Inventaire des ressources cloud

Accéder à l’inventaire des ressources dans le portail Azure

Dans le portail Azure, accédez à Microsoft Defender for Cloud>Inventaire.

La page Inventaire fournit des informations sur les points suivants :

• Ressources connectées. Découvrez rapidement quelles ressources sont connectées à Defender pour le cloud.
• État de sécurité global : obtenez un résumé clair de l’état de sécurité des ressources Azure, AWS et GCP connectées, y compris les ressources totales connectées à Defender pour le cloud, les ressources par environnement et le nombre de ressources non saines.
• Recommandations, alertes : explorez l’état des ressources spécifiques pour voir les recommandations de sécurité actives et les alertes de sécurité pour une ressource.
• Hiérarchisation des risques : les recommandations basées sur les risques attribuent des niveaux de risque à des recommandations, en fonction de facteurs tels que la sensibilité des données, l’exposition à Internet, le potentiel de déplacement latéral et les chemins d’attaque potentiels.
• La hiérarchisation des risques est disponible lorsque le plan CSPM Defender est activé.
• Logiciels. Vous pouvez passer en revue les ressources par applications installées. Pour tirer parti de l’inventaire logiciel, le plan Gestion de la posture de sécurité cloud (CSPM) ou un plan Defender pour serveurs doit être activé.

L’inventaire utilise Azure Resource Graph (ARG) pour interroger et récupérer des données à grande échelle. Pour obtenir des aperçus personnalisés plus approfondis, vous pouvez interroger l’inventaire avec KQL.

Examiner l’inventaire

1. Dans Defender pour le cloud, dans le portail Azure, sélectionnez Inventaire. Par défaut, les ressources sont triées selon le nombre de recommandations de sécurité actives.
2. Passez en revue les paramètres disponibles :
   • Dans Recherche, vous pouvez utiliser une recherche de ressources en texte libre.
   • Total des ressources indique le nombre total de ressources connectées à Defender pour le cloud.
   • Ressources non saines indique le nombre de ressources avec des recommandations et des alertes de sécurité actives.
   • Nombre de ressources par environnement : total des ressources Azure, AWS et GCP.
3. Sélectionnez une ressource pour plus d’informations.
4. Sur la page Resource Health de la ressource, passez en revue les informations relatives à la ressource.
   • L’onglet Recommandations affiche les recommandations de sécurité actives, par ordre de risque. Vous pouvez examiner chaque recommandation pour obtenir plus de détails et d’options de correction.
   • L’onglet Alertes affiche les alertes de sécurité pertinentes.

Examiner l’inventaire logiciel

1. Sélectionner Application installée
2. Dans Valeur, sélectionnez les applications sur lesquelles filtrer.

• Total des ressources : nombre total de ressources connectées à Defender pour le cloud.
• Ressources non saines : ressources avec des recommandations de sécurité actives que vous pouvez implémenter. En savoir plus sur l’implémentation des recommandations de sécurité.
• Nombre de ressources par environnement : nombre de ressources dans chaque environnement.
• Abonnements non inscrits : tout abonnement dans l’étendue sélectionnée qui n’a pas encore été connecté à Microsoft Defender pour le cloud.

1. Les ressources connectées à Defender pour le cloud et exécutant ces applications s’affichent. Les options vides affichent les machines où Defender pour serveurs/points de terminaison n’est pas disponible.

Filtrer l’inventaire

Dès que vous appliquez des filtres, les valeurs récapitulatives sont mises à jour pour se rapporter aux résultats de la requête.

Outils d’exportation

Télécharger un rapport CSV : exportez les résultats de vos options de filtre sélectionnées vers un fichier CSV.

Ouvrir une requête : exportez la requête proprement dite vers Azure Resource Graph (ARG) pour affiner, enregistrer ou modifier la requête KQL (Kusto Query Language).

Fonctionnement de l’inventaire des ressources

Outre les filtres prédéfinis, vous pouvez explorer les données de l’inventaire logiciel à partir de l’explorateur Resource Graph.

ARG est conçu pour permettre une exploration efficace des ressources avec la possibilité d’interroger à grande échelle.

Vous pouvez utiliser le langage de requête Kusto (KQL) dans l’inventaire des ressources pour produire rapidement des insights détaillés en croisant les données de Defender pour le cloud avec les propriétés d’autres ressources.

Utilisation de l’inventaire des ressources

1. Dans la barre latérale de Defender pour le cloud, sélectionnez Inventaire.

2. Utilisez la zone Filtrer par nom pour afficher une ressource spécifique, ou utilisez les filtres pour vous concentrer sur des ressources spécifiques.

   Par défaut, les ressources sont triées selon le nombre de recommandations de sécurité actives.

   Important

   Les options de chaque filtre sont spécifiques aux ressources des abonnements actuellement sélectionnés et à vos sélections dans les autres filtres.

   Par exemple, si vous avez sélectionné un seul abonnement et que celui-ci ne comporte aucune ressource avec des recommandations de sécurité à corriger (0 ressource non saine), le filtre Recommandations n’aura aucune option.

3. Pour utiliser le filtre Résultats de sécurité, entrez en texte libre l’ID, la vérification de sécurité ou le nom CVE d'un résultat de vulnérabilité et filtrez les ressources concernées :

   

   Conseil

   Les filtres Résultats de sécurité et Balises n’acceptent qu’une seule valeur. Pour filtrer sur plusieurs valeurs, utilisez Ajouter des filtres.

4. Pour afficher les options de filtre actuellement sélectionnées en tant que requête dans l’Explorateur Resource Graph, sélectionnez Ouvrir la requête.

   

5. Si vous avez défini des filtres et laissé la page ouverte, Defender pour le cloud ne met pas à jour les résultats automatiquement. Les modifications apportées aux ressources n’ont pas d’impact sur les résultats affichés, sauf si vous rechargez manuellement la page ou si vous sélectionnez Actualiser.

Exporter l’inventaire

1. Pour enregistrer un inventaire filtré au format CSV, sélectionnez Télécharger un rapport CSV.

2. Pour enregistrer une requête dans l’Explorateur Resource Graph, sélectionnez Ouvrir une requête. Quand vous êtes prêt à enregistrer une requête, sélectionnez Enregistrer sous, puis dans Enregistrer une requête, spécifiez un nom de requête et une description, et si la requête est privée ou partagée.

   

Les modifications apportées aux ressources n’ont pas d’impact sur les résultats affichés, sauf si vous rechargez manuellement la page ou si vous sélectionnez Actualiser.

Accéder à un inventaire logiciel

Pour accéder à l’inventaire logiciel, vous avez besoin de l’un des plans suivants :

• Analyse des machines sans agent à partir de Gestion de la posture de sécurité cloud (CSPM) Defender.
• Analyse des machines sans agent à partir de Defender pour serveurs P2.
• Intégration de Microsoft Defender pour points de terminaison à partir de Defender pour serveurs.

Exemples d'utilisation de l'Explorateur Azure Resource Graph pour accéder aux données de l'inventaire logiciel et les explorer

1. Ouvrez l’Explorateur Azure Resource Graph.

   

2. Sélectionnez l’étendue d'abonnement suivante : securityresources/softwareinventories

3. Entrez l’une des requêtes suivantes (ou personnalisez-les ou écrivez votre propre !), puis sélectionnez Exécuter la requête.

Exemples de requêtes

Pour générer une liste de base des logiciels installés :

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Pour filtrer par numéros de version :

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Pour identifier les ordinateurs avec une combinaison de produits logiciels :

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Pour combiner un produit logiciel avec une autre recommandation de sécurité :

(Dans cet exemple, ordinateurs sur lesquels MySQL est installé et dont les ports de gestion sont exposés)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Étapes suivantes

• Passer en revue les recommandations de sécurité
• Gérer et répondre aux alertes de sécurité
• Exportation continue - Exporter des données de sécurité vers SIEM, SOAR ou d’autres outils
• Créer des tableaux de bord de sécurité personnalisés avec des classeurs Azure
• Activer les plans Defender for Cloud
• Connecter des comptes AWS
• Connecter des projets GCP

Cet article explique comment utiliser l’inventaire unifié des ressources cloud dans Microsoft Defender pour Cloud dans le portail Microsoft Defender XDR pour gérer et surveiller votre infrastructure multicloud.

Aperçu

L’inventaire des ressources cloud fournit une vue unifiée et contextuelle de l’infrastructure cloud dans les environnements Azure, AWS et GCP. Il catégorise les ressources par charge de travail, criticité et état de couverture tout en intégrant des données d’intégrité, des actions d’appareil et des signaux de risque dans une seule interface.

Fonctionnalités clés

Visibilité multicloud unifiée

• Couverture complète : afficher toutes les ressources cloud dans Azure, AWS, GCP et d’autres plateformes prises en charge
• Interface cohérente : volet unique de verre pour la gestion des ressources multiclouds
• Synchronisation en temps réel : informations sur les ressources à jour dans tous les environnements cloud connectés
• Relations interplateformes : comprendre les dépendances et les connexions entre les ressources entre différents fournisseurs de cloud

Analyses spécifiques à la charge de travail

L’inventaire est organisé par types de charge de travail, chacun offrant une visibilité et des données personnalisées :

• Machines virtuelles : instances de calcul entre fournisseurs de cloud avec des données de sécurité et de vulnérabilité
• Ressources de données : bases de données, comptes de stockage et services de données avec des insights de conformité et d’exposition
• Conteneurs : clusters Kubernetes, instances de conteneur et registres de conteneurs avec des résultats d’analyse de sécurité
• AI/ML Services : Ressources d’intelligence artificielle et d’apprentissage automatique avec le contexte de gouvernance et de sécurité
• API : API REST, fonctions serverless et services d’intégration avec analyse de l’exposition
• Ressources DevOps : pipelines CI/CD, référentiels et outils de développement avec des aperçus en matière de sécurité
• Ressources d’identité : comptes de service, identités managées et composants de contrôle d’accès
• Serverless : Fonctions, applications logiques et ressources de calcul pilotées par les événements

Filtrage avancé et définition de périmètre

• Étendue persistante : tirer parti des étendues cloud pour un filtrage cohérent entre les expériences
• Filtrage multidimensionnel : filtrer par environnement, charge de travail, niveau de risque, état de conformité, etc.
• Fonctionnalités de recherche : découverte rapide des ressources via des fonctionnalités de recherche complètes
• Vues enregistrées : Créer et gérer des vues filtrées personnalisées pour différents besoins opérationnels

Catégorisation et métadonnées des ressources

Classification de la criticité des ressources

Les ressources sont automatiquement classées en fonction des éléments suivants :

• Impact sur l’entreprise : déterminé par le type de ressource, les dépendances et l’importance organisationnelle
• Posture de sécurité : en fonction de la configuration, des vulnérabilités et de l’état de conformité
• Facteurs de risque : y compris l’exposition à Internet, la sensibilité des données et les modèles d’accès
• Classifications personnalisées : règles de criticité définies par l’utilisateur et remplacements manuels

Indicateurs d’état de couverture

Chaque ressource affiche les informations de couverture :

• Protégé : Full Defender pour la protection cloud activée
• Partiel : certaines fonctionnalités de sécurité activées, d’autres sont disponibles pour la mise à niveau
• Non protégé : aucune protection Defender pour le cloud, nécessite l’intégration
• Exclu : Exclu explicitement de la surveillance ou de la protection

Signaux de santé et de risque

Les indicateurs de risque intégrés fournissent un contexte d’actif complet :

• Alertes de sécurité : incidents de sécurité actifs et détections de menaces
• Vulnérabilités : faiblesses de sécurité connues et correctifs requis
• État de conformité : évaluation de la conformité réglementaire et de la stratégie
• Métriques d’exposition : accessibilité Internet, accès privilégié et données de surface d’attaque

Navigation et filtrage

Accès à l’inventaire cloud

1. Accédez au portail Microsoft Defender
2. Sélectionner Assets>Cloud dans la navigation principale
3. Utilisez des onglets spécifiques à la charge de travail pour les vues prioritaires :
   • Toutes les ressources : vue complète sur tous les types de charge de travail
   • Machines virtuelles : inventaire et insights spécifiques à une machine virtuelle
   • Données : ressources de données, y compris les bases de données et le stockage
   • Conteneurs : Ressources de conteneurs et Kubernetes
   • IA : Intelligence artificielle et services Machine Learning
   • API : API et services d’intégration
   • DevOps : Ressources de pipeline de développement et de déploiement
   • Identité : composants de gestion des identités et des accès
   • Serverless : Ressources de calcul basées sur les fonctions et les événements

Utilisation efficace de filtres

• Filtrage de l’environnement : sélectionner des fournisseurs de cloud spécifiques (Azure, AWS, GCP) ou afficher tous les environnements
• Filtrage d’étendue : appliquer des étendues cloud pour la gestion des limites de l’organisation
• Filtrage basé sur les risques : concentrez-vous sur les actifs à haut risque ou exposés nécessitant une attention immédiate
• Filtrage des charges de travail : résultats restreints à des types spécifiques de ressources cloud
• Filtrage d’état : filtrer par état de protection, état de conformité ou indicateurs d’intégrité

Recherche et découverte

• Recherche de texte : rechercher des ressources par nom, ID de ressource ou attributs de métadonnées
• Recherche basée sur des balises : localiser des ressources à l’aide de balises et d’étiquettes de fournisseur de cloud
• Requêtes avancées : utiliser des combinaisons de filtres complexes pour la découverte précise des ressources
• Fonctionnalités d’exportation : exporter des résultats filtrés pour la création de rapports et l’analyse

Informations et détails de l'actif

Informations complètes sur les ressources

Chaque ressource fournit des informations détaillées, notamment :

• Métadonnées de base : noms de ressources, ID, emplacements et horodatages de création
• Détails de la configuration : Paramètres actuels, stratégies et configurations appliquées
• Posture de sécurité : État de conformité, évaluations des vulnérabilités et recommandations de sécurité
• Évaluation des risques : analyse de l’exposition, renseignement sur les menaces et scoring des risques
• Relations : dépendances, connexions et ressources associées dans l’environnement

Intégration des recommandations de sécurité

Les ressources sont directement liées aux recommandations de sécurité pertinentes :

• Améliorations de la configuration : configurations incorrectes et possibilités de renforcement
• Correction des vulnérabilités : mises à jour de sécurité et de gestion des correctifs
• Contrôle d’accès : Optimisation des identités et des autorisations
• Sécurité réseau : règles de pare-feu, segmentation du réseau et réduction de l’exposition

Flux de travail de réponse aux incidents

L’inventaire prend en charge les opérations de sécurité via :

• Corrélation des alertes d’alerte : lier des alertes de sécurité à des ressources spécifiques pour une investigation plus rapide
• Actions de réponse : accès direct aux flux de travail de correction et aux fonctionnalités de réponse
• Prise en charge des analyses : contexte détaillé des ressources pour l’investigation et l’analyse des incidents
• Intégration d’Automation : accès aux API pour l’orchestration de la sécurité et la réponse automatisée

Intégration à Exposure Management

Visualisation du chemin d’attaque

Les ressources de l’inventaire s’intègrent à l’analyse du chemin d’attaque :

• Participation au chemin : Découvrez quels chemins d’attaque incluent des ressources spécifiques
• Identification du point d'étranglement : mettre en évidence les ressources qui sont des points de convergence critiques
• Classification cible : Identifier les ressources qui sont des cibles d’attaque courantes
• Analyse des points d’entrée : Comprendre les ressources qui fournissent des opportunités d’accès initiales

Gestion des ressources critiques

L’inventaire prend en charge les flux de travail de ressources critiques :

• Classification automatique : les ressources peuvent être classées automatiquement comme critiques en fonction des règles prédéfinies
• Désignation manuelle : les équipes de sécurité peuvent désigner manuellement les ressources comme critiques
• Héritage de la criticité : les relations d’actifs peuvent influencer les classifications de la criticité
• Hiérarchisation de la protection : les ressources critiques reçoivent une surveillance et une protection améliorées

Intégration de la gestion des vulnérabilités

Les ressources cloud se connectent en toute transparence à la gestion des vulnérabilités :

• Vue des vulnérabilités unifiées : consultez les vulnérabilités cloud et de point de terminaison dans les tableaux de bord consolidés
• Hiérarchisation basée sur les risques : les vulnérabilités sont hiérarchisées en fonction du contexte des ressources et de l’impact sur l’entreprise
• Suivi des corrections : surveiller la progression de la correction des vulnérabilités dans les environnements cloud
• Rapports de conformité : Générer des rapports de vulnérabilité incluant des données cloud et de point de terminaison

Création de rapports et analyse

Rapports intégrés

• Rapports de couverture : Évaluer le déploiement de Defender pour le cloud dans votre patrimoine cloud
• Évaluations des risques : analyse complète des risques dans les environnements multiclouds
• Tableaux de bord de conformité : suivre l’état de conformité réglementaire sur toutes les ressources cloud
• Analyse des tendances : surveiller les changements dans la posture de sécurité au fil du temps

Analyses personnalisées

• Repérage avancé : interroger des données de ressources cloud à l’aide de KQL pour une analyse personnalisée
• Accès à l’API : accès programmatique aux données d’inventaire pour la création de rapports et l’intégration personnalisés
• Fonctionnalités d’exportation : Exporter des données de ressources dans différents formats pour l’analyse externe
• Intégration du tableau de bord : Créer des tableaux de bord personnalisés à l’aide de données d’inventaire des ressources cloud

Limitations et considérations

Limitations actuelles

• Mises à jour en temps réel : certaines modifications des ressources peuvent avoir de légères retards avant d’apparaître dans l’inventaire
• Données historiques : informations d’historique limitées pendant la période de déploiement initiale

Considérations relatives aux performances

• Environnements volumineux : le filtrage et le cadrage permettent de gérer les performances dans les environnements avec des milliers d'actifs
• Taux d’actualisation : les données des ressources sont actualisées régulièrement ; Les données en temps réel peuvent nécessiter un accès direct à la console du fournisseur de cloud
• Dépendances réseau : la fonctionnalité d’inventaire nécessite une connectivité fiable aux API de fournisseur de cloud

Limitations de portée

Certaines ressources peuvent apparaître en dehors des étendues cloud définies :

• Dépendances inter-étendues : ressources avec des relations couvrant plusieurs étendues
• Ressources flottantes : certains types d’actifs qui ne prennent pas en charge la granularité détaillée
• Autorisations héritées : ressources héritant des autorisations des ressources parentes en dehors de leur portée

Meilleures pratiques

Gestion des stocks

• Révisions régulières : examiner périodiquement l’inventaire des biens pour la précision et l’exhaustivité
• Stratégie d’étiquetage : Implémenter un balisage cohérent dans les environnements cloud pour une meilleure organisation
• Configuration de l’étendue : configurer les étendues cloud appropriées pour qu’elles correspondent à la structure organisationnelle
• Optimisation des filtres : créer et enregistrer des combinaisons de filtres utiles pour des opérations quotidiennes efficaces

Opérations de sécurité

• Focus sur les ressources critiques : hiérarchiser la surveillance et la protection des ressources critiques pour l’entreprise
• Approche basée sur les risques : utiliser des indicateurs de risque pour guider l’attention de la sécurité et l’allocation des ressources
• Flux de travail d’intégration : tirer parti des données d’inventaire dans les processus de réponse aux incidents et de gestion des vulnérabilités
• Opportunités d’automatisation : identifier les tâches répétitives qui peuvent être automatisées à l’aide des API d’inventaire

Examiner l’inventaire

1. Dans le portail Microsoft Defender, accédez à Assets>Cloud.

2. Passez en revue la vue d’ensemble des ressources cloud unifiées :

   • Total des ressources dans tous les environnements cloud connectés
   • Résumé de la posture de sécurité montrant des ressources saines et non saines
   • Métriques de couverture indiquant l’état de protection de Defender pour le Cloud
   • Distribution des risques montrant les ressources par niveau de risque

3. Utilisez des onglets spécifiques à la charge de travail pour vous concentrer sur des types de ressources particuliers :

   • Sélectionner des machines virtuelles pour les machines virtuelles et les instances de calcul
   • Sélectionner des données pour les bases de données et les ressources de stockage
   • Sélectionnez Conteneurs pour les ressources liées à Kubernetes et aux conteneurs
   • Sélectionner l’IA pour les charges de travail IA et Machine Learning
   • Sélectionner l’API pour la gestion des API et les points de terminaison
   • Sélectionner DevOps pour les ressources de pipeline de développement
   • Sélectionner Identité pour les ressources de gestion des identités et des accès
   • Sélectionnez Serverless pour les fonctions et le calcul sans serveur

4. Appliquer le filtre d’étendue globale pour vous concentrer sur des étendues cloud spécifiques ou des limites organisationnelles spécifiques

5. Sélectionnez une ressource pour afficher des informations détaillées :

   • Recommandations de sécurité hiérarchisées par niveau de risque
   • Alertes de sécurité avec insights sur la détection des menaces
   • Implication du chemin d’attaque montrant la participation à des scénarios d’attaque potentiels
   • État de conformité par rapport aux normes de sécurité
   • Facteurs de risque , y compris l’exposition à Internet et le potentiel de mouvement latéral

Étapes suivantes

• Tableau de bord vue d’ensemble du cloud
• Gérer les recommandations de sécurité