Usare l'inventario degli asset per gestire il postura di sicurezza delle risorse

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati i Azure Defender in piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione.

Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

La pagina inventario asset di Microsoft Defender per cloud offre un'unica pagina per visualizzare il livello di sicurezza delle risorse connesse a Microsoft Defender per cloud.

Defender per il cloud analizza periodicamente lo stato di sicurezza delle risorse connesse alle sottoscrizioni per identificare le potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità.

Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.

Usare questa visualizzazione e i relativi filtri per rispondere alle domande seguenti:

  • Quale delle sottoscrizioni con funzionalità di sicurezza avanzate abilitate ha raccomandazioni in sospeso?
  • Quali computer con il tag 'Produzione' non hanno l'agente di Log Analytics?
  • Quanti computer contrassegnati con uno specifico tag hanno raccomandazioni in sospeso?
  • Quali computer in un gruppo di risorse specifico hanno una vulnerabilità nota (usando un numero CVE)?

Le possibilità di gestione delle risorse offerte da questo strumento sono notevoli e continuano ad aumentare.

Suggerimento

Le raccomandazioni sulla sicurezza nella pagina inventario degli asset sono le stesse della pagina Consigli, ma in questo caso vengono visualizzate in base alla risorsa interessata. Per informazioni su come risolvere le raccomandazioni, vedere Implementazione delle raccomandazioni di sicurezza in Microsoft Defender per cloud.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Gratuito*
* Alcune funzionalità della pagina inventario, ad esempio l'inventario software, richiedono l'installazione di soluzioni a pagamento
Autorizzazioni e ruoli obbligatori: tutti gli utenti
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China (21Vianet))

Quali sono le funzionalità principali dell'inventario degli asset?

La pagina dell'inventario contiene gli strumenti seguenti:

Funzionalità principali della pagina inventario asset in Microsoft Defender per cloud.

1 - Riepiloghi

Prima di definire i filtri, nella parte superiore della visualizzazione inventario viene visualizzato un elenco di valori di primo piano:

  • Risorse totali:numero totale di risorse connesse a Defender per cloud.
  • Risorse non integre:risorse con raccomandazioni sulla sicurezza attive. Altre informazioni sulle raccomandazioni sulla sicurezza.
  • Risorse non monitorate:risorse con problemi di monitoraggio dell'agente: l'agente di Log Analytics è distribuito, ma l'agente non invia dati o presenta altri problemi di integrità.
  • Sottoscrizioni non registrate:qualsiasi sottoscrizione nell'ambito selezionato che non sia ancora stata connessa a Microsoft Defender per cloud.

2 - Filtri

I filtri multipli nella parte superiore della pagina consentono di perfezionare rapidamente l'elenco delle risorse in base alla domanda a cui si sta tentando di rispondere. Ad esempio, se si vuole rispondere alla domanda In quali computer con il tag "Produzione" manca l'agente di Log Analytics? è possibile combinare il filtro Monitoraggio agente con il filtro Tag.

Non appena vengono applicati i filtri, i valori riepilogativi vengono aggiornati in base ai risultati della query.

3 - Strumenti di esportazione e gestione degli asset

Opzioni di esportazione: l'inventario include un'opzione per esportare i risultati delle opzioni di filtro selezionate in un file CSV. È anche possibile esportare la query stessa in Azure Resource Graph Explorer per affinare, salvare o modificare la query in linguaggio Kusto (KQL).

Suggerimento

La documentazione di KQL fornisce un database con alcuni dati di esempio insieme ad alcune semplici query per ottenere l'"aspetto" del linguaggio. Per altre informazioni, vedere questa esercitazione su KQL.

Opzioni di gestione degli asset: dopo aver trovato le risorse che corrispondono alle query, l'inventario fornisce collegamenti per operazioni quali:

  • Assegnare i tag alle risorse filtrate: selezionare le caselle di controllo accanto alle risorse da contrassegnare.
  • Eseguire l'onboard di nuovi server in Defender per Cloud: usare il pulsante della barra degli strumenti Aggiungi server non Azure.
  • Automatizzare i carichi di lavoro con App per la logica di Azure: usare il pulsante Trigger Logic App (Attiva app per la logica) per eseguire un'app per la logica in una o più risorse. Le app per la logica devono essere preparate in anticipo e accettare il tipo di trigger pertinente (richiesta HTTP). Altre informazioni sulle app per la logica.

Come funziona l'inventario degli asset?

L'inventario degli asset usa Azure Resource Graph (ARG),un servizio di Azure che consente di eseguire query sui dati di sicurezza di Defender per cloud tra più sottoscrizioni.

Il servizio ARG è progettato per fornire un'efficace esplorazione delle risorse con la possibilità di eseguire query su larga scala.

Usando il linguaggio di query Kusto (KQL),l'inventario degli asset può produrre rapidamente informazioni approfondite facendo riferimento tra i dati di Defender per il cloud con altre proprietà delle risorse.

Come usare l'inventario degli asset

  1. Dalla barra laterale di Defender per Cloud selezionare Inventario.

  2. Usare la casella Filtra per nome per visualizzare una risorsa specifica oppure usare i filtri come descritto di seguito.

  3. Selezionare le opzioni pertinenti nei filtri per creare la query specifica da eseguire.

    Per impostazione predefinita, le risorse sono ordinate in base al numero di raccomandazioni sulla sicurezza attive.

