استخدام مخزون الأصول لإدارة الوضع الأمني لمواردك

  • مقالة
  • قراءة خلال 6 دقائق

توفر صفحة جرد الأصول في Microsoft Defender for Cloud صفحة واحدة لعرض الوضع الأمني للموارد التي قمت بتوصيلها ب Microsoft Defender for Cloud.

يحلل Defender for Cloud بشكل دوري الحالة الأمنية للموارد المتصلة باشتراكاتك لتحديد الثغرات الأمنية المحتملة. ثم يوفر لك توصيات حول كيفية معالجة هذه الثغرات الأمنية.

عندما يكون لدى أي مورد توصيات معلقة، ستظهر في المخزون.

استخدام طريقة العرض هذه وعوامل التصفية الخاصة بها لمعالجة أسئلة مثل:

  • أي من اشتراكاتي مع ميزات أمان محسنة ممكنة لديها توصيات رائعة؟
  • أي من أجهزتي التي تحمل علامة "الإنتاج" تفتقد إلى عامل "تحليلات السجل"؟
  • كم عدد أجهزتي المميزة بعلامة معينة لديها توصيات معلقة؟
  • ما هي الأجهزة الموجودة في مجموعة موارد معينة التي لديها ثغرة أمنية معروفة (باستخدام رقم مكافحة التطرف العنيف)؟

تعد إمكانيات إدارة الأصول لهذه الأداة كبيرة وتستمر في النمو.

تلميح

توصيات الأمان في صفحة جرد مواد العرض هي نفسها الموجودة في صفحة التوصيات، ولكن هنا يتم عرضها وفقا للمورد المتأثر. للحصول على معلومات حول كيفية حل التوصيات، راجع تنفيذ توصيات الأمان في Microsoft Defender for Cloud.

التوفر

الجانب التفاصيل
حالة الإصدار: التوافر العام (GA)
التسعير: مجانا*
* تتطلب بعض ميزات صفحة المخزون ، مثل مخزون البرامج ، وجود حلول مدفوعة الأجر في مكانها الصحيح
الأدوار والأذونات المطلوبة: جميع المستخدمين
سحب: ⁩ السحب التجارية
National (Azure Government, Azure China 21Vianet)

ما هي السمات الرئيسية لجرد الأصول؟

توفر صفحة المخزون الأدوات التالية:

Main features of the asset inventory page in Microsoft Defender for Cloud.

1- ملخصات

قبل تعريف أي عوامل تصفية، يظهر شريط بارز من القيم أعلى طريقة عرض المخزون:

  • إجمالي الموارد: إجمالي عدد الموارد المتصلة ب Defender for Cloud.
  • الموارد غير الصحية: الموارد التي تحتوي على توصيات أمان نشطة. مزيد من المعلومات حول توصيات الأمان.
  • الموارد غير الخاضعة للمراقبة: الموارد التي تواجه مشكلات في مراقبة الوكيل - يتم نشر وكيل Log Analytics، ولكن الوكيل لا يرسل البيانات أو يواجه مشكلات صحية أخرى.
  • الاشتراكات غير المسجلة: أي اشتراك في النطاق المحدد لم يتم توصيله بعد ب Microsoft Defender for Cloud.

2 - الفلاتر

توفر الفلاتر المتعددة في أعلى الصفحة طريقة لتحسين قائمة الموارد بسرعة وفقا للسؤال الذي تحاول الإجابة عليه. على سبيل المثال، إذا كنت ترغب في الإجابة على السؤال أي من أجهزتي التي تحمل العلامة "إنتاج" تفتقد إلى وكيل Log Analytics؟ يمكنك دمج فلتر مراقبة الوكيل مع فلتر العلامات .

بمجرد قيامك بتطبيق عوامل التصفية، يتم تحديث قيم الملخص لترتبط بنتائج الاستعلام.

3- أدوات التصدير وإدارة الأصول

خيارات التصدير - يتضمن المخزون خيارا لتصدير نتائج خيارات التصفية المحددة إلى ملف CSV. يمكنك أيضًا تصدير الاستعلام نفسه إلى Azure Resource Graph Explorer لتحسين أو حفظ أو تعديل استعلام Kusto Query Language (KQL).

