Использование инвентаризации ресурсов для управления состоянием безопасности ресурсов

Статья
08/07/2024

Страница инвентаризации активов Microsoft Defender для облака показывает состояние безопасности ресурсов, подключенных к Defender для облака. Defender для облака периодически анализирует состояние безопасности ресурсов, подключенных к подпискам, для выявления потенциальных проблем безопасности и предоставляет активные рекомендации. Активные рекомендации — это рекомендации, которые можно устранить для улучшения состояния безопасности.

Следует использовать это представление и его фильтры для решения следующих вопросов.

Какие из моих подписок с планами Defender включены, имеют невыполненные рекомендации?
На каких из наших компьютеров с тегом Production отсутствует агент Log Analytics?
На скольких компьютерах, помеченных конкретным тегом, имеются необработанные рекомендации?
Какие компьютеры в определенной группе ресурсов имеют известную уязвимость (с использованием номера CVE)?

Рекомендации по безопасности на странице инвентаризации активов также отображаются на странице рекомендаций, но здесь они отображаются в соответствии с затронутым ресурсом. Узнайте больше о реализации рекомендаций по безопасности.

Availability

Аспект	Сведения
Состояние выпуска:	Общедоступная версия
Цены.	Бесплатно Некоторые функции страницы инвентаризации, такие как инвентаризация программного обеспечения, требуют, чтобы платные решения были на месте
Требуемые роли и разрешения	Все пользователи
Облако.	Коммерческие облака National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet) Инвентаризация программного обеспечения в настоящее время не поддерживается в национальных облаках.

Каковы основные функции страницы инвентаризации активов?

На странице «Инвентаризация» представлены следующие средства.

1. Сводки

Прежде чем задавать какие-либо фильтры, обратите внимание на полосу со значениями показателей в верхней части представления инвентаризации, на которой отображаются следующие данные.

Итого ресурсов: общее количество ресурсов, подключенных к Defender для облака.
Неработоспособные ресурсы: ресурсы с активными рекомендациями по безопасности, которые можно реализовать. Узнайте больше о реализации рекомендаций по безопасности.
Неконтролируемые ресурсы: ресурсы с проблемами мониторинга агентов. На этих ресурсах развернут агент Log Analytics, но он не отправляет данные или его работоспособность нарушена каким-то иным образом.
Незарегистрированные подписки: любая подписка в выбранной области, к Microsoft Defender для облака еще не подключена.

2. Фильтры

Несколько фильтров в верхней части страницы позволяют быстро уточнить список ресурсов в соответствии с вопросом, на который вы пытаетесь ответить. Например, если вы хотите узнать, какой из компьютеров с тегом "Production" отсутствует агент Log Analytics, можно отфильтровать список для мониторинга агента:"Не установлено" и тегов:"Production".

Как только будут применены фильтры, сводные значения обновляются, чтобы соответствовать результатам запроса.

3. Экспорт и средства управления активами

Параметры экспорта: на странице инвентаризации вы можете возможность экспортировать отфильтрованные результаты в CSV-файл. Также можно экспортировать сам запрос в Azure Resource Graph Explorer для дальнейшего уточнения, сохранения или изменения запроса Kusto Query Language (KQL).

Совет

В документации по KQL есть база данных с примерами данных, а также ряд простых запросов, позволяющих получить общее впечатление о языке. Дополнительные сведения см. в этом руководстве по KQL.

Параметры управления ресурсами: когда найдены ресурсы, которые соответствуют запросам, инвентаризация предоставляет средства для ускоренного выполнения операций, например:

Назначение тегов фильтруемым ресурсам — следует установить флажки рядом с ресурсами, которые нужно пометить.
Подключение новых серверов к Defender для облака — следует использовать кнопку на панели инструментов Добавление серверов не из Azure.
Автоматизация рабочих нагрузок с Azure Logic Apps — используйте кнопку Запустить приложение логики для запуска приложения логики на одном или нескольких ресурсах. Приложения логики необходимо подготовить заранее и настроить их для приема триггера соответствующего типа (HTTP-запроса). Дополнительные сведения о приложениях логики.

Как работает инвентаризация активов?

Инвентаризация активов использует Azure Resource Graph (ARG) — службу Azure, которая позволяет запрашивать данные о безопасности Defender для облака в нескольких подписках.

ARG разработан для обеспечения эффективного исследования ресурсов с возможностью масштабирования запросов.

Вы можете использовать язык запросов Kusto (KQL) в инвентаризации активов для быстрого получения глубокой аналитики путем перекрестной ссылки на данные Defender для облака с другими свойствами ресурсов.

Использование инвентаризации активов

На боковой панели Defender для облака выберите элемент Инвентаризация.
Используйте поле "Фильтр по имени", чтобы отобразить определенный ресурс или использовать фильтры для фокусировки на определенных ресурсах.

По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.

Внимание

Параметры каждого фильтра относятся к ресурсам в выбранных подписках и к тому, что выбрано в других фильтрах.

Например, если вы выбрали только одну подписку, и в ней нет ресурсов с необработанными рекомендациями по безопасности (0 небезопасных ресурсов), у фильтра Рекомендации параметров не будет.
Чтобы использовать фильтр Содержимое обнаружений безопасности, необходимо ввести произвольный текст, включающий идентификатор, проверку безопасности или обозначение CVE найденной уязвимости для фильтрации по затронутым ресурсам:

Совет

Фильтры Содержимое обнаружений безопасности и Теги позволяют ввести только одно значение. Чтобы выполнить фильтрацию по нескольким значениям, нажмите кнопку Добавить фильтры.
Чтобы использовать фильтр Defender для облака, выберите один или несколько параметров ("Откл.", "Вкл.", или "Частично"):
- Выкл . Ресурсы, не защищенные планом Microsoft Defender. Вы можете щелкнуть ресурсы правой кнопкой мыши и обновить их:
- Вкл . Ресурсы, защищенные планом Microsoft Defender
- Частичные - подписки с некоторыми, но не всеми планами Microsoft Defender отключены. Например, в следующей подписке отключены семь планов Microsoft Defender.
Чтобы глубже проанализировать результаты запроса, выберите интересующие вас ресурсы.
Чтобы просмотреть текущие параметры фильтров в виде запроса в обозревателе графа ресурсов, выберите Открыть запрос.
Если вы задали какие-то фильтры и оставили страницу открытой, Defender для облака не будет автоматически обновлять результаты. Изменения в ресурсах не будут влиять на отображаемые результаты, если вы не перезагрузите страницу вручную или не нажмете кнопку Обновить.

Доступ к инвентаризации программного обеспечения

Чтобы получить доступ к инвентаризации программного обеспечения, вам потребуется одно из следующих платных решений:

Сканирование бессагентного компьютера из Службы управления posture в Defender Cloud Security (CSPM).
Сканирование бессагентного компьютера из Defender для серверов P2.
Microsoft Defender для конечной точки интеграции с Defender для серверов.

Если вы уже включили интеграцию с Microsoft Defender для конечной точки и включили Microsoft Defender для серверов, у вас будет доступ к инвентаризации программного обеспечения.

Если вы включили решение по угрозам и уязвимостям, инвентаризация активов Defender для облака предлагает фильтр для выбора ресурсов по установленному программному обеспечению.

Примечание.

В параметре "Пусто" отображаются компьютеры без Microsoft Defender для конечной точки или без Microsoft Defender для серверов.

Помимо фильтров на странице инвентаризации активов, вы можете изучить данные инвентаризации программного обеспечения из обозревателя Ресурсов Azure.

Примеры использования обозревателя Azure Resource Graph для доступа к данным инвентаризации программного обеспечения и их просмотра:

Откройте Обозреватель Azure Resource Graph.
Выберите следующую область подписки: securityresources/softwareinventories.

Введите любой из следующих запросов (либо настройте их или напишите собственный запрос) и выберите Выполнить запрос.

Чтобы создать базовый список установленного программного обеспечения:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Для фильтрации по номерам версий:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Чтобы найти компьютеры с сочетанием программных продуктов:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Сочетание программного продукта с другой рекомендацией по безопасности:

(В этом примере на компьютерах установлен MySQL и открыты порты управления.)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Следующие шаги

В этой статье описана страница инвентаризации ресурсов Microsoft Defender для облака.

Дополнительные сведения о соответствующих средствах см. на следующих страницах:

Azure Resource Graph (ARG)
язык запросов Kusto (KQL)
Просмотр распространенных вопросов о инвентаризации активов

Поделиться через