Использование инвентаризации ресурсов для управления состоянием безопасности ресурсов

На странице инвентаризации ресурсов Microsoft Defender для облака отображается состояние безопасности ресурсов, подключенных к Defender для облака. Defender для облака периодически анализирует состояние безопасности ресурсов, подключенных к вашим подпискам, для выявления потенциальных проблем безопасности и предоставляет активные рекомендации. Активные рекомендации — это рекомендации, которые можно решить для повышения уровня безопасности.

Следует использовать это представление и его фильтры для решения следующих вопросов.

  • Какие из моих подписок с включенными планами Defender имеют невыполненные рекомендации?
  • На каких из наших компьютеров с тегом Production отсутствует агент Log Analytics?
  • На скольких компьютерах, помеченных конкретным тегом, имеются необработанные рекомендации?
  • Какие компьютеры в определенной группе ресурсов имеют известную уязвимость (с использованием номера CVE)?

Рекомендации по безопасности на странице инвентаризации ресурсов также отображаются на странице Рекомендации , но здесь они отображаются в соответствии с затронутым ресурсом. Узнайте больше о реализации рекомендаций по безопасности.

Доступность

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены Free
Некоторые функции страницы инвентаризации, такие как инвентаризация программного обеспечения , требуют наличия платных решений на месте
Требуемые роли и разрешения все пользователи
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure под управлением 21Vianet)

Инвентаризация программного обеспечения в настоящее время не поддерживается в национальных облаках.

Каковы основные функции страницы инвентаризации активов?

На странице «Инвентаризация» представлены следующие средства.

Основные возможности страницы инвентаризации активов в Microsoft Defender for Cloud.

1\. Сводки

Прежде чем задавать какие-либо фильтры, обратите внимание на полосу со значениями показателей в верхней части представления инвентаризации, на которой отображаются следующие данные.

  • Итого ресурсов: общее количество ресурсов, подключенных к Defender для облака.
  • Неработоспособные ресурсы. Ресурсы с активными рекомендациями по безопасности, которые можно реализовать. Узнайте больше о реализации рекомендаций по безопасности.
  • Неконтролируемые ресурсы: ресурсы с проблемами мониторинга агентов. На этих ресурсах развернут агент Log Analytics, но он не отправляет данные или его работоспособность нарушена каким-то иным образом.
  • Незарегистрированные подписки: любая подписка в выбранном область, которая еще не подключена к Microsoft Defender for Cloud.

2\. Фильтры

Несколько фильтров в верхней части страницы позволяют быстро уточнить список ресурсов в соответствии с вопросом, на который вы пытаетесь ответить. Например, если вы хотите узнать, на каких компьютерах с тегом "Production" отсутствует агент Log Analytics, можно отфильтровать список по параметрам Мониторинг агента: "Не установлено" и Теги:"Production".

Как только будут применены фильтры, сводные значения обновляются, чтобы соответствовать результатам запроса.

3\. Экспорт и средства управления активами

Параметры экспорта: на странице инвентаризации вы можете возможность экспортировать отфильтрованные результаты в CSV-файл. Также можно экспортировать сам запрос в Azure Resource Graph Explorer для дальнейшего уточнения, сохранения или изменения запроса Kusto Query Language (KQL).

Совет

В документации по KQL есть база данных с примерами данных, а также ряд простых запросов, позволяющих получить общее впечатление о языке. Дополнительные сведения см. в этом руководстве по KQL.

Параметры управления ресурсами: когда найдены ресурсы, которые соответствуют запросам, инвентаризация предоставляет средства для ускоренного выполнения операций, например:

  • Назначение тегов фильтруемым ресурсам — следует установить флажки рядом с ресурсами, которые нужно пометить.
  • Подключение новых серверов к Defender для облака — следует использовать кнопку на панели инструментов Добавление серверов не из Azure.
  • Автоматизация рабочих нагрузок с Azure Logic Apps — используйте кнопку Запустить приложение логики для запуска приложения логики на одном или нескольких ресурсах. Приложения логики необходимо подготовить заранее и настроить их для приема триггера соответствующего типа (HTTP-запроса). Дополнительные сведения о приложениях логики.

Как работает инвентаризация активов?

Инвентаризация активов использует Azure Resource Graph (ARG) — службу Azure, которая позволяет запрашивать данные о безопасности Defender для облака в нескольких подписках.

ARG разработан для обеспечения эффективного исследования ресурсов с возможностью масштабирования запросов.

Вы можете использовать язык запросов Kusto (KQL) в инвентаризации ресурсов, чтобы быстро получать подробные аналитические сведения путем перекрестной ссылки на данные Defender для облака с другими свойствами ресурсов.

Использование инвентаризации активов

  1. На боковой панели Defender для облака выберите элемент Инвентаризация.

  2. Используйте поле Фильтровать по имени , чтобы отобразить определенный ресурс, или используйте фильтры, чтобы сосредоточиться на конкретных ресурсах.

    По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.

    Важно!

    Параметры каждого фильтра относятся к ресурсам в выбранных подписках и к тому, что выбрано в других фильтрах.

    Например, если вы выбрали только одну подписку, и в ней нет ресурсов с необработанными рекомендациями по безопасности (0 небезопасных ресурсов), у фильтра Рекомендации параметров не будет.

    Использование параметров фильтра в Microsoft Defender инвентаризации ресурсов в облаке для фильтрации ресурсов по рабочим ресурсам, которые не отслеживаются

  3. Чтобы использовать фильтр Содержимое обнаружений безопасности, необходимо ввести произвольный текст, включающий идентификатор, проверку безопасности или обозначение CVE найденной уязвимости для фильтрации по затронутым ресурсам:

    Фильтр

    Совет

    Фильтры Содержимое обнаружений безопасности и Теги позволяют ввести только одно значение. Чтобы выполнить фильтрацию по нескольким значениям, нажмите кнопку Добавить фильтры.

  4. Чтобы использовать фильтр Defender для облака, выберите один или несколько параметров ("Откл.", "Вкл.", или "Частично"):

    • Off — ресурсы, не защищенные планом Microsoft Defender. Щелкните правой кнопкой мыши ресурсы и обновите их:

      Обновите ресурс для защиты с помощью соответствующего плана Microsoft Defender, щелкнув правой кнопкой мыши.

    • Включено — ресурсы, защищенные планом Microsoft Defender

    • Частичное - Подписки с некоторыми, но не всеми планами Microsoft Defender отключены. Например, в следующей подписке отключены семь планов Microsoft Defender.

      Подписка частично защищена планами Microsoft Defender.

  5. Чтобы глубже проанализировать результаты запроса, выберите интересующие вас ресурсы.

  6. Чтобы просмотреть текущие параметры фильтров в виде запроса в обозревателе графа ресурсов, выберите Открыть запрос.

    Инвентаризационный запрос в ARG.

  7. Если вы задали какие-то фильтры и оставили страницу открытой, Defender для облака не будет автоматически обновлять результаты. Изменения в ресурсах не будут влиять на отображаемые результаты, если вы не перезагрузите страницу вручную или не нажмете кнопку Обновить.

Доступ к инвентаризации программного обеспечения

Для доступа к инвентаризации программного обеспечения вам потребуется одно из следующих платных решений:

Если вы уже включили интеграцию с Microsoft Defender для конечной точки и включили Microsoft Defender для серверов, у вас будет доступ к инвентаризации программного обеспечения.

Если вы включили решение для угроз и уязвимостей, инвентаризация ресурсов Defender для облака предлагает фильтр для выбора ресурсов по установленному программному обеспечению.

Примечание

Параметр "Пустой" отображает компьютеры без Microsoft Defender для конечной точки или без Microsoft Defender для серверов.

Помимо фильтров на странице инвентаризации активов, вы можете изучить данные инвентаризации программного обеспечения из Azure Resource Graph Обозреватель.

Примеры использования обозревателя Azure Resource Graph для доступа к данным инвентаризации программного обеспечения и их просмотра:

  1. Откройте Обозреватель Azure Resource Graph.

    Страница рекомендаций по запуску обозревателя Azure Resource Graph**

  2. Выберите следующую область подписки: securityresources/softwareinventories.

  3. Введите любой из следующих запросов (либо настройте их или напишите собственный запрос) и выберите Выполнить запрос.

    • Чтобы создать базовый список установленного программного обеспечения:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Для фильтрации по номерам версий:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Чтобы найти компьютеры с сочетанием программных продуктов:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Сочетание программного продукта с другой рекомендацией по безопасности:

      (В этом примере на компьютерах установлен MySQL и открыты порты управления.)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Дальнейшие действия

В этой статье описана страница инвентаризации ресурсов Microsoft Defender для облака.

Дополнительные сведения о соответствующих средствах см. на следующих страницах: