Creare report avanzati e interattivi di dati Defender per il cloud usando cartelle di lavoro
Le cartelle di lavoro di Azure sono aree di disegno flessibili che è possibile usare per analizzare i dati e creare report visivi avanzati nella portale di Azure. Nelle cartelle di lavoro è possibile accedere a più origini dati in Azure. Combinare cartelle di lavoro in esperienze unificate interattive.
Le cartelle di lavoro offrono un set completo di funzionalità per la visualizzazione dei dati di Azure. Per informazioni dettagliate su ogni tipo di visualizzazione, vedere gli esempi di visualizzazioni e la documentazione.
In Microsoft Defender per il cloud è possibile accedere alle cartelle di lavoro predefinite per tenere traccia del comportamento di sicurezza dell'organizzazione. È anche possibile creare cartelle di lavoro personalizzate per visualizzare un'ampia gamma di dati da Defender per il cloud o da altre origini dati supportate.
Per i prezzi, vedere la pagina dei prezzi.
Prerequisiti
Ruoli e autorizzazioni necessari: per salvare una cartella di lavoro, è necessario disporre almeno delle autorizzazioni Collaboratore cartella di lavoro per il gruppo di risorse pertinente.
Disponibilità cloud: cloud commerciali nazionali (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)
Usare le cartelle di lavoro della raccolta di Defender per il cloud
In Defender per il cloud è possibile usare la funzionalità integrata delle cartelle di lavoro di Azure per creare cartelle di lavoro personalizzate e interattive che visualizzano i dati di sicurezza. Defender per il cloud include una raccolta cartelle di lavoro con le cartelle di lavoro seguenti pronte per la personalizzazione:
- Cartella di lavoro di copertura: tenere traccia della copertura dei piani e delle estensioni di Defender per il cloud negli ambienti e nelle sottoscrizioni.
- Cartella di lavoro Secure Score Over Time: tenere traccia dei punteggi e delle modifiche apportate alle raccomandazioni per le risorse.
- Cartella di lavoro Aggiornamenti sistema: visualizzare gli aggiornamenti di sistema mancanti per risorsa, sistema operativo, gravità e altro ancora.
- Cartella di lavoro Risultati della valutazione della vulnerabilità: visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure.
- Cartella di lavoro Conformità nel tempo: visualizzare lo stato della conformità di una sottoscrizione agli standard normativi o agli standard di settore selezionati.
- Cartella di lavoro Avvisi attivi: visualizzare gli avvisi attivi per gravità, tipo, tag, tattiche MITRE ATT&CK e posizione.
- Cartella di lavoro Stima prezzi: visualizzare le stime dei prezzi mensili e consolidate per i piani Defender per il cloud in base ai dati di telemetria delle risorse nell'ambiente in uso. I numeri sono stime basate sui prezzi al dettaglio e non rappresentano i dati effettivi di fatturazione o fattura.
- Cartella di lavoro governance: usare il report di governance nelle impostazioni delle regole di governance per tenere traccia dello stato di avanzamento delle regole che influiscono sull'organizzazione.
- Cartella di lavoro di DevOps Security (anteprima): visualizzare una base personalizzabile che consente di visualizzare lo stato del comportamento devOps per i connettori configurati.
Insieme alle cartelle di lavoro predefinite, è possibile trovare cartelle di lavoro utili nella categoria Community . Queste cartelle di lavoro vengono fornite così come sono e non hanno alcun contratto di servizio o supporto. È possibile scegliere una delle cartelle di lavoro fornite o creare una cartella di lavoro personalizzata.
Suggerimento
Per personalizzare una delle cartelle di lavoro, selezionare il pulsante Modifica . Al termine della modifica, selezionare Salva. Le modifiche vengono salvate in una nuova cartella di lavoro.
Cartella di lavoro di coverage
Se si abilita Defender per il cloud tra più sottoscrizioni e ambienti (Azure, Amazon Web Services e Google Cloud Platform), potrebbe risultare difficile tenere traccia dei piani attivi. È particolarmente vero se si hanno più sottoscrizioni e ambienti.
La cartella di lavoro Coverage consente di tenere traccia dei piani di Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è possibile identificare le aree che potrebbero richiedere una maggiore protezione in modo da poter intervenire per risolvere tali aree.
In questa cartella di lavoro è possibile selezionare una sottoscrizione (o tutte le sottoscrizioni) e quindi visualizzare le schede seguenti:
- Informazioni aggiuntive: mostra le note sulla versione e una spiegazione di ogni interruttore.
- Copertura relativa: mostra la percentuale di sottoscrizioni o connettori con un piano di Defender per il cloud specifico abilitato.
- Copertura assoluta: mostra lo stato di ogni piano per ogni sottoscrizione.
- Copertura dettagliata: mostra impostazioni aggiuntive che possono essere abilitate o che devono essere abilitate nei piani pertinenti per ottenere il valore completo di ogni piano.
È anche possibile selezionare l'ambiente Azure, Amazon Web Services o Google Cloud Platform in ogni sottoscrizione o in tutte le sottoscrizioni per visualizzare i piani e le estensioni abilitati per gli ambienti.
Cartella di lavoro Secure Score Over Time
La cartella di lavoro Secure Score Over Time usa i dati del punteggio di sicurezza dell'area di lavoro Log Analytics. I dati devono essere esportati usando lo strumento di esportazione continua come descritto in Configurare l'esportazione continua per Defender per il cloud nel portale di Azure.
Quando si configura l'esportazione continua, in Frequenza di esportazione selezionare sia Aggiornamenti di streaming che Snapshot (anteprima).
Nota
Gli snapshot vengono esportati settimanalmente. Si verifica un ritardo di almeno una settimana dopo l'esportazione del primo snapshot prima di poter visualizzare i dati nella cartella di lavoro.
Suggerimento
Per configurare l'esportazione continua nell'organizzazione, usare i criteri forniti DeployIfNotExist
in Criteri di Azure descritti in Configurare l'esportazione continua su larga scala.
La cartella di lavoro Secure Score Over Time include cinque grafici per le sottoscrizioni che segnalano alle aree di lavoro selezionate:
Grafico | Esempio |
---|---|
Assegnare un punteggio alle tendenze per l'ultima settimana e mese Usare questa sezione per monitorare il punteggio corrente e le tendenze generali dei punteggi per le sottoscrizioni. |
|
Punteggio aggregato per tutte le sottoscrizioni selezionate Passare il puntatore del mouse su qualsiasi punto della linea di tendenza per visualizzare il punteggio aggregato in qualsiasi data nell'intervallo di tempo selezionato. |
|
Consigli con le risorse più non integre Questa tabella consente di valutare le raccomandazioni con la maggior parte delle risorse che sono state modificate in uno stato non integro nel periodo selezionato. |
|
Punteggi per controlli di sicurezza specifici I controlli di sicurezza in Defender per il cloud sono raggruppamenti logici di raccomandazioni. Questo grafico mostra a colpo d'occhio i punteggi settimanali per tutti i controlli. |
|
Modifiche alle risorse Consigli con la maggior parte delle risorse che hanno modificato lo stato (integro, non integro o non applicabile) durante il periodo selezionato sono elencati qui. Selezionare una raccomandazione nell'elenco per aprire una nuova tabella che elenca le risorse specifiche. |
Cartella di lavoro Aggiornamenti di sistema
La cartella di lavoro System Aggiornamenti si basa sulla raccomandazione di sicurezza che gli aggiornamenti di sistema devono essere installati nei computer. La cartella di lavoro consente di identificare i computer con aggiornamenti da applicare.
È possibile visualizzare lo stato di aggiornamento per le sottoscrizioni selezionate:
- Elenco di risorse con aggiornamenti in sospeso da applicare.
- Elenco di aggiornamenti mancanti nelle risorse.
Cartella di lavoro Risultati valutazione vulnerabilità
Defender per il cloud include scanner di vulnerabilità per i computer, i contenitori nei registri contenitori e i computer che eseguono SQL Server.
Altre informazioni sull'uso di questi scanner:
- Individuare le vulnerabilità con Gestione delle vulnerabilità di Microsoft Defender
- Individuare le vulnerabilità con lo scanner Qualys integrato
- Analizzare le immagini del Registro Azure Container per individuare le vulnerabilità
- Analizzare le immagini ECR per individuare le vulnerabilità
- Analizzare le risorse SQL per individuare le vulnerabilità
I risultati per ogni tipo di risorsa vengono segnalati in raccomandazioni separate:
- Le vulnerabilità nelle macchine virtuali devono essere risolte (include i risultati di Gestione delle vulnerabilità di Microsoft Defender, lo scanner Qualys integrato e le eventuali soluzioni BYOL VA configurate)
- Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti
- I database SQL devono avere i risultati della vulnerabilità risolti
- I risultati della vulnerabilità nei server SQL nei computer devono essere risolti
La cartella di lavoro Risultati valutazione della vulnerabilità raccoglie questi risultati e li organizza in base alla gravità, al tipo di risorsa e alla categoria.
Cartella di lavoro Conformità nel tempo
Microsoft Defender for Cloud confronta continuamente la configurazione delle risorse con i requisiti di benchmark, normative e standard del settore. Gli standard predefiniti includono NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST e altro ancora. È possibile selezionare gli standard rilevanti per l'organizzazione usando il dashboard di conformità alle normative. Per altre informazioni, vedere Personalizzare il set di standard nel dashboard di conformità alle normative.
La cartella di lavoro Compliance Over Time tiene traccia dello stato di conformità nel tempo usando i vari standard aggiunti al dashboard.
Quando si seleziona uno standard nell'area di panoramica del report, nel riquadro inferiore viene visualizzata una suddivisione più dettagliata:
Per visualizzare le risorse passate o non riuscite a ogni controllo, è possibile continuare a eseguire il drill-down fino al livello di raccomandazione.
Suggerimento
Per ogni pannello del report, è possibile esportare i dati in Excel usando l'opzione Esporta in Excel .
Cartella di lavoro Avvisi attivi
La cartella di lavoro Avvisi attivi visualizza gli avvisi di sicurezza attivi per le sottoscrizioni in un unico dashboard. Gli avvisi di sicurezza sono le notifiche che Defender per il cloud generano quando rileva le minacce contro le risorse. Defender per il cloud assegna priorità ed elenca gli avvisi con le informazioni necessarie per analizzare e correggere rapidamente.
Questa cartella di lavoro offre vantaggi grazie alla consapevolezza e alla priorità delle minacce attive nell'ambiente in uso.
Nota
La maggior parte delle cartelle di lavoro usa Azure Resource Graph per eseguire query sui dati. Ad esempio, per visualizzare una visualizzazione mappa, i dati vengono sottoposti a query in un'area di lavoro Log Analytics. L'esportazione continua deve essere abilitata. Esportare gli avvisi di sicurezza nell'area di lavoro Log Analytics.
È possibile visualizzare gli avvisi attivi in base alla gravità, al gruppo di risorse e al tag.
È anche possibile visualizzare gli avvisi principali della sottoscrizione da risorse attaccate, tipi di avviso e nuovi avvisi.
Per visualizzare altri dettagli su un avviso, selezionare l'avviso.
La scheda Tattiche MITRE ATT&CK elenca gli avvisi nell'ordine della kill chain e il numero di avvisi presenti nella sottoscrizione in ogni fase.
È possibile visualizzare tutti gli avvisi attivi in una tabella e filtrare in base alle colonne.
Per visualizzare i dettagli per un avviso specifico, selezionare l'avviso nella tabella e quindi selezionare il pulsante Apri visualizzazione avvisi.
Per visualizzare tutti gli avvisi in base alla posizione in una visualizzazione mappa, selezionare la scheda Visualizzazione mappa.
Selezionare una posizione sulla mappa per visualizzare tutti gli avvisi per tale posizione.
Per visualizzare i dettagli per un avviso, selezionare un avviso e quindi selezionare il pulsante Apri visualizzazione avvisi.
Cartella di lavoro di DevOps Security
La cartella di lavoro di DevOps Security fornisce un report visivo personalizzabile del comportamento di sicurezza devOps. È possibile usare questa cartella di lavoro per visualizzare informazioni dettagliate sui repository con il maggior numero di vulnerabilità ed esposizioni comuni (CVE) e punti deboli, repository attivi con sicurezza avanzata disattivata, valutazioni del comportamento di sicurezza delle configurazioni dell'ambiente DevOps e molto altro ancora. Personalizzare e aggiungere report visivi personalizzati usando il set completo di dati in Azure Resource Graph per soddisfare le esigenze aziendali del team di sicurezza.
Nota
Per usare questo workbork, l'ambiente deve avere un connettore GitHub, un connettore GitLab o un connettore Azure DevOps.
Per distribuire la cartella di lavoro:
Accedere al portale di Azure.
Passare a Microsoft Defender per il cloud> Workbook.
Selezionare la cartella di lavoro DevOps Security (anteprima).
La cartella di lavoro carica e visualizza la scheda Panoramica . In questa scheda è possibile visualizzare il numero di segreti esposti, la sicurezza del codice e la sicurezza devOps. I risultati vengono visualizzati in totale per ogni repository e per gravità.
Per visualizzare il conteggio in base al tipo di segreto, selezionare la scheda Segreti .
Nella scheda Codice vengono visualizzati il conteggio dei risultati per strumento e repository. Mostra i risultati dell'analisi del codice in base alla gravità.
Nella scheda Vulnerabilità del sistema operativo vengono visualizzate vulnerabilità di sicurezza open source (OSS) in base alla gravità e al numero di risultati per repository.
Nella scheda Infrastruttura come codice vengono visualizzati i risultati in base allo strumento e al repository.
Nella scheda Postura viene visualizzato il comportamento di sicurezza in base alla gravità e al repository.
La scheda Minacce e tattiche visualizza il numero di minacce e tattiche per repository e il conteggio totale.
Importare cartelle di lavoro da altre raccolte di cartelle di lavoro
Per spostare le cartelle di lavoro compilate in altri servizi di Azure nella raccolta di cartelle di lavoro di Microsoft Defender per il cloud:
Aprire la cartella di lavoro da importare.
Nella barra degli strumenti, seleziona Modifica.
Sulla barra degli strumenti selezionare </> per aprire l'editor avanzato.
Nel modello della raccolta di cartelle di lavoro selezionare tutto il codice JSON nel file e copiarlo.
Aprire la raccolta di cartelle di lavoro in Defender per il cloud e quindi selezionare Nuovo nella barra dei menu.
Selezionare </>per aprire il Editor avanzato.
Incollare l'intero codice JSON del modello di raccolta.
Selezionare Applica.
Sulla barra degli strumenti selezionare Salva con nome.
Per salvare le modifiche apportate alla cartella di lavoro, immettere o selezionare le informazioni seguenti:
- Nome della cartella di lavoro.
- Area di Azure da usare.
- Eventuali informazioni rilevanti sulla sottoscrizione, il gruppo di risorse e la condivisione.
Per trovare la cartella di lavoro salvata, passare alla categoria Cartelle di lavoro modificate di recente.
Contenuto correlato
Questo articolo descrive la pagina delle cartelle di lavoro di Azure integrate Defender per il cloud che include report predefiniti e l'opzione per creare report personalizzati e interattivi.
- Altre informazioni sulle cartelle di lavoro di Azure.
Le cartelle di lavoro predefinite ottengono i dati da Defender per il cloud raccomandazioni.
- Informazioni sulle numerose raccomandazioni sulla sicurezza in Raccomandazioni sulla sicurezza: guida di riferimento.