檢閱資產清查

發行項
12/23/2024

適用於雲端的 Microsoft Defender 的資產清查頁面會顯示您連線到適用於雲端的 Defender 之資源的安全性狀態。適用於雲端的 Defender 會定期分析連線至訂用帳戶的資源安全性狀態，以找出潛在的安全性問題，並提供作用中的建議。作用中建議是可解決以改善安全性態勢的建議。

適用於雲端的 Defender 會定期分析與其連線之資源的安全性狀態。當資源具有與其相關聯的作用中安全性建議或安全性警示時，它們會出現在清查中。

[清查] 頁面提供下列相關信息：

已連線的資源。快速查看哪些資源已連線到適用於雲端的 Defender。
整體安全性狀態：取得已連線 Azure、AWS 和 GCP 資源安全性狀態的明確摘要，包括連線到適用於雲端的 Defender 的資源總數、依環境的資源，以及狀況不良的資源計數。
建議、警示：向下切入至特定資源的狀態，以查看資源的作用中安全性建議和安全性警示。
風險優先順序：風險型建議會根據數據敏感度、因特網暴露、橫向移動潛力和潛在攻擊路徑等因素，將風險層級指派給建議。
啟用Defender CSPM方案時，可以使用風險優先順序。
軟體。 您可以檢閱已安裝的應用程式的資源。若要利用軟體清查，必須啟用Defender雲端安全性狀態管理（CSPM）方案或適用於伺服器的Defender方案。

清查會使用 Azure Resource Graph （ARG）大規模查詢和擷取數據。如需深入的自定義深入解析，您可以使用 KQL 來查詢清查。

檢閱清查

在 Azure 入口網站的 [適用於雲端的 Defender] 中，選取 [清查]。根據預設，資源會依使用中安全性建議的數目來排序。
檢閱可用的設定：
- 在 [搜尋] 中，您可以使用任意文字搜尋來尋找資源。
- 資源總數會顯示連線到適用於雲端的 Defender的資源數目。
- 狀況不良的資源 會顯示具有作用中安全性建議和警示的資源數目。
- 依環境的資源計數：Azure、AWS 和 GCP 資源總數。
選取要向下切入的資源以取得詳細數據。
在資源的 [資源健康狀態] 頁面上，檢閱資源的相關信息。
- [建議] 索引卷標會依風險順序顯示任何作用中的安全性建議。您可以向下切入每個建議，以取得更多詳細數據和補救選項。
- [警示] 索引標籤會顯示任何相關的安全性警示。

檢閱軟體清查

選取 已安裝的應用程式
在 [ 值] 中，選取要篩選的應用程式。

資源總數：連線至適用於雲端的 Defender 的資源總數。
狀況不良的資源：具有您可以實作之作用中安全性建議的資源。深入了解如何實作安全性建議。
依環境的資源計數：每個環境中的資源數目。
未註冊的訂閱：所選取範圍中未連線至適用於雲端的 Microsoft Defender 的任何訂閱。

線上到適用於雲端的 Defender並執行這些應用程式的資源隨即顯示。空白選項會顯示無法使用適用於伺服器的 Defender/適用於端點的 Defender 的電腦。

篩選清查

一旦您套用篩選，摘要值就會更新為與查詢結果相關。

3 - 匯出工具

下載 CSV 報告 - 將所選取選擇選項的結果匯出至 CSV 檔案。

開啟查詢 - 將查詢本身匯出至 Azure Resource Graph （ARG），以進一步精簡、儲存或修改 Kusto 查詢語言（KQL）查詢。

資產清查的運作方式為何？

除了預先定義的篩選之外，您還可以從 Resource Graph 總管探索軟體清查數據。

ARG 的目的是提供有效率的資源探索以及大規模查詢的功能。

您可以在資產清查使用 Kusto 查詢語言 (KQL)，交互參照適用於雲端的 Defender 資料和其他資源屬性，以快速產生深入解析。

如何使用資產清查

從適用於雲端的 Defender 側邊欄中，選取 [清查]。
使用 [依名稱篩選] 方塊來顯示特定資源，或使用篩選條件將焦點放在特定資源上。

根據預設，資源會依作用中安全性建議的數目來排序。

重要

每個篩選條件中的選項都專屬於目前所選訂閱中的資源，以及您在其他篩選條件中的選取項目。

例如，如果您只選取一個訂閱，且訂閱沒有任何資源有未處理的安全性建議需要補救 (0 個狀況不良的資源)，建議篩選條件將不會有任何選項。
若要使用 安全性結果 篩選器，請輸入標識符、安全性檢查或弱點尋找的 CVE 名稱中的免費文字，以篩選至受影響的資源：

提示

安全性結果和標籤篩選只會接受單一值。若要根據多個條件進行篩選，請使用 [新增篩選條件]。
若要在 Resource Graph Explorer 中檢視目前選取的篩選選項做為查詢，請選取 [開啟查詢]。
如果您已定義一些篩選並讓頁面保持開啟狀態，適用於雲端的 Defender 不會自動更新結果。除非您手動重載頁面或選取 [重新整理]，否則資源的任何變更都不會影響顯示的結果。

存取軟體清查

若要存取軟體清查，您需要下列其中一個方案：

使用 Azure Resource Graph 總管來存取和探索軟體清查數據的範例

開啟 [Azure Resource Graph 總管]。
選取下列訂用帳戶範圍： securityresources/softwareinventories
輸入下列任一查詢 (或加以自訂，或自行撰寫！)，然後選取 [執行查詢]。

查詢範例

若要產生已安裝軟體的基本清單：

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

若要依版本號碼篩選：

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

若要尋找具有軟體產品組合的機器：

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

若要將軟體產品與其他安全性建議結合：

(在此範例中為已安裝 MySQL 和公開管理連接埠的機器)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

匯出清查

若要以 CSV 格式儲存篩選的清查，請選取 [ 下載 CSV 報告]。
若要在 Resource Graph 總管中儲存查詢，請選取 [ 開啟查詢]。當您準備好儲存查詢時，請選取 [另存新檔] 並在 [儲存查詢] 中選取 [另存新檔]、特定查詢名稱和描述，以及查詢是否為私用或共用。

除非您手動重載頁面或選取 [重新整理]，否則對資源的變更不會影響顯示的結果。

共用方式為