Creare report avanzati e interattivi di dati Defender per il cloud usando cartelle di lavoro

  • Articolo

Le cartelle di lavoro di Azure sono aree di disegno flessibili che è possibile usare per analizzare i dati e creare report visivi avanzati nella portale di Azure. Nelle cartelle di lavoro è possibile accedere a più origini dati in Azure. Combinare cartelle di lavoro in esperienze unificate interattive.

Le cartelle di lavoro offrono un set completo di funzionalità per la visualizzazione dei dati di Azure. Per informazioni dettagliate su ogni tipo di visualizzazione, vedere gli esempi di visualizzazioni e la documentazione.

In Microsoft Defender per il cloud è possibile accedere alle cartelle di lavoro predefinite per tenere traccia del comportamento di sicurezza dell'organizzazione. È anche possibile creare cartelle di lavoro personalizzate per visualizzare un'ampia gamma di dati da Defender per il cloud o da altre origini dati supportate.

Screenshot that shows the Secure Score Over Time workbook.

Per i prezzi, vedere la pagina dei prezzi.

Prerequisiti

Ruoli e autorizzazioni necessari: per salvare una cartella di lavoro, è necessario disporre almeno delle autorizzazioni Collaboratore cartella di lavoro per il gruppo di risorse pertinente.

Disponibilità cloud: cloud commerciali nazionali (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

In Defender per il cloud è possibile usare la funzionalità integrata delle cartelle di lavoro di Azure per creare cartelle di lavoro personalizzate e interattive che visualizzano i dati di sicurezza. Defender per il cloud include una raccolta cartelle di lavoro con le cartelle di lavoro seguenti pronte per la personalizzazione:

  • Cartella di lavoro di copertura: tenere traccia della copertura dei piani e delle estensioni di Defender per il cloud negli ambienti e nelle sottoscrizioni.
  • Cartella di lavoro Secure Score Over Time: tenere traccia dei punteggi e delle modifiche apportate alle raccomandazioni per le risorse.
  • Cartella di lavoro Aggiornamenti sistema: visualizzare gli aggiornamenti di sistema mancanti per risorsa, sistema operativo, gravità e altro ancora.
  • Cartella di lavoro Risultati della valutazione della vulnerabilità: visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure.
  • Cartella di lavoro Conformità nel tempo: visualizzare lo stato della conformità di una sottoscrizione agli standard normativi o agli standard di settore selezionati.
  • Cartella di lavoro Avvisi attivi: visualizzare gli avvisi attivi per gravità, tipo, tag, tattiche MITRE ATT&CK e posizione.
  • Cartella di lavoro Stima prezzi: visualizzare le stime dei prezzi mensili e consolidate per i piani Defender per il cloud in base ai dati di telemetria delle risorse nell'ambiente in uso. I numeri sono stime basate sui prezzi al dettaglio e non rappresentano i dati effettivi di fatturazione o fattura.
  • Cartella di lavoro governance: usare il report di governance nelle impostazioni delle regole di governance per tenere traccia dello stato di avanzamento delle regole che influiscono sull'organizzazione.
  • Cartella di lavoro di DevOps Security (anteprima): visualizzare una base personalizzabile che consente di visualizzare lo stato del comportamento devOps per i connettori configurati.

Insieme alle cartelle di lavoro predefinite, è possibile trovare cartelle di lavoro utili nella categoria Community . Queste cartelle di lavoro vengono fornite così come sono e non hanno alcun contratto di servizio o supporto. È possibile scegliere una delle cartelle di lavoro fornite o creare una cartella di lavoro personalizzata.

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

Suggerimento

Per personalizzare una delle cartelle di lavoro, selezionare il pulsante Modifica . Al termine della modifica, selezionare Salva. Le modifiche vengono salvate in una nuova cartella di lavoro.

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

Cartella di lavoro di coverage

Se si abilita Defender per il cloud tra più sottoscrizioni e ambienti (Azure, Amazon Web Services e Google Cloud Platform), potrebbe risultare difficile tenere traccia dei piani attivi. È particolarmente vero se si hanno più sottoscrizioni e ambienti.

La cartella di lavoro Coverage consente di tenere traccia dei piani di Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è possibile identificare le aree che potrebbero richiedere una maggiore protezione in modo da poter intervenire per risolvere tali aree.

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

In questa cartella di lavoro è possibile selezionare una sottoscrizione (o tutte le sottoscrizioni) e quindi visualizzare le schede seguenti:

  • Informazioni aggiuntive: mostra le note sulla versione e una spiegazione di ogni interruttore.
  • Copertura relativa: mostra la percentuale di sottoscrizioni o connettori con un piano di Defender per il cloud specifico abilitato.
  • Copertura assoluta: mostra lo stato di ogni piano per ogni sottoscrizione.
  • Copertura dettagliata: mostra impostazioni aggiuntive che possono essere abilitate o che devono essere abilitate nei piani pertinenti per ottenere il valore completo di ogni piano.

È anche possibile selezionare l'ambiente Azure, Amazon Web Services o Google Cloud Platform in ogni sottoscrizione o in tutte le sottoscrizioni per visualizzare i piani e le estensioni abilitati per gli ambienti.

Cartella di lavoro Secure Score Over Time

La cartella di lavoro Secure Score Over Time usa i dati del punteggio di sicurezza dell'area di lavoro Log Analytics. I dati devono essere esportati usando lo strumento di esportazione continua come descritto in Configurare l'esportazione continua per Defender per il cloud nel portale di Azure.

Quando si configura l'esportazione continua, in Frequenza di esportazione selezionare sia Aggiornamenti di streaming che Snapshot (anteprima).

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

Nota

Gli snapshot vengono esportati settimanalmente. Si verifica un ritardo di almeno una settimana dopo l'esportazione del primo snapshot prima di poter visualizzare i dati nella cartella di lavoro.

Suggerimento

Per configurare l'esportazione continua nell'organizzazione, usare i criteri forniti DeployIfNotExist in Criteri di Azure descritti in Configurare l'esportazione continua su larga scala.

La cartella di lavoro Secure Score Over Time include cinque grafici per le sottoscrizioni che segnalano alle aree di lavoro selezionate:

Grafico Esempio
Assegnare un punteggio alle tendenze per l'ultima settimana e mese
Usare questa sezione per monitorare il punteggio corrente e le tendenze generali dei punteggi per le sottoscrizioni.		 Screenshot that shows trends for secure score on the built-in workbook.
Punteggio aggregato per tutte le sottoscrizioni selezionate
Passare il puntatore del mouse su qualsiasi punto della linea di tendenza per visualizzare il punteggio aggregato in qualsiasi data nell'intervallo di tempo selezionato.		 Screenshot that shows an aggregated score for all selected subscriptions.
Consigli con le risorse più non integre
Questa tabella consente di valutare le raccomandazioni con la maggior parte delle risorse che sono state modificate in uno stato non integro nel periodo selezionato.		 Screenshot that shows recommendations that have the most unhealthy resources.
Punteggi per controlli di sicurezza specifici
I controlli di sicurezza in Defender per il cloud sono raggruppamenti logici di raccomandazioni. Questo grafico mostra a colpo d'occhio i punteggi settimanali per tutti i controlli.		 Screenshot that shows scores for your security controls over the selected time period.
Modifiche alle risorse
Consigli con la maggior parte delle risorse che hanno modificato lo stato (integro, non integro o non applicabile) durante il periodo selezionato sono elencati qui. Selezionare una raccomandazione nell'elenco per aprire una nuova tabella che elenca le risorse specifiche.		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

Cartella di lavoro Aggiornamenti di sistema

La cartella di lavoro System Aggiornamenti si basa sulla raccomandazione di sicurezza che gli aggiornamenti di sistema devono essere installati nei computer. La cartella di lavoro consente di identificare i computer con aggiornamenti da applicare.

È possibile visualizzare lo stato di aggiornamento per le sottoscrizioni selezionate:

  • Elenco di risorse con aggiornamenti in sospeso da applicare.
  • Elenco di aggiornamenti mancanti nelle risorse.

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

Cartella di lavoro Risultati valutazione vulnerabilità

Defender per il cloud include scanner di vulnerabilità per i computer, i contenitori nei registri contenitori e i computer che eseguono SQL Server.

Altre informazioni sull'uso di questi scanner:

I risultati per ogni tipo di risorsa vengono segnalati in raccomandazioni separate:

La cartella di lavoro Risultati valutazione della vulnerabilità raccoglie questi risultati e li organizza in base alla gravità, al tipo di risorsa e alla categoria.

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

Cartella di lavoro Conformità nel tempo

Microsoft Defender for Cloud confronta continuamente la configurazione delle risorse con i requisiti di benchmark, normative e standard del settore. Gli standard predefiniti includono NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST e altro ancora. È possibile selezionare gli standard rilevanti per l'organizzazione usando il dashboard di conformità alle normative. Per altre informazioni, vedere Personalizzare il set di standard nel dashboard di conformità alle normative.

La cartella di lavoro Compliance Over Time tiene traccia dello stato di conformità nel tempo usando i vari standard aggiunti al dashboard.

Screenshot that shows how to select the standards for your Compliance Over Time report.

Quando si seleziona uno standard nell'area di panoramica del report, nel riquadro inferiore viene visualizzata una suddivisione più dettagliata:

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

Per visualizzare le risorse passate o non riuscite a ogni controllo, è possibile continuare a eseguire il drill-down fino al livello di raccomandazione.

Suggerimento

Per ogni pannello del report, è possibile esportare i dati in Excel usando l'opzione Esporta in Excel .

Screenshot that shows how to export a compliance workbook data to Excel.

Cartella di lavoro Avvisi attivi

La cartella di lavoro Avvisi attivi visualizza gli avvisi di sicurezza attivi per le sottoscrizioni in un unico dashboard. Gli avvisi di sicurezza sono le notifiche che Defender per il cloud generano quando rileva le minacce contro le risorse. Defender per il cloud assegna priorità ed elenca gli avvisi con le informazioni necessarie per analizzare e correggere rapidamente.

Questa cartella di lavoro offre vantaggi grazie alla consapevolezza e alla priorità delle minacce attive nell'ambiente in uso.

Nota

La maggior parte delle cartelle di lavoro usa Azure Resource Graph per eseguire query sui dati. Ad esempio, per visualizzare una visualizzazione mappa, i dati vengono sottoposti a query in un'area di lavoro Log Analytics. L'esportazione continua deve essere abilitata. Esportare gli avvisi di sicurezza nell'area di lavoro Log Analytics.

È possibile visualizzare gli avvisi attivi in base alla gravità, al gruppo di risorse e al tag.

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

È anche possibile visualizzare gli avvisi principali della sottoscrizione da risorse attaccate, tipi di avviso e nuovi avvisi.

Screenshot that highlights the top alerts for your subscriptions.

Per visualizzare altri dettagli su un avviso, selezionare l'avviso.

Screenshot that shows all high-severity active alerts for a specific resource.

La scheda Tattiche MITRE ATT&CK elenca gli avvisi nell'ordine della kill chain e il numero di avvisi presenti nella sottoscrizione in ogni fase.

Screenshot that shows the order of the kill chain and the number of alerts.

È possibile visualizzare tutti gli avvisi attivi in una tabella e filtrare in base alle colonne.

Screenshot that shows the table of active alerts.

Per visualizzare i dettagli per un avviso specifico, selezionare l'avviso nella tabella e quindi selezionare il pulsante Apri visualizzazione avvisi.

Screenshot that shows an alert's details and the Open Alert View button.

Per visualizzare tutti gli avvisi in base alla posizione in una visualizzazione mappa, selezionare la scheda Visualizzazione mappa.

Screenshot that shows the alerts when viewed in a map in Map View.

Selezionare una posizione sulla mappa per visualizzare tutti gli avvisi per tale posizione.

Screenshot that shows the alerts in a specific location in Map View.

Per visualizzare i dettagli per un avviso, selezionare un avviso e quindi selezionare il pulsante Apri visualizzazione avvisi.

Cartella di lavoro di DevOps Security

La cartella di lavoro di DevOps Security fornisce un report visivo personalizzabile del comportamento di sicurezza devOps. È possibile usare questa cartella di lavoro per visualizzare informazioni dettagliate sui repository con il maggior numero di vulnerabilità ed esposizioni comuni (CVE) e punti deboli, repository attivi con sicurezza avanzata disattivata, valutazioni del comportamento di sicurezza delle configurazioni dell'ambiente DevOps e molto altro ancora. Personalizzare e aggiungere report visivi personalizzati usando il set completo di dati in Azure Resource Graph per soddisfare le esigenze aziendali del team di sicurezza.

Screenshot that shows a sample results page after you select the DevOps workbook.

Nota

Per usare questo workbork, l'ambiente deve avere un connettore GitHub, un connettore GitLab o un connettore Azure DevOps.

Per distribuire la cartella di lavoro:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Workbook.

  3. Selezionare la cartella di lavoro DevOps Security (anteprima).

La cartella di lavoro carica e visualizza la scheda Panoramica . In questa scheda è possibile visualizzare il numero di segreti esposti, la sicurezza del codice e la sicurezza devOps. I risultati vengono visualizzati in totale per ogni repository e per gravità.

Per visualizzare il conteggio in base al tipo di segreto, selezionare la scheda Segreti .

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

Nella scheda Codice vengono visualizzati il conteggio dei risultati per strumento e repository. Mostra i risultati dell'analisi del codice in base alla gravità.

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

Nella scheda Vulnerabilità del sistema operativo vengono visualizzate vulnerabilità di sicurezza open source (OSS) in base alla gravità e al numero di risultati per repository.

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

Nella scheda Infrastruttura come codice vengono visualizzati i risultati in base allo strumento e al repository.

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

Nella scheda Postura viene visualizzato il comportamento di sicurezza in base alla gravità e al repository.

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

La scheda Minacce e tattiche visualizza il numero di minacce e tattiche per repository e il conteggio totale.

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

Importare cartelle di lavoro da altre raccolte di cartelle di lavoro

Per spostare le cartelle di lavoro compilate in altri servizi di Azure nella raccolta di cartelle di lavoro di Microsoft Defender per il cloud:

  1. Aprire la cartella di lavoro da importare.

  2. Nella barra degli strumenti, seleziona Modifica.

    Screenshot that shows how to edit a workbook.

  3. Sulla barra degli strumenti selezionare </> per aprire l'editor avanzato.

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. Nel modello della raccolta di cartelle di lavoro selezionare tutto il codice JSON nel file e copiarlo.

  5. Aprire la raccolta di cartelle di lavoro in Defender per il cloud e quindi selezionare Nuovo nella barra dei menu.

  6. Selezionare </>per aprire il Editor avanzato.

  7. Incollare l'intero codice JSON del modello di raccolta.

  8. Selezionare Applica.

  9. Sulla barra degli strumenti selezionare Salva con nome.

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. Per salvare le modifiche apportate alla cartella di lavoro, immettere o selezionare le informazioni seguenti:

    • Nome della cartella di lavoro.
    • Area di Azure da usare.
    • Eventuali informazioni rilevanti sulla sottoscrizione, il gruppo di risorse e la condivisione.

Per trovare la cartella di lavoro salvata, passare alla categoria Cartelle di lavoro modificate di recente.

Contenuto correlato

Questo articolo descrive la pagina delle cartelle di lavoro di Azure integrate Defender per il cloud che include report predefiniti e l'opzione per creare report personalizzati e interattivi.

Le cartelle di lavoro predefinite ottengono i dati da Defender per il cloud raccomandazioni.