Použití inventáře prostředků ke správě stavu zabezpečení vašich prostředků

  • Článek

Na stránce inventáře prostředků v Programu Microsoft Defender for Cloud se zobrazuje stav zabezpečení prostředků, které jste připojili k defenderu pro cloud. Defender for Cloud pravidelně analyzuje stav zabezpečení prostředků připojených k vašim předplatným, aby identifikoval potenciální problémy se zabezpečením a poskytuje aktivní doporučení. Aktivní doporučení jsou doporučení, která je možné vyřešit, aby se zlepšil stav zabezpečení.

Toto zobrazení a jeho filtry slouží k řešení takových otázek, jako jsou:

  • Které z mých předplatných s povolenými plány Defenderu mají vynikající doporučení?
  • U kterých počítačů se značkou Production chybí agent Log Analytics?
  • Kolik počítačů označených konkrétní značkou má vynikající doporučení?
  • Které počítače v konkrétní skupině prostředků mají známou chybu zabezpečení (pomocí čísla CVE)?

Doporučení zabezpečení na stránce inventáře prostředků se také zobrazují na stránce Doporučení , ale tady se zobrazují podle ovlivněného prostředku. Přečtěte si další informace o implementaci doporučení zabezpečení.

Dostupnost

Aspekt Detaily
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Bezplatný
Některé funkce stránky inventáře, například inventář softwaru, vyžadují, aby byla placená řešení.
Požadované role a oprávnění: Všichni uživatelé
Mraky: Komerční cloudy
National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)

Inventář softwaru se v současné době nepodporuje v národních cloudech.

Jaké jsou klíčové funkce inventáře prostředků?

Na stránce inventáře najdete následující nástroje:

Hlavní funkce stránky inventáře prostředků v Programu Microsoft Defender pro cloud

1. Souhrny

Před definováním filtrů se v horní části zobrazení inventáře zobrazí hlavní pruh hodnot:

  • Celkový počet prostředků: Celkový počet prostředků připojených k Defenderu pro cloud.
  • Prostředky, které nejsou v pořádku: Prostředky s aktivním doporučením zabezpečení, které můžete implementovat. Přečtěte si další informace o implementaci doporučení zabezpečení.
  • Nesledované prostředky: Prostředky s problémy s monitorováním agenta – mají nasazeného agenta Log Analytics, ale agent neodesílá data nebo má jiné problémy se stavem.
  • Neregistrovaná předplatná: Všechna předplatná ve vybraném oboru, která ještě nebyla připojená k Programu Microsoft Defender for Cloud.

2. Filtry

Několik filtrů v horní části stránky poskytuje způsob, jak rychle upřesnit seznam prostředků podle otázky, na kterou se pokoušíte odpovědět. Pokud například chcete zjistit, které počítače se značkou Production chybí agent Log Analytics, můžete vyfiltrovat seznam monitorování agentů: Nenainstalováno a Značky:"Production".

Jakmile použijete filtry, souhrnné hodnoty se aktualizují tak, aby souvisely s výsledky dotazu.

3. Nástroje pro export a správu prostředků

Možnosti exportu – Inventář obsahuje možnost exportu výsledků vybraných možností filtru do souboru CSV. Dotaz můžete také exportovat do Azure Resource Graph Exploreru, abyste mohli dotaz dotazovací jazyk Kusto (KQL) dále upřesnit, uložit nebo upravit.

Tip

Dokumentace k jazyku KQL poskytuje databázi s některými ukázkovými daty společně s některými jednoduchými dotazy pro získání "pocitu" pro jazyk. Další informace najdete v tomto kurzu KQL.

Možnosti správy prostředků – Když najdete prostředky, které odpovídají vašim dotazům, inventář poskytuje klávesové zkratky pro operace, jako jsou:

  • Přiřaďte značky k filtrovaným prostředkům – zaškrtněte políčka vedle prostředků, které chcete označit.
  • Onboarding nových serverů do Defenderu pro cloud – použijte tlačítko Přidat servery mimo Azure .
  • Automatizace úloh pomocí Azure Logic Apps – pomocí tlačítka Aktivovat aplikaci logiky spusťte aplikaci logiky na jednom nebo více prostředcích. Aplikace logiky musí být připravené předem a přijmout příslušný typ triggeru (požadavek HTTP). Přečtěte si další informace o aplikacích logiky.

Jak funguje inventář prostředků?

Inventář prostředků využívá Azure Resource Graph (ARG) – službu Azure, která umožňuje dotazovat Defender na data stavu zabezpečení cloudu napříč několika předplatnými.

ARG je navržená tak, aby poskytovala efektivní zkoumání prostředků s možností dotazování ve velkém měřítku.

Pomocí dotazovací jazyk Kusto (KQL) v inventáři prostředků můžete rychle vytvořit podrobné přehledy křížovým odkazem na data Defenderu pro cloud s jinými vlastnostmi prostředků.

Jak používat inventář prostředků

  1. Na bočním panelu Defenderu pro Cloud vyberte Inventář.

  2. Pomocí pole Filtrovat podle názvu zobrazíte konkrétní prostředek nebo pomocí filtrů se zaměříte na konkrétní prostředky.

    Ve výchozím nastavení jsou prostředky seřazené podle počtu aktivních doporučení zabezpečení.

    Důležité

    Možnosti v jednotlivých filtrech jsou specifické pro prostředky v aktuálně vybraných předplatných a vaše výběry v ostatních filtrech.

    Pokud jste například vybrali jenom jedno předplatné a předplatné nemá žádné prostředky s nevyřízených doporučeními zabezpečení k nápravě (0 prostředků, které nejsou v pořádku), filtr Doporučení nebude mít žádné možnosti.

    Použití možností filtru v inventáři prostředků v programu Microsoft Defender for Cloud k filtrování prostředků do produkčních prostředků, které nejsou monitorovány

  3. Pokud chcete použít filtr obsahující závěry zabezpečení, zadejte volný text z ID, kontroly zabezpečení nebo názvu CVE hledání ohrožení zabezpečení pro filtrování ovlivněných prostředků:

    Filtr

    Tip

    Závěry zabezpečení obsahují a filtry značek přijímají pouze jednu hodnotu. Pokud chcete filtrovat podle více než jednoho, použijte přidat filtry.

  4. Pokud chcete použít filtr Defenderu pro cloud , vyberte jednu nebo více možností (vypnuto, zapnuto nebo částečné):

    • Vypnuto – Prostředky, které nejsou chráněné plánem Programu Microsoft Defender. Můžete kliknout pravým tlačítkem na prostředky a upgradovat je:

      Upgradujte prostředek tak, aby byl chráněn příslušným plánem Programu Microsoft Defender, a to kliknutím pravým tlačítkem myši.

    • Zapnuto – Prostředky chráněné plánem Microsoft Defenderu

    • Částečná - předplatná s některými, ale ne všemi zakázanými plány Programu Microsoft Defender. Například následující předplatné obsahuje sedm zakázaných plánů Microsoft Defenderu.

      Předplatné je částečně chráněné plány Microsoft Defenderu.

  5. Pokud chcete výsledky dotazu dále prozkoumat, vyberte prostředky, které vás zajímají.

  6. Pokud chcete zobrazit aktuální vybrané možnosti filtru jako dotaz v Průzkumníku služby Resource Graph, vyberte Otevřít dotaz.

    Dotaz inventáře v ARG.

  7. Pokud jste definovali nějaké filtry a opustili stránku otevřenou, Defender for Cloud výsledky automaticky neaktualizuje. Jakékoli změny prostředků nebudou mít vliv na zobrazené výsledky, pokud stránku znovu nenačtete ručně nebo nevyberete Aktualizovat.

Přístup k inventáři softwaru

Pro přístup k inventáři softwaru budete potřebovat jedno z následujících placených řešení:

Pokud jste už povolili integraci s programem Microsoft Defender for Endpoint a povolili jste Microsoft Defender for Servers, budete mít přístup k inventáři softwaru.

Pokud jste povolili řešení hrozeb a ohrožení zabezpečení, nabízí Defender for Cloud inventář prostředků filtr pro výběr prostředků podle nainstalovaného softwaru.

Poznámka:

Možnost Prázdné zobrazuje počítače bez programu Microsoft Defender pro koncový bod nebo bez programu Microsoft Defender pro servery.

Kromě filtrů na stránce inventáře prostředků můžete prozkoumat data inventáře softwaru z Azure Resource Graph Exploreru.

Příklady použití Azure Resource Graph Exploreru pro přístup k datům inventáře softwaru a jejich zkoumání:

  1. Otevřete Azure Resource Graph Explorer.

    Spuštění stránky doporučení Azure Resource Graph Exploreru**

  2. Vyberte následující rozsah předplatného: securityresources/softwareinventories

  3. Zadejte libovolný z následujících dotazů (nebo je přizpůsobte nebo napište vlastní)) a vyberte Spustit dotaz.

    • Generování základního seznamu nainstalovaného softwaru:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

    • Filtrování podle čísel verzí:

      securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

    • Vyhledání počítačů s kombinací softwarových produktů:

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

    • Kombinace softwarového produktu s jiným doporučením zabezpečení:

      (V tomto příkladu – počítače s nainstalovaným a vystaveným portem pro správu MySQL)

      securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Další kroky

Tento článek popisuje stránku inventáře prostředků v programu Microsoft Defender for Cloud.

Další informace o souvisejících nástrojích najdete na následujících stránkách: