云资产清单

在 Azure 门户中访问资产清单

在 Azure 门户中，导航到 Microsoft Defender for Cloud>Inventory。

“清单”页提供有关以下内容的信息：

• 已连接的资源。 快速查看哪些资源连接到 Defender for Cloud。
• 整体安全状态：获取有关已连接的 Azure、AWS 和 GCP 资源的安全状态的清晰摘要，包括连接到 Defender for Cloud 的资源总数、按环境划分的资源数以及运行不正常的资源数。
• 建议、警报：深入了解特定资源的状态，查看资源的活动安全建议和安全警报。
• 风险优先级：基于风险的建议根据数据敏感度、Internet 暴露、横向移动可能性和潜在攻击路径等因素为建议分配风险级别。
• 启用 Defender CSPM 计划后，可以确定风险优先级。
• 软件。 可以按已安装的应用程序查看资源。 要利用软件清单，必须启用 Defender 云安全态势管理 (CSPM) 计划或 Defender for Servers 计划。

清单使用 Azure Resource Graph (ARG) 大规模查询和检索数据。 要获得深入的自定义见解，可以使用 KQL 查询清单。

查看清单

1. 在 Azure 门户的 Defender for Cloud 中，选择“清单”。 默认情况下，资源按有效安全建议的数量排序。
2. 查看可用设置：
   • 在“搜索”中，可以使用自由文本搜索来查找资源。
   • 资源总数显示已连接到 Defender for Cloud 的资源总数。
   • 运行不正常的资源显示具有有效安全建议和警报的资源的数量。
   • 按环境划分的资源计数：Azure、AWS 和 GCP 资源总数。
3. 选择一个资源，以深入查看详细信息。
4. 在资源的“资源运行状况”页上，查看有关该资源的信息。
   • “建议”选项卡按风险顺序显示所有活动安全建议。 可以深入了解每个建议，以获取更多详细信息和修正选项。
   • “警报”选项卡显示任何相关的安全警报。

查看软件清单

1. 选择“已安装的应用程序”
2. 在“值”中，选择要作为筛选依据的应用。

• 资源总数：已连接到 Defender for Cloud 的资源总数。
• 运行不正常的资源：具有可实施的活动安全建议的资源。 详细了解实施安全性建议。
• 按环境划分的资源计数：每个环境中的资源数量。
• 未注册的订阅：所选范围内尚未连接到 Microsoft Defender for Cloud 的任何订阅。

1. 系统随即显示连接到 Defender for Cloud 并运行这些应用的资源。 空白选项且显示 Defender for Servers/Defender for Endpoint 不可用的计算机。

筛选清单

应用筛选器后，摘要值就会更新为与查询结果相关的值。

导出工具

下载 CSV 报告 - 将所选筛选器选项的结果导出到 CSV 文件。

打开查询 - 将查询本身导出到 Azure Resource Graph (ARG)，以进一步优化、保存或修改 Kusto 查询语言 (KQL) 查询。

资产库存的工作方式？

除了预定义的筛选器之外，还可以从 Resource Graph 资源管理器中浏览软件清单数据。

ARG 用于提供高效资源探索，并具有大规模查询的功能。

可以使用资产库存中的 Kusto 查询语言 (KQL)，通过将 Defender for Cloud 数据与其他资源属性进行交叉引用来快速生成深度见解。

如何使用资产库存

1. 在 Defender for Cloud 的边栏中，选择“清单”。

2. 使用“按名称筛选”框可显示特定资源，或使用筛选器专注于特定资源。

   默认情况下，资源按有效安全建议的数量排序。

   重要说明

   每个筛选器中的选项特定于当前选择的订阅中的资源和你在其他筛选器中的选择。

   例如，如果你仅选择了一个订阅，并且该订阅没有要修正的具有重要安全建议的资源（0 个运行不正常的资源），则“建议”筛选器将没有选项。

3. 若要使用“安全发现”筛选器，请通过漏洞发现的 ID、安全检查或 CVE 名称输入自由文本以筛选受影响的资源：

   

   提示

   “安全发现”和“标记”筛选器仅接受一个值 。 若要使用多个筛选器，请使用“添加筛选器”。

4. 若要在 Resource Graph Explorer 中以查询的形式查看当前选定的筛选器选项，请选择“打开查询”。

   

5. 如果你定义了一些筛选器并使页面保持打开状态，则 Defender for Cloud 不会自动更新结果。 除非手动重新加载页面或选择“刷新”，否则对资源的任何更改都不会影响显示的结果。

导出清单

1. 要以 CSV 格式保存筛选后的清单，请选择“下载 CSV 报告”。

2. 要在 Resource Graph 资源管理器中保存查询，请选择“打开查询”。 准备好保存查询时，选择“另存为”，然后在“保存查询”中指定查询名称和说明，以及查询是专用的还是共享的。

   

除非手动重新加载页面或选择“刷新”，否则对资源的更改都不会影响显示的结果。

访问软件清单

若要访问软件清单，需要以下计划之一：

• 通过 Defender 云安全态势管理 (CSPM) 进行无代理计算机扫描。
• 通过 Defender for Servers P2 进行无代理计算机扫描。
• 从 Defender for Servers 进行 Microsoft Defender for Endpoint 集成。

使用 Azure Resource Graph 资源管理器访问和浏览软件清单数据的示例

1. 打开“Azure Resource Graph 资源管理器”。

   

2. 选择以下订阅范围：securityresources/softwareinventories

3. 输入以下任何查询（或自定义或编写你自己的查询！），然后选择“运行查询”。

查询示例

生成已安装软件的基本列表：

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

按版本号筛选：

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

使用软件产品组合查找计算机：

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

若要将软件产品与其他安全建议组合，请执行以下操作：

（在本例中 - 安装了 MySQL 并公开管理端口的计算机）

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

后续步骤

• 查看安全建议
• 管理和响应安全警报
• 连续导出 - 将安全数据导出到 SIEM、SOAR 或其他工具
• 使用 Azure 工作簿创建自定义安全仪表板
• 启用 Defender for Cloud 计划
• 连接 AWS 帐户
• 连接 GCP 项目

本文介绍如何在 Microsoft Defender XDR 门户中使用 Microsoft Defender for Cloud 中的统一云资产清单来管理和监视多云基础结构。

概述

云资产清单提供了跨 Azure、AWS 和 GCP 环境的云基础结构的统一上下文视图。 它将运行状况数据、设备作和风险信号集成到单个接口中，按工作负荷、关键性和覆盖范围状态对资产进行分类。

关键功能

统一多云可见性

• 全面覆盖：查看 Azure、AWS、GCP 和其他支持平台中的所有云资产
• 一致的界面：多云资产管理的单一窗格
• 实时同步：所有连接的云环境中的最新资产信息
• 跨平台关系：了解不同云提供商之间的资产之间的依赖关系和连接

针对工作负荷的特定见解

清单按工作负荷类型进行组织，每个类型提供定制的可见性和数据：

• 虚拟机：在多个云提供商之间具有安全态势和漏洞数据的计算实例
• 数据资源：具有合规性和公开见解的数据库、存储帐户和数据服务
• 容器：具有安全扫描结果的 Kubernetes 群集、容器实例和容器注册表
• AI/ML Services：具有治理和安全上下文的人工智能和机器学习资源
• API：REST API、无服务器函数和集成服务与曝光分析
• DevOps 资源：具有安全见解的 CI/CD 管道、存储库和开发工具
• 标识资源：服务帐户、托管标识和访问控制组件
• 无服务器：函数、逻辑应用和事件驱动的计算资源

高级筛选和范围设置

• 持久范围设定：有效利用云范围跨操作体验进行一致的筛选
• 多维筛选：按环境、工作负荷、风险级别、合规性状态等进行筛选
• 搜索功能：通过全面的搜索功能快速发现资产
• 保存的视图：根据不同的作需求创建和维护自定义筛选视图

资产分类和元数据

资产关键性分类

资产根据以下项自动分类：

• 业务影响：由资产类型、依赖项和组织重要性决定
• 安全状况：基于配置、漏洞和符合性状态
• 风险因素：包括接触 Internet、数据敏感度和访问模式
• 自定义分类：用户定义的关键性规则和手动替代

覆盖率状态指示器

每个资产显示覆盖范围信息：

• 已保护：已启用完全 Defender for Cloud 保护
• 部分：已启用某些安全功能，其他安全功能可用于升级
• 未保护：无 Defender for Cloud 保护，需要加入
• 已排除：显式排除在监视或保护之外

健康状况和风险信号

集成风险指标提供全面的资产上下文：

• 安全警报：活动安全事件和威胁检测
• 漏洞：已知的安全漏洞和所需的修补程序
• 合规性状态：法规和策略合规性评估
• 曝光指标：互联网可访问性、特权访问和攻击面数据

导航和筛选

访问云清单

1. 导航到 Microsoft Defender 门户
2. 从主导航中选择 Assets>Cloud
3. 请使用针对工作负载的选项卡以获取重点视图：
   • 所有资产：跨所有工作负荷类型的全面视图
   • VM：特定于虚拟机的清单和见解
   • 数据：数据资源，包括数据库和存储
   • 容器：容器和 Kubernetes 资源
   • AI：人工智能和机器学习服务
   • API：API 和集成服务
   • DevOps：开发和部署管道资源
   • 标识：标识和访问管理组件
   • 无服务器：函数和事件驱动的计算资源

有效使用筛选器

• 环境筛选：选择特定的云提供商（Azure、AWS、GCP）或查看所有环境
• 范围筛选：应用云范围进行组织边界管理
• 基于风险的筛选：专注于高风险或暴露的资产，需要立即关注
• 工作负荷筛选：将结果缩小到特定类型的云资源
• 状态筛选：按保护状态、符合性状态或运行状况指示器进行筛选

搜索和发现

• 文本搜索：按名称、资源 ID 或元数据属性查找资产
• 基于标记的搜索：使用云提供程序标记和标签查找资产
• 高级查询：使用复杂的筛选器组合进行精确的资产发现
• 导出功能：导出用于报告和分析的筛选结果

资产详细信息和见解

综合资产信息

每个资产提供详细信息，包括：

• 基本元数据：资源名称、ID、位置和创建时间戳
• 配置详细信息：当前设置、策略和已应用配置
• 安全状况：合规性状态、漏洞评估和安全建议
• 风险评估：风险分析、威胁情报和风险评分
• 关系：环境中的依赖项、连接和相关资源

安全建议集成

资产直接链接到相关的安全建议：

• 配置改进：配置错误和加固机会
• 漏洞修正：修补程序管理和安全更新
• 访问控制：标识和权限优化
• 网络安全：防火墙规则、网络分段和暴露减少

事件响应工作流

库存通过以下方法支持安全操作：

• 警报关联：将安全警报链接到特定资产以提高调查速度
• 响应操作：直接访问修正工作流和响应功能
• 取证支持：事件调查和分析的资产详细背景
• 自动化集成：用于安全业务流程和自动响应的 API 访问

与曝光管理集成

攻击路径可视化

清单中的资产与攻击路径分析集成：

• 路径参与：查看哪些攻击路径包括特定资产
• 瓶颈识别：突出显示作为关键收敛点的资产
• 目标分类：识别常见攻击目标的资产
• 入口点分析：了解哪些资产提供初始访问机会

关键资产管理

清单支持关键资产工作流：

• 自动分类：可以根据预定义的规则自动将资产分类为关键
• 手动指定：安全团队可以手动将资产指定为关键资产
• 关键性继承：资产关系可能会影响关键性分类
• 保护优先级：关键资产接收增强的监视和保护

漏洞管理集成

云资产与漏洞管理无缝连接：

• 统一漏洞视图：查看合并仪表板中的云和终结点漏洞
• 基于风险的优先顺序：漏洞根据资产上下文和业务影响确定优先级
• 修正跟踪：跨云环境监视漏洞修正进度
• 合规性报告：生成包含云和终结点数据的漏洞报告

报告和分析

内置报告

• 覆盖范围报告：评估 Defender for Cloud 在您的云环境中的部署情况
• 风险评估：跨多云环境的综合风险分析
• 合规性仪表板：跟踪所有云资产中的法规合规性状态
• 趋势分析：监视一段时间内安全状况的变化

自定义分析

• 高级搜寻：使用 KQL 查询云资产数据进行自定义分析
• API 访问：以编程方式访问自定义报告和集成清单数据
• 导出功能：以各种格式导出资产数据以供外部分析
• 仪表板集成：使用云资产清单数据创建自定义仪表板

限制和注意事项

当前限制

• 实时更新：在库存中出现之前，某些资产更改可能稍有延迟
• 历史数据：初始推出期间有限的历史资产信息

性能注意事项

• 大型环境：筛选和范围有助于管理具有数千个资产的环境中的性能
• 刷新速率：定期刷新资产数据;实时数据可能需要直接云提供商控制台访问
• 网络依赖项：清单功能需要与云提供商 API 建立可靠的连接

范围限制

某些资产可能出现在定义的云范围之外：

• 跨范围依赖项：具有跨多个作用域的关系的资产
• 浮动资产：不支持细粒度范围的某些资产类型
• 继承的权限：从范围外部的父资源继承权限的资产

最佳做法

库存管理

• 定期评审：定期查看资产清单的准确性和完整性
• 标记策略：跨云环境实现一致的标记，以便更好地组织
• 范围配置：设置适当的云范围以匹配组织结构
• 筛选器优化：创建并保存有用的筛选器组合，以便高效执行日常作

安全运营

• 关键资产重点：优先监视和保护业务关键型资产
• 基于风险的方法：使用风险指标来指导安全关注和资源分配
• 集成工作流：在事件响应和漏洞管理过程中利用清单数据
• 自动化机会：识别可以使用清单 API 自动执行的重复任务

查看清单

1. 在 Microsoft Defender 门户中，导航到 Assets>Cloud。

2. 查看统一云资产概述：

   • 总资源在所有已连接的云环境中
   • 安全态势摘要显示正常资源与不正常资源
   • 覆盖率指标指示 Defender for Cloud 保护状态
   • 按风险级别显示资产的风险分布

3. 使用特定于工作负荷的选项卡专注于特定资产类型：

   • 为虚拟机和计算实例选择 VM
   • 选择用于数据库和存储资源的数据
   • 选择容器以管理 Kubernetes 和容器相关资产
   • 选择 AI 用于 AI 和机器学习工作负载
   • 选择 API 进行 API 管理和端点配置。
   • 为开发管道资源选择 DevOps
   • 为标识和访问管理资产选择“标识”
   • 为函数和无服务器计算选择无服务器

4. 应用全局范围筛选器以专注于特定的云范围或组织边界

5. 选择一个资产以查看详细信息：

   • 按风险级别优先排序的安全建议
   • 具有威胁侦测分析的安全警报
   • 攻击路径参与情况展示对潜在攻击场景的参与情况
   • 符合安全标准的状态
   • 包括 互联网暴露和横向移动潜力在内的风险因素

后续步骤

• 云概述仪表板
• 管理安全建议