使用活頁簿建立「適用於雲端的 Defender」資料的豐富互動式報告
Azure 活頁簿是彈性畫布,可在 Azure 入口網站中用來分析資料,以及建立豐富的視覺報表。 在活頁簿中,您可以存取 Azure 當中的多個資料來源。 將活頁簿合併成統一的互動式體驗。
活頁簿提供豐富的功能,以視覺化您的 Azure 資料。 如需每個視覺效果類型的詳細資訊,請參閱視覺效果範例和文件。
在適用於雲端的 Microsoft Defender 中,您可以存取內建活頁簿來追蹤組織的安全性態勢。 您也可以建置自訂活頁簿,以檢視來自適用於雲端的 Defender 或其他支援資料來源的各種資料。
如需價格資訊,請參閱價格頁面。
必要條件
必要的角色和權限:若要儲存活頁簿,您必須至少有相關資源群組的活頁簿參與者權限。
雲端可用性:
商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure)
使用適用於雲端的 Defender 資源庫活頁簿
在適用於雲端的 Defender 中,您可以使用整合式 Azure 活頁簿功能來建置顯示安全性資料的自訂互動式活頁簿。 適用於雲端的 Defender 包含一個活頁簿資源庫,其中包含下列可自訂的活頁簿:
- 「涵蓋範圍」活頁簿:追蹤適用於雲端的 Defender 方案涵蓋範圍,以及整個環境和訂用帳戶的延伸模組。
- 「一段時間內的安全分數」活頁簿:追蹤您訂閱的分數及對資源建議的變更。
- 「系統更新」活頁簿:依資源、作業系統、嚴重性及其他項目檢視遺漏的系統更新。
- 「弱點評量結果」活頁簿:檢視 Azure 資源的弱點掃描結果。
- 「一段時間內的法務遵循」活頁簿:檢視訂閱法務遵循是否符合您所選法規標準或業界標準的狀態。
- 「作用中警示」活頁簿:依嚴重性、類型、標記、MITRE ATT 和 CK 策略及位置,檢視作用中警示。
- 「價格估計」活頁簿:根據您環境中的資源遙測資料,檢視適用於雲端的 Defender 方案每月合併價格估計。 這些數據是以零售價格為準的估計值,而不代表實際的帳單或發票資料。
- 「治理」活頁簿:使用治理規則設定中的治理報告來追蹤影響貴組織的規則進度。
- DevOps 安全性 (預覽) 活頁簿:檢視可自訂的基礎,協助您視覺化已設定連接器的 DevOps 態勢狀態。
除了內建活頁簿之外,您還可以在 [社群] 類別中找到有用的活頁簿。 這些活頁簿會依現狀提供,且沒有 SLA 或支援。 您可以選擇其中一個提供的活頁簿,或建立自己的活頁簿。
提示
若要自訂任何活頁簿,請選取 [編輯] 按鈕。 完成編輯時,請選取 [儲存]。 變更會儲存在新活頁簿中。
「涵蓋範圍」活頁簿
如果您啟用適用於雲端的 Defender 涵蓋多個訂用帳戶和環境 (Azure、Amazon Web Services 和 Google Cloud Platform),想要追蹤哪些方案為作用中可能很困難, 尤其是當您有多個訂用帳戶和環境時。
「涵蓋範圍」活頁簿可協助您追蹤哪些適用於雲端的 Defender 方案在您的環境中處於作用中狀態。 此活頁簿可協助您確保環境和訂用帳戶受到完整保護。 透過存取詳細的涵蓋範圍資訊,您可以識別可能需要更多保護的區域,以便針對這些區域採取行動。
在此活頁簿中,您可以選取訂用帳戶 (或所有訂用帳戶),然後檢視下列索引標籤:
- 其他資訊:顯示版本資訊,以及每個切換開關的說明。
- 相對涵蓋範圍:顯示已啟用特定「適用於雲端的 Defender」方案的訂用帳戶或連接器百分比。
- 絕對涵蓋範圍:顯示每個訂用帳戶的各個方案狀態。
- 詳細涵蓋範圍:顯示可啟用的其他設定,或是必須在相關方案上啟用才能取得各方案完整值的其他設定。
您也可以選取每個或所有訂用帳戶中的 Azure、Amazon Web Services 或 Google Cloud Platform 環境,以查看該環境已啟用哪些方案和延伸模組。
「一段時間內的安全分數」活頁簿
「一段時間內的安全分數」活頁簿會使用 Log Analytics 工作區的安全分數資料。 您必須使用連續匯出工具將資料匯出,步驟請參閱在 Azure 入口網站中為適用於雲端的 Defender 設定連續匯出。
當您設定連續匯出時,請在 [匯出頻率] 下同時選取 [串流更新] 和 [快照集 (預覽)]。
注意
快照集會每週匯出。 在第一個快照集匯出後,您必須至少等待一週才能檢視活頁簿中的資料。
提示
若要為整個組織設定連續匯出,請使用 Azure 原則中所提供的 DeployIfNotExist 原則,步驟請參閱大規模設定連續匯出。
「一段時間內的安全分數」活頁簿有五個圖表,可供訂用帳戶回報給所選的工作區:
| 圖表 | 範例 |
|---|---|
| 過去一週和一個月的分數趨勢 使用本節來監視您訂閱分數的目前分數和一般趨勢。 |
|
| 所有已選擇訂閱的彙總分數 將滑鼠停留在趨勢線的任何點上,以查看所選時間範圍內任何日期的彙總分數。 |
|
| 具有最狀況不良資源的建議 下表可協助您找出所選期間有最多資源變更為狀況不良的建議,並將其分級。 |
|
| 特定安全性控制項的分數 適用於雲端的 Defender 中的安全性控制項是建議的邏輯群組。 此圖表以一目了然的方式,為您列出所有控制項的每週分數。 |
|
| 資源變更 此處列出所選期間有最多資源變更狀態 (狀況良好、狀況不良或不適用) 的建議。 選取清單中的任意建議,以開啟列出特定資源的新資料表。 |
|
「系統更新」活頁簿
「系統更新」活頁簿採用的安全性建議是應安裝在您電腦上的安全性更新。 此活頁簿可協助您識別有更新可套用的電腦。
您可以檢視所選訂用帳戶的更新狀態,方法如下:
- 有重要更新可套用的資源清單。
- 您資源所遺漏的更新清單。
「弱點評量結果」活頁簿
適用於雲端的 Defender 包括的弱點掃描器涵蓋您的機器、容器登錄中的容器,以及執行 SQL 伺服器的電腦。
深入了解如何使用這些掃描器:
每個資源類型的結果都會以個別建議回報:
- 應修復虛擬機器中的弱點 (包括下列結果:Microsoft Defender 弱點管理、整合式 Qualys 掃描器,以及任何已設定的 BYOL VA 解決方案)
- 容器登錄映像應已解決弱點結果
- SQL 資料庫應已解決發現的弱點
- 機器上的 SQL Server 應已解決發現的弱點
「弱點評量結果」活頁簿會收集這些結果,並依嚴重性、資源類型和類別進行組織。
「一段時間的合規性」活頁簿
適用於雲端的 Microsoft Defender 會持續比較資源的設定與產業標準、法規及基準的需求。 內建標準包括 NIST SP 800-53、SWIFT CSP CSCF v2020、加拿大聯邦 PBMM、HIPAA HITRUST 等等。 您可以使用法規遵循儀表板選取與組織相關的標準。 深入了解在法規遵循儀表板中自訂一組標準。
「一段時間的合規性」活頁簿會使用您新增至儀表板的各種標準,追蹤您的合規性狀態。
當您從報告概觀區域選取標準時,下方窗格會顯示更詳盡的明細:
若要檢視每個控制項通過或失敗的資源,您可以繼續向下切入直到建議層級。
提示
針對報告的每個面板,您可以使用 [匯出至 Excel] 選項將資料匯出至 Excel。
「作用中警示」活頁簿
「作用中警示」活頁簿會在一個儀表板上顯示您訂閱的作用中安全性警示。 安全性警示是在偵測到您的資源受到威脅時,由適用於雲端的 Defender 產生的通知。 適用於雲端的 Defender 會按照優先順序列出警示,其中包含快速調查和補救所需的資訊。
此活頁簿可讓您掌握並排定環境中活躍威脅的優先順序,協助妥善處置。
注意
大部分的活頁簿都會使用 Azure Resource Graph 來查詢資料。 例如,若要顯示地圖檢視,則會在 Log Analytics 工作區中查詢資料。 連續匯出應為啟用狀態。 將安全性警示匯出至 Log Analytics 工作區。
您可以依嚴重性、資源群組和標籤來檢視作用中的警示。
您也可以依受攻擊的資源、警示類型和新的警示,來檢視訂閱的前幾個警示。
若要查看警示的詳細資料,請選取警示。
[MITRE ATT&CK 策略] 索引標籤會依攻擊鏈的順序列出警示,以及訂用帳戶每個階段擁有的警示數目。
您可以在資料表中看到所有作用中警示,並依資料行進行篩選。
若要查看特定警示的詳細資料,請選取資料表中的警示,然後選取 [開啟警示檢視] 按鈕。
若要依地圖檢視中的位置查看所有警示,請選取 [地圖檢視 ] 索引標籤。
選取地圖上的位置,以檢視該位置的所有警示。
若要檢視警示的詳細資料,請選取警示,然後選取 [開啟警示檢視] 按鈕。
「DevOps 安全性」活頁簿
「DevOps 安全性」活頁簿提供 DevOps 安全性態勢的可自訂視覺化報告。 您可以使用此活頁簿來檢視存放庫的深入解析,包括具有最多常見弱點和漏洞 (CVE) 的存放庫、已關閉進階安全性的作用中存放庫、DevOps 環境設定的安全性態勢評估等等。 使用 Azure Resource Graph 中的豐富資料集來自訂和新增您自己的視覺化報告,以滿足安全性小組的業務需求。
注意
若要使用此活頁簿,您的環境必須具有 GitHub 連接器、GitLab 連接器或 Azure DevOps 連接器。
若要部署活頁簿:
登入 Azure 入口網站。
移至 [適用於雲端的 Microsoft Defender]>[活頁簿]。
選取 [DevOps Security (預覽)] 活頁簿。
活頁簿會載入並顯示 [概觀] 索引標籤。在此索引標籤上,您可以看到公開的秘密數目、程式碼安全性和 DevOps 安全性。 結果會依每個存放庫的總計數量和嚴重性來顯示。
若要依秘密類型檢視計數,請選取 [秘密] 索引標籤。
[程式碼] 索引標籤會依工具和存放庫顯示結果計數。 程式碼掃描的結果會依嚴重性顯示。
[OSS 弱點] 索引標籤會依嚴重性顯示開放原始碼安全性 (OSS) 弱點,以及存放庫結果的計數。
[基礎結構即程式碼] 索引標籤會依工具和存放庫顯示您的結果。
[態勢] 索引標籤會依嚴重性和存放庫顯示安全性態勢。
[威脅與策略] 索引標籤會依存放庫和總數顯示威脅和策略計數。
從其他活頁簿資源庫匯入活頁簿
若要將您在其他 Azure 服務中建置的活頁簿移至適用於雲端的 Microsoft Defender 活頁簿資源庫:
開啟您要匯入的活頁簿。
在工具列上,選取編輯。
在工具列上,選取 </> 以開啟進階編輯器。
在活頁簿資源庫範本中,選取檔案中的所有 JSON 並複製。
在適用於雲端的 Defender 中開啟活頁簿資源庫,然後在功能表列上選取 [新增]。
選取 </> 以開啟 [進階編輯器]。
貼上整個資源庫範本 JSON 程式碼。
選取套用。
在工具列上,選取 [另存新檔]。
若要儲存活頁簿的變更,請輸入或選取下列資訊:
- 活頁簿的名稱。
- 要使用的 Azure 區域。
- 訂用帳戶、資源群組和共用的任何相關資訊。
若要尋找已儲存的活頁簿,請移至 [最近修改過的活頁簿] 類別。
相關內容
本文說明適用於雲端的 Defender 整合式 Azure 監視器活頁簿頁面,其中包括內建報告,以及用於建置您自訂互動式報告的選項。
- 深入了解 Azure 活頁簿。
內建活頁簿會從適用於雲端的 Defender 建議取得其資料。
- 了解安全性建議:參考指南的許多安全性建議。