مشاركة عبر

مراجعة مخزون الأصول

  • مقالة

تعرض صفحة مخزون الأصول في Microsoft Defender for Cloud وضع الأمان للموارد التي قمت بتوصيلها ب Defender for Cloud. يحلل Defender for Cloud بشكل دوري حالة أمان الموارد المتصلة باشتراكاتك لتحديد مشكلات الأمان المحتملة ويوفر لك توصيات نشطة. التوصيات النشطة هي توصيات يمكن حلها لتحسين وضع الأمان الخاص بك.

يحلل Defender for Cloud بشكل دوري حالة أمان الموارد المتصلة به. عندما يكون للموارد توصيات أمان نشطةأو تنبيهات أمان مقترنة بها، فإنها تظهر في المخزون.

توفر صفحة المخزون معلومات حول:

  • الموارد المتصلة. تعرف بسرعة على الموارد المتصلة ب Defender for Cloud.
  • حالة الأمان الشاملة: احصل على ملخص واضح حول حالة الأمان لموارد Azure وAWS وGCP المتصلة، بما في ذلك إجمالي الموارد المتصلة ب Defender for Cloud والموارد حسب البيئة وعدد الموارد غير الصحية.
  • التوصيات والتنبيهات: انتقل لأسفل إلى حالة موارد محددة لمشاهدة توصيات الأمان النشطة وتنبيهات الأمان لمورد.
  • ترتيب أولويات المخاطر: تعين التوصيات المستندة إلى المخاطر مستويات المخاطر للتوصيات، استنادا إلى عوامل مثل حساسية البيانات، والتعرض للإنترنت، وإمكانات الحركة الجانبية، ومسارات الهجوم المحتملة.
  • تتوفر أولوية المخاطر عند تمكين خطة إدارة وضع الأمان السحابي في Defender.
  • البرنامج. يمكنك مراجعة الموارد بواسطة التطبيقات المثبتة. للاستفادة من مخزون البرامج، يجب تمكين خطة Defender Cloud Security Posture Management (CSPM) أو خطة Defender for Servers.

يستخدم المخزون Azure Resource Graph (ARG) للاستعلام عن البيانات واستردادها على نطاق واسع. للحصول على رؤى مخصصة عميقة، يمكنك استخدام KQL للاستعلام عن المخزون.

مراجعة المخزون

  1. في Defender for Cloud في مدخل Microsoft Azure، حدد Inventory. بشكل افتراضي، يتم فرز الموارد حسب عدد توصيات الأمان النشطة.
  2. راجع الإعدادات المتوفرة:
    • في البحث، يمكنك استخدام بحث نصي مجاني للعثور على الموارد.
    • يعرض إجمالي الموارد عدد الموارد المتصلة ب Defender for Cloud.
    • تعرض الموارد غير السليمة عدد الموارد التي تتضمن توصيات وتنبيهات أمان نشطة.
    • عدد الموارد حسب البيئة: إجمالي موارد Azure وAWS وGCP.
  3. حدد موردا للتنقل لأسفل للحصول على التفاصيل.
  4. في صفحة Resource Health للمورد، راجع معلومات حول المورد.
    • تعرض علامة التبويب Recommendations أي توصيات أمان نشطة، حسب ترتيب المخاطر. يمكنك التنقل لأسفل في كل توصية لمزيد من التفاصيل وخيارات المعالجة.
    • تعرض علامة التبويب Alerts أي تنبيهات أمان ذات صلة.

مراجعة مخزون البرامج

لقطة شاشة تعرض الميزات الرئيسية لصفحة مخزون الأصول في Microsoft Defender for Cloud.

  1. تحديد التطبيق المثبت
  2. في القيمة، حدد التطبيقات التي تريد التصفية عليها.
  • إجمالي الموارد: العدد الإجمالي للموارد المتصلة بـ Defender for Cloud.
  • الموارد غير السليمة: الموارد ذات توصيات الأمان النشطة التي يمكنك تنفيذها. تعرف على المزيد حول تنفيذ توصيات الأمان.
  • عدد الموارد حسب البيئة: عدد الموارد في كل بيئة.
  • الاشتراكات غير المسجلة: أي اشتراك في النطاق المحدد لم يتم توصيله بعد ب Microsoft Defender for Cloud.
  1. يتم عرض الموارد المتصلة ب Defender for Cloud وتشغيل هذه التطبيقات. تظهر الخيارات الفارغة الأجهزة التي لا يتوفر فيها Defender for Servers/Defender لنقطة النهاية.

تصفية المخزون

بمجرد تطبيق عوامل التصفية، يتم تحديث قيم الملخص لربطها بنتائج الاستعلام.

3 - أدوات التصدير

تنزيل تقرير CSV - تصدير نتائج خيارات التصفية المحددة إلى ملف CSV.

استعلام مفتوح - قم بتصدير الاستعلام نفسه إلى Azure Resource Graph (ARG) لتحسين استعلام Kusto Query Language (KQL) أو حفظه أو تعديله.

كيف يعمل مخزون الأصول؟

بالإضافة إلى عوامل التصفية المعرفة مسبقا، يمكنك استكشاف بيانات مخزون البرامج من Resource Graph Explorer.

تم تصميم ARG لتوفير استكشاف الموارد بكفاءة مع القدرة على الاستعلام على نطاق واسع.

يمكنك استخدام لغة استعلام Kusto (KQL) في مخزون الأصول لإنتاج رؤى عميقة بسرعة عن طريق الرجوع إلى بيانات Defender for Cloud مع خصائص الموارد الأخرى.

كيفية استخدام مخزون الأصول

  1. من الشريط الجانبي لـ Defender for Cloud، حدد Inventory.

  2. استخدم المربع تصفية حسب الاسم لعرض مورد معين، أو استخدم عوامل التصفية للتركيز على موارد معينة.

    بشكل افتراضي، يتم فرز الموارد حسب عدد توصيات الأمان النشطة.

    هام

    الخيارات الموجودة في كل عامل تصفية خاصة بالموارد الموجودة في الاشتراكات المحددة حاليًا وتحديداتك في عوامل التصفية الأخرى.

    على سبيل المثال، إذا حددت اشتراكًا واحدًا فقط، ولم يكن لدى الاشتراك موارد مع توصيات أمان معلقة لمعالجة (0 موارد غير صحية)، فلن يكون لعامل تصفية التوصيات أي خيارات.

  3. لاستخدام عامل تصفية نتائج الأمان، أدخل نصا مجانيا من المعرف أو التحقق من الأمان أو اسم CVE للعثور على ثغرة أمنية للتصفية إلى الموارد المتأثرة:

    لقطة شاشة توضح كيفية تعيين عامل تصفية نتائج الأمان.

    تلميح

    تقبل نتائج الأمان وعوامل تصفية العلامات قيمة واحدة فقط. للتصفية حسب أكثر من عامل تصفية، استخدم إضافة عوامل تصفية.

  4. لعرض خيارات التصفية المحددة الحالية كاستعلام في Resource Graph Explorer، حدد Open query.

    استعلام المخزون في ARG.

  5. إذا قمت بتعريف بعض عوامل التصفية وتركت الصفحة مفتوحة، فلن يقوم Defender for Cloud بتحديث النتائج تلقائيا. لن تؤثر أي تغييرات على الموارد على النتائج المعروضة إلا إذا قمت بإعادة تحميل الصفحة يدويا أو تحديد تحديث.

الوصول إلى مخزون البرامج

للوصول إلى مخزون البرامج، تحتاج إلى إحدى الخطط التالية:

أمثلة باستخدام Azure Resource Graph Explorer للوصول إلى بيانات مخزون البرامج واستكشافها

  1. افتح Azure Resource Graph Explorer.

    لقطة شاشة توضح كيفية تشغيل صفحة التوصية Azure Resource Graph Explorer**.

  2. حدد نطاق الاشتراك التالي: securityresources/softwareinventories

  3. أدخل أيًا من الاستعلامات التالية (أو قم بتخصيصها أو اكتب الاستعلام الخاص بك!) وحدد تشغيل الاستعلام.

أمثلة الاستعلام

لإنشاء قائمة أساسية بالبرامج المثبتة:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

للتصفية حسب أرقام الإصدارات:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

للعثور على الأجهزة التي بها مجموعة من منتجات البرامج:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

لدمج منتج برنامج مع توصية أمان أخرى:

(في هذا المثال - الأجهزة التي تحتوي على منافذ إدارة MySQL مثبتة ومكشوفة)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

تصدير المخزون

  1. لحفظ المخزون الذي تمت تصفيته في نموذج CSV، حدد تنزيل تقرير CSV.

  2. لحفظ استعلام في Resource Graph Explorer، حدد Open a query. عندما تكون جاهزا لحفظ استعلام، حدد حفظ باسم وفي حفظ الاستعلام، حدد اسم الاستعلام ووصفه، وما إذا كان الاستعلام خاصا أو مشتركا.

    استعلام المخزون في ARG.

لن تؤثر التغييرات التي تم إجراؤها على الموارد على النتائج المعروضة إلا إذا قمت بإعادة تحميل الصفحة يدويا أو تحديد تحديث.