Use o inventário de ativos para gerenciar a postura de segurança de seus recursos

A página de inventário de ativos do Microsoft Defender for Cloud mostra a postura de segurança dos recursos que você conectou ao Defender for Cloud. O Defender for Cloud analisa periodicamente o estado de segurança dos recursos ligados às suas subscrições para identificar potenciais problemas de segurança e fornece-lhe recomendações ativas. As recomendações ativas são recomendações que podem ser resolvidas para melhorar a sua postura de segurança.

Use esta exibição e seus filtros para resolver questões como:

  • Quais das minhas subscrições com planos Defender ativados têm recomendações pendentes?
  • Quais das minhas máquinas com a tag 'Produção' não têm o agente do Log Analytics?
  • Quantas das minhas máquinas marcadas com uma etiqueta específica têm recomendações pendentes?
  • Quais máquinas em um grupo de recursos específico têm uma vulnerabilidade conhecida (usando um número CVE)?

As recomendações de segurança na página de inventário de ativos também são mostradas na página Recomendações , mas aqui elas são mostradas de acordo com o recurso afetado. Saiba mais sobre como implementar recomendações de segurança.

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Disponibilidade geral (GA)
Preços: Gratuito
Alguns recursos da página de inventário, como o inventário de software, exigem que as soluções pagas estejam no local
Funções e permissões necessárias: Todos os utilizadores
Nuvens: Nuvens comerciais
Nacional (Azure Government, Microsoft Azure operado pela 21Vianet)

Atualmente, o inventário de software não é suportado em nuvens nacionais.

Quais são as principais características do inventário de ativos?

A página de inventário fornece as seguintes ferramentas:

Principais características da página de inventário de ativos no Microsoft Defender for Cloud.

1 - Sínteses

Antes de definir quaisquer filtros, uma faixa proeminente de valores na parte superior da visualização de inventário mostra:

  • Total de recursos: o número total de recursos conectados ao Defender for Cloud.
  • Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre como implementar recomendações de segurança.
  • Recursos não monitorados: recursos com problemas de monitoramento do agente - eles têm o agente do Log Analytics implantado, mas o agente não está enviando dados ou tem outros problemas de integridade.
  • Subscrições não registadas: qualquer subscrição no âmbito selecionado que ainda não tenha sido ligada ao Microsoft Defender for Cloud.

2 - Filtros

Os vários filtros na parte superior da página fornecem uma maneira de refinar rapidamente a lista de recursos de acordo com a pergunta que você está tentando responder. Por exemplo, se você quiser saber quais de suas máquinas com a tag 'Produção' estão faltando o agente do Log Analytics, você pode filtrar a lista para monitoramento do agente:"Não instalado" e Tags:"Produção".

Assim que você aplicar filtros, os valores de resumo serão atualizados para se relacionarem aos resultados da consulta.

3 - Ferramentas de exportação e gestão de ativos

Opções de exportação - O inventário inclui uma opção para exportar os resultados das opções de filtro selecionadas para um arquivo CSV. Você também pode exportar a própria consulta para o Azure Resource Graph Explorer para refinar, salvar ou modificar ainda mais a consulta KQL (Kusto Query Language).

Gorjeta

A documentação do KQL fornece um banco de dados com alguns dados de exemplo, juntamente com algumas consultas simples para obter a "sensação" para o idioma. Saiba mais neste tutorial do KQL.

Opções de gerenciamento de ativos - Quando você encontra os recursos que correspondem às suas consultas, o inventário fornece atalhos para operações como:

  • Atribuir tags aos recursos filtrados - marque as caixas de seleção ao lado dos recursos que você deseja marcar.
  • Integre novos servidores ao Defender for Cloud - use o botão da barra de ferramentas Adicionar servidores que não sejam do Azure.
  • Automatize cargas de trabalho com os Aplicativos Lógicos do Azure - use o botão Acionar Aplicativo Lógico para executar um aplicativo lógico em um ou mais recursos. Seus aplicativos lógicos devem ser preparados com antecedência e aceitar o tipo de gatilho relevante (solicitação HTTP). Saiba mais sobre aplicativos lógicos.

Como funciona o inventário de ativos?

O inventário de ativos utiliza o Azure Resource Graph (ARG), um serviço do Azure que permite consultar os dados de postura de segurança do Defender for Cloud em várias assinaturas.

O ARG foi projetado para fornecer exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar a Kusto Query Language (KQL) no inventário de ativos para produzir rapidamente insights profundos cruzando dados do Defender for Cloud com outras propriedades de recursos.

Como usar o inventário de ativos

  1. Na barra lateral do Defender for Cloud, selecione Inventário.

  2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

    Por padrão, os recursos são classificados pelo número de recomendações de segurança ativas.

    Importante

    As opções em cada filtro são específicas para os recursos nas assinaturas selecionadas no momento e suas seleções nos outros filtros.

    Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro Recomendações não terá opções.

    Usando as opções de filtro no inventário de ativos do Microsoft Defender for Cloud para filtrar recursos para recursos de produção que não são monitorados

  3. Para usar o filtro Descobertas de segurança contém , insira texto livre do ID, verificação de segurança ou nome CVE de uma descoberta de vulnerabilidade para filtrar os recursos afetados:

    Filtro

    Gorjeta

    As descobertas de Segurança contêm e os filtros Tags só aceitam um único valor. Para filtrar por mais de um, use Adicionar filtros.

  4. Para usar o filtro do Defender for Cloud , selecione uma ou mais opções (Desativado, Ativado ou Parcial):

    • Desativado - Recursos não protegidos por um plano Microsoft Defender. Você pode clicar com o botão direito do mouse nos recursos e atualizá-los:

      Atualize um recurso para ser protegido pelo plano relevante do Microsoft Defender clicando com o botão direito do mouse.

    • Ativado - Recursos protegidos por um plano Microsoft Defender

    • Subscrições parciais - com alguns, mas não todos, os planos do Microsoft Defender desativados. Por exemplo, a seguinte subscrição tem sete planos Microsoft Defender desativados.

      Subscrição parcialmente protegida pelos planos Microsoft Defender.

  5. Para examinar melhor os resultados da sua consulta, selecione os recursos que lhe interessam.

  6. Para exibir as opções de filtro selecionadas atuais como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

    Consulta de inventário no ARG.

  7. Se você definiu alguns filtros e deixou a página aberta, o Defender for Cloud não atualizará os resultados automaticamente. Quaisquer alterações nos recursos não afetarão os resultados exibidos, a menos que você recarregue manualmente a página ou selecione Atualizar.

Aceder a um inventário de software

Para acessar o inventário de software, você precisará de uma das seguintes soluções pagas :

Se você já habilitou a integração com o Microsoft Defender for Endpoint e habilitou o Microsoft Defender for Servers, terá acesso ao inventário de software.

Se você ativou a solução de ameaças e vulnerabilidades, o inventário de ativos do Defender for Cloud oferece um filtro para selecionar recursos pelo software instalado.

Nota

A opção "Em branco" mostra máquinas sem o Microsoft Defender for Endpoint ou sem o Microsoft Defender for Servers.

Além dos filtros na página de inventário de ativos, você pode explorar os dados de inventário de software do Azure Resource Graph Explorer.

Exemplos de como usar o Azure Resource Graph Explorer para acessar e explorar dados de inventário de software:

  1. Abra o Azure Resource Graph Explorer.

    Iniciando a página de recomendação do Azure Resource Graph Explorer**

  2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

  3. Insira qualquer uma das seguintes consultas (ou personalize-as ou escreva as suas!) e selecione Executar consulta.

    • Para gerar uma lista básica de software instalado:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Para filtrar por números de versão:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Para encontrar máquinas com uma combinação de produtos de software:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Combinação de um produto de software com outra recomendação de segurança:

      (Neste exemplo – máquinas com MySQL instalado e portas de gerenciamento expostas)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Próximos passos

Este artigo descreveu a página de inventário de ativos do Microsoft Defender for Cloud.

Para obter mais informações sobre ferramentas relacionadas, consulte as seguintes páginas: