Partager via

Examiner l’inventaire des ressources

  • Article

La page d’inventaire des ressources de Microsoft Defender for Cloud montre la posture de sécurité des ressources que vous avez connectées à Defender for Cloud. Defender pour le cloud analyse régulièrement l’état de sécurité des ressources connectées à vos abonnements pour identifier les failles de sécurité potentielles, et vous fournit des recommandations actives. Les recommandations actives sont des recommandations qui peuvent être résolues pour améliorer votre posture de sécurité.

Defender for Cloud analyse régulièrement l’état de sécurité des ressources connectées. Lorsque les ressources ont des recommandations de sécurité actives ou des alertes de sécurité associées, elles apparaissent dans l’inventaire.

La page Inventaire fournit des informations sur les points suivants :

  • Ressources connectées. Découvrez rapidement quelles ressources sont connectées à Defender for Cloud.
  • État de sécurité global : obtenez un résumé clair de l’état de sécurité des ressources Azure, AWS et GCP connectées, y compris les ressources totales connectées à Defender for Cloud, les ressources par environnement et le nombre de ressources non saines.
  • Recommandations, alertes : explorez l’état des ressources spécifiques pour voir les recommandations de sécurité actives et les alertes de sécurité pour une ressource.
  • Hiérarchisation des risques : les recommandations basées sur les risques attribuent des niveaux de risque à des recommandations, en fonction de facteurs tels que la sensibilité des données, l’exposition à Internet, le potentiel de déplacement latéral et les chemins d’attaque potentiels.
  • La hiérarchisation des risques est disponible lorsque le plan CSPM Defender est activé.
  • Logiciels. Vous pouvez passer en revue les ressources par applications installées. Pour tirer parti de l’inventaire logiciel, le plan Gestion de la posture de sécurité cloud (CSPM) ou un plan Defender pour serveurs doit être activé.

L’inventaire utilise Azure Resource Graph (ARG) pour interroger et récupérer des données à grande échelle. Pour obtenir des aperçus personnalisés plus approfondis, vous pouvez utiliser KQL pour interroger l’inventaire.

Examiner l’inventaire

  1. Dans Defender for Cloud dans le portail Azure, sélectionnez Inventaire. Par défaut, les ressources sont triées selon le nombre de recommandations de sécurité actives.
  2. Passez en revue les paramètres disponibles :
    • Dans Recherche, vous pouvez utiliser une recherche de texte libre pour rechercher des ressources.
    • Total des ressources affiche le nombre total de ressources connectées à Defender for Cloud.
    • Ressources non saines affiche le nombre de ressources avec des recommandations et des alertes de sécurité actives.
    • Nombre de ressources par environnement : total des ressources Azure, AWS et GCP.
  3. Sélectionnez une ressource pour plus d’informations.
  4. Dans la page Resource Health de la ressource, passez en revue les informations relatives à la ressource.
    • L’onglet Recommandations affiche les recommandations de sécurité actives, par ordre de risque. Vous pouvez examiner chaque recommandation pour obtenir plus de détails et d’options de correction.
    • L’onglet Alertes affiche les alertes de sécurité pertinentes.

Examiner l’inventaire logiciel

Capture d’écran qui montre les principales fonctionnalités de la page d’inventaire des ressources dans Microsoft Defender for Cloud.

  1. Sélectionnez Application installée
  2. Dans Valeur, sélectionnez les applications sur lesquelles appliquer un filtre.
  • Total des ressources : nombre total de ressources connectées à Defender pour le cloud.
  • Ressources non saines : Ressources avec des recommandations de sécurité actives que vous pouvez implémenter. En savoir plus sur l’implémentation des recommandations de sécurité.
  • Nombre de ressources par environnement : nombre de ressources dans chaque environnement.
  • Abonnements non inscrits : Tout abonnement dans l’étendue sélectionnée qui n’a pas encore été connecté à Microsoft Defender pour le cloud.
  1. Les ressources connectées à Defender for Cloud et exécutant ces applications s’affichent. Les options vides affichent les machines où Defender pour serveurs/Defender for Endpoint n’est pas disponible.

Filtrer l’inventaire

Dès que vous appliquez des filtres, les valeurs récapitulatives sont mises à jour pour se rapporter aux résultats de la requête.

