正在启动、正在运行、停止、已停止、解除分配、已解除分配)
    • 按电源状态筛选的虚拟机列表

存储 + 备份

存储 + 备份 ”选项卡侧重于存储和备份资源:

  • 资源类型数
  • 资源详细信息
  • 存储帐户详细信息
    • 概述
    • 容量
  • 备份详细信息

    重要

    保管库诊断设置需要在 Log Analytics 工作区中配置才能查看备份详细信息。


网络

网络 ”选项卡侧重于网络资源配置:

  • 按资源类型排序的网络资源数
  • NSG 显示所有或孤立的网络安全组
  • NSG 规则 显示从可感知列表中所选 NSG 的网络安全组规则
  • 公共 IP 显示所有或孤立的公共 IP
  • 应用程序网关 显示具有或不包含任何后端 IP 和后端地址的所有或孤立的应用程序网关
  • 负载均衡器 显示包含或不使用空后端池的所有或孤立负载均衡器

PaaS

PaaS 选项卡专注于平台即服务资源配置:

  • 自动化 显示:
    • Azure 自动化帐户、Runbook 和配置
    • 逻辑应用实例、API 和连接器
  • 应用服务 显示:
    • App 服务计划、应用和证书
    • Azure Functions
    • API Apps
    • 应用网关
    • Front Door
    • API 管理
    • 应用配置存储
  • 数据显示
    • Cosmos DB 帐户
    • SQL Server、数据库
    • PostgreSQL 服务器(包括灵活服务器)
    • MySQL 服务器
    • MariaDB 服务器

安全性

安全 ”选项卡侧重于订阅和控制的安全分数

  • 按订阅排序的安全分数
  • 按控制进行安全评分
  • 前 5 个受攻击的资源(严重性较高)
  • 排名靠前的警报类型
  • 过去 24 小时内的新警报
  • MITRE ATT&CK 策略
  • 活动警报

监视

监视 ”选项卡显示影响所选订阅的服务运行状况信息和主要事件:

  • 所有服务运行状况活动事件
  • 过去一天对资源执行的所有更改
  • 过去 14 天内所有已删除的资源

服务停用

服务停用 ”选项卡显示正在逐步淘汰的 Azure 服务,以缓解受影响的资源。


资源年龄

资源年龄 ”选项卡显示有关所选订阅中资源的创建和上次更改日期的信息,以帮助识别旧资源并执行清理。


标记资源管理器

标记资源管理器 ”选项卡可帮助你按标记筛选/排序资源。 可以列出和标识具有或不使用指定标记名称和值的资源。 可以按资源类型筛选每个结果。

还可以获取有关订阅和资源组的常规信息。


成本管理

成本管理 ”选项卡显示有关成本的高级信息,可以按标记进行筛选。


使用情况 + 限制

许多 Azure 服务都有配额,这些配额是为 Azure 订阅分配的资源数。 每个配额表示特定的可计数资源,例如:

  • 可以创建的虚拟机数
  • 可以并发使用的存储帐户数
  • 可以使用的网络资源数
  • 对特定服务的 API 调用数

使用情况和限制 ”选项卡显示有关订阅的此信息的资源。 若要了解有关配额的详细信息,请参阅 配额概述


合规性

符合性 ”选项卡可帮助你监视策略符合性、按资源、操作和类别列出的故障数。


治理

Microsoft Defender for Cloud 持续评估混合和多云工作负载,并提供强化资产和增强安全状况的建议。

中心安全团队在推动组织内部人员实施建议时经常遇到挑战。 因此,组织的安全状况可能会受到影响。

我们正在引入全新的内置治理体验,以设置所有权和预期的修正时间范围来解决建议。

先决条件:若要使用此治理报告,需要创建安全治理规则。

有关详细信息,请参阅 推动组织修正Microsoft Defender for Cloud 中的建议治理的安全问题。


相关的 FinOps 功能:

相关产品:

相关解决方案: