Tworzenie rozbudowanych, interaktywnych raportów dotyczących Defender dla Chmury danych przy użyciu skoroszytów

  • Artykuł

Skoroszyty platformy Azure to elastyczna kanwa, której można używać do analizowania danych i tworzenia rozbudowanych, wizualnych raportów w witrynie Azure Portal. W skoroszytach można uzyskać dostęp do wielu źródeł danych na platformie Azure. Połącz skoroszyty w ujednolicone, interaktywne środowiska.

Skoroszyty udostępniają bogaty zestaw możliwości wizualizacji danych platformy Azure. Aby uzyskać szczegółowe informacje o poszczególnych typach wizualizacji, zobacz przykłady wizualizacji i dokumentację.

W Microsoft Defender dla Chmury możesz uzyskać dostęp do wbudowanych skoroszytów w celu śledzenia stanu zabezpieczeń organizacji. Możesz również utworzyć niestandardowe skoroszyty, aby wyświetlić szeroką gamę danych z Defender dla Chmury lub innych obsługiwanych źródeł danych.

Screenshot that shows the Secure Score Over Time workbook.

Aby uzyskać informacje o cenach, zobacz stronę cennika.

Wymagania wstępne

Wymagane role i uprawnienia: aby zapisać skoroszyt, musisz mieć co najmniej uprawnienia współautora skoroszytu dla odpowiedniej grupy zasobów.

Dostępność chmury: chmury komercyjne krajowe (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)

W Defender dla Chmury możesz użyć zintegrowanych funkcji skoroszytów platformy Azure do tworzenia niestandardowych, interaktywnych skoroszytów, które wyświetlają dane zabezpieczeń. Defender dla Chmury zawiera galerię skoroszytów, która ma następujące skoroszyty gotowe do dostosowania:

  • Skoroszyt pokrycia: śledzenie pokrycia planów i rozszerzeń Defender dla Chmury w środowiskach i subskrypcjach.
  • Skoroszyt Wskaźnik bezpieczeństwa w czasie: śledź wyniki subskrypcji i zmiany zaleceń dotyczących zasobów.
  • Skoroszyt Aktualizacje systemu: wyświetl brakujące aktualizacje systemu według zasobów, systemu operacyjnego, ważności i nie tylko.
  • Skoroszyt wyników oceny luk w zabezpieczeniach: wyświetl wyniki skanowania luk w zabezpieczeniach zasobów platformy Azure.
  • Skoroszyt Zgodności w czasie: wyświetlanie stanu zgodności subskrypcji ze standardami regulacyjnymi lub wybranymi standardami branżowymi.
  • Skoroszyt Aktywne alerty: wyświetlanie aktywnych alertów według ważności, typu, tagu, taktyki MITRE ATT&CK i lokalizacji.
  • Skoroszyt szacowania cen: wyświetl miesięczne, skonsolidowane szacowania cen dla planów Defender dla Chmury na podstawie telemetrii zasobów w danym środowisku. Liczby są szacowane na podstawie cen detalicznych i nie reprezentują rzeczywistych danych rozliczeniowych ani faktur.
  • Skoroszyt ładu: użyj raportu ładu w ustawieniach reguł ładu, aby śledzić postęp reguł wpływających na organizację.
  • Skoroszyt usługi DevOps Security (wersja zapoznawcza): wyświetl dostosowywalną podstawę, która ułatwia wizualizowanie stanu stanu metodyki DevOps dla skonfigurowanych łączników.

Oprócz wbudowanych skoroszytów można znaleźć przydatne skoroszyty w kategorii Społeczność . Te skoroszyty są udostępniane zgodnie z rzeczywistymi wymaganiami i nie mają umowy SLA ani pomocy technicznej. Możesz wybrać jeden z podanych skoroszytów lub utworzyć własny skoroszyt.

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

Napiwek

Aby dostosować dowolny skoroszyt, wybierz przycisk Edytuj . Po zakończeniu edytowania wybierz pozycję Zapisz. Zmiany są zapisywane w nowym skoroszycie.

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

Skoroszyt pokrycia

Jeśli włączysz Defender dla Chmury w wielu subskrypcjach i środowiskach (Azure, Amazon Web Services i Google Cloud Platform), może okazać się trudne, aby śledzić, które plany są aktywne. Jest to szczególnie ważne, jeśli masz wiele subskrypcji i środowisk.

Skoroszyt Pokrycie pomaga śledzić, które plany Defender dla Chmury są aktywne w których częściach środowiska. Ten skoroszyt może pomóc w zapewnieniu, że środowiska i subskrypcje są w pełni chronione. Mając dostęp do szczegółowych informacji o zasięgu, można zidentyfikować obszary, które mogą wymagać większej ochrony, dzięki czemu można podjąć działania w celu rozwiązania tych obszarów.

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

W tym skoroszycie możesz wybrać subskrypcję (lub wszystkie subskrypcje), a następnie wyświetlić następujące karty:

  • Dodatkowe informacje: przedstawia informacje o wersji i objaśnienie każdego przełącznika.
  • Pokrycie względne: przedstawia procent subskrypcji lub łączników z włączonym określonym planem Defender dla Chmury.
  • Pokrycie bezwzględne: pokazuje stan każdego planu na subskrypcję.
  • Szczegółowe pokrycie: pokazuje dodatkowe ustawienia, które można włączyć lub które muszą być włączone w odpowiednich planach, aby uzyskać pełną wartość każdego planu.

Możesz również wybrać środowisko Platformy Azure, Amazon Web Services lub Google Cloud Platform w każdej lub wszystkich subskrypcjach, aby zobaczyć, które plany i rozszerzenia są włączone dla środowisk.

Skoroszyt wskaźnika bezpieczeństwa w czasie

Skoroszyt Wskaźnik bezpieczeństwa w czasie używa danych wskaźnika bezpieczeństwa z obszaru roboczego usługi Log Analytics. Dane muszą być eksportowane przy użyciu narzędzia eksportu ciągłego zgodnie z opisem w temacie Konfigurowanie eksportu ciągłego dla Defender dla Chmury w witrynie Azure Portal.

Podczas konfigurowania eksportu ciągłego w obszarze Częstotliwość eksportu wybierz zarówno aktualizacje przesyłania strumieniowego, jak i migawki (wersja zapoznawcza).

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

Uwaga

Migawki są eksportowane co tydzień. Przed wyświetleniem danych w skoroszycie opóźnienie trwa co najmniej tydzień po wyeksportowaniu pierwszej migawki.

Napiwek

Aby skonfigurować eksport ciągły w całej organizacji, użyj podanych DeployIfNotExist zasad w usłudze Azure Policy opisanych w temacie Konfigurowanie eksportu ciągłego na dużą skalę.

Skoroszyt Wskaźnik bezpieczeństwa w czasie zawiera pięć grafów dla subskrypcji, które raportują do wybranych obszarów roboczych:

Wykres Przykład
Ocenianie trendów w ostatnim tygodniu i miesiącu
Ta sekcja służy do monitorowania bieżącego wyniku i ogólnych trendów wyników dla subskrypcji.		 Screenshot that shows trends for secure score on the built-in workbook.
Zagregowany wynik dla wszystkich wybranych subskrypcji
Umieść wskaźnik myszy na dowolnym punkcie w wierszu trendu, aby zobaczyć zagregowany wynik w dowolnym dniu w wybranym zakresie czasu.		 Screenshot that shows an aggregated score for all selected subscriptions.
Rekomendacje z najbardziej złą kondycją zasobów
Ta tabela ułatwia klasyfikację zaleceń, które miały najwięcej zasobów, które zmieniły się na stan złej kondycji w wybranym okresie.		 Screenshot that shows recommendations that have the most unhealthy resources.
Wyniki dla określonych mechanizmów kontroli zabezpieczeń
Mechanizmy kontroli zabezpieczeń w Defender dla Chmury są logicznymi grupami zaleceń. Ten wykres przedstawia błyskawiczne wyniki tygodniowe dla wszystkich kontrolek.		 Screenshot that shows scores for your security controls over the selected time period.
Zmiany zasobów
Rekomendacje, które mają najwięcej zasobów, które zmieniły stan (w dobrej kondycji, złej kondycji lub nie dotyczy) w wybranym okresie są wymienione tutaj. Wybierz dowolne zalecenie na liście, aby otworzyć nową tabelę zawierającą listę określonych zasobów.		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

Skoroszyt systemu Aktualizacje

Skoroszyt System Aktualizacje jest oparty na zaleceniach dotyczących zabezpieczeń, które powinny być instalowane na komputerach. Skoroszyt ułatwia identyfikowanie maszyn, które mają aktualizacje do zastosowania.

Stan aktualizacji dla wybranych subskrypcji można wyświetlić, wykonując następujące czynności:

  • Lista zasobów, które mają zaległe aktualizacje do zastosowania.
  • Lista aktualizacji, których brakuje w zasobach.

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

Skoroszyt wyników oceny luk w zabezpieczeniach

Defender dla Chmury obejmuje skanery luk w zabezpieczeniach dla maszyn, kontenerów w rejestrach kontenerów i komputerów z uruchomionym programem SQL Server.

Dowiedz się więcej o korzystaniu z tych skanerów:

Wyniki dla każdego typu zasobu są raportowane w osobnych zaleceniach:

Skoroszyt Wyniki oceny luk w zabezpieczeniach zbiera te wyniki i organizuje je według ważności, typu zasobu i kategorii.

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

Skoroszyt Zgodności w czasie

Usługa Microsoft Defender for Cloud stale porównuje konfigurację zasobów z wymaganiami dotyczącymi standardów branżowych, przepisów i testów porównawczych. Wbudowane standardy obejmują NIST SP 800-53, SWIFT CSP CSCF v2020, Canada Federal PBMM, HIPAA HITRUST i nie tylko. Możesz wybrać standardy, które są istotne dla organizacji, korzystając z pulpitu nawigacyjnego zgodności z przepisami. Dowiedz się więcej w artykule Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Skoroszyt Zgodność w czasie śledzi stan zgodności w czasie przy użyciu różnych standardów dodanych do pulpitu nawigacyjnego.

Screenshot that shows how to select the standards for your Compliance Over Time report.

Po wybraniu standardu z obszaru przeglądu raportu dolne okienko wyświetli bardziej szczegółowy podział:

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

Aby wyświetlić zasoby, które przeszły lub zakończyły się niepowodzeniem w każdej kontrolce, możesz przejść do szczegółów aż do poziomu rekomendacji.

Napiwek

Dla każdego panelu raportu można wyeksportować dane do programu Excel przy użyciu opcji Eksportuj do programu Excel .

Screenshot that shows how to export a compliance workbook data to Excel.

Skoroszyt Aktywne alerty

W skoroszycie Aktywne alerty są wyświetlane aktywne alerty zabezpieczeń dla subskrypcji na jednym pulpicie nawigacyjnym. Alerty zabezpieczeń to powiadomienia, które Defender dla Chmury generują, gdy wykrywa zagrożenia dla zasobów. Defender dla Chmury priorytetyzuje i wyświetla alerty z informacjami, które należy szybko zbadać i skorygować.

Ten skoroszyt zapewnia korzyści, pomagając ci znać i określać priorytety aktywnych zagrożeń w danym środowisku.

Uwaga

Większość skoroszytów używa usługi Azure Resource Graph do wykonywania zapytań dotyczących danych. Na przykład aby wyświetlić widok mapy, dane są odpytywane w obszarze roboczym usługi Log Analytics. Eksport ciągły powinien być włączony. Wyeksportuj alerty zabezpieczeń do obszaru roboczego usługi Log Analytics.

Aktywne alerty można wyświetlać według ważności, grupy zasobów i tagu.

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

Możesz również wyświetlić najważniejsze alerty subskrypcji przez zaatakowane zasoby, typy alertów i nowe alerty.

Screenshot that highlights the top alerts for your subscriptions.

Aby wyświetlić więcej szczegółów na temat alertu, wybierz alert.

Screenshot that shows all high-severity active alerts for a specific resource.

Karta Taktyka MITRE ATT&CK zawiera alerty w kolejności łańcucha zabić oraz liczbę alertów, które subskrypcja ma na każdym etapie.

Screenshot that shows the order of the kill chain and the number of alerts.

Wszystkie aktywne alerty można wyświetlić w tabeli i filtrować według kolumn.

Screenshot that shows the table of active alerts.

Aby wyświetlić szczegóły określonego alertu, wybierz alert w tabeli, a następnie wybierz przycisk Otwórz widok alertu.

Screenshot that shows an alert's details and the Open Alert View button.

Aby wyświetlić wszystkie alerty według lokalizacji w widoku mapy, wybierz kartę Widok mapy.

Screenshot that shows the alerts when viewed in a map in Map View.

Wybierz lokalizację na mapie, aby wyświetlić wszystkie alerty dla tej lokalizacji.

Screenshot that shows the alerts in a specific location in Map View.

Aby wyświetlić szczegóły alertu, wybierz alert, a następnie wybierz przycisk Otwórz widok alertu.

Skoroszyt usługi DevOps Security

Skoroszyt usługi DevOps Security zawiera dostosowywalny raport wizualny stanu zabezpieczeń metodyki DevOps. Możesz użyć tego skoroszytu, aby wyświetlić szczegółowe informacje o repozytoriach, które mają największą liczbę typowych luk w zabezpieczeniach i ekspozycji (CVE) i słabości, aktywne repozytoria, które mają wyłączone zabezpieczenia zaawansowane, oceny stanu zabezpieczeń konfiguracji środowiska DevOps i wiele innych. Dostosowywanie i dodawanie własnych raportów wizualnych przy użyciu rozbudowanego zestawu danych w usłudze Azure Resource Graph w celu dopasowania ich do potrzeb biznesowych zespołu ds. zabezpieczeń.

Screenshot that shows a sample results page after you select the DevOps workbook.

Uwaga

Aby użyć tego skoroszytu, środowisko musi mieć łącznik GitHub, łącznik GitLab lub łącznik usługi Azure DevOps.

Aby wdrożyć skoroszyt:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Microsoft Defender dla Chmury> Workbook.

  3. Wybierz skoroszyt DevOps Security (wersja zapoznawcza).

Skoroszyt ładuje się i wyświetla kartę Przegląd . Na tej karcie można zobaczyć liczbę uwidocznionych wpisów tajnych, zabezpieczenia kodu i zabezpieczenia metodyki DevOps. Wyniki są wyświetlane według sumy dla każdego repozytorium i według ważności.

Aby wyświetlić liczbę według typu wpisu tajnego, wybierz kartę Wpisy tajne .

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

Na karcie Kod zostanie wyświetlona liczba wyników według narzędzia i repozytorium. Przedstawia wyniki skanowania kodu według ważności.

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

Na karcie Luki w zabezpieczeniach systemu operacyjnego są wyświetlane luki w zabezpieczeniach typu open source (OSS) według ważności i liczby ustaleń według repozytorium.

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

Karta Infrastruktura jako kod wyświetla wyniki według narzędzia i repozytorium.

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

Karta Stan zawiera stan zabezpieczeń według ważności i repozytorium.

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

Na karcie Zagrożenia i taktyka jest wyświetlana liczba zagrożeń i taktyki według repozytorium oraz łączna liczba.

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

Importowanie skoroszytów z innych galerii skoroszytów

Aby przenieść skoroszyty utworzone w innych usługach platformy Azure do galerii skoroszytów Microsoft Defender dla Chmury:

  1. Otwórz skoroszyt, który chcesz zaimportować.

  2. Wybierz Edytuj na pasku narzędzi.

    Screenshot that shows how to edit a workbook.

  3. Na pasku narzędzi wybierz pozycję </> , aby otworzyć edytor zaawansowany.

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. W szablonie galerii skoroszytów wybierz cały kod JSON w pliku i skopiuj go.

  5. Otwórz galerię skoroszytów w Defender dla Chmury, a następnie wybierz pozycję Nowy na pasku menu.

  6. Wybierz </>, aby otworzyć Edytor zaawansowany.

  7. Wklej cały kod JSON szablonu galerii.

  8. Wybierz Zastosuj.

  9. Na pasku narzędzi wybierz pozycję Zapisz jako.

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. Aby zapisać zmiany w skoroszycie, wprowadź lub wybierz następujące informacje:

    • Nazwa skoroszytu.
    • Region świadczenia usługi Azure do użycia.
    • Wszelkie istotne informacje o subskrypcji, grupie zasobów i udostępnianiu.

Aby znaleźć zapisany skoroszyt, przejdź do kategorii Ostatnio zmodyfikowane skoroszyty .

Powiązana zawartość

W tym artykule opisano stronę Defender dla Chmury zintegrowanych skoroszytów platformy Azure z wbudowanymi raportami i opcją tworzenia własnych niestandardowych, interaktywnych raportów.

Wbudowane skoroszyty pobierają dane z zaleceń Defender dla Chmury.