3 – Outils d’exportation

Télécharger un rapport CSV : exportez les résultats de vos options de filtre sélectionnées vers un fichier CSV.

Ouvrir une requête : exportez la requête proprement dite vers Azure Resource Graph (ARG) pour affiner, enregistrer ou modifier la requête KQL (Kusto Query Language).

Fonctionnement de l’inventaire des ressources

Outre les filtres prédéfinis, vous pouvez explorer les données de l’inventaire logiciel à partir de l’explorateur Resource Graph.

ARG est conçu pour permettre une exploration efficace des ressources avec la possibilité d’interroger à grande échelle.

Vous pouvez utiliser le langage de requête Kusto (KQL) dans l’inventaire des ressources pour produire rapidement des insights détaillés en croisant les données de Defender pour le cloud avec les propriétés d’autres ressources.

Utilisation de l’inventaire des ressources

  1. Dans la barre latérale de Defender pour le cloud, sélectionnez Inventaire.

  2. Utilisez la zone Filtrer par nom pour afficher une ressource spécifique, ou utilisez les filtres pour vous concentrer sur des ressources spécifiques.

    Par défaut, les ressources sont triées selon le nombre de recommandations de sécurité actives.

    Important

    Les options de chaque filtre sont spécifiques aux ressources des abonnements actuellement sélectionnés et à vos sélections dans les autres filtres.

    Par exemple, si vous avez sélectionné un seul abonnement et que celui-ci ne comporte aucune ressource avec des recommandations de sécurité à corriger (0 ressource non saine), le filtre Recommandations n’aura aucune option.

  3. Pour utiliser le filtre Résultats de la sécurité, entrez en texte libre l’ID, la vérification de sécurité ou le nom CVE du résultat d’une vulnérabilité pour filtrer les ressources affectées :

    Capture d’écran montrant comment définir le filtre des résultats de la sécurité.

    Conseil

    Les filtres Résultats de la sécurité et Balises n’acceptent qu’une seule valeur. Pour filtrer sur plusieurs valeurs, utilisez Ajouter des filtres.

  4. Pour afficher les options de filtre actuellement sélectionnées en tant que requête dans l’Explorateur Resource Graph, sélectionnez Ouvrir la requête.

    Requête d’inventaire dans ARG.

  5. Si vous avez défini des filtres et laissé la page ouverte, Defender for Cloud ne met pas à jour les résultats automatiquement. Les modifications apportées aux ressources n’ont pas d’impact sur les résultats affichés, sauf si vous rechargez manuellement la page ou si vous sélectionnez Actualiser.

Accéder à un inventaire logiciel

Pour accéder à l’inventaire logiciel, vous avez besoin de l’un des plans suivants :

Exemples d’utilisation de l’Explorateur Azure Resource Graph pour accéder aux données de l’inventaire logiciel et les explorer

  1. Ouvrez l’Explorateur Azure Resource Graph.

    Capture d’écran montrant comment lancer la page de suggestions de l’Explorateur Azure Resource Graph**.

  2. Sélectionnez l’étendue d'abonnement suivante : securityresources/softwareinventories

  3. Entrez l’une des requêtes suivantes (ou personnalisez-les ou écrivez votre propre !), puis sélectionnez Exécuter la requête.

Exemples de requête

Pour générer une liste de base des logiciels installés :

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Pour filtrer par numéros de version :

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Pour identifier les ordinateurs avec une combinaison de produits logiciels :

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Pour combiner un produit logiciel avec une autre suggestion de sécurité :

(Dans cet exemple, ordinateurs sur lesquels MySQL est installé et dont les ports de gestion sont exposés)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Exporter l’inventaire

  1. Pour enregistrer un inventaire filtré au format CSV, sélectionnez Télécharger un rapport CSV.

  2. Pour enregistrer une requête dans l’Explorateur Resource Graph, sélectionnez Ouvrir une requête. Quand vous êtes prêt à enregistrer une requête, sélectionnez Enregistrer sous, puis dans Enregistrer une requête, spécifiez un nom de requête et une description, et si la requête est privée ou partagée.

    Requête d’inventaire dans ARG.

Les modifications apportées aux ressources n’ont pas d’impact sur les résultats affichés, sauf si vous rechargez manuellement la page ou si vous sélectionnez Actualiser.