Inventário de ativos na nuvem

Acessar o inventário de ativos no portal do Azure

No portal do Azure, navegue até Microsoft Defender para Nuvem>Inventário.

A página Inventário fornece informações sobre:

• Recursos conectados. Veja rapidamente quais recursos estão conectados ao Defender para Nuvem.
• Estado geral de segurança: obtenha um resumo claro sobre o estado de segurança dos recursos conectados do Azure, AWS e GCP, incluindo o total de recursos conectados ao Defender para Nuvem, recursos por ambiente e uma contagem de recursos não íntegros.
• Recomendações, alertas: analise detalhadamente o estado de recursos específicos para ver recomendações de segurança ativas e alertas de segurança para um recurso.
• Priorização de risco: recomendações baseadas em risco atribuem níveis de risco às recomendações, com base em fatores como sensibilidade de dados, exposição à Internet, potencial de movimento lateral e possíveis caminhos de ataque.
• A priorização de riscos está disponível quando o plano CSPM do Defender está habilitado.
• Software. É possível revisar recursos por aplicativos instalados. Para tirar proveito do inventário de software, é necessário que o plano Defender gerenciamento da postura de segurança na nuvem (CSPM) ou um plano Defender para servidores esteja habilitado.

O inventário usa o Azure Resource Graph (ARG) para consultar e recuperar dados em escala. Para obter insights personalizados mais profundos, é possível usar o KQL para consultar o inventário.

Revisar o inventário

1. No Microsoft Defender para Nuvem no portal do Azure, selecione Inventário. Por padrão, os recursos são classificados com o número de recomendações de segurança ativas.
2. Revise as configurações disponíveis:
   • Em Pesquisa, é possível usar uma pesquisa de texto livre para encontrar recursos.
   • Total de recursos: o número total de recursos conectados ao Defender para Nuvem.
   • Recursos não íntegros exibe o número de recursos com recomendações e alertas de segurança ativos.
   • Contagem de recursos por ambiente: total de recursos do Azure, AWS e GCP.
3. Selecione um recurso para obter mais detalhes.
4. Na página Resource Health do recurso, revise as informações sobre o recurso.
   • A guia Recomendações mostra todas as recomendações de segurança ativas, em ordem de risco. Você pode analisar cada recomendação para obter mais detalhes e opções de correção.
   • A guia Alertas mostra todos os alertas de segurança relevantes.

Revisar inventário de software

1. Selecione Aplicativo instalado
2. Em Valor, selecione os aplicativos para filtrar.

• Total de recursos: o número total de recursos conectados ao Defender para Nuvem.
• Recursos não íntegros: recursos com recomendações de segurança ativas que você pode implementar. Saiba mais sobre a implementação de recomendações de segurança.
• Contagem de recursos por ambiente: o número de recursos em cada ambiente.
• Assinaturas não registradas: qualquer assinatura no escopo selecionado que ainda não foi conectada ao Defender para Nuvem.

1. Os recursos conectados ao Defender para Nuvem e executando esses aplicativos são exibidos. As opções em branco mostram máquinas onde o Defender para servidores/Defender para Ponto de Extremidade não está disponível.

Filtrar o inventário

Assim que você aplica filtros, os valores de resumo são atualizados para se relacionar aos resultados da consulta.

Exportar ferramentas

Baixar relatório CSV - Exporte os resultados das opções de filtro selecionadas para um arquivo CSV.

Abrir consulta - Exporte a própria consulta para o Azure Resource Graph (ARG) para refinar, salvar ou modificar a consulta KQL (Linguagem de Consulta Kusto).

Como funciona o inventário de ativos?

Além dos filtros predefinidos, é possível explorar os dados de inventário de software do Resource Graph Explorer.

O ARG foi projetado para fornecer uma exploração eficiente de recursos com a capacidade de consultar em escala.

Você pode usar KQL (Linguagem de Consulta Kusto) no inventário de ativos para produzir rapidamente insights detalhados por meio da referência cruzada de dados do Defender para Nuvem com outras propriedades de recurso.

Como usar o inventário de ativos

1. Na barra lateral do Defender para Nuvem, selecione Inventário.

2. Use a caixa Filtrar por nome para exibir um recurso específico ou use os filtros para se concentrar em recursos específicos.

   Por padrão, os recursos são classificados com o número de recomendações de segurança ativas.

   Importante

   As opções em cada filtro são específicas aos recursos nas assinaturas atualmente selecionadas e suas seleções nos outros filtros.

   Por exemplo, se você selecionou apenas uma assinatura e a assinatura não tem recursos com as recomendações de segurança pendentes para corrigir (0 recursos não íntegros), o filtro de Recomendações não terá opções.

3. Para usar o filtro Descobertas de segurança, insira o texto livre da ID, a verificação de segurança ou o nome do CVE de uma descoberta de vulnerabilidade para filtrar nos recursos afetados:

   

   Dica

   Os filtros Conclusões de segurança e Marcas só aceitam um único valor. Para filtrar mais de um, use adicionar filtros.

4. Para exibir as opções de filtro selecionadas atualmente como uma consulta no Resource Graph Explorer, selecione Abrir consulta.

   

5. Se você tiver definido alguns filtros e tiver deixado a página aberta, o Defender para Nuvem não atualizará os resultados automaticamente. As alterações nos recursos não impactarão os resultados exibidos, a menos que você recarregue a página manualmente ou selecione Atualizar.

Exportar o inventário

1. Para salvar o inventário filtrado no formato CSV, selecione Baixar relatório CSV.

2. Para salvar uma consulta no Resource Graph Explorer, selecione Abrir uma consulta. Quando estiver pronto para salvar uma consulta, selecione Salvar como e, em Salvar consulta, especifique um nome e uma descrição para a consulta e se ela é privada ou compartilhada.

   

As alterações nos recursos não impactarão os resultados exibidos, a menos que você recarregue a página manualmente ou selecione Atualizar.

Acessar um inventário de software

Para acessar o estoque de software, você precisará de um dos seguintes planos:

• Verificação de computador sem agente do CSPM (Defender gerenciamento da postura de segurança na nuvem).
• Verificação de computador sem agente do Defender para servidores P2.
• Integração do Microsoft Defender para Ponto de Extremidade do Defender para servidores.

Exemplos de como usar o Azure Resource Graph Explorer para acessar e explorar dados de inventário de software

1. Abra o Explorador do Azure Resource Graph.

   

2. Selecione o seguinte escopo de assinatura: securityresources/softwareinventories

3. Insira qualquer uma das consultas a seguir (personalize-as ou escreva uma própria!) e selecione Executar consulta.

Exemplos de consulta

Para gerar uma lista básica de softwares instalados:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

Para filtrar por números de versão:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

Para localizar computadores com uma combinação de produtos de software:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

Para combinar um produto de software com outra recomendação de segurança:

(Neste exemplo – computadores com o MySQL instalado e portas de gerenciamento expostas)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

Próximas etapas

• Revise as recomendações de segurança
• Gerenciar e responder aos alertas de segurança
• Exportação contínua – Exportar dados de segurança para SIEM, SOAR ou outras ferramentas
• Criar painéis de segurança personalizados com pastas de trabalho do Azure
• Habilitar planos do Defender para a Nuvem
• Conectar contas do AWS
• Conectar projetos do GCP

Este artigo descreve como usar o inventário unificado de ativos de nuvem no Microsoft Defender para Nuvem no portal do Microsoft Defender XDR para gerenciar e monitorar sua infraestrutura multinuvem.

Visão geral

O inventário de ativos de nuvem fornece uma exibição contextual unificada da infraestrutura de nuvem em ambientes do Azure, AWS e GCP. Ele categoriza ativos por carga de trabalho, criticidade e status de cobertura enquanto integra dados de saúde, ações de dispositivo e sinais de risco em uma única interface.

Principais capacidades

Visibilidade unificada de várias nuvens

• Cobertura abrangente: exibir todos os ativos de nuvem no Azure, AWS, GCP e outras plataformas com suporte
• Interface consistente: painel único de vidro para gerenciamento de ativos multinuvem
• Sincronização em tempo real: informações de ativo atualizadas em todos os ambientes de nuvem conectados
• Relações entre plataformas: entender dependências e conexões entre ativos em diferentes provedores de nuvem

Insights específicos da carga de trabalho

O inventário é organizado por tipos de carga de trabalho, cada um fornecendo visibilidade e dados personalizados:

• Máquinas Virtuais: instâncias de computação em provedores de nuvem com postura de segurança e dados de vulnerabilidade
• Recursos de dados: bancos de dados, contas de armazenamento e serviços de dados com insights de conformidade e exposição
• Contêineres: clusters do Kubernetes, instâncias de contêiner e registros de contêiner com resultados de verificação de segurança
• Serviços de IA/ML: inteligência artificial e recursos de machine learning com contexto de governança e segurança
• APIs: APIs REST, funções sem servidor e serviços de integração com análise de exposição
• Recursos de DevOps: pipelines de CI/CD, repositórios e ferramentas de desenvolvimento com insights de segurança
• Recursos de identidade: contas de serviço, identidades gerenciadas e componentes de controle de acesso
• Sem servidor: funções, aplicativos lógicos e recursos de computação controlados por eventos

Filtragem e escopo avançados

• Escopo persistente: aproveitar escopos de nuvem para filtragem consistente entre experiências
• Filtragem multidimensional: Filtrar por ambiente, carga de trabalho, nível de risco, status de conformidade e muito mais
• Recursos de pesquisa: descoberta rápida de ativos por meio de funcionalidade de pesquisa abrangente
• Exibições salvas: criar e manter exibições filtradas personalizadas para diferentes necessidades operacionais

Categorização e metadados de ativos

Classificação de criticidade de ativos

Os ativos são classificados automaticamente com base em:

• Impacto nos negócios: determinado pelo tipo de ativo, dependências e importância organizacional
• Postura de segurança: com base na configuração, vulnerabilidades e status de conformidade
• Fatores de risco: incluindo exposição à Internet, confidencialidade de dados e padrões de acesso
• Classificações personalizadas: regras de criticidade definidas pelo usuário e substituições manuais

Indicadores de status de cobertura

Cada ativo exibe informações de cobertura:

• Protegido: Proteção completa do Defender para Nuvem habilitada
• Parcial: alguns recursos de segurança habilitados, outros disponíveis para atualização
• Desprotegido: sem proteção do Defender para Nuvem, requer integração
• Excluído: explicitamente excluído do monitoramento ou proteção

Sinais de saúde e risco

Os indicadores de risco integrados fornecem um contexto de ativo abrangente:

• Alertas de segurança: incidentes de segurança ativos e detecções de ameaças
• Vulnerabilidades: pontos fracos de segurança conhecidos e patches necessários
• Status de conformidade: avaliação de conformidade regulatória e de política
• Métricas de exposição: acessibilidade à Internet, acesso privilegiado e dados da superfície de ataque

Navegação e filtragem

Acessando o inventário de nuvem

1. Navegue até o portal do Microsoft Defender
2. Selecionar aNuvem de > na navegação principal
3. Use abas específicas de tarefas para visões focadas:
   • Todos os Ativos: exibição abrangente em todos os tipos de carga de trabalho
   • VMs: inventário e insights específicos da máquina virtual
   • Dados: recursos de dados, incluindo bancos de dados e armazenamento
   • Contêineres: contêineres e recursos do Kubernetes
   • IA: Inteligência artificial e serviços de machine learning
   • API: APIs e serviços de integração
   • DevOps: recursos de pipeline de desenvolvimento e implantação
   • Identidade: componentes de gerenciamento de identidade e acesso
   • Sem servidor: recursos de computação controlados por eventos e funções

Usando filtros efetivamente

• Filtragem de ambiente: selecione provedores de nuvem específicos (Azure, AWS, GCP) ou exiba todos os ambientes
• Filtragem de escopo: aplicar escopos de nuvem para o gerenciamento de limites organizacionais
• Filtragem baseada em risco: concentre-se em ativos de alto risco ou expostos que exigem atenção imediata
• Filtragem de cargas de trabalho: restringir resultados a tipos específicos de recursos de nuvem
• Filtragem de status: filtrar por status de proteção, estado de conformidade ou indicadores de integridade

Pesquisa e descoberta

• Pesquisa de texto: localizar ativos por nome, ID de recurso ou atributos de metadados
• Pesquisa baseada em marca: localizar ativos usando marcas e rótulos do provedor de nuvem
• Consultas avançadas: usar combinações de filtro complexas para descoberta precisa de ativos
• Recursos de exportação: exportar resultados filtrados para relatórios e análises

Detalhes e insights sobre ativos

Informações abrangentes sobre ativos

Cada ativo fornece informações detalhadas, incluindo:

• Metadados básicos: nomes de recursos, identificadores, locais e timestamps de criação
• Detalhes da configuração: configurações atuais, políticas e configurações aplicadas
• Postura de segurança: status de conformidade, avaliações de vulnerabilidade e recomendações de segurança
• Avaliação de risco: análise de exposição, inteligência contra ameaças e pontuação de risco
• Relações: dependências, conexões e recursos relacionados em todo o ambiente

Integração de recomendações de segurança

Ativos vinculam diretamente para recomendações relevantes de segurança.

• Melhorias de configuração: configurações incorretas e oportunidades de endurecimento
• Correção de vulnerabilidade: gerenciamento de patch e atualizações de segurança
• Controle de acesso: otimização de identidade e permissões
• Segurança de rede: regras de firewall, segmentação de rede e redução de exposição

Fluxos de trabalho de resposta a incidentes

O inventário dá suporte a operações de segurança por meio de:

• Correlação de alerta: vincular alertas de segurança a ativos específicos para uma investigação mais rápida
• Ações de resposta: acesso direto a fluxos de trabalho de correção e recursos de resposta
• Suporte forense: Contexto detalhado de recursos para investigação e análise de incidentes
• Integração de automação: acesso à API para orquestração de segurança e resposta automatizada

Integração com o Gerenciamento de Exposições

Visualização do caminho de ataque

Os ativos no inventário integram-se à análise do caminho de ataque:

• Participação do caminho: veja quais caminhos de ataque incluem ativos específicos
• Identificação de ponto de estrangulamento: realce ativos que são pontos de convergência críticos
• Classificação de destino: identificar ativos que são destinos de ataque comuns
• Análise de ponto de entrada: entenda quais ativos fornecem oportunidades de acesso iniciais

Gerenciamento de recursos críticos

O inventário dá suporte a fluxos de trabalho de ativos críticos:

• Classificação automática: os ativos podem ser classificados automaticamente como críticos com base em regras predefinidas
• Designação manual: as equipes de segurança podem designar manualmente ativos como críticos
• Herança de criticidade: as relações de ativos podem influenciar as classificações de criticidade
• Priorização de proteção: ativos críticos recebem monitoramento e proteção aprimorados

Integração de gerenciamento de vulnerabilidades

Os ativos de nuvem se conectam perfeitamente com o gerenciamento de vulnerabilidades:

• Exibição de vulnerabilidade unificada: visualize vulnerabilidades de nuvem e dispositivo final em dashboards consolidados.
• Priorização baseada em risco: as vulnerabilidades são priorizadas com base no contexto do ativo e no impacto nos negócios
• Acompanhamento de correção: monitorar o progresso da correção de vulnerabilidades em ambientes de nuvem
• Relatório de conformidade: gerar relatórios de vulnerabilidade que incluem dados de nuvem e ponto de extremidade

Relatórios e análise

Relatórios embutidos

• Relatórios de cobertura: Avaliar a implantação do Defender para Nuvem em seu ambiente de nuvem
• Avaliações de risco: análise abrangente de risco em ambientes multinuvem
• Painéis de conformidade: acompanhar o status de conformidade regulatória em todos os ativos de nuvem
• Análise de tendência: Monitorar alterações na postura de segurança ao longo do tempo

Análise personalizada

• Busca avançada: consultar dados de ativos de nuvem usando KQL para análise personalizada
• Acesso à API: acesso programático aos dados de inventário para relatórios e integração personalizados
• Recursos de exportação: exportar dados de ativos em vários formatos para análise externa
• Integração do painel: criar painéis personalizados usando dados de inventário de ativos de nuvem

Limitações e considerações

Limitações atuais

• Atualizações em tempo real: algumas alterações de ativos podem ter pequenos atrasos antes de aparecer no inventário
• Dados históricos: informações de ativos históricos limitadas durante o período inicial de implantação

Considerações sobre desempenho

• Ambientes grandes: filtragem e escopo ajudam a gerenciar o desempenho em ambientes com milhares de ativos
• Taxas de atualização: os dados do ativo são atualizados periodicamente; dados em tempo real podem exigir acesso direto ao console do provedor de nuvem
• Dependências de rede: a funcionalidade de inventário requer conectividade confiável com APIs do provedor de nuvem

Limitações de escopo

Alguns ativos podem aparecer fora dos escopos de nuvem definidos:

• Dependências entre escopos: ativos com relações que abrangem vários escopos
• Certos tipos de ativos flutuantes: que não dão suporte ao controle granular
• Permissões herdadas: componentes que herdam permissões de recursos principais fora do escopo

Práticas recomendadas

Gerenciamento de inventário

• Revisões regulares: revisão periódica do inventário de ativos para precisão e integridade
• Estratégia de marcação: implementar marcação consistente em ambientes de nuvem para melhor organização
• Configuração de escopo: configurar escopos de nuvem apropriados para corresponder à estrutura organizacional
• Otimização de filtro: criar e salvar combinações de filtro úteis para operações diárias eficientes

Operações de segurança

• Foco crítico do ativo: priorizar o monitoramento e a proteção de ativos críticos aos negócios
• Abordagem baseada em risco: use indicadores de risco para orientar a atenção de segurança e a alocação de recursos
• Fluxos de trabalho de integração: aproveitar dados de inventário em processos de gerenciamento de vulnerabilidades e resposta a incidentes
• Oportunidades de automação: identificar tarefas repetitivas que podem ser automatizadas usando APIs de inventário

Revisar o inventário

1. No portal do Microsoft Defender, navegue até Assets>Cloud.

2. Examine a visão geral dos ativos de nuvem unificados:

   • Total de recursos em todos os ambientes de nuvem conectados
   • Resumo da postura de segurança mostrando recursos saudáveis versus não saudáveis.
   • Métricas de cobertura que indicam o status de proteção do Defender para Nuvem
   • Distribuição de risco mostrando ativos por nível de risco

3. Use abas específicas da carga de trabalho para se concentrar em tipos específicos de ativos

   • Selecionar VMs para máquinas virtuais e instâncias de computação
   • Selecionar dados para bancos de dados e recursos de armazenamento
   • Selecionar Contêineres para Kubernetes e ativos relacionados a contêineres
   • Selecionar IA para cargas de trabalho de IA e machine learning
   • Selecionar API para gerenciamento de API e pontos de extremidade
   • Selecione DevOps para recursos do pipeline de desenvolvimento
   • Selecionar Identidade para ativos de gerenciamento de identidade e acesso
   • Selecionar sem servidor para funções e computação sem servidor

4. Aplicar o filtro de escopo global para se concentrar em escopos de nuvem específicos ou limites organizacionais

5. Selecione um ativo para exibir informações detalhadas:

   • Recomendações de segurança priorizadas por nível de risco
   • Alertas de segurança com insights de detecção de ameaças
   • Envolvimento no caminho de ataque que mostra a participação em cenários potenciais de ataque
   • Status de conformidade em relação aos padrões de segurança
   • Fatores de risco, incluindo exposição à Internet e potencial de movimento lateral

Próximas etapas

• Painel de visão geral da nuvem
• Gerenciar recomendações de segurança