使用工作簿创建丰富的 Defender for Cloud 交互式数据报告
Azure 工作簿是一块灵活的画布,可用于在 Azure 门户中分析数据并创建丰富的可视报表。 在工作簿中可以访问多个 Azure 数据源。 将工作簿合并为统一的交互式体验。
工作簿提供了一组丰富的功能,用于可视化 Azure 数据。 有关每种可视化效果类型的详细信息,请参阅可视化效果示例和文档。
在 Microsoft Defender for Cloud 内,可以访问内置工作簿以跟踪组织的安全态势。 还可以生成自定义工作簿,以查看 Defender for Cloud 或其他支持的数据源中的各种数据。
如需了解定价,请访问定价页面。
先决条件
所需的角色与权限: 要保存工作簿,必须至少有目标资源组的工作簿参与者权限。
云可用性:
由世纪互联运营的 Microsoft Azure
使用 Defender for Cloud 库工作簿
在 Defender for Cloud 中,可以使用集成的 Azure 工作簿功能来生成显示安全数据的自定义交互式工作簿。 Defender for Cloud 还包括一个工作簿库,其中包含以下可供你自定义的工作簿:
- 覆盖范围工作簿 - 跟踪各环境和订阅的 Defender for Cloud 计划和扩展的覆盖范围。
- 随时间的安全功能分数工作簿:跟踪订阅的分数以及对资源建议的更改。
- 系统更新工作簿:按资源、操作系统和严重性等查看缺失的系统更新。
- 漏洞评估发现结果工作簿:查看对 Azure 资源进行漏洞扫描的发现结果。
- 随时间的合规性工作簿:查看订阅是否符合所选法规或行业标准的状态。
- 当前警报工作簿:按严重性、类型、标签、MITRE ATT&CK 策略和位置查看当前警报。
- 价格估算工作簿:根据自己环境中的资源查看 Defender for Cloud 计划的每月合并价格估算。 这些数字是基于零售价格的估计值,并不表示实际计费或账单数据。
- 治理工作簿:利用治理规则设置中的治理报表跟踪会对组织造成影响的规则进度。
除了内置工作簿,还可以在“社区”类别中找到有用的工作簿。 这些工作簿按原样提供,没有 SLA 或支持。 你可以选择一个提供的工作簿或创建自己的工作簿。
提示
若要自定义工作簿,请选择“编辑”按钮。 完成编辑后,选择“保存”。 更改会保存在新工作簿中。
覆盖范围工作簿
如果跨多个订阅和环境启用 Defender for Cloud,你可能会发现很难跟踪哪些计划处于活动状态。 如果有多个订阅和环境,则尤其如此。
覆盖范围工作簿可以跟踪哪些 Defender for Cloud 计划在你的环境的哪些部分处于活动状态。 此工作簿可帮助你确保环境和订阅完全受到保护。 通过访问详细的覆盖范围信息,你还可以识别可能需要其他保护的区域,并采取措施解决这些区域的问题。
在此工作簿中,可以选择订阅(或所有订阅),然后查看以下选项卡:
- 其他信息:显示发行说明和每个切换的说明。
- “相对覆盖范围”:显示启用了特定 Defender for Cloud 计划的订阅或连接器的百分比。
- 绝对覆盖范围:显示每个订阅的每个计划的状态。
- “详细覆盖范围”:显示在相关计划中可以启用或需要启用的其他设置,以便获取每个计划的完整参数。
还可以在每个或所有订阅中选择 Azure 环境,以查看为该环境启用了哪些计划和扩展。
随时间的安全功能分数工作簿
随时间的安全功能分数工作簿使用 Log Analytics 工作区中的安全功能分数数据。 必须使用连续导出工具导出数据,如在 Azure 门户中为 Defender for Cloud 设置连续导出中所述。
设置连续导出时,在“导出频率”下,设置为“流式处理更新”和“快照(预览)”。
注意
快照每周导出一次。 导出第一个快照后至少需要一周的时间才能查看工作簿中的数据。
提示
若要在组织中配置连续导出,请按照大规模配置连续导出所述,使用提供的 Azure Policy DeployIfNotExist 策略。
随时间的安全功能分数工作簿有五个图形,用于向所选工作区报告订阅:
| Graph | 示例 |
|---|---|
| 上周和上个月的分数趋势 使用此部分监视订阅的当前分数和分数的一般趋势。 |
|
| 所有所选订阅的聚合分数 将鼠标悬停在趋势线中的任何点上可查看所选时间范围内任何日期的聚合分数。 |
|
| 对大多数运行不正常资源的建议 此表可帮助你对所选时间段内大多数资源变为运行不正常的建议进行会审。 |
|
| 特定安全控件的分数 Defender for Cloud 的安全控件是对建议的逻辑分组。 此图表一目了然地显示了所有控件的每周分数。 |
|
| 资源更改 此处列出了在所选时间段内大多数资源都有变更(正常、运行不正常或不适用)的建议。 从列表中选择任意建议,以在新表中列出特定资源。 |
|
系统更新工作簿
系统更新工作簿的依据是提示“应在计算机上安装系统更新”的安全建议。 该工作簿有助于识别有未完成更新的计算机。
可以通过以下方式查看所选订阅的更新状态:
- 有未完成更新待应用的资源列表。
- 资源中缺少的更新列表。
漏洞评估结果工作簿
Defender for Cloud 在容器注册表中包含针对你的容器的漏洞扫描程序。
每个资源类型的结果在单独的建议中报告:
漏洞评估结果报告收集所有这些结果,并按严重性、资源类型和类别对其进行组织。
随时间的合规性工作簿
Microsoft Defender for Cloud 会不断地将资源的配置与行业标准、法规和基准中的要求进行比较。 内置标准包括 ISO 27001、PCI DSS 3.2.1、SOC TSP等。 可以使用“法规合规性”仪表板选择与组织相关的具体标准。 有关详情,请参阅在监管合规仪表板中自定义标准集。
随时间的合规性工作簿使用添加到仪表板中的各种标准跟踪一段时间内的合规状态。
如果在报表的概述区域选择某一标准,下方的窗格将显示更详细的明细:
可以继续深入,一直到建议级别,以查看已通过或未通过每个控件的资源。
提示
对于报表的每个面板,可以使用“导出到Excel”选项将数据导出到 Excel。
当前警报工作簿
当前警报工作簿在一个仪表板上显示订阅的当前安全警报。 安全警报是指 Defender for Cloud 在资源上检测到威胁时生成的通知。 Defender for Cloud 优先列出需要快速调查和修复的警报信息。
此工作簿的好处是能够帮助你了解和确定环境中活动威胁的优先级。
注意
大多数工作簿使用 Azure Resource Graph 查询数据。 例如,若要显示地图视图,则要在 Log Analytics 工作区中查询数据。 需要启用连续导出。 将安全警报导出到 Log Analytics 工作区。
可以按严重性、资源组或标签来查看当前警报。
还可以按受攻击的资源、警报类型和新警报来查看订阅的最常见警报。
若要查看有关某个警报的详细信息,请选择该警报。
“MITRE ATT&CK 策略”选项卡按杀伤链的顺序以及订阅在每个阶段的警报数量列出警报。
可在表中查看当前所有警报并可按列筛选。
若要查看特定警报的详细信息,请选择表中的警报,然后选择“打开警报视图”按钮。
若要在地图视图中按位置查看所有警报,请选择“地图视图”选项卡。
在地图上选择位置以查看该位置的所有警报。
若要查看警报的详细信息,请选择警报,然后选择“打开警报视图”按钮。
从其他工作簿库导入工作簿
要将在其他 Azure 服务中生成的工作簿移到 Microsoft Defender for Cloud 工作簿库中,需要:
打开要导入的工作簿。
在工具栏上选择编辑。
在工具栏中选择“</>”以打开高级编辑器。
在工作簿库模板中,选择文件中的所有 JSON 并复制。
打开 Defender for Cloud 的工作簿库,从菜单栏中选择“新建”。
选择 </> 以打开高级编辑器。
粘贴整个库模板的 JSON 代码。
选择“应用”。
在工具栏中选择“保存为”。
若要保存对工作簿的更改,请输入或选择以下信息:
- 工作簿的名称。
- 要使用的 Azure 区域。
- 任何有关订阅、资源组和共享的信息。
前往“最近修改的工作簿”类别可以找到保存的工作簿。
相关内容
本文介绍了 Defender for Cloud 集成的 Azure 工作簿页面,其中包含内置报表和用于自行构建自定义交互式报表的选项。
- 详细了解 Azure 工作簿。
内置工作簿从 Defender for Cloud 的建议中拉取数据。
- 了解安全建议:参考指南中的大量安全建议。