Инвентаризация облачных активов

Доступ к инвентаризации активов на портале Azure

На портале Azure перейдите к Microsoft Defender для облака>Inventory.

На странице инвентаризации содержатся сведения о следующих возможностях:

• Подключенные ресурсы. Быстро просмотрите, какие ресурсы подключены к Defender для облака.
• Общее состояние безопасности: Получите четкую сводку о состоянии безопасности подключенных ресурсов Azure, AWS и GCP, включая общие ресурсы, подключенные к Defender для облака, ресурсы по средам и подсчёт неработоспособных ресурсов.
• Рекомендации, оповещения: детализация состояния конкретных ресурсов для просмотра активных рекомендаций по безопасности и оповещений системы безопасности для ресурса.
• Приоритет риска: рекомендации на основе рисков назначают уровни риска рекомендациям, основанным на таких факторах, как конфиденциальность данных, воздействие в Интернете, потенциал бокового перемещения и потенциальные пути атаки.
• Доступ к приоритезации рисков осуществляется при включении плана Defender CSPM.
• Программное обеспечение. Ресурсы можно просмотреть с помощью установленных приложений. Чтобы воспользоваться преимуществами инвентаризации программного обеспечения, необходимо включить план Defender Cloud Security Posture Management (CSPM) или план Defender для серверов.

Инвентаризация использует Azure Resource Graph (ARG) для запроса и получения данных в большом масштабе. Для глубокой пользовательской аналитики можно использовать KQL для запроса инвентаризации.

Просмотр инвентаризации

1. В Defender для облака на портале Azure выберите Inventory. По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.
2. Просмотрите доступные параметры:
   • В поиске можно использовать бесплатный текстовый поиск для поиска ресурсов.
   • Total resources отображает количество ресурсов, подключенных к Defender для облака.
   • Ресурсы с проблемами безопасности отображают количество ресурсов с активными рекомендациями и предупреждениями по безопасности.
   • Численное количество ресурсов по среде: общее количество ресурсов Azure, AWS и GCP.
3. Выберите ресурс, чтобы получить подробные сведения.
4. На странице Работоспособность ресурсов ресурса просмотрите сведения о ресурсе.
   • На вкладке "Рекомендации" отображаются все активные рекомендации по безопасности в порядке риска. Вы можете подробно ознакомиться с каждой рекомендацией для получения дополнительных сведений и параметров исправления.
   • На вкладке "Оповещения" отображаются все соответствующие оповещения системы безопасности.

Проверка инвентаризации программного обеспечения

Чтобы просмотреть сведения о инвентаризации программного обеспечения, выполните следующие действия.

1. Выберите установленное приложение.
2. В поле "Значение" выберите приложения для фильтрации.
   • Total resources: общее количество ресурсов, подключенных к Defender для облака.
   • Небезопасные ресурсы: ресурсы с активными рекомендациями по безопасности, которые можно реализовать. Рекомендации по исправлению см. в разделе "Обзор рекомендаций по безопасности".
   • Количество ресурсов по среде: количество ресурсов в каждой среде.
   • Unregistered subscriptions: любая подписка в выбранной области, которая еще не подключена к Microsoft Defender для облака.
3. Отображаются ресурсы, подключённые к Defender для облака, на которых выполняются эти приложения. Пустые параметры показывают компьютеры, где Defender для серверов или Defender для конечной точки недоступны.

Фильтрация данных инвентаризации

После применения фильтров суммарные значения обновляются для связи с результатами запроса.

Экспорт инструментов

Скачайте CSV-отчет . Экспортируйте результаты выбранных параметров фильтра в CSV-файл.

Open query — экспортируйте запрос в Azure Resource Graph (ARG) для дальнейшего уточнения, сохранения или изменения запроса языка запросов Kusto (KQL).

Как работает инвентаризация активов?

Помимо предопределенных фильтров, вы можете изучить данные инвентаризации программного обеспечения из обозревателя Resource Graph.

ARG разработан для обеспечения эффективного исследования ресурсов с возможностью масштабирования запросов.

Вы можете использовать язык запросов Kusto (KQL) в инвентаризации активов для быстрого получения глубокой аналитики путем перекрестной ссылки на данные Defender для облака с другими свойствами ресурсов.

Использование инвентаризации активов

Чтобы работать с фильтрами и параметрами запросов в инвентаризации активов, выполните следующие действия.

1. На боковой панели Defender для облака выберите Inventory.

2. Используйте поле "Фильтр по имени", чтобы отобразить определенный ресурс или использовать фильтры для фокусировки на определенных ресурсах.

   По умолчанию ресурсы сортируются по количеству активных рекомендаций по безопасности.

   Внимание

   Параметры каждого фильтра относятся к ресурсам в выбранных подписках и к тому, что выбрано в других фильтрах.

   Например, если вы выбрали только одну подписку, и в ней нет ресурсов с необработанными рекомендациями по безопасности (0 небезопасных ресурсов), у фильтра Рекомендации параметров не будет.

3. Чтобы использовать фильтр результатов безопасности, введите текст из идентификатора, проверки безопасности или имени CVE обнаружения уязвимости для фильтрации затронутых ресурсов.

   

   Совет

   Результаты безопасности и фильтры тегов принимают только одно значение. Чтобы выполнить фильтрацию по нескольким значениям, нажмите кнопку Добавить фильтры.

4. Чтобы просмотреть текущие параметры фильтров в виде запроса в обозревателе графа ресурсов, выберите Открыть запрос.

   

5. Если вы определили некоторые фильтры и оставили страницу открытой, Defender для облака не обновляет результаты автоматически. Любые изменения ресурсов не влияют на отображаемые результаты, если вы не перезагрузите страницу вручную или нажмите кнопку "Обновить".

Экспорт инвентаря

Чтобы экспортировать отфильтрованные данные инвентаризации:

1. Чтобы сохранить отфильтрованную инвентаризацию в формате CSV, выберите "Скачать CSV-отчет".

2. Чтобы сохранить запрос в обозревателе resource Graph, выберите команду "Открыть запрос". Когда вы будете готовы сохранить запрос, нажмите кнопку "Сохранить как". В поле "Сохранить запрос" укажите имя запроса, описание и является ли запрос частным или общим.

   

Изменения, внесенные в ресурсы, не влияют на отображаемые результаты, если вы вручную не перезагрузите страницу или выберите "Обновить".

Доступ к инвентаризации программного обеспечения

Чтобы получить доступ к инвентаризации программного обеспечения, вам потребуется один из следующих планов:

• Безагентное сканирование машин от Defender Cloud Security Posture Management (CSPM).
• Сканирование устройств без агента от Defender для серверов P2.
• интеграция Microsoft Defender для конечной точки из Defender для серверов.

Примеры использования обозревателя Azure Resource Graph для доступа к данным инвентаризации программного обеспечения и изучения их

Запрос данных инвентаризации программного обеспечения в обозревателе Azure Resource Graph:

1. Откройте обозреватель Azure Resource Graph.

   

2. Выберите следующую область подписки: securityresources/softwareinventories

3. Введите любой из следующих запросов (либо настройте их или напишите собственный запрос) и выберите Выполнить запрос.

Примеры запросов

Чтобы создать базовый список установленного программного обеспечения:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Для фильтрации по номерам версий:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Чтобы найти компьютеры с сочетанием программных продуктов:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Для объединения программного продукта с другой рекомендацией по безопасности:

(В этом примере: компьютеры с установленными и открытыми портами управления MySQL.)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Дальнейшие шаги

• Просмотр рекомендаций по безопасности
• Управление оповещениями системы безопасности и реагирование на них
• Непрерывный экспорт — экспорт данных безопасности в SIEM, SOAR или другие средства
• Создайте индивидуальные панели безопасности с помощью Azure Workbooks
• Включение планов для Защитника для облака
• Подключение учетных записей AWS
• Подключение проектов GCP

В этой статье описывается, как использовать унифицированную инвентаризацию облачных ресурсов в Microsoft Defender для облака в портале Microsoft Defender XDR для управления и мониторинга мультиоблачной инфраструктуры.

Обзор

Инвентаризация облачных активов предоставляет одно представление об облачной инфраструктуре в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). Он группует ресурсы по рабочей нагрузке, критическому состоянию и состоянию покрытия. Он также объединяет данные о работоспособности, действия устройства и сигналы риска в одном интерфейсе.

Ключевые возможности

Унифицированная многооблачная видимость

• Полный охват: Просматривайте ресурсы в Azure, AWS, GCP и на других поддерживаемых платформах.
• Согласованный интерфейс: используйте один интерфейс для управления ресурсами с несколькими облаками.
• Синхронизация в режиме реального времени. Просмотр текущих данных активов из подключенных облачных сред.
• Межплатформенные связи: проверка зависимостей между поставщиками облачных служб.

Инсайты для конкретной рабочей нагрузки

Инвентаризация организована по типам рабочих нагрузок, каждая из которых обеспечивает специализированную видимость и данные:

• Виртуальные машины: вычислительные экземпляры у различных поставщиков облачных услуг с информацией о позиции безопасности и уязвимостях.
• Ресурсы данных: базы данных, учетные записи хранения и службы данных с аналитическими сведениями о соответствии и экспозиции
• Контейнеры: кластеры Kubernetes, экземпляры контейнеров и реестры контейнеров с результатами проверки безопасности
• Службы искусственного интеллекта и машинного обучения: ресурсы искусственного интеллекта (ИИ) и машинного обучения (ML) с контекстом управления и безопасности.
• API: интерфейсы программирования приложений (API), бессерверные функции и службы интеграции с анализом экспозиции.
• Ресурсы DevOps: конвейеры непрерывной интеграции и непрерывного развертывания (CI/CD), репозитории и средства разработки с помощью аналитических сведений о безопасности.
• Ресурсы удостоверений: учетные записи служб, управляемые удостоверения и компоненты управления доступом
• Бессерверные: функции, приложения логики и вычислительные ресурсы на основе событий

Расширенная фильтрация и установление границ

• Постоянные области: Используйте области в облаке для согласованной фильтрации в разных интерфейсах.
• Многомерная фильтрация: фильтрация по среде, рабочей нагрузке, уровню риска и состоянию соответствия.
• Возможности поиска: быстрое поиск ресурсов с помощью встроенного поиска.
• Сохраненные представления: сохранение отфильтрованных представлений для повторяющихся операционных задач.

Классификация ресурсов и метаданные

Классификация критических ресурсов

Активы автоматически классифицируются на основе:

• Влияние на бизнес: определяется типом активов, зависимостями и важностью организации
• Состояние безопасности: на основе конфигурации, уязвимостей и состояния соответствия требованиям
• Факторы риска: включая воздействие на Интернет, конфиденциальность данных и шаблоны доступа
• Пользовательские классификации: определяемые пользователем правила определения критичности и ручные переопределения

Индикаторы состояния покрытия

Каждый ресурс отображает сведения о охвате:

• Защищено: включена полная защита Defender для облака
• Частично: некоторые функции безопасности включены, другие доступные для обновления
• Unprotected: Нет защиты Defender для облака, требуется интеграция в систему
• Исключен: явным образом исключен из мониторинга или защиты

Сигналы состояния и рисков

Интегрированные индикаторы риска обеспечивают комплексный контекст активов:

• Оповещения безопасности: активные инциденты безопасности и обнаружение угроз
• Уязвимости: известные слабые места безопасности и необходимые исправления
• Состояние соответствия требованиям: оценка соответствия нормативным требованиям и политикам
• Метрики экспозиции: специальные возможности Интернета, привилегированный доступ и данные поверхности атак

Навигация и фильтрация

Доступ к облачной инвентаризации

Чтобы открыть инвентаризацию облака на портале Microsoft Defender, выполните следующие действия.

1. Перейдите на портал Microsoft Defender
2. Выберите Активы>Облако из основной навигации.
3. Используйте вкладки, относящиеся к рабочей нагрузке, для ориентированных представлений:
   • Все ресурсы: комплексное представление для всех типов рабочих нагрузок
   • Виртуальные машины: инвентаризация и аналитические сведения для конкретной виртуальной машины
   • Данные: ресурсы данных, включая базы данных и хранилище
   • Контейнеры: ресурсы Container и Kubernetes
   • ИИ: искусственный интеллект и службы машинного обучения
   • API: API и службы интеграции
   • DevOps: ресурсы конвейера разработки и развертывания
   • Удостоверение: компоненты управления удостоверениями и доступом
   • Бессерверные: вычислительные ресурсы, управляемые функцией и событиями

Эффективное использование фильтров

• Фильтрация среды. Выберите конкретных поставщиков облачных служб или просмотрите все среды.
• Фильтрация областей. Применение облачных областей для сопоставления границ организации.
• Фильтрация на основе рисков: сосредоточьтесь на высокорисковых или внешне доступных активах.
• Фильтрация рабочей нагрузки. Сузьте результаты до определенных типов облачных ресурсов.
• Фильтрация состояния: фильтрация по состоянию защиты, состоянию соответствия или индикаторам работоспособности.

Поиск и обнаружение

• Поиск текста: поиск ресурсов по имени, идентификатору ресурса или метаданным.
• Поиск на основе тегов: поиск ресурсов по тегам и меткам поставщика облачных служб.
• Расширенные запросы: объединение фильтров для точного обнаружения ресурсов.
• Возможности экспорта: экспорт отфильтрованные результаты для создания отчетов и анализа.

Сведения о ресурсах и аналитические сведения

Подробные сведения о ресурсах

Каждый ресурс предоставляет подробные сведения, в том числе:

• Базовые метаданные: имена ресурсов, идентификаторы, расположения и время создания.
• Сведения о конфигурации: текущие параметры, политики и примененные конфигурации.
• Состояние безопасности: состояние соответствия, оценки уязвимостей и рекомендации по безопасности.
• Оценка рисков: анализ воздействия, аналитика угроз и оценки рисков.
• Связи: зависимости, подключения и связанные ресурсы.

Интеграция рекомендаций по безопасности

Ресурсы напрямую связаны с соответствующими рекомендациями по безопасности:

• Улучшения конфигурации. Исправление ошибок конфигурации и улучшение защиты.
• Исправление уязвимостей: приоритеты исправлений и обновлений системы безопасности.
• Управление доступом. Улучшение параметров удостоверений и разрешений.
• Безопасность сети: улучшение правил брандмауэра, сегментации и элементов управления экспозицией.

Рабочие процессы реагирования на инциденты

Инвентаризация поддерживает операции безопасности следующим образом:

• Корреляция оповещений: связывание оповещений с определенными ресурсами для ускорения исследования.
• Действия реагирования: Открывайте процессы устранения непосредственно из контекста ресурса.
• Поддержка судебно-медицинских экспертиз: используйте подробный контекст ресурса во время анализа инцидентов.
• Интеграция с системами автоматизации: используйте доступ к API для оркестрации и автоматического реагирования.

Интеграция с управлением экспозицией

Визуализация пути атаки

Ресурсы в инвентаризации интегрируются с анализом пути атаки:

• Участие в пути атаки: Узнайте, какие пути атаки включают определённые ресурсы.
• Идентификация точечной точки: выделение активов, которые являются ключевыми точками конвергенции.
• Классификация целевых объектов: определение распространенных целевых объектов атаки.
• Анализ точки входа: определение ресурсов, которые могут предоставлять начальные пути доступа.

Управление критически важными ресурсами

Инвентаризация поддерживает критически важные рабочие процессы активов:

• Автоматическая классификация: ресурсы могут быть отмечены критическими предопределенными правилами.
• Ручное назначение: команды безопасности могут вручную пометить ресурсы как критически важные.
• Наследование критичности: взаимосвязи ресурсов могут влиять на классификацию критичности.
• Приоритет защиты: критически важные ресурсы получают расширенный мониторинг и защиту.

Интеграция управления уязвимостями

Облачные ресурсы легко подключаются к управлению уязвимостями:

• Единое представление уязвимостей: ознакомьтесь с уязвимостями в облаке и конечной точке на одной панели мониторинга.
• Приоритет на основе рисков: приоритет уязвимостей по контексту активов и влиянию на бизнес.
• Отслеживание устранения проблем: Отслеживайте ход устранения проблем в облачных средах.
• Отчеты о соответствии: создание отчетов, включающих данные облака и конечной точки.

Отчеты и аналитика

Встроенные отчеты

• Отчеты о покрытии: Оцените развертывание Defender для облака в вашей облачной среде.
• Оценка рисков: анализ рисков в мультиоблачных средах.
• Панели мониторинга соответствия требованиям: отслеживание состояния соответствия нормативным требованиям в облачных ресурсах.
• Анализ тренда: мониторинг изменений состояния безопасности с течением времени.

Настраиваемая аналитика

• Расширенная охота: запрос данных облачных активов с помощью языка запросов Kusto (KQL).
• Доступ к API: доступ к данным инвентаризации программно для пользовательских отчетов и интеграции.
• Возможности экспорта: экспорт данных активов в нескольких форматах для внешнего анализа.
• Интеграция панели мониторинга. Создание пользовательских панелей мониторинга с помощью данных инвентаризации облачных активов.

Ограничения и рекомендации

Текущие ограничения

• Обновления в режиме реального времени: некоторые изменения ресурсов могут занять некоторое время для отображения в инвентаризации.
• Исторические данные: данные об исторических ресурсах могут быть ограничены во время раннего развертывания.

Вопросы, связанные с производительностью

• Большие среды: фильтрация и ограничение области повышают производительность в средах с большим количеством ресурсов.
• Частота обновления: данные ресурса периодически обновляются. Для проверок в режиме реального времени используйте консоль поставщика облачных служб.
• Сетевые зависимости: функции инвентаризации требуют надежного подключения к интерфейсам программирования приложений поставщика облачных поставщиков (API).

Ограничения области

Некоторые ресурсы могут отображаться вне определенных областей облака:

• Зависимости между областями: ресурсы с связями, охватывающими несколько областей.
• Плавающие активы: некоторые типы активов не поддерживают точное определение области.
• Унаследованные разрешения: Ресурсы, наследующие разрешения от родительских ресурсов, находящихся вне текущей области.

Лучшие практики

Управление запасами

• Регулярные проверки: регулярно просматривайте инвентаризацию для точности и полноты.
• Стратегия тегов. Использование согласованных тегов в облачных средах для лучшей организации.
• Конфигурация области. Настройка облачных областей для соответствия вашей организации.
• Оптимизация фильтра: сохранение полезных сочетаний фильтров для ежедневных задач.

Операции безопасности

• Критически важный фокус на активах: приоритеты мониторинга и защиты критически важных для бизнеса ресурсов.
• Подход на основе рисков: используйте индикаторы риска для управления фокусом безопасности и распределением ресурсов.
• Рабочие процессы интеграции: используйте данные инвентаризации в рабочих процессах реагирования на инциденты и уязвимости.
• Возможности автоматизации. Определение повторяющихся задач для автоматизации с помощью API инвентаризации.

Просмотр инвентаризации

1. На портале Microsoft Defender перейдите к Assets>Cloud.

2. Просмотрите общие сведения об объединенных облачных ресурсах:

   • Общее количество ресурсов во всех подключенных облачных средах
   • Сводка о состоянии безопасности, отражающая здоровые и проблемные ресурсы
   • метрики Coverage указывающие состояние защиты Defender для облака
   • Распределение рисков , показывающее активы по уровню риска

3. Используйте вкладки, относящиеся к рабочей нагрузке, чтобы сосредоточиться на определенных типах ресурсов:

   • Выберите виртуальные машины и вычислительные экземпляры
   • Выбор данных для баз данных и ресурсов хранилища
   • Выбор контейнеров для Kubernetes и ресурсов, связанных с контейнерами
   • Выбор ИИ для рабочих нагрузок искусственного интеллекта и машинного обучения
   • Выбор API для управления API и конечных точек
   • Выбор DevOps для ресурсов конвейера разработки
   • Выберите идентификация для активов управления идентификацией и доступом.
   • Выбор бессерверных для функций и бессерверных вычислений

4. Примените фильтр глобальной области с целью сосредоточиться на конкретных облаках или организационных границах.

5. Выберите ресурс для просмотра подробных сведений:

   • Рекомендации по безопасности, приоритетные по уровню риска
   • Оповещения системы безопасности с аналитическими сведениями об обнаружении угроз
   • Включение атакующего пути демонстрирует участие в потенциальных сценариях атаки
   • Состояние соответствия стандартам безопасности
   • Факторы риска , включая воздействие в Интернете и потенциал бокового перемещения

Дальнейшие шаги

• Панель мониторинга обзора облака
• Управление рекомендациями по безопасности