Använda tillgångsinventering för att hantera dina resursers säkerhetsstatus

Sidan tillgångsinventering i Microsoft Defender för molnet visar säkerhetsstatusen för de resurser som du har anslutit till Defender för molnet. Defender for Cloud analyserar regelbundet säkerhetstillståndet för resurser som är anslutna till dina prenumerationer för att identifiera potentiella säkerhetsproblem och ger dig aktiva rekommendationer. Aktiva rekommendationer är rekommendationer som kan lösas för att förbättra din säkerhetsstatus.

Använd den här vyn och dess filter för att hantera frågor som:

  • Vilka av mina prenumerationer med Defender-planer aktiverade har utestående rekommendationer?
  • Vilka av mina datorer med taggen "Produktion" saknar Log Analytics-agenten?
  • Hur många av mina datorer som har taggats med en specifik tagg har enastående rekommendationer?
  • Vilka datorer i en specifik resursgrupp har en känd säkerhetsrisk (med ett CVE-nummer)?

Säkerhetsrekommendationerna på sidan tillgångsinventering visas också på sidan Rekommendationer , men här visas de enligt den berörda resursen. Läs mer om hur du implementerar säkerhetsrekommendationer.

Tillgänglighet

Aspekt Details
Versionstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kostnadsfri
Vissa funktioner på inventeringssidan, till exempel programvaruinventeringen , kräver att betallösningar finns på plats
Nödvändiga roller och behörigheter: Alla användare
Moln: Kommersiella moln
National (Azure Government, Microsoft Azure drivs av 21Vianet)

Programvaruinventering stöds för närvarande inte i nationella moln.

Vilka är de viktigaste funktionerna i tillgångsinventeringen?

Inventeringssidan innehåller följande verktyg:

Huvudfunktionerna på sidan för tillgångsinventering i Microsoft Defender för molnet.

1 – Sammanfattningar

Innan du definierar några filter visas en framträdande remsa med värden överst i inventeringsvyn:

  • Totalt antal resurser: Det totala antalet resurser som är anslutna till Defender för molnet.
  • Resurser som inte är felfria: Resurser med aktiva säkerhetsrekommendationer som du kan implementera. Läs mer om hur du implementerar säkerhetsrekommendationer.
  • Oövervakade resurser: Resurser med problem med agentövervakning – de har Log Analytics-agenten distribuerad, men agenten skickar inte data eller har andra hälsoproblem.
  • Oregistrerade prenumerationer: Alla prenumerationer i det valda omfånget som ännu inte har anslutits till Microsoft Defender för molnet.

2 – Filter

De flera filtren överst på sidan ger ett sätt att snabbt förfina listan över resurser enligt den fråga som du försöker besvara. Om du till exempel vill veta vilka av dina datorer med taggen "Produktion" som saknar Log Analytics-agenten kan du filtrera listan för agentövervakning:"Inte installerad" och Taggar:"Produktion".

Så snart du har tillämpat filter uppdateras sammanfattningsvärdena så att de relaterar till frågeresultaten.

3 – Verktyg för export och tillgångshantering

Exportalternativ – Inventering innehåller ett alternativ för att exportera resultatet av dina valda filteralternativ till en CSV-fil. Du kan också exportera själva frågan till Azure Resource Graph Explorer för att ytterligare förfina, spara eller ändra KQL-frågan (Kusto Query Language).

Dricks

KQL-dokumentationen tillhandahåller en databas med exempeldata tillsammans med några enkla frågor för att få "känslan" för språket. Läs mer i den här KQL-självstudien.

Alternativ för tillgångshantering – När du har hittat de resurser som matchar dina frågor innehåller inventeringen genvägar för åtgärder som:

  • Tilldela taggar till de filtrerade resurserna – markera kryssrutorna tillsammans med de resurser som du vill tagga.
  • Registrera nya servrar i Defender för molnet – använd verktygsfältsknappen Lägg till servrar som inte är Azure-servrar .
  • Automatisera arbetsbelastningar med Azure Logic Apps – använd knappen Utlösarlogikapp för att köra en logikapp på en eller flera resurser. Dina logikappar måste förberedas i förväg och acceptera relevant utlösartyp (HTTP-begäran). Läs mer om logikappar.

Hur fungerar tillgångslager?

Tillgångsinventering använder Azure Resource Graph (ARG), en Azure-tjänst som gör att du kan köra frågor mot Defender för molnets säkerhetsstatusdata i flera prenumerationer.

ARG är utformat för att ge effektiv resursutforskning med möjlighet att fråga i stor skala.

Du kan använda Kusto Query Language (KQL) i tillgångslagret för att snabbt skapa djupa insikter genom att korsreferera Defender for Cloud-data med andra resursegenskaper.

Så här använder du tillgångsinventering

  1. I sidofältet i Defender för molnet väljer du Inventering.

  2. Använd rutan Filtrera efter namn för att visa en specifik resurs eller använd filtren för att fokusera på specifika resurser.

    Som standard sorteras resurserna efter antalet aktiva säkerhetsrekommendationer.

    Viktigt!

    Alternativen i varje filter är specifika för resurserna i de aktuella prenumerationerna och dina val i de andra filtren.

    Om du till exempel bara har valt en prenumeration och prenumerationen inte har några resurser med utestående säkerhetsrekommendationer för att åtgärda (0 resurser som inte är felfria) har filtret Rekommendationer inga alternativ.

    Använda filteralternativen i Microsoft Defender för molnets tillgångsinventering för att filtrera resurser till produktionsresurser som inte övervakas

  3. Om du vill använda säkerhetsresultaten innehåller filter anger du fritext från ID, säkerhetskontroll eller CVE-namn för en sårbarhetssökning för att filtrera till de berörda resurserna:

    Filter för

    Dricks

    Säkerhetsresultaten innehåller och Taggar-filter accepterar endast ett enda värde. Om du vill filtrera efter fler än en använder du Lägg till filter.

  4. Om du vill använda Defender for Cloud-filtret väljer du ett eller flera alternativ (Av, På eller Delvis):

    • Av – Resurser som inte skyddas av ett Microsoft Defender-abonnemang. Du kan högerklicka på resurserna och uppgradera dem:

      Uppgradera en resurs som ska skyddas av relevant Microsoft Defender-plan via högerklicka.

    • – Resurser som skyddas av ett Microsoft Defender-abonnemang

    • Partiella - prenumerationer med vissa men inte alla Microsoft Defender-planer inaktiverade. Följande prenumeration har till exempel sju Microsoft Defender-planer inaktiverade.

      Prenumerationen skyddas delvis av Microsoft Defender-abonnemang.

  5. Om du vill undersöka resultatet av frågan ytterligare väljer du de resurser som intresserar dig.

  6. Om du vill visa de aktuella valda filteralternativen som en fråga i Resource Graph Explorer väljer du Öppna fråga.

    Inventeringsfråga i ARG.

  7. Om du har definierat vissa filter och lämnat sidan öppen uppdaterar Inte Defender för molnet resultatet automatiskt. Eventuella ändringar av resurser påverkar inte de visade resultaten om du inte läser in sidan manuellt eller väljer Uppdatera.

Få åtkomst till en programvaruinventering

För att få åtkomst till programvaruinventeringen behöver du någon av följande betallösningar :

Om du redan har aktiverat integreringen med Microsoft Defender za krajnju tačku och aktiverat Microsoft Defender för servrar har du åtkomst till programvaruinventeringen.

Om du har aktiverat hot- och sårbarhetslösningen erbjuder Defender for Clouds tillgångsinventering ett filter för att välja resurser efter deras installerade programvara.

Kommentar

Alternativet "Tom" visar datorer utan Microsoft Defender za krajnju tačku eller utan Microsoft Defender för servrar.

Förutom filtren på sidan tillgångsinventering kan du utforska programvaruinventeringsdata från Azure Resource Graph Explorer.

Exempel på hur du använder Azure Resource Graph Explorer för att komma åt och utforska programvaruinventeringsdata:

  1. Öppna Azure Resource Graph Explorer.

    Starta rekommendationssidan för Azure Resource Graph Explorer**

  2. Välj följande prenumerationsomfång: securityresources/softwareinventories

  3. Ange någon av följande frågor (eller anpassa dem eller skriv dina egna!) och välj Kör fråga.

    • Så här genererar du en grundläggande lista över installerad programvara:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • Så här filtrerar du efter versionsnummer:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • Så här hittar du datorer med en kombination av programvaruprodukter:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • Kombination av en programvaruprodukt med en annan säkerhetsrekommendations:

      (I det här exemplet – datorer med MySQL installerade och exponerade hanteringsportar)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

Nästa steg

I den här artikeln beskrivs sidan för tillgångsinventering i Microsoft Defender för molnet.

Mer information om relaterade verktyg finns på följande sidor: