Použití inventáře prostředků ke správě stavu zabezpečení prostředků
Stránka inventáře prostředků Microsoft Defender pro cloud zobrazuje stav zabezpečení prostředků, které jste připojili k Defenderu for Cloud. Defender for Cloud pravidelně analyzuje stav zabezpečení prostředků připojených k vašim předplatným, aby identifikoval potenciální problémy se zabezpečením a poskytuje aktivní doporučení. Aktivní doporučení jsou doporučení, která je možné vyřešit, aby se zlepšil stav zabezpečení.
Toto zobrazení a jeho filtry použijte k řešení takových otázek, jako jsou:
- Která z mých předplatných s povolenými plány Defenderu mají nevyřešená doporučení?
- U kterých z mých počítačů se značkou Production chybí agent Log Analytics?
- Kolik počítačů označených konkrétní značkou má nevyřešená doporučení?
- U kterých počítačů v konkrétní skupině prostředků je známá chyba zabezpečení (s použitím čísla CVE)?
Doporučení zabezpečení na stránce inventáře prostředků se také zobrazují na stránce Doporučení , ale tady se zobrazují podle ovlivněného prostředku. Přečtěte si další informace o implementaci doporučení zabezpečení.
Dostupnost
Aspekt | Podrobnosti |
---|---|
Stav vydání: | Všeobecná dostupnost (GA) |
Ceny: | Free Některé funkce stránky inventáře, například inventář softwaru , vyžadují placená řešení. |
Požadované role a oprávnění: | Všichni uživatelé |
Mraky: | Komerční cloudy National (Azure Government, Microsoft Azure provozovaný společností 21Vianet) Inventář softwaru se v současné době v národních cloudech nepodporuje. |
Jaké jsou klíčové funkce inventáře prostředků?
Stránka inventáře obsahuje následující nástroje:
1 . Souhrny
Před definováním filtrů se v horní části zobrazení inventáře zobrazí prominentní pruh hodnot:
- Celkový počet prostředků: Celkový počet prostředků připojených k Defenderu for Cloud.
- Prostředky, které nejsou v pořádku: Prostředky s doporučeními k aktivnímu zabezpečení, které můžete implementovat. Přečtěte si další informace o implementaci doporučení zabezpečení.
- Nesledované prostředky: Prostředky s problémy s monitorováním agentů – mají nasazeného agenta Log Analytics, ale agent neodesílá data nebo má jiné problémy se stavem.
- Neregistrovaná předplatná: Všechna předplatná ve vybraném rozsahu, která ještě nebyla připojená k Microsoft Defender for Cloud.
2 . Filtry
Několik filtrů v horní části stránky poskytuje způsob, jak rychle upřesnit seznam prostředků podle otázky, na kterou se pokoušíte odpovědět. Pokud byste například chtěli vědět, ve kterých z vašich počítačů se značkou Production chybí agent Log Analytics, můžete vyfiltrovat seznam monitorování agentů: Nenainstalováno a Značky:"Produkční".
Jakmile použijete filtry, souhrnné hodnoty se aktualizují tak, aby souvisely s výsledky dotazu.
3. Nástroje pro export a správu prostředků
Možnosti exportu – Inventář zahrnuje možnost exportu výsledků vybraných možností filtru do souboru CSV. Můžete také exportovat samotný dotaz do Azure Resource Graph Exploreru a dále zpřesnit, uložit nebo upravit dotaz dotazovací jazyk Kusto (KQL).
Tip
Dokumentace k KQL poskytuje databázi s ukázkovými daty spolu s některými jednoduchými dotazy, které můžou získat dojem pro jazyk. Další informace najdete v tomto kurzu KQL.
Možnosti správy prostředků – Když najdete prostředky, které odpovídají vašim dotazům, inventář poskytuje zástupce pro operace, jako jsou:
- Přiřaďte filtrovaným prostředkům značky – zaškrtněte políčka vedle prostředků, které chcete označit.
- Onboarding nových serverů do Defenderu pro cloud – použijte tlačítko Panel nástrojů Přidat servery mimo Azure .
- Automatizace úloh pomocí Azure Logic Apps – pomocí tlačítka Aktivovat aplikaci logiky spusťte aplikaci logiky na jednom nebo několika prostředcích. Aplikace logiky musí být předem připravené a přijmout příslušný typ triggeru (požadavek HTTP). Přečtěte si další informace o aplikacích logiky.
Jak funguje inventář prostředků?
Inventář prostředků využívá azure Resource Graph (ARG), službu Azure, která umožňuje dotazovat se na data stavu zabezpečení Defenderu pro cloud napříč několika předplatnými.
Služba ARG je navržená tak, aby poskytovala efektivní průzkum zdrojů s možností dotazování ve velkém měřítku.
Pomocí dotazovací jazyk Kusto (KQL) v inventáři prostředků můžete rychle získat podrobné přehledy křížovým odkazem na data Defenderu for Cloud s dalšími vlastnostmi prostředku.
Jak používat inventář prostředků
Na bočním panelu Defenderu pro cloud vyberte Inventář.
Pomocí pole Filtrovat podle názvu můžete zobrazit konkrétní prostředek nebo se pomocí filtrů zaměřit na konkrétní prostředky.
Ve výchozím nastavení jsou prostředky seřazené podle počtu doporučení k aktivnímu zabezpečení.
Důležité
Možnosti v jednotlivých filtrech jsou specifické pro prostředky v aktuálně vybraných předplatných a vaše výběry v ostatních filtrech.
Pokud jste například vybrali jenom jedno předplatné a předplatné nemá žádné prostředky s nevyřešenými doporučeními zabezpečení k nápravě (0 prostředků, které nejsou v pořádku), filtr Doporučení nebude mít žádné možnosti.
Pokud chcete použít filtr Zjištění zabezpečení obsahují , zadejte volný text z ID, kontroly zabezpečení nebo cve názvu chyby zabezpečení, která se má vyfiltrovat podle ovlivněných prostředků:
Tip
Filtry Zjištění zabezpečení obsahují a Značky přijímají pouze jednu hodnotu. Pokud chcete filtrovat podle více než jednoho, použijte přidat filtry.
Pokud chcete použít filtr Defender for Cloud , vyberte jednu nebo více možností (Vypnuto, Zapnuto nebo Částečné):
Vypnuto – prostředky nejsou chráněné plánem Microsoft Defender. Můžete kliknout pravým tlačítkem na prostředky a upgradovat je:
On – Prostředky chráněné plánem Microsoft Defender
Částečné - Předplatná, u nichž jsou zakázané některé plány Microsoft Defender, ale ne všechny. Například následující předplatné má zakázáno sedm Microsoft Defender plánů.
Pokud chcete podrobněji prozkoumat výsledky dotazu, vyberte prostředky, které vás zajímají.
Pokud chcete zobrazit aktuální vybrané možnosti filtru jako dotaz v průzkumníku Resource Graph, vyberte Otevřít dotaz.
Pokud jste definovali některé filtry a nechali stránku otevřenou, Defender for Cloud výsledky automaticky neaktualizuje. Žádné změny prostředků nebudou mít vliv na zobrazené výsledky, pokud stránku nenačtete ručně znovu nebo nevyberete Aktualizovat.
Přístup k inventáři softwaru
Pro přístup k inventáři softwaru budete potřebovat jedno z následujících placených řešení:
- Kontrola počítačů bez agentů ze služby Defender Cloud Security Posture Management (CSPM)
- Prohledávání počítačů bez agentů z Defenderu pro servery P2.
- Microsoft Defender for Endpoint integraci z Defenderu pro servery.
Pokud jste už povolili integraci s Microsoft Defender for Endpoint a povolili Microsoft Defender pro servery, budete mít přístup k inventáři softwaru.
Poznámka
Možnost Prázdné zobrazí počítače bez Microsoft Defender for Endpoint nebo bez Microsoft Defender pro servery.
Kromě filtrů na stránce inventáře prostředků můžete prozkoumat data inventáře softwaru z Azure Resource Graph Exploreru.
Příklady použití Azure Resource Graph Exploreru pro přístup k datům inventáře softwaru a jejich zkoumání:
Otevřete Azure Resource Graph Explorer.
Vyberte následující rozsah předplatného: securityresources/softwareinventories
Zadejte některý z následujících dotazů (nebo si je přizpůsobte nebo napište vlastní)) a vyberte Spustit dotaz.
Pokud chcete vygenerovat základní seznam nainstalovaného softwaru:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Filtrování podle čísel verzí:
securityresources | where type == "microsoft.security/softwareinventories" | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version) | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
Vyhledání počítačů s kombinací softwarových produktů:
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = properties.azureVmId | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql" | summarize count() by tostring(vmId) | where count_ > 1
Kombinace softwarového produktu s jiným doporučením zabezpečení:
(V tomto příkladu – počítače s nainstalovaným MySQL a vystavené porty pro správu)
securityresources | where type == "microsoft.security/softwareinventories" | extend vmId = tolower(properties.azureVmId) | where properties.softwareName == "mysql" | join ( securityresources | where type == "microsoft.security/assessments" | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy" | extend vmId = tolower(properties.resourceDetails.Id) ) on vmId
Další kroky
Tento článek popisuje stránku inventáře prostředků Microsoft Defender pro cloud.
Další informace o souvisejících nástrojích najdete na následujících stránkách:
- Azure Resource Graph (ARG)
- KQL (Kusto Query Language)
- Zobrazit běžné otázky týkající se inventáře prostředků