Megosztás a következőn keresztül:

Az eszközleltár áttekintése

  • Cikk

A Felhőhöz készült Microsoft Defender eszközleltár oldalán látható a Felhőhöz készült Defender csatlakoztatott erőforrások biztonsági állapota. Felhőhöz készült Defender rendszeresen elemzi az előfizetéseihez kapcsolódó erőforrások biztonsági állapotát a lehetséges biztonsági problémák azonosítása érdekében, és aktív javaslatokat tesz. Az aktív javaslatok olyan javaslatok, amelyek megoldhatók a biztonsági helyzet javítása érdekében.

Felhőhöz készült Defender rendszeresen elemzi a hozzá kapcsolódó erőforrások biztonsági állapotát. Ha az erőforrásokhoz aktív biztonsági javaslatok vagy biztonsági riasztások vannak társítva, azok megjelennek a leltárban.

Az Inventory (Leltár) lap az alábbiakról nyújt információt:

  • Csatlakoztatott erőforrások. Gyorsan megtekintheti, hogy mely erőforrások csatlakoznak Felhőhöz készült Defender.
  • Általános biztonsági állapot: Egyértelmű összegzést kaphat a csatlakoztatott Azure-, AWS- és GCP-erőforrások biztonsági állapotáról, beleértve a Felhőhöz készült Defender csatlakoztatott összes erőforrást, a környezet szerinti erőforrásokat és a nem megfelelő erőforrások számát.
  • Javaslatok, riasztások: Az erőforrások állapotának részletezése az erőforrások aktív biztonsági ajánlásainak és biztonsági riasztásainak megtekintéséhez.
  • Kockázati rangsorolás: A kockázatalapú javaslatok kockázati szinteket rendelnek a javaslatokhoz olyan tényezők alapján, mint az adatérzékenység, az internetes kitettség, az oldalirányú mozgási potenciál és a lehetséges támadási útvonalak.
  • A kockázat rangsorolása akkor érhető el, ha a Defender CSPM-csomag engedélyezve van.
  • Szoftver. Az erőforrásokat telepített alkalmazásokkal tekintheti át. A szoftverleltár kihasználásához engedélyezni kell a Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers csomagot.

Az Inventory az Azure Resource Graphot (ARG) használja az adatok nagy léptékű lekérdezéséhez és lekéréséhez. A részletes egyéni elemzésekhez a KQL használatával kérdezheti le a leltárt.

A leltár áttekintése

  1. Az Azure Portal Felhőhöz készült Defender válassza az Inventory (Leltár) lehetőséget. Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.
  2. Tekintse át az elérhető beállításokat:
    • A Keresés alkalmazásban ingyenes szöveges kereséssel kereshet erőforrásokat.
    • Az összes erőforrás megjeleníti a Felhőhöz készült Defender csatlakoztatott erőforrások számát.
    • A nem kifogástalan erőforrások aktív biztonsági javaslatokkal és riasztásokkal jelenítik meg az erőforrások számát.
    • Erőforrások száma környezet szerint: Azure-, AWS- és GCP-erőforrások összesen.
  3. Válasszon ki egy erőforrást, amely részletezi a részleteket.
  4. Az erőforrás Erőforrás állapota lapján tekintse át az erőforrással kapcsolatos információkat.
    • A Javaslatok lapon minden aktív biztonsági javaslat látható a kockázat sorrendjében. További részletekért és szervizelési lehetőségekért részletezheti az egyes javaslatokat.
    • A Riasztások lapon megjelennek a vonatkozó biztonsági riasztások.

Szoftverleltár áttekintése

Képernyőkép a Felhőhöz készült Microsoft Defender eszközleltár oldalának főbb funkcióiról.

  1. A Telepített alkalmazás kiválasztása
  2. Az Érték mezőben válassza ki a szűrni kívánt alkalmazásokat.
  • Összes erőforrás: A Felhőhöz készült Defender csatlakoztatott erőforrások teljes száma.
  • Nem kifogástalan erőforrások: Azokat az erőforrásokat, amelyeken aktív biztonsági javaslatok implementálhatók. További információ a biztonsági javaslatok implementálásáról.
  • Erőforrások száma környezet szerint: Az egyes környezetekben lévő erőforrások száma.
  • Nem regisztrált előfizetések: A kiválasztott hatókörben lévő előfizetések, amelyek még nem csatlakoztak Felhőhöz készült Microsoft Defender.
  1. Megjelennek a Felhőhöz készült Defender és az alkalmazások futtatásához kapcsolódó erőforrások. Az üres beállítások olyan gépeket mutatnak, ahol a Defender for Servers/Defender for Endpoint nem érhető el.

A leltár szűrése

A szűrők alkalmazása után az összegző értékek frissülnek, hogy a lekérdezés eredményeihez kapcsolódjanak.

3 – Eszközök exportálása

CSV-jelentés letöltése – A kiválasztott szűrőbeállítások eredményeinek exportálása CSV-fájlba.

Lekérdezés megnyitása – Exportálja magát a lekérdezést az Azure Resource Graphba (ARG) a Kusto lekérdezésnyelv (KQL) lekérdezés további finomításához, mentéséhez vagy módosításához.

Hogyan működik az eszközleltár?

Az előre definiált szűrők mellett a Resource Graph Explorer szoftverleltár-adatait is megismerheti.

Az ARG úgy lett kialakítva, hogy hatékony erőforrás-feltárást biztosítson a nagy léptékű lekérdezések lehetőségével.

Az eszközleltárban a Kusto lekérdezésnyelv (KQL) használatával gyorsan mély elemzéseket készíthet Felhőhöz készült Defender adatok más erőforrástulajdonságokkal való kereszthivatkozásával.

Eszközleltár használata

  1. Felhőhöz készült Defender oldalsávján válassza az Inventory (Leltár) lehetőséget.

  2. A Szűrés név szerint mezővel megjeleníthet egy adott erőforrást, vagy a szűrőkkel az adott erőforrásokra összpontosíthat.

    Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.

    Fontos

    Az egyes szűrők beállításai az aktuálisan kiválasztott előfizetések erőforrásaira, a többi szűrőben pedig az Ön által kiválasztott erőforrásokra vonatkoznak.

    Ha például csak egy előfizetést jelölt ki, és az előfizetés nem rendelkezik olyan erőforrásokkal, amelyekhez kimagasló biztonsági javaslatokat kell tenni a szervizeléshez (0 nem kifogástalan erőforrás), a Javaslatok szűrőnek nincs lehetősége.

  3. A Biztonsági megállapítások szűrő használatához írjon be egy biztonsági réskeresés azonosítójából, biztonsági ellenőrzéséből vagy CVE-nevéből egy szabad szöveget az érintett erőforrásokra való szűréshez:

    Képernyőkép a biztonsági megállapítások szűrőjének beállításáról.

    Tipp.

    A biztonsági megállapítások és címkék szűrői csak egyetlen értéket fogadnak el. Ha több szűrővel szeretne szűrni, használja a Szűrők hozzáadása parancsot.

  4. Ha az aktuális szűrési beállításokat lekérdezésként szeretné megtekinteni a Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget.

    Leltár lekérdezés az ARG-ben.

  5. Ha meghatározott néhány szűrőt, és nyitva hagyta az oldalt, Felhőhöz készült Defender nem frissíti automatikusan az eredményeket. Az erőforrások módosításai csak akkor befolyásolják a megjelenített eredményeket, ha manuálisan betölti a lapot, vagy nem választja a Frissítés lehetőséget.

Szoftverleltár elérése

A szoftverleltár eléréséhez az alábbi csomagok egyikére van szüksége:

Példák a szoftverleltár-adatok elérésére és feltárására az Azure Resource Graph Explorer használatával

  1. Nyissa meg az Azure Resource Graph Explorert.

    Képernyőkép az Azure Resource Graph Explorer** javaslatoldalának elindításáról.

  2. Válassza ki a következő előfizetési hatókört: securityresources/softwareinventories

  3. Adja meg a következő lekérdezések bármelyikét (vagy szabja testre őket, vagy írjon sajátot!), és válassza a Lekérdezés futtatása lehetőséget.

Példák lekérdezésekre

A telepített szoftverek alapszintű listájának létrehozása:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Verziószám alapján történő szűrés:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

A szoftvertermékek kombinációjával rendelkező gépek megkeresése:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Szoftvertermék kombinálása egy másik biztonsági javaslattal:

(Ebben a példában – a MySQL-t telepített és közzétett felügyeleti portokkal rendelkező gépek)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

A készlet exportálása

  1. Ha CSV-űrlapon szeretné menteni a szűrt leltárt, válassza a CSV-jelentés letöltése lehetőséget.

  2. Ha menteni szeretne egy lekérdezést a Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget. Ha készen áll a lekérdezés mentésére, válassza a Mentés másként és a Mentés lekérdezésben lehetőséget, adjon meg egy lekérdezésnevet és leírást, és adja meg, hogy a lekérdezés privát vagy megosztott-e.

    Leltár lekérdezés az ARG-ben.

Az erőforrások módosításai csak akkor befolyásolják a megjelenített eredményeket, ha manuálisan újra betölti a lapot, vagy nem választja a Frissítés lehetőséget.