Inventario de recursos en la nube

Acceso al inventario de recursos en Azure Portal

En Azure Portal, vaya aInventario de >.

La página Inventario proporciona información sobre:

• Recursos conectados. Vea rápidamente qué recursos están conectados a Defender for Cloud.
• Estado de seguridad general: obtenga un resumen claro sobre el estado de seguridad de los recursos de Azure, AWS y GCP conectados, incluidos los recursos totales conectados a Defender for Cloud, los recursos por entorno y un recuento de recursos incorrectos.
• Recomendaciones, alertas: explore en profundidad el estado de recursos específicos para ver las recomendaciones de seguridad activas y las alertas de seguridad de un recurso.
• Priorización de riesgos: las recomendaciones basadas en riesgos asignan niveles de riesgo a las recomendaciones, en función de factores como la confidencialidad de los datos, la exposición a Internet, el potencial de movimiento lateral y las posibles rutas de acceso a ataques.
• La priorización de riesgos está disponible cuando el plan de Defender CSPM está habilitado.
• Software. Puede revisar los recursos mediante aplicaciones instaladas. Para aprovechar el inventario de software, debe habilitarse el plan de Administración de la posición de seguridad en la nube (CSPM) de Defender o un plan de Defender para servidores.

El inventario usa Azure Resource Graph (ARG) para consultar y recuperar datos a gran escala. Para obtener información detallada personalizada, puede usar KQL para consultar el inventario.

Revisión del inventario

1. En Defender for Cloud en Azure Portal, seleccione Inventario. De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.
2. Revise la configuración disponible:
   • En Buscar, puede usar una búsqueda de texto libre para buscar recursos.
   • Recursos totales muestra el número total de recursos conectados a Defender for Cloud.
   • Recursos incorrectos muestra el número de recursos con recomendaciones y alertas de seguridad activas.
   • Recuento de recursos por entorno: total de recursos de Azure, AWS y GCP.
3. Seleccione un recurso para explorar en profundidad para obtener más información.
4. En la página de Resource Health del recurso, revise la información sobre el recurso.
   • En la pestaña Recomendaciones se muestran las recomendaciones de seguridad activas, por orden de riesgo. Puede profundizar en cada recomendación para obtener más detalles y opciones de corrección.
   • En la pestaña Alertas se muestran las alertas de seguridad pertinentes.

Revisión del inventario de software

1. Seleccione Aplicación instalada
2. En Valor, seleccione las aplicaciones en las que filtrar.

• Recursos totales: el número total de recursos conectados a Defender for Cloud.
• Recursos incorrectos: recursos con recomendaciones de seguridad activas que puede implementar. Obtenga más información sobre la implementación de recomendaciones de seguridad.
• Recuento de recursos por entorno: el número de recursos de cada entorno.
• Suscripciones no registradas: cualquier suscripción del ámbito seleccionado que todavía no se ha conectado a Microsoft Defender for Cloud.

1. Se muestran los recursos conectados a Defender for Cloud y la ejecución de esas aplicaciones. Las opciones en blanco muestran máquinas en las que Defender para servidores o Defender para punto de conexión no están disponibles.

Filtro del inventario

En cuanto aplica filtros, los valores de resumen se actualizan para relacionarlos con los resultados de la consulta.

Exportar herramientas

Descargar informe CSV: exporte los resultados de las opciones de filtro seleccionadas a un archivo CSV.

Abrir consulta: exporte la consulta propiamente dicha a Azure Resource Graph (ARG) para refinar aún más, guardar o modificar la consulta del Lenguaje de consulta Kusto (KQL).

¿Cómo funciona el inventario de recursos?

Además de los filtros predefinidos, puede explorar los datos de inventario de software desde Resource Graph Explorer.

ARG está diseñado para proporcionar una exploración de recursos eficaz con la posibilidad de realizar consultas a escala.

Puede usar Kusto Query Language (KQL) en el inventario de recursos para producir rápidamente conocimientos profundos cruzando los datos de Defender for Cloud con otras propiedades de los recursos.

Uso del inventario de recursos

1. En la barra lateral de Defender for Cloud, seleccione Inventario.

2. Use la casilla Filtrar por nombre para mostrar un recurso concreto, o utilice los filtros para centrarse en recursos específicos.

   De forma predeterminada, los recursos se ordenan por el número de recomendaciones de seguridad activas.

   Importante

   Las opciones de cada filtro son específicas de los recursos de las suscripciones seleccionadas actualmente y de las selecciones de los otros filtros.

   Por ejemplo, si ha seleccionado solo una suscripción y esta no tiene ningún recurso con recomendaciones de seguridad pendientes de corregir (0 recursos incorrectos), el filtro Recomendaciones no tendrán ninguna opción.

3. Para usar el filtro Conclusiones de seguridad, escriba texto libre para el identificador, la comprobación de seguridad o el nombre de CVE de una conclusión de vulnerabilidad para filtrar los recursos afectados:

   

   Sugerencia

   Los filtros Conclusiones de seguridad y Etiquetas solo aceptan un único valor. Para filtrar por más de uno, use Agregar filtros.

4. Para ver las opciones de filtro seleccionadas actualmente en forma de consulta en Resource Graph Explorer, seleccione Abrir consulta.

   

5. Si ha definido algunos filtros y ha dejado la página abierta, Defender for Cloud no actualiza los resultados de forma automática. Cualquier cambio en los recursos no afectará a los resultados mostrados a menos que se vuelva a cargar manualmente la página o se seleccione Actualizar.

Exportación del inventario

1. Para guardar el inventario filtrado en formato CSV, seleccione Descargar informe CSV.

2. Para guardar una consulta en Resource Graph Explorer, seleccione Abrir una consulta. Cuando esté listo para guardar una consulta, seleccione Guardar como y, en Guardar consulta, especifique un nombre de consulta y una descripción, y si la consulta es privada o compartida.

   

Los cambios que haga en los recursos no afectarán a los resultados mostrados a menos que se vuelva a cargar manualmente la página o se seleccione Actualizar.

Acceso a un inventario de software

Para acceder al inventario de software, necesita uno de los siguientes planes:

• Examen sin agente para máquinas de Administración de la posición de seguridad en la nube (CSPM) de Defender.
• Examen sin agente para máquinas de Defender para servidores P2.
• Integración de Microsoft Defender para punto de conexión de Defender para servidores.

Ejemplos de uso de Azure Resource Graph Explorer para acceder a los datos de inventario de software y explorarlos

1. Abra Azure Resource Graph Explorer.

   

2. Seleccione el siguiente ámbito de suscripción: securityresources/softwareinventories

3. Escriba cualquiera de las siguientes consultas (o personalícelas o escriba las suyas propias) y seleccione Ejecutar consulta.

Ejemplos de consultas

Para generar una lista básica del software instalado:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Para filtrar por los números de versión:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Para buscar máquinas con una combinación de productos de software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Para combinar un producto de software con otra recomendación de seguridad:

(En este ejemplo: máquinas con MySQL instalado y puertos de administración expuestos)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Pasos siguientes

• Revisión de las recomendaciones de seguridad
• Administración y respuesta a alertas de seguridad
• Exportación continua : exportación de datos de seguridad a SIEM, SOAR u otras herramientas
• Crear paneles de seguridad personalizados con Azure Workbooks
• Habilitación de los planes de Defender for Cloud
• Conexión de cuentas de AWS
• Conexión de proyectos de GCP

En este artículo se describe cómo usar el inventario unificado de recursos en la nube en Microsoft Defender for Cloud en el portal de XDR de Microsoft Defender para administrar y supervisar la infraestructura multinube.

Información general

El inventario de recursos en la nube proporciona una vista unificada y contextual de la infraestructura en la nube en entornos de Azure, AWS y GCP. Clasifica los recursos por carga de trabajo, importancia y estado de cobertura al integrar los datos de mantenimiento, las acciones del dispositivo y las señales de riesgo en una sola interfaz.

