Použití inventáře prostředků ke správě stavu zabezpečení prostředků

  • Článek

Stránka inventáře prostředků Microsoft Defender pro cloud zobrazuje stav zabezpečení prostředků, které jste připojili k Defenderu for Cloud. Defender for Cloud pravidelně analyzuje stav zabezpečení prostředků připojených k vašim předplatným, aby identifikoval potenciální problémy se zabezpečením a poskytuje aktivní doporučení. Aktivní doporučení jsou doporučení, která je možné vyřešit, aby se zlepšil stav zabezpečení.

Toto zobrazení a jeho filtry použijte k řešení takových otázek, jako jsou:

  • Která z mých předplatných s povolenými plány Defenderu mají nevyřešená doporučení?
  • U kterých z mých počítačů se značkou Production chybí agent Log Analytics?
  • Kolik počítačů označených konkrétní značkou má nevyřešená doporučení?
  • U kterých počítačů v konkrétní skupině prostředků je známá chyba zabezpečení (s použitím čísla CVE)?

Doporučení zabezpečení na stránce inventáře prostředků se také zobrazují na stránce Doporučení , ale tady se zobrazují podle ovlivněného prostředku. Přečtěte si další informace o implementaci doporučení zabezpečení.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Free
Některé funkce stránky inventáře, například inventář softwaru , vyžadují placená řešení.
Požadované role a oprávnění: Všichni uživatelé
Mraky: Komerční cloudy
National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)

Inventář softwaru se v současné době v národních cloudech nepodporuje.

Jaké jsou klíčové funkce inventáře prostředků?

Stránka inventáře obsahuje následující nástroje:

Hlavní funkce stránky inventáře prostředků v Microsoft Defender pro cloud

1 . Souhrny

Před definováním filtrů se v horní části zobrazení inventáře zobrazí prominentní pruh hodnot:

  • Celkový počet prostředků: Celkový počet prostředků připojených k Defenderu for Cloud.
  • Prostředky, které nejsou v pořádku: Prostředky s doporučeními k aktivnímu zabezpečení, které můžete implementovat. Přečtěte si další informace o implementaci doporučení zabezpečení.
  • Nesledované prostředky: Prostředky s problémy s monitorováním agentů – mají nasazeného agenta Log Analytics, ale agent neodesílá data nebo má jiné problémy se stavem.
  • Neregistrovaná předplatná: Všechna předplatná ve vybraném rozsahu, která ještě nebyla připojená k Microsoft Defender for Cloud.

2 . Filtry

Několik filtrů v horní části stránky poskytuje způsob, jak rychle upřesnit seznam prostředků podle otázky, na kterou se pokoušíte odpovědět. Pokud byste například chtěli vědět, ve kterých z vašich počítačů se značkou Production chybí agent Log Analytics, můžete vyfiltrovat seznam monitorování agentů: Nenainstalováno a Značky:"Produkční".

Jakmile použijete filtry, souhrnné hodnoty se aktualizují tak, aby souvisely s výsledky dotazu.

3. Nástroje pro export a správu prostředků

Možnosti exportu – Inventář zahrnuje možnost exportu výsledků vybraných možností filtru do souboru CSV. Můžete také exportovat samotný dotaz do Azure Resource Graph Exploreru a dále zpřesnit, uložit nebo upravit dotaz dotazovací jazyk Kusto (KQL).

Tip

Dokumentace k KQL poskytuje databázi s ukázkovými daty spolu s některými jednoduchými dotazy, které můžou získat dojem pro jazyk. Další informace najdete v tomto kurzu KQL.

Možnosti správy prostředků – Když najdete prostředky, které odpovídají vašim dotazům, inventář poskytuje zástupce pro operace, jako jsou:

  • Přiřaďte filtrovaným prostředkům značky – zaškrtněte políčka vedle prostředků, které chcete označit.
  • Onboarding nových serverů do Defenderu pro cloud – použijte tlačítko Panel nástrojů Přidat servery mimo Azure .
  • Automatizace úloh pomocí Azure Logic Apps – pomocí tlačítka Aktivovat aplikaci logiky spusťte aplikaci logiky na jednom nebo několika prostředcích. Aplikace logiky musí být předem připravené a přijmout příslušný typ triggeru (požadavek HTTP). Přečtěte si další informace o aplikacích logiky.

Jak funguje inventář prostředků?

Inventář prostředků využívá azure Resource Graph (ARG), službu Azure, která umožňuje dotazovat se na data stavu zabezpečení Defenderu pro cloud napříč několika předplatnými.

Služba ARG je navržená tak, aby poskytovala efektivní průzkum zdrojů s možností dotazování ve velkém měřítku.

Pomocí dotazovací jazyk Kusto (KQL) v inventáři prostředků můžete rychle získat podrobné přehledy křížovým odkazem na data Defenderu for Cloud s dalšími vlastnostmi prostředku.

Jak používat inventář prostředků

  1. Na bočním panelu Defenderu pro cloud vyberte Inventář.

  2. Pomocí pole Filtrovat podle názvu můžete zobrazit konkrétní prostředek nebo se pomocí filtrů zaměřit na konkrétní prostředky.

    Ve výchozím nastavení jsou prostředky seřazené podle počtu doporučení k aktivnímu zabezpečení.

    Důležité

    Možnosti v jednotlivých filtrech jsou specifické pro prostředky v aktuálně vybraných předplatných a vaše výběry v ostatních filtrech.

    Pokud jste například vybrali jenom jedno předplatné a předplatné nemá žádné prostředky s nevyřešenými doporučeními zabezpečení k nápravě (0 prostředků, které nejsou v pořádku), filtr Doporučení nebude mít žádné možnosti.

    Použití možností filtru v Microsoft Defender inventáře prostředků cloudu k filtrování prostředků na produkční prostředky, které nejsou monitorované

  3. Pokud chcete použít filtr Zjištění zabezpečení obsahují , zadejte volný text z ID, kontroly zabezpečení nebo cve názvu chyby zabezpečení, která se má vyfiltrovat podle ovlivněných prostředků:

    Filtr

    Tip

    Filtry Zjištění zabezpečení obsahují a Značky přijímají pouze jednu hodnotu. Pokud chcete filtrovat podle více než jednoho, použijte přidat filtry.

  4. Pokud chcete použít filtr Defender for Cloud , vyberte jednu nebo více možností (Vypnuto, Zapnuto nebo Částečné):

    • Vypnuto – prostředky nejsou chráněné plánem Microsoft Defender. Můžete kliknout pravým tlačítkem na prostředky a upgradovat je:

      Upgradujte prostředek tak, aby byl chráněn příslušným plánem Microsoft Defender kliknutím pravým tlačítkem.

    • On – Prostředky chráněné plánem Microsoft Defender

    • Částečné - Předplatná, u nichž jsou zakázané některé plány Microsoft Defender, ale ne všechny. Například následující předplatné má zakázáno sedm Microsoft Defender plánů.

      Předplatné je částečně chráněné plány Microsoft Defender.

  5. Pokud chcete podrobněji prozkoumat výsledky dotazu, vyberte prostředky, které vás zajímají.

  6. Pokud chcete zobrazit aktuální vybrané možnosti filtru jako dotaz v průzkumníku Resource Graph, vyberte Otevřít dotaz.

    Dotaz inventáře v ARG.

  7. Pokud jste definovali některé filtry a nechali stránku otevřenou, Defender for Cloud výsledky automaticky neaktualizuje. Žádné změny prostředků nebudou mít vliv na zobrazené výsledky, pokud stránku nenačtete ručně znovu nebo nevyberete Aktualizovat.

Přístup k inventáři softwaru

Pro přístup k inventáři softwaru budete potřebovat jedno z následujících placených řešení:

Pokud jste už povolili integraci s Microsoft Defender for Endpoint a povolili Microsoft Defender pro servery, budete mít přístup k inventáři softwaru.

Pokud jste povolili řešení hrozeb a ohrožení zabezpečení, inventář prostředků Defenderu pro cloud nabízí filtr pro výběr prostředků podle nainstalovaného softwaru.

Poznámka

Možnost Prázdné zobrazí počítače bez Microsoft Defender for Endpoint nebo bez Microsoft Defender pro servery.

Kromě filtrů na stránce inventáře prostředků můžete prozkoumat data inventáře softwaru z Azure Resource Graph Exploreru.

Příklady použití Azure Resource Graph Exploreru pro přístup k datům inventáře softwaru a jejich zkoumání:

  1. Otevřete Azure Resource Graph Explorer.

    Stránka doporučení ke spuštění Azure Resource Graph Exploreru**

  2. Vyberte následující rozsah předplatného: securityresources/softwareinventories

  3. Zadejte některý z následujících dotazů (nebo si je přizpůsobte nebo napište vlastní)) a vyberte Spustit dotaz.

    • Pokud chcete vygenerovat základní seznam nainstalovaného softwaru:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Filtrování podle čísel verzí:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • Vyhledání počítačů s kombinací softwarových produktů:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Kombinace softwarového produktu s jiným doporučením zabezpečení:

      (V tomto příkladu – počítače s nainstalovaným MySQL a vystavené porty pro správu)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Další kroky

Tento článek popisuje stránku inventáře prostředků Microsoft Defender pro cloud.

Další informace o souvisejících nástrojích najdete na následujících stránkách: