Use o inventário de ativos para gerir a postura de segurança dos seus recursos

Nota

O Azure Security Center e o Azure Defender são agora chamados Microsoft Defender for Cloud. Também rebatizámos os planos do Azure Defender para os planos do Microsoft Defender. Por exemplo, o Azure Defender para Armazenamento é agora o Microsoft Defender para Armazenamento. Saiba mais sobre o recente renomeamento dos serviços de segurança da Microsoft.

A página de inventário de ativos do Microsoft Defender for Cloud fornece uma única página para visualizar a postura de segurança dos recursos que ligou ao Microsoft Defender for Cloud.

O Defender for Cloud analisa periodicamente o estado de segurança dos recursos ligados às suas subscrições para identificar potenciais vulnerabilidades de segurança. Em seguida, fornece-lhe recomendações sobre como remediar essas vulnerabilidades.

Quando algum recurso tiver recomendações pendentes, aparecerão no inventário.

Utilize esta vista e os seus filtros para abordar questões como:

  • Qual das minhas assinaturas com funcionalidades de segurança reforçadas permitiu ter recomendações pendentes?
  • Qual das minhas máquinas com a etiqueta "Produção" está a faltar ao agente do Log Analytics?
  • Quantas das minhas máquinas marcadas com uma etiqueta específica têm recomendações pendentes?
  • Que máquinas de um grupo de recursos específicos têm uma vulnerabilidade conhecida (utilizando um número CVE)?

As possibilidades de gestão de ativos para esta ferramenta são substanciais e continuam a crescer.

Dica

As recomendações de segurança na página de inventário de ativos são as mesmas que estão na página Recomendações, mas aqui são mostradas de acordo com o recurso afetado. Para obter informações sobre como resolver recomendações, consulte as recomendações de segurança de implementação no Microsoft Defender for Cloud.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Preços: Grátis*
* Algumas características da página de inventário, como o inventário de software requerem soluções pagas para estar no local
Funções e permissões necessárias: Todos os utilizadores
Nuvens: Nuvens comerciais
Nacional (Governo Azure, Azure China 21Vianet)

Quais são as principais características do inventário de ativos?

A página de inventário fornece as seguintes ferramentas:

Main features of the asset inventory page in Microsoft Defender for Cloud.

1 - Resumos

Antes de definir quaisquer filtros, uma tira proeminente de valores no topo da vista de inventário mostra:

  • Recursos totais: O número total de recursos ligados ao Defender para cloud.
  • Recursos insalubres: Recursos com recomendações de segurança ativas. Saiba mais sobre recomendações de segurança.
  • Recursos não monitorizados: Recursos com problemas de monitorização do agente - eles têm o agente Log Analytics implantado, mas o agente não está a enviar dados ou tem outros problemas de saúde.
  • Subscrições não registadas: Qualquer subscrição no âmbito selecionado que ainda não tenha sido ligada ao Microsoft Defender for Cloud.

2 - Filtros

Os múltiplos filtros no topo da página fornecem uma forma de refinar rapidamente a lista de recursos de acordo com a pergunta que está a tentar responder. Por exemplo, se quiser responder à pergunta Qual das minhas máquinas com a etiqueta 'Produção' está a faltar ao agente Log Analytics?

Assim que tiver aplicado filtros, os valores de resumo são atualizados para se relacionarem com os resultados da consulta.

3 - Ferramentas de exportação e gestão de ativos

Opções de exportação - O inventário inclui uma opção para exportar os resultados das suas opções de filtro selecionadas para um ficheiro CSV. Também pode exportar a própria consulta para o Azure Resource Graph Explorer para aperfeiçoar, guardar ou modificar a consulta de Língua De Consulta kusto (KQL).

Dica

A documentação do KQL fornece uma base de dados com alguns dados da amostra, juntamente com algumas perguntas simples para obter a "sensação" para o idioma. Saiba mais neste tutorial da KQL.

Opções de gestão de ativos - Quando encontra os recursos que combinam com as suas consultas, o inventário fornece atalhos para operações como:

  • Atribua etiquetas aos recursos filtrados - selecione as caixas de verificação ao lado dos recursos que pretende marcar.
  • A bordo de novos servidores para Defender para Cloud - utilize o botão de barra de ferramentas add non-Azure servers.
  • Automatizar cargas de trabalho com Azure Logic Apps - use o botão Trigger Logic App para executar uma aplicação lógica em um ou mais recursos. As suas aplicações lógicas têm de ser preparadas com antecedência e aceitar o tipo de gatilho relevante (pedido HTTP). Saiba mais sobre aplicações lógicas.

Como funciona o inventário de ativos?

O inventário de ativos utiliza o Azure Resource Graph (ARG), um serviço Azure que fornece a capacidade de consultar os dados de postura de segurança da Cloud através de várias subscrições.

A ARG foi concebida para proporcionar uma exploração eficiente de recursos com a capacidade de consulta em escala.

Utilizando a Língua de Consulta de Kusto (KQL),o inventário de ativos pode produzir rapidamente insights profundos cruzando os dados do Defender para cloud com outras propriedades de recursos.

Como utilizar o inventário de ativos

  1. Da barra lateral do Defender for Cloud, selecione Inventário.

  2. Utilize a caixa de identificação filter por nome para exibir um recurso específico ou utilize os filtros conforme descrito abaixo.

  3. Selecione as opções relevantes nos filtros para criar a consulta específica que pretende realizar.

    Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.

    Importante

    As opções em cada filtro são específicas dos recursos nas subscrições atualmente selecionadas e das suas seleções nos outros filtros.

    Por exemplo, se selecionou apenas uma subscrição, e a subscrição não tem recursos com recomendações de segurança pendentes para remediar (0 recursos não saudáveis), o filtro Recomendações não terá opções.

    Using the filter options in Microsoft Defender for Cloud's asset inventory to filter resources to production resources that aren't monitored

  4. Para utilizar as conclusões de Segurança contêm filtro, introduza texto gratuito a partir do ID, verificação de segurança ou nome CVE de uma vulnerabilidade que encontra para filtrar para os recursos afetados:

    Dica

    As conclusões de Segurança contêm e os filtros Tags apenas aceitam um único valor. Para filtrar por mais de um, utilize filtros Adicionar.

  5. Para utilizar o Defender para filtro selecione uma ou mais opções (Desligado, Ligado ou Parcial):

    • Off - Recursos que não estão protegidos por um plano Microsoft Defender. Pode clicar com o direito em qualquer um destes e atualizá-los:

      Upgrade a resource to be protected by the relevant Microsoft Defender plan via right-click.

    • On - Recursos protegidos por um plano Microsoft Defender

    • Parcial - Isto aplica-se a subscrições que têm alguns, mas não todos os planos do Microsoft Defender desativado. Por exemplo, a subscrição seguinte tem sete planos do Microsoft Defender desativados.

      Subscription partially protected by Microsoft Defender plans.

  6. Para examinar mais aprofundadamente os resultados da sua consulta, selecione os recursos que lhe interessam.

  7. Para ver as opções de filtro selecionadas atuais como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

    Inventory query in ARG.

  8. Se definiu alguns filtros e deixou a página aberta, o Defender para cloud não atualizará automaticamente os resultados. Quaisquer alterações aos recursos não terão impacto nos resultados apresentados a menos que recarregue manualmente a página ou selecione Refresh.

Aceda a um inventário de software

Se tiver ativado a integração com o Microsoft Defender para Endpoint e tiver ativado o Microsoft Defender para servidores, terá acesso ao inventário de software.

If you've enabled the threat and vulnerability solution, Defender for Cloud's asset inventory offers a filter to select resources by their installed software.

Nota

A opção "Blank" mostra máquinas sem o Microsoft Defender para Endpoint (ou sem o Microsoft Defender para servidores).

Além dos filtros na página de inventário de ativos, pode explorar os dados de inventário de software a partir do Azure Resource Graph Explorer.

Exemplos de utilização do Azure Resource Graph Explorer para aceder e explorar dados de inventário de software:

  1. Abrir o Explorador de recursos Azure Graph.

    Launching Azure Resource Graph Explorer** recommendation page

  2. Selecione o seguinte âmbito de subscrição: fontes de segurança/softwareinventories

  3. Insira qualquer uma das seguintes consultas (ou personalize-as ou escreva a sua própria!) e selecione Executar consulta.

    • Para gerar uma lista básica de software instalado:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Para filtrar por números de versão:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Para encontrar máquinas com uma combinação de produtos de software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinação de um produto de software com outra recomendação de segurança:

      (Neste exemplo – máquinas com portas de gestão instaladas e expostas mySQL)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

FAQ - Inventário

Por que não são mostradas todas as minhas assinaturas, máquinas, contas de armazenamento, etc.

A vista de inventário lista os recursos conectados defender para a nuvem a partir de uma perspetiva de Cloud Security Posture Management (CSPM). Os filtros não devolvem todos os recursos do seu ambiente; apenas os que têm recomendações pendentes (ou 'activas').

Por exemplo, a imagem que se segue mostra um utilizador com acesso a 8 subscrições, mas apenas 7 têm atualmente recomendações. Assim, quando filtram por tipo de recurso = Subscrições, apenasas 7 assinaturas com recomendações ativas aparecem no inventário:

Not all subs returned when there are no active recommendations.

Porque é que alguns dos meus recursos mostram valores em branco no Defender para cloud ou colunas de agentes de monitorização?

Nem todos os recursos monitores do Defender for Cloud têm agentes. Por exemplo, as contas Armazenamento Azure ou os recursos paaS, tais como discos, Aplicações Lógicas, Análise de Lagos de Dados e Centro de Eventos não precisam de agentes para serem monitorizados pelo Defender for Cloud.

Quando a monitorização de preços ou agentes não é relevante para um recurso, nada será mostrado nessas colunas de inventário.

Some resources show blank info in the monitoring agent or Defender for Cloud columns.

Passos seguintes

Este artigo descreveu a página de inventário de ativos do Microsoft Defender for Cloud.

Para obter mais informações sobre ferramentas relacionadas, consulte as seguintes páginas: