Создание расширенных интерактивных отчетов Defender для облака данных с помощью книг

  • Статья

Книги Azure — это гибкий холст, который можно использовать для анализа данных и создания расширенных визуальных отчетов в портал Azure. В книгах можно получить доступ к нескольким источникам данных в Azure. Объедините книги в унифицированные интерактивные интерфейсы.

Книги предоставляют широкий набор возможностей для визуализации данных Azure. Подробные сведения о каждом типе визуализации см. в примерах визуализаций и документации.

В Microsoft Defender для облака вы можете получить доступ к встроенным книгам для отслеживания состояния безопасности организации. Вы также можете создавать настраиваемые книги для просмотра широкого диапазона данных из Defender для облака или других поддерживаемых источников данных.

Screenshot that shows the Secure Score Over Time workbook.

Сведения о ценах см. на странице цен.

Необходимые компоненты

Необходимые роли и разрешения. Чтобы сохранить книгу, необходимо иметь по крайней мере разрешения участника книги для соответствующей группы ресурсов.

Доступность облака: коммерческие облака National (Azure для государственных организаций, Microsoft Azure, управляемые 21Vianet)

В Defender для облака можно использовать интегрированные функции книг Azure для создания пользовательских интерактивных книг, отображающих данные безопасности. Defender для облака включает коллекцию книг, которая содержит следующие книги, готовые к настройке:

  • Книга покрытия. Отслеживание охвата планов и расширений Defender для облака в средах и подписках.
  • Книга "Оценка безопасности с течением времени": отслеживание показателей подписки и изменения рекомендаций для ресурсов.
  • Книга Обновления системы: просмотр отсутствующих обновлений системы по ресурсам, ОС, серьезности и т. д.
  • Книга "Результаты оценки уязвимостей": просмотрите результаты сканирования уязвимостей ресурсов Azure.
  • Книга соответствия требованиям по времени. Просмотрите состояние соответствия подписки нормативным стандартам или отраслевым стандартам, которые вы выбрали.
  • Книга "Активные оповещения": просмотр активных оповещений по серьезности, типу, тегу, тактике MITRE ATT&CK и расположению.
  • Книга по оценке цен. Просмотр ежемесячных, консолидированных оценок цен для планов Defender для облака на основе данных телеметрии ресурсов в вашей среде. Цифры — это оценки, основанные на розничных ценах и не представляющие фактические данные выставления счетов или счетов.
  • Книга управления. Используйте отчет об управлении в параметрах правил управления для отслеживания хода выполнения правил, влияющих на вашу организацию.
  • Книга DevOps Security (предварительная версия) — просмотр настраиваемой основы, которая помогает визуализировать состояние настроенного соединителя DevOps.

Наряду со встроенными книгами можно найти полезные книги в категории Сообщества . Эти книги предоставляются как есть и не поддерживают соглашение об уровне обслуживания или поддержке. Вы можете выбрать одну из предоставленных книг или создать собственную книгу.

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

Совет

Чтобы настроить любую из книг, нажмите кнопку "Изменить ". Когда вы закончите редактирование, нажмите кнопку "Сохранить". Изменения сохраняются в новой книге.

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

Книга покрытия

Если вы включаете Defender для облака в нескольких подписках и средах (Azure, Amazon Web Services и Google Cloud Platform), возможно, сложно отслеживать, какие планы активны. Это особенно верно, если у вас несколько подписок и сред.

Книга "Покрытие" помогает отслеживать, какие планы Defender для облака активны в некоторых частях сред. Эта книга поможет вам обеспечить полную защиту сред и подписок. Имея доступ к подробным сведениям о охвате, можно определить области, которые могут потребовать больше защиты, чтобы вы могли принять меры для решения этих областей.

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

В этой книге можно выбрать подписку (или все подписки), а затем просмотреть следующие вкладки:

  • Дополнительные сведения: отображаются заметки о выпуске и описание каждого переключателя.
  • Относительное покрытие. Показывает процент подписок или соединителей, имеющих определенный план Defender для облака.
  • Абсолютное покрытие: показывает состояние каждого плана для каждой подписки.
  • Подробный охват: показывает дополнительные параметры, которые можно включить или которые необходимо включить для соответствующих планов, чтобы получить полное значение каждого плана.

Вы также можете выбрать среду Azure, Amazon Web Services или Google Cloud Platform в каждой или всех подписках, чтобы узнать, какие планы и расширения включены для сред.

Книга "Оценка безопасности с течением времени"

Книга "Оценка безопасности с течением времени" использует данные оценки безопасности из рабочей области Log Analytics. Данные необходимо экспортировать с помощью средства непрерывного экспорта, как описано в разделе "Настройка непрерывного экспорта для Defender для облака" в портал Azure.

При настройке непрерывного экспорта в разделе "Частота экспорта" выберите обновления потоковой передачи и моментальные снимки (предварительная версия).

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

Примечание.

Моментальные снимки экспортируются еженедельно. После экспорта первого моментального снимка задержка составляет не менее одной недели, прежде чем просматривать данные в книге.

Совет

Чтобы настроить непрерывный экспорт в организации, используйте указанные DeployIfNotExist политики в Политика Azure, описанные в разделе "Настройка непрерывного экспорта в масштабе".

Книга "Оценка безопасности с течением времени" содержит пять графов для подписок, которые сообщают в выбранные рабочие области:

График Пример
Тренды оценки за последние неделю и месяц
Этот раздел используется для отслеживания текущей оценки и общих трендов оценок для подписок.		 Screenshot that shows trends for secure score on the built-in workbook.
Агрегированная оценка для всех выбранных подписок
Наведите указатель мыши на любую точку линии тренда, чтобы просмотреть агрегированную оценку в любой день в выбранном периоде времени.		 Screenshot that shows an aggregated score for all selected subscriptions.
Рекомендации относительно большинства неработоспособных ресурсов
Эта таблица помогает просмотреть рекомендации, которые имели большинство ресурсов, которые изменились на неработоспособное состояние в выбранном периоде.		 Screenshot that shows recommendations that have the most unhealthy resources.
Оценки для конкретных элементов управления безопасностью
Элементы управления безопасностью в Defender для облака — это логические группировки рекомендаций. На этой диаграмме показаны еженедельные оценки для всех элементов управления.		 Screenshot that shows scores for your security controls over the selected time period.
Изменения ресурсов
Рекомендации, которые имеют больше всего ресурсов, которые изменили состояние (работоспособное, неработоспособное или неприменимое) в течение выбранного периода, перечислены здесь. Выберите любую рекомендацию в списке, чтобы открыть новую таблицу, в которую перечислены определенные ресурсы.		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

Книга Обновления системы

Книга Обновления системы основана на рекомендации по обеспечению безопасности, которые должны быть установлены на компьютерах. Книга помогает определить компьютеры, которые имеют обновления для применения.

Состояние обновления для выбранных подписок можно просмотреть следующими способами:

  • Список ресурсов, которые имеют выдающиеся обновления для применения.
  • Список обновлений, отсутствующих в ресурсах.

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

Книга "Результаты оценки уязвимостей"

Defender для облака включает сканеры уязвимостей для компьютеров, контейнеров в реестрах контейнеров и компьютерах под управлением SQL Server.

Дополнительные сведения об использовании этих средств проверки

Результаты для каждого из этих типов ресурсов указываются в отдельных рекомендациях.

Книга "Результаты оценки уязвимостей" собирает эти результаты и упорядочивает их по серьезности, типу ресурсов и категории.

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

Книга соответствия требованиям с течением времени

Служба "Microsoft Defender для облака" постоянно сравнивает конфигурацию ресурсов на соответствие требованиям отраслевых стандартов, тестам производительности и нормативным требованиям. Встроенные стандарты включают NIST SP 800-53, SWIFT CSP CSCF v2020, Федеральный стандарт PBMM Канады, HIPAA HITRUST и другие. Вы можете выбрать стандарты, относящиеся к вашей организации, с помощью панели мониторинга соответствия нормативным требованиям. Дополнительные сведения см. в статье Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Книга "Соответствие с течением времени" отслеживает состояние соответствия с течением времени с помощью различных стандартов, которые вы добавляете на панель мониторинга.

Screenshot that shows how to select the standards for your Compliance Over Time report.

При выборе стандарта в области обзора отчета на нижней панели отображается более подробная разбивка:

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

Чтобы просмотреть ресурсы, переданные или завершив сбой каждого элемента управления, можно продолжить детализацию до уровня рекомендаций.

Совет

Для каждой панели отчета можно экспортировать данные в Excel с помощью параметра "Экспорт в Excel ".

Screenshot that shows how to export a compliance workbook data to Excel.

Книга "Активные оповещения"

В книге "Активные оповещения" отображаются активные оповещения системы безопасности для подписок на одной панели мониторинга. Оповещения системы безопасности — это уведомления, которые Defender для облака создаются при обнаружении угроз для ваших ресурсов. Defender для облака приоритеты и список оповещений с информацией, необходимой для быстрого изучения и исправления.

Эта книга помогает вам знать и определять приоритеты активных угроз в вашей среде.

Примечание.

Большинство книг используют Azure Resource Graph для запроса данных. Например, для отображения представления карты данные запрашиваются в рабочей области Log Analytics. Непрерывный экспорт должен быть включен. Экспорт оповещений системы безопасности в рабочую область Log Analytics.

Активные оповещения можно просматривать по серьезности, группе ресурсов и тегу.

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

Вы также можете просматривать основные оповещения в своей подписки по типам атакуемых ресурсов, типам оповещений и новым оповещениям.

Screenshot that highlights the top alerts for your subscriptions.

Чтобы просмотреть дополнительные сведения об оповещении, выберите оповещение.

Screenshot that shows all high-severity active alerts for a specific resource.

Вкладка тактики MITRE ATT&CK содержит оповещения в порядке цепочки убийств и количество оповещений, которые подписка имеет на каждом этапе.

Screenshot that shows the order of the kill chain and the number of alerts.

Все активные оповещения можно просмотреть в таблице и отфильтровать по столбцам.

Screenshot that shows the table of active alerts.

Чтобы просмотреть сведения о конкретном оповещении, выберите оповещение в таблице и нажмите кнопку "Открыть представление оповещений".

Screenshot that shows an alert's details and the Open Alert View button.

Чтобы просмотреть все оповещения по расположению в представлении карты, выберите вкладку "Вид карты".

Screenshot that shows the alerts when viewed in a map in Map View.

Выберите расположение на карте, чтобы просмотреть все оповещения для этого расположения.

Screenshot that shows the alerts in a specific location in Map View.

Чтобы просмотреть сведения об оповещении, выберите оповещение и нажмите кнопку "Открыть представление оповещений".

Книга "Безопасность DevOps"

Книга DevOps Security предоставляет настраиваемый визуальный отчет о состоянии безопасности DevOps. Эту книгу можно использовать для просмотра аналитических сведений о репозиториях, имеющих наибольшее количество распространенных уязвимостей и уязвимостей (CVEs) и слабых мест, активных репозиториев, у которых отключена расширенная безопасность, оценки безопасности конфигураций среды DevOps и многое другое. Настройте и добавьте собственные визуальные отчеты с помощью расширенного набора данных в Azure Resource Graph в соответствии с потребностями вашей группы безопасности.

Screenshot that shows a sample results page after you select the DevOps workbook.

Примечание.

Для использования этой книги среда должна иметь соединитель GitHub, соединитель GitLab или соединитель Azure DevOps.

Чтобы развернуть книгу, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Microsoft Defender для облака> Workbooks.

  3. Выберите книгу DevOps Security (предварительная версия).

Книга загружает и отображает вкладку "Обзор ". На этой вкладке вы увидите количество открытых секретов, безопасность кода и безопасность DevOps. Результаты отображаются в общей сложности для каждого репозитория и по серьезности.

Чтобы просмотреть количество по типу секрета, перейдите на вкладку "Секреты ".

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

Вкладка "Код" отображает количество выводов по инструменту и репозиторию. В нем отображаются результаты сканирования кода по серьезности.

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

На вкладке "Уязвимости OSS" отображаются уязвимости безопасности с открытым исходным кодом (OSS) по серьезности и количеству результатов по репозиторию.

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

Вкладка "Инфраструктура как код" отображает результаты по инструменту и репозиторию.

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

Вкладка "Осанка" отображает состояние безопасности по серьезности и репозиторию.

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

На вкладке "Угрозы и тактика" отображается количество угроз и тактик по репозиторию и общему количеству.

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

Импорт книг из других коллекций книг

Чтобы переместить книги, которые вы создаете в других службах Azure, в коллекцию книг Microsoft Defender для облака:

  1. Откройте книгу, которую вы хотите импортировать.

  2. На панели инструментов выберите Редактировать.

    Screenshot that shows how to edit a workbook.

  3. На панели инструментов выберите </> , чтобы открыть расширенный редактор.

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. В шаблоне коллекции книг выберите весь JSON-файл и скопируйте его.

  5. Откройте коллекцию книг в Defender для облака, а затем выберите "Создать" в строке меню.

  6. Выберите <или> откройте Расширенный редактор.

  7. Вставьте весь код JSON шаблона коллекции.

  8. Выберите Применить.

  9. На панели инструментов нажмите кнопку "Сохранить как".

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. Чтобы сохранить изменения в книге, введите или выберите следующие сведения:

    • Имя книги.
    • Используемый регион Azure.
    • Любая соответствующая информация о подписке, группе ресурсов и совместном доступе.

Чтобы найти сохраненную книгу, перейдите в категорию недавно измененных книг.

Связанный контент

В этой статье описывается страница Defender для облака интегрированных книг Azure с встроенными отчетами и возможностью создания собственных пользовательских интерактивных отчетов.

  • Дополнительные сведения о книгах Azure.

Встроенные книги получают данные из рекомендаций Defender для облака.