Funcionalidades clave

Visibilidad unificada de varias nubes

• Cobertura completa: visualización de todos los recursos en la nube en Azure, AWS, GCP y otras plataformas compatibles
• Interfaz coherente: panel único de vidrio para la administración de recursos multinube
• Sincronización en tiempo real: información de recursos actualizada en todos los entornos de nube conectados
• Relaciones multiplataforma: descripción de las dependencias y las conexiones entre los recursos entre distintos proveedores de nube

Análisis específicos del rendimiento de trabajo

El inventario se organiza mediante tipos de carga de trabajo, cada uno de los cuales proporciona visibilidad y datos personalizados:

• Máquinas virtuales: instancias de computación en proveedores de nube con datos de postura de seguridad y vulnerabilidad
• Recursos de datos: bases de datos, cuentas de almacenamiento y servicios de datos con información de cumplimiento y exposición
• Contenedores: clústeres de Kubernetes, instancias de contenedor y registros de contenedor con resultados de examen de seguridad
• AI/ML Services: inteligencia artificial y recursos de aprendizaje automático con el contexto de gobernanza y seguridad
• API: API REST, funciones sin servidor y servicios de integración con análisis de exposición
• Recursos de DevOps: canalizaciones de CI/CD, repositorios y herramientas de desarrollo con información de seguridad
• Recursos de identidad: cuentas de servicio, identidades administradas y componentes de control de acceso
• Sin servidor: funciones, aplicaciones lógicas y recursos de proceso controlados por eventos

Filtrado avanzado y delimitación

• Ámbito persistente: aproveche los ámbitos de nube para un filtrado coherente entre experiencias
• Filtrado multidimensional: filtrado por entorno, carga de trabajo, nivel de riesgo, estado de cumplimiento, etc.
• Funcionalidades de búsqueda: detección rápida de recursos mediante una funcionalidad de búsqueda completa
• Vistas guardadas: crear y mantener vistas filtradas personalizadas para diferentes necesidades operativas

Categorización de recursos y metadatos

Clasificación de importancia de recursos

Los recursos se clasifican automáticamente en función de:

• Impacto empresarial: determinado por el tipo de recurso, las dependencias y la importancia de la organización
• Posición de seguridad: en función de la configuración, las vulnerabilidades y el estado de cumplimiento
• Factores de riesgo: incluir la exposición a Internet, la confidencialidad de los datos y los patrones de acceso
• Clasificaciones personalizadas: reglas de importancia crítica definidas por el usuario e invalidaciones manuales

Indicadores de estado de cobertura

Cada recurso muestra información de cobertura:

• Protegido: protección completa de Defender para la nube habilitada
• Parcial: algunas características de seguridad habilitadas, otras disponibles para la actualización
• Desprotegido: no hay protección de Defender for Cloud, requiere la incorporación.
• Excluido: excluido explícitamente de la supervisión o protección

Señales de estado y riesgo

Los indicadores de riesgo integrados proporcionan un contexto completo de activos:

• Alertas de seguridad: incidentes de seguridad activos y detecciones de amenazas
• Vulnerabilidades: puntos débiles de seguridad conocidos y revisiones necesarias
• Estado de cumplimiento: evaluación de cumplimiento normativo y de directivas
• Métricas de exposición: accesibilidad a Internet, acceso con privilegios y datos de superficie expuesta a ataques

Navegación y filtrado

Acceso al inventario en la nube

1. Vaya al portal de Microsoft Defender.
2. Seleccione Assets>Cloud en la navegación principal.
3. Utiliza pestañas dedicadas a la carga de trabajo para obtener vistas centradas.
   • Todos los recursos: vista completa de todos los tipos de carga de trabajo
   • Máquinas virtuales: inventario y conclusiones específicos de la máquina virtual
   • Datos: recursos de datos, incluidas bases de datos y almacenamiento
   • Contenedores: recursos de Contenedores y Kubernetes
   • IA: inteligencia artificial y servicios de aprendizaje automático
   • API: API y servicios de integración
   • DevOps: recursos de flujo de trabajo de desarrollo e implementación
   • Identidad: componentes de administración de identidades y acceso
   • Sin servidor: recursos de proceso basados en eventos y funciones

Uso de filtros de forma eficaz

• Filtrado de entornos: seleccione proveedores de nube específicos (Azure, AWS, GCP) o vea todos los entornos.
• Filtrado de ámbitos: aplicación de ámbitos en la nube para la administración de límites de la organización
• Filtrado basado en riesgos: céntrese en recursos de alto riesgo o expuestos que requieran atención inmediata.
• Filtrado de cargas de trabajo: restringir los resultados a tipos específicos de recursos en la nube
• Filtrado por estado: filtrado por estado de protección, estado de cumplimiento o indicadores de salud

Búsqueda y detección

• Búsqueda de texto: buscar recursos por nombre, identificador de recurso o atributos de metadatos
• Búsqueda por etiquetas: Localice activos utilizando etiquetas y etiquetas de proveedor de nube
• Consultas avanzadas: uso de combinaciones de filtros complejas para la detección precisa de recursos
• Funcionalidades de exportación: exportación de resultados filtrados para informes y análisis

Detalles y perspectivas del activo

Información completa de los recursos

Cada recurso proporciona información detallada, entre las que se incluyen:

• Metadatos básicos: nombres de recursos, identificadores, ubicaciones y marcas de tiempo de creación
• Detalles de configuración: configuración actual, directivas y configuraciones aplicadas
• Posición de seguridad: estado de cumplimiento, evaluaciones de vulnerabilidades y recomendaciones de seguridad
• Evaluación de riesgos: análisis de exposición, inteligencia sobre amenazas y puntuación de riesgos
• Relaciones: dependencias, conexiones y recursos relacionados en todo el entorno

Integración de recomendaciones de seguridad

Los recursos se vinculan directamente a las recomendaciones de seguridad pertinentes:

• Mejoras de configuración: errores de configuración y oportunidades de endurecimiento
• Corrección de vulnerabilidades: actualizaciones de seguridad y administración de revisiones
• Control de acceso: optimización de identidades y permisos
• Seguridad de red: reglas de firewall, segmentación de red y reducción de exposición

Flujos de trabajo de respuesta a incidentes

El inventario admite operaciones de seguridad mediante:

• Correlación de alertas: vinculación de alertas de seguridad a recursos específicos para una investigación más rápida
• Acciones de respuesta: acceso directo a flujos de trabajo de corrección y funcionalidades de respuesta
• Compatibilidad con análisis forense: contexto detallado de recursos para la investigación y el análisis de incidentes
• Integración de Automatización: acceso de API para orquestación de seguridad y respuesta automatizada

Integración con la administración de exposiciones

Visualización de la ruta de acceso de ataque

Los recursos del inventario se integran con el análisis de rutas de acceso de ataque:

• Participación en rutas de ataque: vea qué rutas de ataque incluyen activos específicos.
• Identificación de punto de ahogo: resalte los recursos que son puntos de convergencia críticos.
• Clasificación de destino: identifique los recursos que son destinos de ataque comunes.
• Análisis de punto de entrada: comprender qué recursos proporcionan oportunidades de acceso iniciales

Administración de recursos críticos

El inventario admite flujos de trabajo de activos críticos:

• Clasificación automática: los recursos se pueden clasificar automáticamente como críticos en función de las reglas predefinidas.
• Designación manual: los equipos de seguridad pueden designar manualmente los recursos como críticos
• Herencia de criticidad: las relaciones de activos pueden influir en las clasificaciones de criticidad
• Priorización de protección: los recursos críticos reciben una supervisión y protección mejoradas

Integración de la administración de vulnerabilidades

Los recursos en la nube se conectan sin problemas con la administración de vulnerabilidades:

• Vista de vulnerabilidad unificada: consulte las vulnerabilidades de la nube y del punto de conexión en los paneles consolidados.
• Priorización basada en riesgos: las vulnerabilidades se priorizan en función del contexto del recurso y el impacto empresarial
• Seguimiento de la corrección: supervisar el progreso de la corrección de vulnerabilidades en entornos de nube
• Informes de cumplimiento: generación de informes de vulnerabilidades que incluyen datos de la nube y del punto de conexión

Informes y análisis

Informes integrados

• Informes de cobertura: evaluación de la implementación de Defender for Cloud en todo el patrimonio de la nube
• Evaluaciones de riesgos: análisis completo de riesgos en entornos multinube
• Paneles de cumplimiento: seguimiento del estado de cumplimiento normativo en todos los recursos en la nube
• Análisis de tendencias: Supervisión de los cambios en la posición de seguridad a lo largo del tiempo

Análisis personalizados

• Búsqueda avanzada: consulta de datos de recursos en la nube mediante KQL para el análisis personalizado
• Acceso de API: acceso mediante programación a los datos de inventario para informes e integración personalizados
• Funcionalidades de exportación: exportación de datos de recursos en varios formatos para el análisis externo
• Integración del panel: creación de paneles personalizados mediante datos de inventario de recursos en la nube

Limitaciones y consideraciones

Limitaciones actuales

• Actualizaciones en tiempo real: algunos cambios de recursos pueden tener ligeras demoras antes de aparecer en el inventario
• Datos históricos: información limitada de recursos históricos durante el período de lanzamiento inicial

Consideraciones sobre el rendimiento

• Entornos grandes: el filtrado y el ámbito ayudan a administrar el rendimiento en entornos con miles de recursos.
• Frecuencias de actualización: los datos del recurso se actualizan periódicamente; Los datos en tiempo real pueden requerir acceso directo a la consola del proveedor de nube
• Dependencias de red: la funcionalidad de inventario requiere conectividad confiable con las API del proveedor de nube.

Limitaciones de ámbito

Algunos recursos pueden aparecer fuera de los ámbitos de nube definidos:

• Dependencias entre ámbitos: recursos con relaciones que abarcan varios ámbitos
• Recursos flotantes: Algunos tipos de recursos que no admiten un ámbito granular
• Permisos heredados: Activos que heredan permisos de recursos principales fuera del ámbito

procedimientos recomendados

Administración del inventario

• Revisiones periódicas: revise periódicamente el inventario de recursos para obtener precisión e integridad.
• Estrategia de etiquetado: implementación del etiquetado coherente en entornos en la nube para mejorar la organización
• Configuración del ámbito: configure los ámbitos de nube adecuados para que coincidan con la estructura organizativa.
• Optimización de filtros: crear y guardar combinaciones de filtros útiles para realizar operaciones diarias eficaces

Operaciones de seguridad

• Enfoque crítico de los recursos: priorizar la supervisión y la protección de los recursos críticos para la empresa
• Enfoque basado en riesgos: uso de indicadores de riesgo para guiar la atención de la seguridad y la asignación de recursos
• Flujos de trabajo de integración: aprovechar los datos de inventario en los procesos de respuesta a incidentes y administración de vulnerabilidades
• Oportunidades de automatización: identificar tareas repetitivas que se pueden automatizar mediante las API de inventario

Revisión del inventario

1. En el portal de Microsoft Defender, vaya a Assets Cloud( Recursos>en la nube).

2. Revise la visión general de los activos de nube unificados:

   • Total de recursos en todos los entornos de nube conectados
   • Resumen de la postura de seguridad que muestra recursos saludables frente a no saludables
   • Métricas de cobertura que indican el estado de protección de Defender for Cloud
   • Distribución de riesgos que muestra los recursos por nivel de riesgo

3. Use pestañas específicas de la carga de trabajo para centrarse en determinados tipos de recursos:

   • Seleccione máquinas virtuales e instancias de cómputo
   • Seleccionar Datos para recursos de bases de datos y almacenamiento
   • Seleccione Contenedores para Kubernetes y recursos relacionados con contenedores
   • Seleccionar IA para las cargas de trabajo de aprendizaje automático e IA
   • Seleccione API para la gestión de API y puntos de conexión
   • Seleccione DevOps para los recursos del pipeline de desarrollo
   • Seleccione Identidad para los recursos de administración de identidades y acceso.
   • Seleccione Serverless (Sin servidor) para funciones y proceso sin servidor.

4. Aplicar el filtro de ámbito global para centrarse en ámbitos de nube específicos o límites de la organización

5. Seleccione un recurso para ver información detallada:

   • Recomendaciones de seguridad prioritarias por nivel de riesgo
   • Alertas de seguridad con información de detección de amenazas
   • Participación en la ruta de ataque, mostrando involucramiento en posibles escenarios de ataque.
   • Estado de cumplimiento con los estándares de seguridad
   • Factores de riesgo , como la exposición a Internet y el potencial de movimiento lateral

Pasos siguientes

• Panel de información general de la nube
• Administración de recomendaciones de seguridad