使用资产清单管理资源的安全状况

Microsoft Defender for Cloud 的资产清单页显示已连接到 Defender for Cloud 的资源安全状况。 Defender for Cloud 定期分析连接到订阅的资源的安全状态,以识别潜在的安全问题,并为你提供有效的建议。 活动建议是可以解决以改进安全状况的建议。

使用此视图及其筛选器可以解决以下这类问题:

  • 我的哪些启用了 Defender 计划的订阅具有重要建议?
  • 我的哪些标记为“生产”的计算机缺少 Log Analytics 代理?
  • 我的多少台标记有特定标记的计算机具有重要建议?
  • 特定资源组中的哪些计算机存在已知漏洞(使用 CVE 编号)?

资产库存页面上的安全建议也会显示在“建议”页中,但资产库存页面会根据受影响的资源进行显示。 详细了解实施安全性建议

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 免费
库存页的某些功能(例如软件库存)需要付费解决方案到位
所需角色和权限: 所有用户
云: 由世纪互联运营的 Microsoft Azure

资产库存的主要功能是什么?

库存页提供以下工具:

Microsoft Defender for Cloud 中资产清单页的主要功能。

1 - 摘要

在定义任何筛选器之前,会显示库存视图顶部突出的值条带:

  • 资源总数:已连接到 Defender for Cloud 的资源总数。
  • 运行不正常的资源:具有可实施的活动安全建议的资源。 详细了解实施安全性建议
  • 未受监视的资源:有代理监视问题的资源 - 已部署 Log Analytics 代理,但代理没有发送数据或有其他运行状况问题。
  • 未注册的订阅:所选范围内尚未连接到 Microsoft Defender for Cloud 的任何订阅。

2 - 筛选器

页面顶部的多个筛选器提供一种根据你尝试回答的问题快速优化资源列表的方法。 例如,如果想知道哪些标记为“生产”的计算机缺少 Log Analytics 代理,可以筛选列表“代理监视”:“未安装”和“标记”:“生产”。

应用筛选器后,摘要值就会更新为与查询结果相关的值。

3 - 导出和资产管理工具

导出选项 - 库存提供了将所选筛选器选项的结果导出到 CSV 文件的选项。 还可以将查询本身导出到 Azure Resource Graph 资源管理器,以进一步优化、保存或修改 Kusto 查询语言 (KQL) 查询。

提示

KQL 文档为数据库提供一些示例数据以及一些简单的查询,以获取相应语言的体验。 通过此 KQL 教程了解详细信息

资产管理选项 - 找到与查询匹配的资源后,清单会提供以下操作的快捷方式:

  • 将标签分配给经过筛选的资源 - 选中要标记的资源旁边的复选框。
  • 将新服务器加入 Defender for Cloud - 使用“添加非 Azure 服务器”工具栏按钮。
  • 使用 Azure 逻辑应用自动执行工作负荷 - 使用“触发逻辑应用”按钮可在一个或多个资源上运行逻辑应用。 逻辑应用必须提前准备好,并接受相关的触发器类型(HTTP 请求)。 详细了解逻辑应用

资产库存的工作方式?

资产库存利用 Azure Resource Graph (ARG),这是一种 Azure 服务,可以让你跨多个订阅查询 Defender for Cloud 的安全态势数据。

ARG 用于提供高效资源探索,并具有大规模查询的功能。

可以使用资产库存中的 Kusto 查询语言 (KQL),通过将 Defender for Cloud 数据与其他资源属性进行交叉引用来快速生成深度见解。

如何使用资产库存

  1. 在 Defender for Cloud 的边栏中,选择“清单”

  2. 使用“按名称筛选”框可显示特定资源,或使用筛选器专注于特定资源。

    默认情况下,资源按有效安全建议的数量排序。

    重要

    每个筛选器中的选项特定于当前选择的订阅中的资源你在其他筛选器中的选择。

    例如,如果你仅选择了一个订阅,并且该订阅没有要修正的具有重要安全建议的资源(0 个运行不正常的资源),则“建议”筛选器将没有选项。

    使用 Microsoft Defender for Cloud 资产清单中的筛选器选项将资源筛选为不受监视的生产资源

  3. 若要使用“安全发现包含”筛选器,请通过漏洞发现的 ID、安全检查或 CVE 名称输入自由文本以筛选受影响的资源:

    “安全发现包含”筛选器

    提示

    “安全发现包含”和“标记”筛选器仅接受一个值。 若要使用多个筛选器,请使用“添加筛选器”

  4. 若要使用 Defender for Cloud 筛选器,请选择一个或多个选项(“关闭”、“打开”或“部分”):

    • 关闭 - 不受 Microsoft Defender 计划保护的资源。 可以右键单击资源并对其进行升级:

      通过右键单击升级要由相关 Microsoft Defender 计划保护的资源。

    • 打开 - 受 Microsoft Defender 计划保护的资源

    • 部分 - 订阅禁用了一部分但不是所有 Microsoft Defender 计划。 例如,以下订阅禁用了七个 Microsoft Defender 计划。

      Microsoft Defender 计划部分保护的订阅。

  5. 若要进一步检查查询结果,请选择你感兴趣的资源。

  6. 若要在 Resource Graph Explorer 中以查询的形式查看当前选定的筛选器选项,请选择“打开查询”

    ARG 中的库存查询。

  7. 如果你定义了一些筛选器并使页面保持打开状态,则 Defender for Cloud 不会自动更新结果。 除非手动重新加载页面或选择“刷新”,否则对资源的任何更改都不会影响显示的结果。

除了资产清单页中的筛选器,还可从 Azure Resource Graph 资源管理器浏览软件清单数据。

使用 Azure Resource Graph 资源管理器访问和浏览软件清单数据的示例:

  1. 打开“Azure Resource Graph 资源管理器”

    启动 Azure Resource Graph Explorer 建议页面

  2. 选择以下订阅范围:securityresources/softwareinventories

  3. 输入以下任何查询(或自定义或编写你自己的查询!),然后选择“运行查询”

    • 生成已安装软件的基本列表:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
      
    • 按版本号筛选:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
      | where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
      
    • 使用软件产品组合查找计算机:

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = properties.azureVmId
      | where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
      | summarize count() by tostring(vmId)
      | where count_ > 1
      
    • 软件产品与其他安全建议的组合:

      (在本例中 - 安装了 MySQL 并公开管理端口的计算机)

      securityresources
      | where type == "microsoft.security/softwareinventories"
      | extend vmId = tolower(properties.azureVmId)
      | where properties.softwareName == "mysql"
      | join (
      securityresources
      | where type == "microsoft.security/assessments"
      | where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
      | extend vmId = tolower(properties.resourceDetails.Id)
      ) on vmId
      

后续步骤

本文介绍了 Microsoft Defender for Cloud 的资产清单页。

有关相关工具的详细信息,请参阅以下页面: