你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用工作簿创建丰富的 Defender for Cloud 交互式数据报告

  • 项目

Azure 工作簿是一块灵活的画布,可用于在 Azure 门户中分析数据并创建丰富的可视报表。 在工作簿中可以访问多个 Azure 数据源。 将工作簿合并为统一的交互式体验。

工作簿提供了一组丰富的功能,用于可视化 Azure 数据。 有关每种可视化效果类型的详细信息,请参阅可视化效果示例和文档

在 Microsoft Defender for Cloud 内,可以访问内置工作簿以跟踪组织的安全态势。 还可以生成自定义工作簿,以查看 Defender for Cloud 或其他支持的数据源中的各种数据。

Screenshot that shows the Secure Score Over Time workbook.

如需了解定价,请访问定价页面

先决条件

所需的角色与权限: 要保存工作簿,必须至少有目标资源组的工作簿参与者权限。

云可用性 商业云 全国(Azure 政府、由世纪互联运营的 Microsoft Azure)

在 Defender for Cloud 中,可以使用集成的 Azure 工作簿功能来生成显示安全数据的自定义交互式工作簿。 Defender for Cloud 还包括一个工作簿库,其中包含以下可供你自定义的工作簿:

  • 覆盖范围工作簿 - 跟踪各环境和订阅的 Defender for Cloud 计划和扩展的覆盖范围。
  • 随时间的安全功能分数工作簿:跟踪订阅的分数以及对资源建议的更改。
  • 系统更新工作簿:按资源、操作系统和严重性等查看缺失的系统更新。
  • 漏洞评估发现结果工作簿:查看对 Azure 资源进行漏洞扫描的发现结果。
  • 随时间的合规性工作簿:查看订阅是否符合所选法规或行业标准的状态。
  • 当前警报工作簿:按严重性、类型、标签、MITRE ATT&CK 策略和位置查看当前警报。
  • 价格估算工作簿:根据自己环境中的资源查看 Defender for Cloud 计划的每月合并价格估算。 这些数字是基于零售价格的估计值,并不表示实际计费或账单数据。
  • 治理工作簿:利用治理规则设置中的治理报表跟踪会对组织造成影响的规则进度。
  • DevOps Security(预览版)工作簿:查看可自定义的基础,该基础有助于可视化已配置的连接器 DevOps 状态。

除了内置工作簿,还可以在“社区”类别中找到有用的工作簿。 这些工作簿按原样提供,没有 SLA 或支持。 你可以选择一个提供的工作簿或创建自己的工作簿。

Screenshot that shows the gallery of built-in workbooks in Microsoft Defender for Cloud.

提示

若要自定义工作簿,请选择“编辑”按钮。 完成编辑后,选择“保存”。 更改会保存在新工作簿中。

Screenshot that shows how to edit a supplied workbook to customize it for your needs.

覆盖范围工作簿

如果启用了跨多个订阅和环境(Azure、Amazon Web Services 和 Google Cloud Platform)的 Defender for Cloud,你可能会发现跟踪哪些计划处于活动状态具有挑战性。 如果有多个订阅和环境,则尤其如此。

覆盖范围工作簿可以跟踪哪些 Defender for Cloud 计划在你的环境的哪些部分处于活动状态。 此工作簿可帮助你确保环境和订阅完全受到保护。 通过访问详细的覆盖范围信息,你还可以识别可能需要其他保护的区域,并采取措施解决这些区域的问题。

Screenshot that shows the Coverage workbook, which displays the plans and extensions that are enabled in various subscriptions and environments.

在此工作簿中,可以选择订阅(或所有订阅),然后查看以下选项卡:

  • 其他信息:显示发行说明和每个切换的说明。
  • “相对覆盖范围”:显示启用了特定 Defender for Cloud 计划的订阅或连接器的百分比。
  • 绝对覆盖范围:显示每个订阅的每个计划的状态。
  • “详细覆盖范围”:显示在相关计划中可以启用或需要启用的其他设置,以便获取每个计划的完整参数。

还可以在每个或所有订阅中选择 Azure、Amazon Web Services 或 Google Cloud Platform 环境,以查看为环境启用了哪些计划和扩展。

随时间的安全功能分数工作簿

随时间的安全功能分数工作簿使用 Log Analytics 工作区中的安全功能分数数据。 必须使用连续导出工具导出数据,如在 Azure 门户中为 Defender for Cloud 设置连续导出中所述。

设置连续导出时,在“导出频率”下,设置为“流式处理更新”和“快照(预览)”

Screenshot that shows the export frequency options to select for continuous export in the Secure Score Over Time workbook.

注意

快照每周导出一次。 导出第一个快照后至少需要一周的时间才能查看工作簿中的数据。

提示

若要在组织中配置连续导出,请按照大规模配置连续导出所述,使用提供的 Azure Policy DeployIfNotExist 策略。

随时间的安全功能分数工作簿有五个图形,用于向所选工作区报告订阅:

Graph 示例
上周和上个月的分数趋势
使用此部分监视订阅的当前分数和分数的一般趋势。		 Screenshot that shows trends for secure score on the built-in workbook.
所有所选订阅的聚合分数
将鼠标悬停在趋势线中的任何点上可查看所选时间范围内任何日期的聚合分数。		 Screenshot that shows an aggregated score for all selected subscriptions.
对大多数运行不正常资源的建议
此表可帮助你对所选时间段内大多数资源变为运行不正常的建议进行会审。		 Screenshot that shows recommendations that have the most unhealthy resources.
特定安全控件的分数
Defender for Cloud 的安全控件是对建议的逻辑分组。 此图表一目了然地显示了所有控件的每周分数。		 Screenshot that shows scores for your security controls over the selected time period.
资源更改
此处列出了在所选时间段内大多数资源都有变更(正常、运行不正常或不适用)的建议。 从列表中选择任意建议,以在新表中列出特定资源。		 Screenshot that shows recommendations that have the most resources that changed health state during the selected period.

系统更新工作簿

系统更新工作簿的依据是提示“应在计算机上安装系统更新”的安全建议。 该工作簿有助于识别有未完成更新的计算机。

可以通过以下方式查看所选订阅的更新状态:

  • 有未完成更新待应用的资源列表。
  • 资源中缺少的更新列表。

Defender for Cloud's system updates workbook based on the missing updates security recommendation.

漏洞评估结果工作簿

Defender for Cloud 包括计算机的漏洞扫描程序、容器注册表中的容器和运行 SQL Server 的计算机。

详细了解如何使用这些扫描程序:

每个资源类型的结果在单独的建议中报告:

漏洞评估结果报告收集所有这些结果,并按严重性、资源类型和类别对其进行组织。

Screenshot that shows the Defender for Cloud vulnerability assessment findings report.

随时间的合规性工作簿

Microsoft Defender for Cloud 会不断地将资源的配置与行业标准、法规和基准中的要求进行比较。 内置标准包括 NIST SP 800-53、SWIFT CSP CSCF v2020、加拿大联邦 PBMM、HIPAA HITRUST 等。 使用法规合规性仪表板可以选择与组织相关的标准。 有关详情,请参阅在监管合规仪表板中自定义标准集

随时间的合规性工作簿使用添加到仪表板中的各种标准跟踪一段时间内的合规状态。

Screenshot that shows how to select the standards for your Compliance Over Time report.

如果在报表的概述区域选择某一标准,下方的窗格将显示更详细的明细:

Screenshot that shows how to a detailed breakdown of the changes regarding a specific standard.

可以继续深入,一直到建议级别,以查看已通过或未通过每个控件的资源。

提示

对于报表的每个面板,可以使用“导出到Excel”选项将数据导出到 Excel。

Screenshot that shows how to export a compliance workbook data to Excel.

当前警报工作簿

当前警报工作簿在一个仪表板上显示订阅的当前安全警报。 安全警报是指 Defender for Cloud 在资源上检测到威胁时生成的通知。 Defender for Cloud 优先列出需要快速调查和修复的警报信息。

此工作簿的好处是能够帮助你了解和确定环境中活动威胁的优先级。

注意

大多数工作簿使用 Azure Resource Graph 查询数据。 例如,若要显示地图视图,则要在 Log Analytics 工作区中查询数据。 需要启用连续导出。 将安全警报导出到 Log Analytics 工作区。

可以按严重性、资源组或标签来查看当前警报。

Screenshot that shows a sample view of the alerts viewed by severity, resource group, and tag.

还可以按受攻击的资源、警报类型和新警报来查看订阅的最常见警报。

Screenshot that highlights the top alerts for your subscriptions.

若要查看有关某个警报的详细信息,请选择该警报。

Screenshot that shows all high-severity active alerts for a specific resource.

“MITRE ATT&CK 策略”选项卡按杀伤链的顺序以及订阅在每个阶段的警报数量列出警报。

Screenshot that shows the order of the kill chain and the number of alerts.

可在表中查看当前所有警报并可按列筛选。

Screenshot that shows the table of active alerts.

若要查看特定警报的详细信息,请选择表中的警报,然后选择“打开警报视图”按钮。

Screenshot that shows an alert's details and the Open Alert View button.

若要在地图视图中按位置查看所有警报,请选择“地图视图”选项卡。

Screenshot that shows the alerts when viewed in a map in Map View.

在地图上选择位置以查看该位置的所有警报。

Screenshot that shows the alerts in a specific location in Map View.

若要查看警报的详细信息,请选择警报,然后选择“打开警报视图”按钮。

DevOps Security 工作簿

DevOps Security 工作簿提供 DevOps 安全态势的可自定义可视化报表。 你可以使用此工作簿深入了解具有最多常见漏洞和暴露 (CVE) 以及弱点的存储库、禁用了高级安全性的活动存储库、DevOps 环境配置的安全态势评估,以及其他内容。 使用 Azure Resource Graph 中丰富的数据集自定义和添加自己的可视化报表,以满足安全团队的业务需求。

Screenshot that shows a sample results page after you select the DevOps workbook.

注意

你的环境必须有 GitHub 连接器GitLab 连接器Azure DevOps 连接器才能使用此工作簿。

要部署工作簿:

  1. 登录 Azure 门户

  2. 转到“Microsoft Defender for Cloud”>“工作簿”

  3. 选择“DevOps Security (预览版)”工作簿。

工作簿加载并显示“概览”选项卡。在此选项卡上可以看到暴露的机密数量、代码安全性和 DevOps 安全性。 所有这些结果都按每个存储库的总数和严重性进行细分。

选择“机密”选项卡以按机密类型查看计数。

Screenshot that shows the Secrets tab, which displays the count of findings by secret type.

“代码”选项卡按工具和存储库显示结果计数。 它按严重性显示代码扫描的结果。

Screenshot that shows the Code tab and its findings by tool, repository, and severity.

“OSS 漏洞”选项卡按严重性显示开放源安全性 (OSS) 漏洞,并按存储库显示结果计数。

Screenshot that shows the OSS Vulnerabilities tab, which displays severities and findings by repository.

“基础结构即代码”选项卡按工具和存储库显示结果。

Screenshot that shows the Infrastructure as Code tab, which shows you your findings by tool and repository.

“状态”选项卡按严重性和存储库显示安全状态。

Screenshot that shows the Posture tab, which displays security posture by severity and repository.

“威胁和策略”选项卡按存储库显示威胁和策略的计数。

Screenshot that shows the Threats & Tactics tab, which displays the total count of threats and tactics and the count per repository.

从其他工作簿库导入工作簿

要将在其他 Azure 服务中生成的工作簿移到 Microsoft Defender for Cloud 工作簿库中,需要:

  1. 打开要导入的工作簿。

  2. 在工具栏上选择编辑

    Screenshot that shows how to edit a workbook.

  3. 在工具栏中选择“</>”以打开高级编辑器。

    Screenshot that shows how to open the advanced editor to copy the gallery template JSON code.

  4. 在工作簿库模板中,选择文件中的所有 JSON 并复制。

  5. 打开 Defender for Cloud 的工作簿库,从菜单栏中选择“新建”

  6. 选择 </> 以打开高级编辑器。

  7. 粘贴整个库模板的 JSON 代码。

  8. 选择“应用”。

  9. 在工具栏中选择“保存为”

    Screenshot that shows saving the workbook to the gallery in Defender for Cloud.

  10. 若要保存对工作簿的更改,请输入或选择以下信息:

    • 工作簿的名称。
    • 要使用的 Azure 区域。
    • 任何有关订阅、资源组和共享的信息。

前往“最近修改的工作簿”类别可以找到保存的工作簿。

相关内容

本文介绍了 Defender for Cloud 集成的 Azure 工作簿页面,其中包含内置报表和用于自行构建自定义交互式报表的选项。

内置工作簿从 Defender for Cloud 的建议中拉取数据。