    Importante

    Le opzioni in ogni filtro sono specifiche delle risorse nelle sottoscrizioni attualmente selezionate e delle selezioni negli altri filtri.

    Ad esempio, se è stata selezionata una sola sottoscrizione e la sottoscrizione non ha risorse con raccomandazioni sulla sicurezza in sospeso da correggere (0 risorse non integre), il filtro Consigli non avrà opzioni.

    Uso delle opzioni di filtro nell'inventario degli asset di Microsoft Defender per cloud per filtrare le risorse in base alle risorse di produzione non monitorate

  4. Per usare il filtro Security findings contain (I risultati della sicurezza contengono il filtro), immettere il testo libero dall'ID, dal controllo di sicurezza o dal nome CVE di una ricerca di vulnerabilità per filtrare in base alle risorse interessate:

    Filtro

    Suggerimento

    I risultati della sicurezza contengono e i filtri Tag accettano solo un singolo valore. Per filtrare in base a più filtri, usare Aggiungi filtri.

  5. Per usare il selezionare una o più opzioni (Disattivato, On o Parziale):

    • Disattivato: risorse non protette da un piano di Microsoft Defender. È possibile fare clic con il pulsante destro del mouse su una di queste risorse per aggiornarle:

      Aggiornare una risorsa in modo che sia protetta dal piano di Microsoft Defender pertinente facendo clic con il pulsante destro del mouse.

    • In - Risorse protette da un piano di Microsoft Defender

    • Parziale: si applica alle sottoscrizioni con alcuni piani di Microsoft Defender disabilitati, ma non tutti. Ad esempio, la sottoscrizione seguente ha sette piani di Microsoft Defender disabilitati.

      Sottoscrizione parzialmente protetta dai piani di Microsoft Defender.

  6. Per esaminare ulteriormente i risultati della query, selezionare le risorse di interesse.

  7. Per visualizzare le opzioni di filtro attualmente selezionate come query in Esplora Graph risorse, selezionare Apri query.

    Query di inventario in ARG.

  8. Se sono stati definiti alcuni filtri e la pagina è stata lasciata aperta, Defender per Cloud non aggiornerà automaticamente i risultati. Le modifiche apportate alle risorse non inciderà sui risultati visualizzati a meno che non si ricarica manualmente la pagina o si seleziona Aggiorna.

Accedere a un inventario software

Se è stata abilitata l'integrazione con Microsoft Defender per Endpoint e Microsoft Defender per i server, sarà possibile accedere all'inventario software.

Se è stata abilitata la soluzione per minacce e vulnerabilità, l'inventario delle risorse di Defender per cloud offre un filtro per selezionare le risorse in base al software installato.

Nota

L'opzione "Vuoto" mostra i computer senza Microsoft Defender per endpoint (o senza Microsoft Defender per server).

Oltre ai filtri nella pagina inventario asset, è possibile esplorare i dati di inventario software da Azure Resource Graph Explorer.

Esempi di uso di Azure Resource Graph Explorer per accedere ed esplorare i dati di inventario software:

  1. Aprire Azure Resource Graph Explorer.

    Avvio della pagina dei consigli di Azure Resource Graph Explorer**

  2. Selezionare l'ambito della sottoscrizione seguente: securityresources/softwareinventories

  3. Immettere una delle query seguenti oppure personalizzarle o scriverne di personalizzate. e selezionare Esegui query.

    • Per generare un elenco di base del software installato:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Per filtrare in base ai numeri di versione:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Per trovare i computer con una combinazione di prodotti software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinazione di un prodotto software con un'altra raccomandazione sulla sicurezza:

      (In questo esempio, i computer in cui MySQL è installato ed esposto le porte di gestione)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Domande frequenti - Inventario

Perché non vengono visualizzate tutte le sottoscrizioni, i computer, gli account di archiviazione e così via?

La visualizzazione dell'inventario elenca le risorse connesse a Defender per il cloud dal punto di vista della gestione del modello di sicurezza cloud (CSPM, Cloud Security Posture Management). I filtri non restituiscono tutte le risorse nell'ambiente. solo quelli con raccomandazioni in sospeso (o "attive").

Ad esempio, lo screenshot seguente mostra un utente con accesso a 8 sottoscrizioni, ma attualmente solo 7 hanno raccomandazioni. Pertanto, quando si filtrano in base al tipodi risorsa = Sottoscrizioni , nell'inventario vengono visualizzate solo le 7 sottoscrizioni con raccomandazioni attive:

Non tutte le sottosezioni restituite quando non sono presenti raccomandazioni attive.

Perché alcune risorse mostrano valori vuoti nelle colonne Defender per cloud o agente di monitoraggio?

Non tutte le risorse monitorate di Defender per il cloud hanno agenti. Ad esempio, gli account Archiviazione di Azure o le risorse PaaS, ad esempio dischi, app per la logica, Analisi Data Lake e Hub eventi, non devono essere monitorati da Defender per il cloud.

Quando il monitoraggio dei prezzi o dell'agente non è rilevante per una risorsa, non verrà visualizzato nulla in tali colonne di inventario.

Alcune risorse mostrano informazioni vuote nell'agente di monitoraggio o nelle colonne di Defender per il cloud.

Passaggi successivi

Questo articolo ha descritto la pagina inventario degli asset di Microsoft Defender per cloud.

Per altre informazioni sugli strumenti correlati, vedere le pagine seguenti: