Usar o inventário de ativos para gerenciar a postura de segurança de seus recursos

A página de inventário de ativos do Microsoft Defender para Nuvem mostra a postura de segurança dos recursos que você conectou ao Defender para Nuvem. O Defender para Nuvem analisa periodicamente o estado de segurança dos recursos conectados às suas assinaturas para identificar potenciais problemas de segurança e fornece recomendações ativas. Recomendações ativas são recomendações que podem ser resolvidas para aprimorar sua postura de segurança.

Use essa exibição e seus filtros para resolver perguntas como:

  • Quais das minhas assinaturas com Planos do Defender habilitados têm recomendações pendentes?
  • Quais dos meus computadores com a marca "Produção" não têm o agente do Log Analytics?
  • Quantos dos meus computadores com uma marca específica têm recomendações pendentes?
  • Quais máquinas em um grupo de recursos específico têm uma vulnerabilidade conhecida (usando um número CVE)?

As recomendações de segurança na página do inventário de ativos também aparecem na página Recomendações, mas aqui são mostradas de acordo com o recurso afetado. Saiba mais sobre a implementação de recomendações de segurança.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: Gratuita
Alguns recursos da página de inventário, como o estoque de software, requerem as soluções pagas
Funções e permissões necessárias: todos os usuários
Nuvens: Nuvens comerciais
Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet)

Atualmente, não há suporte para o estoque de software em nuvens nacionais.

Quais são as características fundamentais do inventário de ativos?

A página do inventário fornece as seguintes ferramentas:

Principais recursos da página de inventário de ativos no Microsoft Defender para Nuvem.

1 -Resumos

Antes de você definir quaisquer filtros, uma faixa de valores proeminente na parte superior da exibição de inventário mostra:

  • Total de recursos: O número total de recursos conectados ao Defender para Nuvem.
  • Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre a implementação de recomendações de segurança.
  • Recursos não monitorados: Os recursos com problemas de monitoramento de agentes – eles têm o Agente do Log Analytics implantado, mas o agente não está enviando os dados ou tem outras questões de saúde.
  • Assinaturas não registradas: qualquer assinatura no escopo selecionado que ainda não foi conectada ao Microsoft Defender para Nuvem.

2-Filtros

Os múltiplos filtros na parte superior da página fornecem uma maneira de refinar rapidamente a lista de recursos conforme a pergunta que você esteja tentando responder. Por exemplo, se você quiser saber qual de seus computadores com a marca 'Produção' não tem o agente do Log Analytics, filtre a lista para Monitoramento do agente: "Não instalado" e Marcas:"Produção".

Assim que você aplica filtros, os valores de resumo são atualizados para se relacionar aos resultados da consulta.

3-Ferramentas de gerenciamento de ativos e exportação

Opções de exportação - O inventário inclui a opção de exportar os resultados de suas opções de filtro selecionadas para um arquivo CSV. Você também pode exportar a própria consulta para o Explorador do Azure Resource Graph a fim de refinar, salvar ou modificar a consulta KQL (Kusto Query Language).

Dica

A documentação do KQL fornece um banco de dados com alguns dados da amostra junto com algumas consultas simples para obter a "sensação" da linguagem. Saiba mais no tutorial de KQL.

Opções de gerenciamento de ativos: quando você encontrar os recursos que correspondem às suas consultas, o inventário fornecerá atalhos para operações como:

  • Atribuir marcas aos recursos filtrados – marque as caixas de seleção ao lado dos recursos que você deseja marcar.
  • Integrar novos servidores ao Defender para Nuvem - use o botão da barra de ferramentas Adicionar servidores não Azure.
  • Automatizar cargas de trabalho com Aplicativos Lógicos do Azure – use obotão Disparar Aplicativo Lógicopara executar um aplicativo lógico em um ou mais recursos. Os aplicativos lógicos precisam ser preparados antecipadamente e aceitar o tipo de gatilho relevante (solicitação HTTP). Saiba mais sobre os aplicativos lógicos.

Como funciona o inventário de ativos?

O inventário de ativos utiliza o ARG (Azure Resource Graph), um serviço do Azure que permite consultar dados de postura de segurança do Defender para Nuvem em várias assinaturas.

O ARG foi projetado para fornecer uma exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar KQL (Kusto Query Language) no inventário de ativos para produzir rapidamente insights detalhados por meio da referência cruzada de dados do Defender para Nuvem com outras propriedades de recurso.

Como usar o inventário de ativos

  1. Na barra lateral do Defender para Nuvem, selecione Inventário.

  2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

    Por padrão, os recursos são classificados com o número de recomendações de segurança ativas.

    Importante

    As opções em cada filtro são específicas aos recursos nas assinaturas atualmente selecionadas e suas seleções nos outros filtros.

    Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com as recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro de Recomendações não terá opções.

    Usar as opções de filtro no inventário de ativos do Microsoft Defender para Nuvem para filtrar os recursos para recursos de produção que não estejam sendo monitorados

  3. Para usar osResultados de Segurança contêmfiltro, insira a ID da mensagem de texto livre,a verificação de segurança ou o nome de uma descoberta de vulnerabilidade no CVE para filtrar os recursos afetados:

    Filtro contêm Resultados de Segurança

    Dica

    As conclusões de segurança contêm e os filtros das marcas só aceitam um único valor. Para filtrar mais de um, use adicionar filtros.

  4. Para usar o filtro do Defender para Nuvem, selecione uma ou mais opções (Desativar, Ativar ou Parcial):

    • Desativar - recursos não protegidos por um plano do Microsoft Defender. Você pode clicar com o botão direito do mouse nos recursos e atualizá-los:

      Atualizar um recurso a ser protegido pelo plano do Microsoft Defender relevante por meio do clique com o botão direito do mouse.

    • Ativar - recursos protegidos por um plano do Microsoft Defender

    • Parcial - Assinaturas em que alguns, mas nem todos os planos do Microsoft Defender estão habilitados. Por exemplo, a assinatura a seguir tem sete planos do Microsoft Defender desabilitados.

      Assinatura parcialmente protegida pelos planos do Microsoft Defender.

  5. Para verificar melhor os resultados da consulta, selecione os recursos que lhe interessam.

  6. Para exibir as opções de filtro selecionadas atualmente como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

    Consulta de inventário no ARG.

  7. Se você tiver definido alguns filtros e tiver deixado a página aberta, o Defender para Nuvem não vai atualizar os resultados automaticamente. As alterações nos recursos não impactarão os resultados exibidos, a menos que você recarregue a página manualmente ou selecione Atualizar.

Acessar um inventário de software

Para acessar o estoque de software, você precisará de uma das seguintes soluções pagas:

Se você já tiver habilitado a integração com o Microsoft Defender para Ponto de Extremidade e tiver habilitado o Microsoft Defender para servidores, terá acesso ao estoque de software.

Se você tiver habilitado a solução de ameaça e vulnerabilidade, o inventário de ativos do Defender para Nuvem oferecerá um filtro para selecionar os recursos pelo respectivo software instalado.

Observação

A opção "Em branco" mostra computadores sem o Microsoft Defender para Ponto de Extremidade ou sem o Microsoft Defender para servidores.

Além dos filtros na página de inventário de ativos, você pode explorar os dados de inventário de software a partir do Azure Resource Graph Explorer.

Exemplos de como usar o Azure Resource Graph Explorer para acessar e explorar dados de inventário de software:

  1. Abra o Explorador do Azure Resource Graph.

    Iniciar a página de recomendações do Azure Resource Graph Explorer**

  2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

  3. Insira qualquer uma das consultas a seguir (personalize-as ou escreva uma própria!) e selecione Executar consulta.

    • Para gerar uma lista básica de softwares instalados:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Para filtrar por números de versão:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Para localizar computadores com uma combinação de produtos de software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinação de um produto de software com outra recomendação de segurança:

      (Neste exemplo – computadores com o MySQL instalado e portas de gerenciamento expostas)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Próximas etapas

Este artigo descreveu a página de inventário de ativos do Microsoft Defender para Nuvem.

Para obter mais informações relacionadas às ferramentas, consulte as seguintes páginas: