Поделиться через

Просмотр инвентаризации активов

  • Статья

Страница инвентаризации активов Microsoft Defender для облака показывает состояние безопасности ресурсов, подключенных к Defender для облака. Defender для облака периодически анализирует состояние безопасности ресурсов, подключенных к подпискам, для выявления потенциальных проблем безопасности и предоставляет активные рекомендации. Активные рекомендации — это рекомендации, которые можно устранить для улучшения состояния безопасности.

Defender для облака периодически анализирует состояние безопасности ресурсов, подключенных к нему. Если ресурсы имеют активные рекомендации по безопасности или оповещения системы безопасности, связанные с ним, они отображаются в инвентаризации.

На странице инвентаризации содержатся сведения о следующих возможностях:

  • Подключенные ресурсы. Быстро узнать, какие ресурсы подключены к Defender для облака.
  • Общее состояние безопасности: получение четкой сводки о состоянии безопасности подключенных ресурсов Azure, AWS и GCP, в том числе общих ресурсов, подключенных к Defender для облака, ресурсам по среде и количеству неработоспособных ресурсов.
  • Рекомендации, оповещения: детализация состояния конкретных ресурсов для просмотра активных рекомендаций по безопасности и оповещений системы безопасности для ресурса.
  • Приоритет риска: рекомендации на основе рисков назначают уровни риска рекомендациям, основанным на таких факторах, как конфиденциальность данных, воздействие в Интернете, потенциал бокового перемещения и потенциальные пути атаки.
  • Приоритет риска доступен при включении плана CSPM Defender.
  • Программное обеспечение. Ресурсы можно просмотреть с помощью установленных приложений. Чтобы воспользоваться преимуществами инвентаризации программного обеспечения, необходимо включить план управления posture Management (CSPM) Defender Cloud Security или план Defender для серверов.

Инвентаризация использует Azure Resource Graph (ARG) для запроса и получения данных в большом масштабе. Для глубокой пользовательской аналитики можно использовать KQL для запроса инвентаризации.

Просмотр инвентаризации

  1. В Defender для облака в портал Azure выберите "Инвентаризация". По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.
  2. Просмотрите доступные параметры:
    • В поиске можно использовать бесплатный текстовый поиск для поиска ресурсов.
    • Общее количество ресурсов, подключенных к Defender для облака.
    • Неработоспособные ресурсы отображают количество ресурсов с активными рекомендациями по безопасности и оповещениями.
    • Количество ресурсов по среде: общее количество ресурсов Azure, AWS и GCP.
  3. Выберите ресурс, чтобы получить подробные сведения.
  4. На странице Работоспособность ресурсов ресурса просмотрите сведения о ресурсе.
    • На вкладке "Рекомендации" отображаются все активные рекомендации по безопасности в порядке риска. Вы можете подробно ознакомиться с каждой рекомендацией для получения дополнительных сведений и параметров исправления.
    • На вкладке "Оповещения" отображаются все соответствующие оповещения системы безопасности.

Проверка инвентаризации программного обеспечения

Снимок экрана: основные функции страницы инвентаризации активов в Microsoft Defender для облака.

  1. Выбор установленного приложения
  2. В поле "Значение" выберите приложения для фильтрации.
  • Итого ресурсов: общее количество ресурсов, подключенных к Defender для облака.
  • Неработоспособные ресурсы: ресурсы с активными рекомендациями по безопасности, которые можно реализовать. Узнайте больше о реализации рекомендаций по безопасности.
  • Количество ресурсов по среде: количество ресурсов в каждой среде.
  • Незарегистрированные подписки: любая подписка в выбранной области, к Microsoft Defender для облака еще не подключена.
  1. Отображаются ресурсы, подключенные к Defender для облака и запуску этих приложений. Пустые параметры показывают компьютеры, в которых Защитник для серверов или Defender для конечной точки недоступен.

Фильтрация данных инвентаризации

После применения фильтров суммарные значения обновляются для связи с результатами запроса.

3. Экспорт средств

Скачайте CSV-отчет . Экспортируйте результаты выбранных параметров фильтра в CSV-файл.

Открытый запрос. Экспорт самого запроса в Azure Resource Graph (ARG) для дальнейшего уточнения, сохранения или изменения запроса язык запросов Kusto (KQL).

Как работает инвентаризация активов?

Помимо предопределенных фильтров, вы можете изучить данные инвентаризации программного обеспечения из обозревателя Resource Graph.

ARG разработан для обеспечения эффективного исследования ресурсов с возможностью масштабирования запросов.

Вы можете использовать язык запросов Kusto (KQL) в инвентаризации активов для быстрого получения глубокой аналитики путем перекрестной ссылки на данные Defender для облака с другими свойствами ресурсов.

Использование инвентаризации активов

  1. На боковой панели Defender для облака выберите элемент Инвентаризация.

  2. Используйте поле "Фильтр по имени", чтобы отобразить определенный ресурс или использовать фильтры для фокусировки на определенных ресурсах.

    По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.

    Внимание

    Параметры каждого фильтра относятся к ресурсам в выбранных подписках и к тому, что выбрано в других фильтрах.

    Например, если вы выбрали только одну подписку, и в ней нет ресурсов с необработанными рекомендациями по безопасности (0 небезопасных ресурсов), у фильтра Рекомендации параметров не будет.

  3. Чтобы использовать фильтр результатов безопасности, введите бесплатный текст из идентификатора, проверки безопасности или имени CVE обнаружения уязвимости для фильтрации затронутых ресурсов:

    Снимок экрана: настройка фильтра результатов безопасности.

    Совет

    Результаты безопасности и фильтры тегов принимают только одно значение. Чтобы выполнить фильтрацию по нескольким значениям, нажмите кнопку Добавить фильтры.

  4. Чтобы просмотреть текущие параметры фильтров в виде запроса в обозревателе графа ресурсов, выберите Открыть запрос.

    Инвентаризационный запрос в ARG.

  5. Если вы определили некоторые фильтры и оставили страницу открытой, Defender для облака не обновляет результаты автоматически. Любые изменения ресурсов не влияют на отображаемые результаты, если вы не перезагрузите страницу вручную или нажмите кнопку "Обновить".

Доступ к инвентаризации программного обеспечения

Чтобы получить доступ к инвентаризации программного обеспечения, вам потребуется один из следующих планов:

Примеры использования обозревателя Azure Resource Graph для доступа к данным инвентаризации программного обеспечения и изучения их

  1. Откройте Обозреватель Azure Resource Graph.

    Снимок экрана: страница рекомендаций Azure Resource Graph Explorer**.

  2. Выберите следующую область подписки: securityresources/softwareinventories

  3. Введите любой из следующих запросов (либо настройте их или напишите собственный запрос) и выберите Выполнить запрос.

Примеры запросов

Чтобы создать базовый список установленного программного обеспечения:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Для фильтрации по номерам версий:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Чтобы найти компьютеры с сочетанием программных продуктов:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Для объединения программного продукта с другой рекомендацией по безопасности:

(В этом примере на компьютерах установлен MySQL и открыты порты управления.)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Экспорт инвентаризации

  1. Чтобы сохранить отфильтрованную инвентаризацию в формате CSV, выберите "Скачать CSV-отчет".

  2. Чтобы сохранить запрос в обозревателе resource Graph, выберите команду "Открыть запрос". Когда вы будете готовы сохранить запрос, выберите "Сохранить как " и "Сохранить запрос", укажите имя и описание запроса, а также указывает, является ли запрос частным или общим.

    Инвентаризационный запрос в ARG.

Изменения, внесенные в ресурсы, не влияют на отображаемые результаты, если вы вручную не перезагрузите страницу или выберите "Обновить".