Condividi tramite

Esaminare l'inventario degli asset

  • Articolo

La pagina inventario delle risorse di Microsoft Defender per il cloud mostra il comportamento di sicurezza delle risorse connesse a Defender per il cloud. Defender per il cloud analizza periodicamente lo stato di sicurezza delle risorse connesse alle sottoscrizioni per identificare potenziali problemi di sicurezza e fornisce raccomandazioni attive. Le raccomandazioni attive sono raccomandazioni che possono essere risolte per migliorare il comportamento di sicurezza.

Defender per il cloud analizza periodicamente lo stato di sicurezza delle risorse connesse. Quando le risorse hanno raccomandazioni di sicurezza attive o avvisi di sicurezza associati, vengono visualizzati nell'inventario.

La pagina Inventario fornisce informazioni su:

  • Risorse connesse. Verificare rapidamente quali risorse sono connesse a Defender per il cloud.
  • Stato generale della sicurezza: ottenere un riepilogo chiaro sullo stato di sicurezza delle risorse di Azure, AWS e GCP connesse, incluse le risorse totali connesse a Defender per il cloud, risorse per ambiente e un conteggio delle risorse non integre.
  • Raccomandazioni, avvisi: eseguire il drill-down dello stato di risorse specifiche per visualizzare le raccomandazioni di sicurezza attive e gli avvisi di sicurezza per una risorsa.
  • Definizione delle priorità dei rischi: le raccomandazioni basate sui rischi assegnano livelli di rischio alle raccomandazioni, in base a fattori quali la riservatezza dei dati, l'esposizione a Internet, il potenziale di spostamento laterale e i potenziali percorsi di attacco.
  • La priorità dei rischi è disponibile quando il piano CSPM di Defender è abilitato.
  • Software. È possibile esaminare le risorse in base alle applicazioni installate. Per sfruttare i vantaggi dell'inventario software, è necessario abilitare il piano CsPM (Defender Cloud Security Posture Management) o un piano defender per server.

L'inventario usa Azure Resource Graph (ARG) per eseguire query e recuperare i dati su larga scala. Per informazioni dettagliate personalizzate, è possibile usare KQL per eseguire query sull'inventario.

Esaminare l'inventario

  1. In Defender per il cloud nel portale di Azure selezionare Inventario. Per impostazione predefinita, le risorse vengono ordinate in base al numero di raccomandazioni di sicurezza attive.
  2. Esaminare le impostazioni disponibili:
    • In Ricerca è possibile usare una ricerca di testo libero per trovare le risorse.
    • Le risorse totali visualizzano il numero di risorse connesse a Defender per il cloud.
    • Le risorse non integre visualizzano il numero di risorse con raccomandazioni e avvisi di sicurezza attivi.
    • Numero di risorse per ambiente: totale delle risorse di Azure, AWS e GCP.
  3. Selezionare una risorsa per eseguire il drill-down per informazioni dettagliate.
  4. Nella pagina Integrità risorse per la risorsa esaminare le informazioni sulla risorsa.
    • La scheda Raccomandazioni mostra le raccomandazioni di sicurezza attive, in ordine di rischio. È possibile eseguire il drill-down in ogni raccomandazione per altre informazioni e opzioni di correzione.
    • Nella scheda Avvisi vengono visualizzati eventuali avvisi di sicurezza pertinenti.

Esaminare l'inventario software

Screenshot che mostra le funzionalità principali della pagina inventario asset in Microsoft Defender per il cloud.

  1. Selezionare Applicazione installata
  2. In Valore selezionare le app da filtrare.
  • Totale risorse: numero totale di risorse connesse a Defender per il cloud.
  • Risorse non integre: risorse con raccomandazioni di sicurezza attive che è possibile implementare. Altre informazioni sull'implementazione delle raccomandazioni sulla sicurezza.
  • Numero di risorse per ambiente: numero di risorse in ogni ambiente.
  • Sottoscrizioni non registrati: qualsiasi sottoscrizione nell'ambito selezionato che non è ancora stata connessa a Microsoft Defender per il cloud.
  1. Vengono visualizzate le risorse connesse a Defender per il cloud e l'esecuzione di tali app. Le opzioni vuote mostrano i computer in cui Defender per server/Defender per endpoint non è disponibile.

Filtrare l'inventario

Non appena si applicano i filtri, i valori di riepilogo vengono aggiornati per correlare ai risultati della query.

3 - Esportare gli strumenti

Scaricare il report CSV: esportare i risultati delle opzioni di filtro selezionate in un file CSV.

Aprire la query: esportare la query stessa in Azure Resource Graph (ARG) per perfezionare, salvare o modificare ulteriormente la query di Linguaggio di query Kusto (KQL).

Come funziona l'inventario degli asset?

Oltre ai filtri predefiniti, è possibile esplorare i dati di inventario software da Resource Graph Explorer.

Il servizio ARG è progettato per fornire un'efficace esplorazione delle risorse con la possibilità di eseguire query su larga scala.

È possibile usare Linguaggio di query Kusto (KQL) nell'inventario degli asset per produrre rapidamente informazioni dettagliate facendo riferimento incrociato Defender per il cloud dati con altre proprietà delle risorse.

Come usare l'inventario degli asset

  1. Nella barra laterale di Defender per il cloud selezionare Inventario.

  2. Usare la casella Filtra per nome per visualizzare una risorsa specifica o usare i filtri per concentrarsi su risorse specifiche.

    Per impostazione predefinita, le risorse vengono ordinate in base al numero di raccomandazioni sulla sicurezza attive.

    Importante

    Le opzioni in ogni filtro sono specifiche per le risorse nelle sottoscrizioni attualmente selezionate e le selezioni negli altri filtri.

    Ad esempio, se è stata selezionata una sola sottoscrizione e la sottoscrizione non dispone di risorse con raccomandazioni di sicurezza in sospeso per correggere (0 risorse non integre), il filtro Raccomandazioni non avrà opzioni.

  3. Per usare il filtro Risultati della sicurezza, immettere testo libero dall'ID, dal controllo di sicurezza o dal nome CVE di una vulnerabilità che trova per filtrare le risorse interessate:

    Screenshot che mostra come impostare il filtro dei risultati della sicurezza.

    Suggerimento

    I filtri Risultati sicurezza e Tag accettano solo un singolo valore. Per filtrare in base a più filtri, usare Aggiungi filtri.

  4. Per visualizzare le opzioni di filtro selezionate correnti come query in Resource Graph Explorer, selezionare Apri query.

    Query di inventario in ARG.

  5. Se sono stati definiti alcuni filtri e si lascia aperta la pagina, Defender per il cloud non aggiorna automaticamente i risultati. Le modifiche apportate alle risorse non influiscono sui risultati visualizzati a meno che non si ricarica manualmente la pagina o non si seleziona Aggiorna.

Accedere a un inventario software

Per accedere all'inventario software, è necessario uno dei piani seguenti:

Esempi di uso di Azure Resource Graph Explorer per accedere ed esplorare i dati di inventario software

  1. Aprire Azure Resource Graph Explorer.

    Screenshot che mostra come avviare la pagina delle raccomandazioni di Azure Resource Graph Explorer**.

  2. Selezionare l'ambito di sottoscrizione seguente: securityresources/softwareinventories

  3. Immettere una delle query seguenti (o personalizzarle o scriverle personalmente) e selezionare Esegui query.

Esempi di query

Per generare un elenco di base di software installato:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Per filtrare in base ai numeri di versione:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Per trovare computer con una combinazione di prodotti software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Per combinare un prodotto software con un'altra raccomandazione sulla sicurezza:

(In questo esempio: computer con MySQL installato ed esposto porte di gestione)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Esportare l'inventario

  1. Per salvare l'inventario filtrato in formato CSV, selezionare Scarica report CSV.

  2. Per salvare una query in Resource Graph Explorer, selezionare Apri una query. Quando si è pronti per salvare una query, selezionare Salva con nome e in Salva query, specificare un nome e una descrizione della query e se la query è privata o condivisa.

    Query di inventario in ARG.

Le modifiche apportate alle risorse non influiscono sui risultati visualizzati a meno che non si ricarica manualmente la pagina o non si seleziona Aggiorna.