تلميح

توفر وثائق KQL قاعدة بيانات تحتوي على بعض البيانات النموذجية مع بعض الاستعلامات البسيطة للحصول على "الشعور" للغة. تعرف على المزيد في هذا البرنامج التعليمي KQL.

خيارات إدارة الأصول - عندما تعثر على الموارد التي تطابق استعلاماتك، يوفر المخزون اختصارات لعمليات مثل:

  • تعيين علامات إلى الموارد التي تمت تصفيتها - حدد مربعات الاختيار بجانب الموارد التي تريد تمييزها.
  • قم بتضمين خوادم جديدة في Defender for Cloud - استخدم زر شريط أدوات إضافة خوادم غير Azure .
  • أتمتة أحمال العمل باستخدام Azure Logic Apps - استخدم الزر Trigger Logic App لتشغيل تطبيق منطقي على مورد واحد أو أكثر. يجب إعداد تطبيقاتك المنطقية مسبقا، وقبول نوع المشغل ذي الصلة (طلب HTTP). تعرف على المزيد حول التطبيقات المنطقية.

كيف يعمل مخزون الأصول؟

يستخدم مخزون الأصول Azure Resource Graph (ARG)، وهي خدمة Azure توفر القدرة على الاستعلام عن بيانات الوضع الأمني ل Defender for Cloud عبر اشتراكات متعددة.

تم تصميم ARG لتوفير استكشاف الموارد بكفاءة مع القدرة على الاستعلام على نطاق واسع.

باستخدام لغة استعلام Kusto (KQL)، يمكن لمخزون الأصول إنتاج رؤى عميقة بسرعة من خلال الرجوع إلى بيانات Defender for Cloud مع خصائص الموارد الأخرى.

كيفية استخدام مخزون الأصول

  1. من الشريط الجانبي ل Defender for Cloud، حدد المخزون.

  2. استخدم المربع تصفية حسب الاسم لعرض مورد معين، أو استخدم عوامل التصفية كما هو موضح أدناه.

  3. حدد الخيارات ذات الصلة في عوامل التصفية لإنشاء استعلام معين تريد تنفيذه.

    بشكل افتراضي، يتم فرز الموارد حسب عدد توصيات الأمان النشطة.

    هام

    الخيارات في كل فلتر خاصة بالموارد الموجودة في الاشتراكات المحددة حاليا وتحديداتك في الفلاتر الأخرى.

    على سبيل المثال، إذا قمت بتحديد اشتراك واحد فقط، ولم يكن للاشتراك أي موارد تحتوي على توصيات أمان معلقة لمعالجتها (0 موارد غير صحية)، فلن يكون لدى عامل تصفية التوصيات أي خيارات.

    Using the filter options in Microsoft Defender for Cloud's asset inventory to filter resources to production resources that aren't monitored

  4. لاستخدام عامل تصفية احتواء نتائج الأمان، أدخل نصا مجانيا من المعرف أو التحقق من الأمان أو اسم CVE لاكتشاف ثغرة أمنية للتصفية إلى الموارد المتأثرة:

    تلميح

    تحتوي نتائج الأمان على عوامل تصفية العلامات وتقبل قيمة واحدة فقط. للتصفية حسب أكثر من فلتر، استخدم إضافة فلاتر.

  5. لاستخدام عامل تصفية Defender for Cloud ، حدد خيارا واحدا أو أكثر (إيقاف التشغيل أو التشغيل أو جزئي):

    • إيقاف التشغيل - الموارد غير المحمية بواسطة خطة Microsoft Defender. يمكنك النقر بزر الماوس الأيمن فوق أي منها وترقيتها:

      Upgrade a resource to be protected by the relevant Microsoft Defender plan via right-click.

    • تشغيل - الموارد المحمية بواسطة خطة Microsoft Defender

    • جزئي - ينطبق هذا على الاشتراكات التي تم تعطيل بعض خطط Microsoft Defender وليس كلها. على سبيل المثال، يحتوي الاشتراك التالي على تعطيل سبع خطط Microsoft Defender.

      Subscription partially protected by Microsoft Defender plans.

  6. لمزيد من الفحص لنتائج الاستعلام، حدد الموارد التي تهمك.

  7. لعرض خيارات عامل التصفية المحددة الحالية كاستعلام في مستكشف Graph الموارد، حدد فتح الاستعلام.

    Inventory query in ARG.

  8. إذا قمت بتحديد بعض الفلاتر وتركت الصفحة مفتوحة، فلن يقوم Defender for Cloud بتحديث النتائج تلقائيا. لن تؤثر أي تغييرات على الموارد على النتائج المعروضة ما لم تقم بإعادة تحميل الصفحة يدويا أو تحديد تحديث.

الوصول إلى مخزون البرامج

إذا قمت بتمكين التكامل مع Microsoft Defender لنقطة النهاية وتمكين Microsoft Defender للخوادم، فستتمكن من الوصول إلى مخزون البرامج.

If you've enabled the threat and vulnerability solution, Defender for Cloud's asset inventory offers a filter to select resources by their installed software.

ملاحظة

يعرض الخيار "فارغ" الأجهزة التي لا تحتوي على Microsoft Defender لنقطة النهاية (أو بدون Microsoft Defender for Servers).

بالإضافة إلى عوامل التصفية في صفحة جرد الأصول، يمكنك استكشاف بيانات مخزون البرامج من Azure Resource Graph Explorer.

أمثلة على استخدام Azure Resource Graph Explorer للوصول إلى بيانات مخزون البرامج واستكشافها:

  1. افتح Azure Resource Graph Explorer.

    Launching Azure Resource Graph Explorer** recommendation page

  2. حدد نطاق الاشتراك التالي: موارد الأمان/مخزون البرامج

  3. أدخل أيا من الاستعلامات التالية (أو قم بتخصيصها أو اكتب استعلاماتك الخاصة!) وحدد تشغيل الاستعلام.

    • لإنشاء قائمة أساسية بالبرامج المثبتة:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • للتصفية حسب أرقام الإصدارات:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • للعثور على أجهزة مزودة بمجموعة من منتجات البرامج:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • الجمع بين منتج برمجي وتوصية أمان أخرى:

      (في هذا المثال - الأجهزة التي تحتوي على MySQL مثبتة ومكشوفة لمنافذ الإدارة)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

الأسئلة الشائعة - المخزون

لماذا لا يتم عرض جميع اشتراكاتي وأجهزتي وحسابات التخزين وما إلى ذلك؟

تسرد طريقة عرض المخزون الموارد المتصلة ب Defender for Cloud من منظور إدارة وضع أمان السحابة (CSPM). لا تقوم الفلاتر بإرجاع كل مورد في بيئتك. فقط تلك التي لديها توصيات معلقة (أو "نشطة").

على سبيل المثال، تعرض لقطة الشاشة التالية مستخدما لديه حق الوصول إلى 8 اشتراكات ولكن 7 اشتراكات فقط لديها توصيات حاليا. لذلك عندما تتم التصفية حسب نوع المورد = الاشتراكات ، تظهر فقط تلك الاشتراكات ال 7 ذات التوصيات النشطة في المخزون:

Not all subs returned when there are no active recommendations.

لماذا تعرض بعض مواردي قيما فارغة في أعمدة Defender for Cloud أو وكيل المراقبة؟

ليس كل الموارد التي تراقبها Defender for Cloud لديها وكلاء. على سبيل المثال، لا تحتاج حسابات تخزين Azure أو موارد PaaS مثل الأقراص والتطبيقات المنطقية وتحليل بحيرة البيانات ومركز الأحداث إلى مراقبة الوكلاء بواسطة Defender for Cloud.

عندما لا يكون التسعير أو مراقبة الوكيل ذا صلة بمورد ما ، فلن يتم عرض أي شيء في أعمدة المخزون هذه.

Some resources show blank info in the monitoring agent or Defender for Cloud columns.

الخطوات التالية

توضح هذه المقالة صفحة مخزون الأصول الخاصة ب Microsoft Defender for Cloud.

لمزيد من المعلومات حول الأدوات ذات الصلة، راجع الصفحات التالية: