Assetinventarisatie gebruiken om de beveiligingsstatus van uw resources te beheren

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

De assetinventarispagina van Microsoft Defender for Cloud biedt één pagina voor het weergeven van de beveiligingsstatus van de resources die u hebt verbonden met Microsoft Defender for Cloud.

Defender for Cloud analyseert periodiek de beveiligingstoestand van resources die zijn verbonden met uw abonnementen om mogelijke beveiligingsproblemen te identificeren. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen.

Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.

Gebruik deze weergave en de filters om vragen als:

  • Voor welke van mijn abonnementen waarvoor verbeterde beveiligingsfuncties zijn ingeschakeld, zijn openstaande aanbevelingen beschikbaar?
  • Op welke van mijn machines met de tag Productie ontbreekt de Log Analytics-agent?
  • Hoeveel van mijn machines die zijn gelabeld met een specifieke tag hebben openstaande aanbevelingen?
  • Welke computers in een specifieke resourcegroep hebben een bekend beveiligingsprobleem (met behulp van een CVE-nummer)?

De mogelijkheden voor assetbeheer voor dit hulpprogramma zijn aanzienlijk en blijven groeien.

Tip

De beveiligingsaanbevelingen op de pagina assetinventarisatie zijn hetzelfde als die op de pagina Aanbevelingen, maar hier worden ze weergegeven op basis van de betrokken resource. Zie Beveiligingsaanbevelingen implementeren in Microsoft Defender for Cloud voor meer informatie over het oplossen van aanbevelingen.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Gratis
Sommige functies van de inventarispagina, zoals de software-inventarisatie, vereisen dat er betaalde oplossingen zijn
Vereiste rollen en machtigingen: Alle gebruikers
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Wat zijn de belangrijkste functies van assetinventarisatie?

De inventarispagina bevat de volgende hulpprogramma's:

Belangrijkste functies van de pagina assetinventarisatie in Microsoft Defender for Cloud.

1 - Samenvattingen

Voordat u filters definieert, wordt aan de bovenkant van de inventarisweergave een prominent deel van de waarden weergeven:

  • Totaal aantal resources: het totale aantal resources dat is verbonden met Defender for Cloud.
  • Resources met slechte status: Resources met actieve beveiligingsaanbevelingen. Meer informatie over beveiligingsaanbevelingen.
  • Niet-gecontroleerde resources: resources met problemen met agentbewaking: de Log Analytics-agent is geïmplementeerd, maar de agent verstuurt geen gegevens of heeft andere statusproblemen.
  • Niet-geregistreerde abonnementen: elk abonnement in het geselecteerde bereik dat nog niet is verbonden met Microsoft Defender for Cloud.

2 - Filters

De meerdere filters bovenaan de pagina bieden een manier om de lijst met resources snel te verfijnen op basis van de vraag die u probeert te beantwoorden. Als u bijvoorbeeld de vraag Wilt beantwoorden welke van mijn machines met de tag Productie ontbreekt de Log Analytics-agent? kunt u het bewakingsfilter van de agent combineren met het filter Tags.

Zodra u filters hebt toegepast, worden de samenvattingswaarden bijgewerkt met betrekking tot de queryresultaten.

3 - Hulpprogramma's voor exporteren en assetbeheer

Exportopties: inventaris bevat een optie voor het exporteren van de resultaten van de geselecteerde filteropties naar een CSV-bestand. U kunt de query zelf ook exporteren naar Azure Resource Graph Explorer om de Kusto Query Language-query (KQL) verder te verfijnen, op te slaan of te wijzigen.

Tip

De KQL-documentatie biedt een database met enkele voorbeeldgegevens, samen met enkele eenvoudige query's om het 'gevoel' van de taal te krijgen. Meer informatie in deze KQL-zelfstudie.

Opties voor assetbeheer: wanneer u de resources hebt gevonden die overeenkomen met uw query's, biedt inventaris snelkoppelingen voor bewerkingen zoals:

  • Tags toewijzen aan de gefilterde resources: schakel de selectievakjes in naast de resources die u wilt taggen.
  • Nieuwe servers onboarden voor Defender for Cloud: gebruik de werkbalkknop Niet-Azure-servers toevoegen.
  • Workloads automatiseren met Azure Logic Apps: gebruik de knop Logische app activeren om een logische app uit te voeren op een of meer resources. Uw logische apps moeten vooraf worden voorbereid en het relevante triggertype (HTTP-aanvraag) accepteren. Meer informatie over logische apps.

Hoe werkt assetinventarisatie?

Assetinventarisatie maakt gebruik van Azure Resource Graph (ARG),een Azure-service die de mogelijkheid biedt om de beveiligingsstatusgegevens van Defender for Cloud op te vragen voor meerdere abonnementen.

ARG is ontworpen om efficiënt resourceverkenning te bieden met de mogelijkheid om query's op schaal uit te voeren.

Met behulp van de Kusto Query Language (KQL)kan assetinventarisatie snel diepe inzichten opleveren door te verwijzen naar Defender for Cloud-gegevens met andere resource-eigenschappen.

Assetinventarisatie gebruiken

  1. Selecteer inventaris in de zijbalk van Defender for Cloud.

  2. Gebruik het vak Filteren op naam om een specifieke resource weer te geven of gebruik de filters zoals hieronder wordt beschreven.

  3. Selecteer de relevante opties in de filters om de specifieke query te maken die u wilt uitvoeren.

    De resources worden standaard gesorteerd op het aantal actieve beveiligingsaanbevelingen.

    Belangrijk

    De opties in elk filter zijn specifiek voor de resources in de geselecteerde abonnementen en uw selecties in de andere filters.

    Als u bijvoorbeeld slechts één abonnement hebt geselecteerd en het abonnement geen resources heeft met openstaande beveiligingsaanbevelingen om te herstellen (0 resources die niet in orde zijn), heeft het filter Aanbevelingen geen opties.

    De filteropties in de assetinventarisatie van Microsoft Defender for Cloud gebruiken om resources te filteren op productiebronnen die niet worden bewaakt

  4. Als u het filter Beveiligingsmaatregelen wilt gebruiken, voert u vrije tekst in van de id, beveiligingscontrole of CVE-naam van een beveiligingsprobleem om te filteren op de betrokken resources:

    Het filter 'Beveiligings bevindingen bevatten'

    Tip

    De filters Security findings contain en Tags accepteren slechts één waarde. Als u wilt filteren op meer dan één, gebruikt u Filters toevoegen.

  5. Als u het Defender for Cloud-filter wilt gebruiken, selecteert u een of meer opties (Uit, Aan of Gedeeltelijk):

    • Uit: resources die niet worden beveiligd door een Microsoft Defender-abonnement. U kunt met de rechtermuisknop op een van deze klikken en deze upgraden:

      Werk met de rechtermuisknop een resource bij die moet worden beveiligd door het relevante Microsoft Defender-abonnement.

    • Aan: resources die worden beveiligd door een Microsoft Defender-abonnement

    • Gedeeltelijk: dit geldt voor abonnementen die sommige, maar niet alle Microsoft Defender-abonnementen hebben uitgeschakeld. Voor het volgende abonnement zijn bijvoorbeeld zeven Microsoft Defender-abonnementen uitgeschakeld.

      Abonnement gedeeltelijk beveiligd door Microsoft Defender-abonnementen.

  6. Als u de resultaten van uw query verder wilt bekijken, selecteert u de resources die u interesseren.

  7. Als u de huidige geselecteerde filteropties als een query wilt weergeven in Resource Graph Explorer, selecteert u Query openen.

    Inventarisquery in ARG.

  8. Als u enkele filters hebt gedefinieerd en de pagina geopend hebt gelaten, worden de resultaten niet automatisch bijgewerkt door Defender for Cloud. Wijzigingen in resources hebben geen invloed op de weergegeven resultaten, tenzij u de pagina handmatig opnieuw laadt of Vernieuwen selecteert.

Toegang tot een software-inventaris

Als u de integratie met Microsoft Defender for Endpoint hebt ingeschakeld en Microsoft Defender voor servers hebt ingeschakeld, hebt u toegang tot de software-inventaris.

Als u de oplossing voor bedreigingen en beveiligingsleed hebt ingeschakeld, biedt de assetinventaris van Defender for Cloud een filter om resources te selecteren op de geïnstalleerde software.

Notitie

De optie Leeg toont machines zonder Microsoft Defender voor eindpunt (of zonder Microsoft Defender voor servers).

Naast de filters op de pagina assetinventarisatie kunt u de software-inventarisgegevens van Azure Resource Graph Explorer.

Voorbeelden van het gebruik van Azure Resource Graph Explorer om toegang te krijgen tot software-inventarisgegevens en deze te verkennen:

  1. Open Azure Resource Graph Explorer.

    De aanbevelingspagina van Azure Resource Graph Explorer** starten

  2. Selecteer het volgende abonnementsbereik: securityresources/softwareinventories

  3. Voer een van de volgende query's in (of pas ze aan of schrijf uw eigen query) en selecteer Query uitvoeren.

    • Een basislijst met geïnstalleerde software genereren:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Filteren op versienummers:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Machines zoeken met een combinatie van softwareproducten:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinatie van een softwareproduct met een andere beveiligingsaanbeveling:

      (In dit voorbeeld: machines met MySQL geïnstalleerd en ontspoorten van beheer)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Veelgestelde vragen - Inventaris

Waarom worden niet al mijn abonnementen, machines, opslagaccounts enzovoort weergegeven?

In de inventarisweergave worden uw met Defender for Cloud verbonden resources vermeld vanuit het perspectief van Cloud Security Posture Management (CSPM). De filters retourneren niet elke resource in uw omgeving; alleen de aanbevelingen met openstaande (of actieve) aanbevelingen.

In de volgende schermopname ziet u bijvoorbeeld een gebruiker met toegang tot acht abonnementen, maar slechts zeven hebben momenteel aanbevelingen. Dus wanneer ze filteren op Resourcetype = Abonnementen, worden alleen die 7 abonnementen met actieve aanbevelingen weergegeven in de inventaris:

Niet alle subs worden geretourneerd wanneer er geen actieve aanbevelingen zijn.

Waarom geven sommige van mijn resources lege waarden weer in de kolommen Defender for Cloud of Monitoring Agent?

Niet alle door Defender for Cloud bewaakte resources hebben agents. Zo hoeven Azure Storage-accounts of PaaS-resources zoals schijven, Logic Apps, Data Lake Analysis en Event Hub geen agents te bewaken door Defender for Cloud.

Wanneer prijzen of agentbewaking niet relevant zijn voor een resource, wordt er niets weergegeven in die inventariskolommen.

Sommige resources geven lege informatie weer in de kolommen bewakingsagent of Defender for Cloud.

Volgende stappen

In dit artikel wordt de pagina assetinventarisatie van Microsoft Defender for Cloud beschreven.

Zie de volgende pagina's voor meer informatie over gerelateerde hulpprogramma's: