使用资产清单管理资源的安全状况

Microsoft Defender for Cloud 提供单个资产清单页,用于查看已连接到 Microsoft Defender for Cloud 的资源的安全态势。

Defender for Cloud 会定期分析已连接到订阅的资源的安全状态,以识别潜在安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。

当任何资源具有未完成的建议时,它们将显示在清单中。

使用此视图及其筛选器可以解决以下这类问题:

  • 已启用增强安全性功能的哪些订阅会提供极其有用的建议?
  • 我的哪些标记为“生产”的计算机缺少 Log Analytics 代理?
  • 我的多少台标记有特定标记的计算机具有重要建议?
  • 特定资源组中的哪些计算机存在已知漏洞(使用 CVE 编号)?

此工具的资产管理可能性很大,并且还在不断增长。

提示

资产库存页面上的安全建议与“建议”页面上的安全建议相同,但资产库存页面会根据受影响的资源进行显示。 有关如何解决建议的信息,请参阅在 Microsoft Defender for Cloud 中实施安全建议

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 免费
库存页的某些功能(例如软件库存)需要付费解决方案到位
所需角色和权限: 所有用户
云: Azure 中国

资产库存的主要功能是什么?

库存页提供以下工具:

Microsoft Defender for Cloud 中资产清单页的主要功能。

1 - 摘要

在定义任何筛选器之前,会显示库存视图顶部突出的值条带:

  • 资源总数:已连接到 Defender for Cloud 的资源总数。
  • 不正常的资源:具有有效安全建议的资源。 详细了解安全建议
  • 未受监视的资源:有代理监视问题的资源 - 已部署 Log Analytics 代理,但代理没有发送数据或有其他运行状况问题。
  • 未注册的订阅:所选范围内尚未连接到 Microsoft Defender for Cloud 的任何订阅。

2 - 筛选器

页面顶部的多个筛选器提供一种根据你尝试回答的问题快速优化资源列表的方法。 例如,如果你想回答问题“我的哪台带有“生产”标记的计算机缺少 Log Analytics 代理?”,可以将“代理监视”筛选器与“标记”筛选器组合在一起。

应用筛选器后,摘要值就会更新为与查询结果相关的值。

3 - 导出和资产管理工具

导出选项 - 库存提供了将所选筛选器选项的结果导出到 CSV 文件的选项。 还可以将查询本身导出到 Azure Resource Graph 资源管理器,以进一步优化、保存或修改 Kusto 查询语言 (KQL) 查询。

提示

KQL 文档为数据库提供一些示例数据以及一些简单的查询,以获取相应语言的体验。 通过此 KQL 教程了解详细信息

资产管理选项 - 找到与查询匹配的资源后,清单会提供以下操作的快捷方式:

  • 将标签分配给经过筛选的资源 - 选中要标记的资源旁边的复选框。
  • 将新服务器加入 Defender for Cloud - 使用“添加非 Azure 服务器”工具栏按钮。
  • 使用 Azure 逻辑应用自动执行工作负载 - 使用“触发逻辑应用”按钮可在一个或多个资源上运行逻辑应用。 逻辑应用必须提前准备好,并接受相关的触发器类型(HTTP 请求)。 详细了解逻辑应用

资产库存的工作方式?

资产清单利用 Azure Resource Graph (ARG) - 一个提供跨多个订阅查询 Defender for Cloud 安全态势数据的功能的 Azure 服务。

ARG 用于提供高效资源探索,并具有大规模查询的功能。

资产库存可以使用 Kusto 查询语言 (KQL),通过将 Defender for Cloud 数据与其他资源属性进行交叉引用来快速生成深度见解。

如何使用资产库存

  1. 在 Defender for Cloud 的边栏中,选择“清单”。

  2. 使用“按名称筛选”框可显示特定资源,或以如下所述的方式使用筛选器。

  3. 在筛选器中选择相关选项,以创建要执行的特定查询。

    默认情况下,资源按有效安全建议的数量排序。

    重要

    每个筛选器中的选项特定于当前选择的订阅中的资源和你在其他筛选器中的选择。

    例如,如果你仅选择了一个订阅,并且该订阅没有要修正的具有重要安全建议的资源(0 个运行不正常的资源),则“建议”筛选器将没有选项。

    使用 Microsoft Defender for Cloud 资产清单中的筛选器选项将资源筛选为不受监视的生产资源

  4. 若要使用“安全发现包含”筛选器,请通过漏洞发现的 ID、安全检查或 CVE 名称输入自由文本以筛选受影响的资源:

    “安全发现包含”筛选器

    提示

    “安全发现包含”和“标记”筛选器仅接受一个值 。 若要使用多个筛选器,请使用“添加筛选器”。

  5. 若要使用 Defender for Cloud 筛选器,请选择一个或多个选项(“关闭”、“打开”或“部分”):

    • 关闭 - 不受 Microsoft Defender 计划保护的资源。 可以右键单击其中任意一些资源并对其进行升级:

      通过右键单击升级要由相关 Microsoft Defender 计划保护的资源。

    • 打开 - 受 Microsoft Defender 计划保护的资源

    • 部分 - 适用于禁用了一部分但不是所有 Microsoft Defender 计划的订阅 。 例如,以下订阅禁用了七个 Microsoft Defender 计划。

      Microsoft Defender 计划部分保护的订阅。

  6. 若要进一步检查查询结果,请选择你感兴趣的资源。

  7. 若要在 Resource Graph Explorer 中以查询的形式查看当前选定的筛选器选项,请选择“打开查询”。

    ARG 中的库存查询。

  8. 如果你定义了一些筛选器并使页面保持打开状态,则 Defender for Cloud 不会自动更新结果。 除非手动重新加载页面或选择“刷新”,否则对资源的任何更改都不会影响显示的结果。

常见问题解答 - 库存

为什么未显示我的所有订阅、计算机、存储帐户等?

清单视图从云安全态势管理 (CSPM) 的角度列出已连接到 Defender for Cloud 的资源。 筛选器不会返回你环境中的所有资源;只会返回那些具有重要(或“有效”)建议的资源。

例如,以下屏幕截图显示某个用户有权访问 8 个订阅,但目前只有 7 个订阅提供了建议。 因此,当此用户按“资源类型 = 订阅”进行筛选时,清单中只会显示 7 个提供有效建议的订阅:

在没有有效建议的情况下,并非所有子项都返回。

为何我的某些资源在 Defender for Cloud 或监视代理列中显示空白值?

并非所有受 Defender for Cloud 监视的资源都有代理。 例如,Azure 存储帐户或 PaaS 资源(如磁盘)。

当定价或代理监视与资源无关时,库存的这些列中将不会显示任何内容。

某些资源在监视代理或 Defender for Cloud 列中显示空白信息。

后续步骤

本文介绍了 Microsoft Defender for Cloud 的资产清单页。

有关相关工具的详细信息,请参阅以下页面: