Az eszközleltár áttekintése
A Felhőhöz készült Microsoft Defender eszközleltár oldalán látható a Felhőhöz készült Defender csatlakoztatott erőforrások biztonsági állapota. Felhőhöz készült Defender rendszeresen elemzi az előfizetéseihez kapcsolódó erőforrások biztonsági állapotát a lehetséges biztonsági problémák azonosítása érdekében, és aktív javaslatokat tesz. Az aktív javaslatok olyan javaslatok, amelyek megoldhatók a biztonsági helyzet javítása érdekében.
Felhőhöz készült Defender rendszeresen elemzi a hozzá kapcsolódó erőforrások biztonsági állapotát. Ha az erőforrásokhoz aktív biztonsági javaslatok vagy biztonsági riasztások vannak társítva, azok megjelennek a leltárban.
Az Inventory (Leltár) lap az alábbiakról nyújt információt:
- Csatlakoztatott erőforrások. Gyorsan megtekintheti, hogy mely erőforrások csatlakoznak Felhőhöz készült Defender.
- Általános biztonsági állapot: Egyértelmű összegzést kaphat a csatlakoztatott Azure-, AWS- és GCP-erőforrások biztonsági állapotáról, beleértve a Felhőhöz készült Defender csatlakoztatott összes erőforrást, a környezet szerinti erőforrásokat és a nem megfelelő erőforrások számát.
- Javaslatok, riasztások: Az erőforrások állapotának részletezése az erőforrások aktív biztonsági ajánlásainak és biztonsági riasztásainak megtekintéséhez.
- Kockázati rangsorolás: A kockázatalapú javaslatok kockázati szinteket rendelnek a javaslatokhoz olyan tényezők alapján, mint az adatérzékenység, az internetes kitettség, az oldalirányú mozgási potenciál és a lehetséges támadási útvonalak.
- A kockázat rangsorolása akkor érhető el, ha a Defender CSPM-csomag engedélyezve van.
- Szoftver. Az erőforrásokat telepített alkalmazásokkal tekintheti át. A szoftverleltár kihasználásához engedélyezni kell a Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers csomagot.
Az Inventory az Azure Resource Graphot (ARG) használja az adatok nagy léptékű lekérdezéséhez és lekéréséhez. A részletes egyéni elemzésekhez a KQL használatával kérdezheti le a leltárt.
A leltár áttekintése
- Az Azure Portal Felhőhöz készült Defender válassza az Inventory (Leltár) lehetőséget. Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.
- Tekintse át az elérhető beállításokat:
- A Keresés alkalmazásban ingyenes szöveges kereséssel kereshet erőforrásokat.
- Az összes erőforrás megjeleníti a Felhőhöz készült Defender csatlakoztatott erőforrások számát.
- A nem kifogástalan erőforrások aktív biztonsági javaslatokkal és riasztásokkal jelenítik meg az erőforrások számát.
- Erőforrások száma környezet szerint: Azure-, AWS- és GCP-erőforrások összesen.
- Válasszon ki egy erőforrást, amely részletezi a részleteket.
-
Az erőforrás Erőforrás állapota lapján tekintse át az erőforrással kapcsolatos információkat.
- A Javaslatok lapon minden aktív biztonsági javaslat látható a kockázat sorrendjében. További részletekért és szervizelési lehetőségekért részletezheti az egyes javaslatokat.
- A Riasztások lapon megjelennek a vonatkozó biztonsági riasztások.
Szoftverleltár áttekintése
- A Telepített alkalmazás kiválasztása
- Az Érték mezőben válassza ki a szűrni kívánt alkalmazásokat.
- Összes erőforrás: A Felhőhöz készült Defender csatlakoztatott erőforrások teljes száma.
- Nem kifogástalan erőforrások: Azokat az erőforrásokat, amelyeken aktív biztonsági javaslatok implementálhatók. További információ a biztonsági javaslatok implementálásáról.
- Erőforrások száma környezet szerint: Az egyes környezetekben lévő erőforrások száma.
- Nem regisztrált előfizetések: A kiválasztott hatókörben lévő előfizetések, amelyek még nem csatlakoztak Felhőhöz készült Microsoft Defender.
- Megjelennek a Felhőhöz készült Defender és az alkalmazások futtatásához kapcsolódó erőforrások. Az üres beállítások olyan gépeket mutatnak, ahol a Defender for Servers/Defender for Endpoint nem érhető el.
A leltár szűrése
A szűrők alkalmazása után az összegző értékek frissülnek, hogy a lekérdezés eredményeihez kapcsolódjanak.
3 – Eszközök exportálása
CSV-jelentés letöltése – A kiválasztott szűrőbeállítások eredményeinek exportálása CSV-fájlba.
Lekérdezés megnyitása – Exportálja magát a lekérdezést az Azure Resource Graphba (ARG) a Kusto lekérdezésnyelv (KQL) lekérdezés további finomításához, mentéséhez vagy módosításához.
Hogyan működik az eszközleltár?
Az előre definiált szűrők mellett a Resource Graph Explorer szoftverleltár-adatait is megismerheti.
Az ARG úgy lett kialakítva, hogy hatékony erőforrás-feltárást biztosítson a nagy léptékű lekérdezések lehetőségével.
Az eszközleltárban a Kusto lekérdezésnyelv (KQL) használatával gyorsan mély elemzéseket készíthet Felhőhöz készült Defender adatok más erőforrástulajdonságokkal való kereszthivatkozásával.
Eszközleltár használata
Felhőhöz készült Defender oldalsávján válassza az Inventory (Leltár) lehetőséget.
A Szűrés név szerint mezővel megjeleníthet egy adott erőforrást, vagy a szűrőkkel az adott erőforrásokra összpontosíthat.
Alapértelmezés szerint az erőforrások az aktív biztonsági javaslatok száma szerint vannak rendezve.
Fontos
Az egyes szűrők beállításai az aktuálisan kiválasztott előfizetések erőforrásaira, a többi szűrőben pedig az Ön által kiválasztott erőforrásokra vonatkoznak.
Ha például csak egy előfizetést jelölt ki, és az előfizetés nem rendelkezik olyan erőforrásokkal, amelyekhez kimagasló biztonsági javaslatokat kell tenni a szervizeléshez (0 nem kifogástalan erőforrás), a Javaslatok szűrőnek nincs lehetősége.
A Biztonsági megállapítások szűrő használatához írjon be egy biztonsági réskeresés azonosítójából, biztonsági ellenőrzéséből vagy CVE-nevéből egy szabad szöveget az érintett erőforrásokra való szűréshez:
Tipp.
A biztonsági megállapítások és címkék szűrői csak egyetlen értéket fogadnak el. Ha több szűrővel szeretne szűrni, használja a Szűrők hozzáadása parancsot.
Ha az aktuális szűrési beállításokat lekérdezésként szeretné megtekinteni a Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget.
Ha meghatározott néhány szűrőt, és nyitva hagyta az oldalt, Felhőhöz készült Defender nem frissíti automatikusan az eredményeket. Az erőforrások módosításai csak akkor befolyásolják a megjelenített eredményeket, ha manuálisan betölti a lapot, vagy nem választja a Frissítés lehetőséget.
Szoftverleltár elérése
A szoftverleltár eléréséhez az alábbi csomagok egyikére van szüksége:
- Ügynök nélküli gépi vizsgálat a Defender Cloud Security Posture Management (CSPM) szolgáltatásból.
- Ügynök nélküli gépi vizsgálat a Defender for Servers P2-ből.
- Végponthoz készült Microsoft Defender Integráció a Defender for Servers szolgáltatásból.
Példák a szoftverleltár-adatok elérésére és feltárására az Azure Resource Graph Explorer használatával
Nyissa meg az Azure Resource Graph Explorert.
Válassza ki a következő előfizetési hatókört: securityresources/softwareinventories
Adja meg a következő lekérdezések bármelyikét (vagy szabja testre őket, vagy írjon sajátot!), és válassza a Lekérdezés futtatása lehetőséget.
Példák lekérdezésekre
A telepített szoftverek alapszintű listájának létrehozása:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Verziószám alapján történő szűrés:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
A szoftvertermékek kombinációjával rendelkező gépek megkeresése:
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1
Szoftvertermék kombinálása egy másik biztonsági javaslattal:
(Ebben a példában – a MySQL-t telepített és közzétett felügyeleti portokkal rendelkező gépek)
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId
A készlet exportálása
Ha CSV-űrlapon szeretné menteni a szűrt leltárt, válassza a CSV-jelentés letöltése lehetőséget.
Ha menteni szeretne egy lekérdezést a Resource Graph Explorerben, válassza a Lekérdezés megnyitása lehetőséget. Ha készen áll a lekérdezés mentésére, válassza a Mentés másként és a Mentés lekérdezésben lehetőséget, adjon meg egy lekérdezésnevet és leírást, és adja meg, hogy a lekérdezés privát vagy megosztott-e.
Az erőforrások módosításai csak akkor befolyásolják a megjelenített eredményeket, ha manuálisan újra betölti a lapot, vagy nem választja a Frissítés lehetőséget.