雲端資產清單

在 Azure 入口網站存取資產清單

在 Azure 入口網站中，前往 Microsoft Defender for Cloud>Inventory。

[清查] 頁面提供下列相關資訊：

• 連線的資源。 快速查看哪些資源已連線到適用於雲端的 Defender。
• 整體安全性狀態：取得已連線的 Azure、AWS 和 GCP 資源的安全性狀態清晰摘要，包括連線到適用於雲端的 Defender 的資源總數、個別環境的資源，以及狀況不良的資源計數。
• 建議、警示：向下切入至特定資源的狀態，以便查看資源的作用中安全性建議和安全性警示。
• 風險優先順序：風險型建議會根據資料敏感度、網際網路暴露程度、橫向移動可能性和潛在攻擊路徑等因素，指派風險層級到建議中。
• 啟用 Defender CSPM 方案後，您就可以排序風險優先順序。
• 軟體。 您可以按照已安裝的應用程式查看資源。 若要利用軟體清查，您必須啟用適用於雲端的 Defender 安全性態勢管理 (CSPM) 方案或適用於伺服器的 Defender 方案。

清查會使用 Azure Resource Graph (ARG) 來大規模查詢和擷取資料。 如需深入的自訂深入解析，您可以使用 KQL 來查詢清查。

檢視清查

1. 在 Azure 入口網站的適用於雲端的 Defender，選取 [清查]。 根據預設，資源會依作用中安全性建議的數目來排序。
2. 查看可用的設定：
   • 在 [搜尋]，您可以使用任意文字搜尋來尋找資源。
   • [資源總數] 會顯示連線至適用於雲端的 Defender 的資源數量。
   • [狀況不良的資源] 會顯示內含作用中安全性建議和警示的資源數量。
   • 各環境的資源計數：Azure、AWS 和 GCP 資源總數。
3. 選取要向下切入已取得詳細資訊的資源。
4. 在資源的 [資源健康狀態] 頁面，檢視資源的相關資訊。
   • [建議] 索引標籤會依風險等級為順序，顯示任何作用中的安全性建議。 您可以向下切入每個建議，了解詳細資訊和補救選項。
   • [警示] 索引標籤會顯示任何相關的安全性警示。

檢視軟體清查

1. 選取 [已安裝的應用程式]
2. 在 [值] 中，選取要篩選的應用程式。

• 資源總數：連線至適用於雲端的 Defender 的資源總數。
• 狀況不良的資源：內含可實作的作用中安全性建議的資源。 深入了解如何實作安全性建議。
• 各環境的資源計數：每個環境的資源數目。
• 未註冊的訂用帳戶：所選取範圍中尚未連線至適用於雲端的 Microsoft Defender 的任何訂用帳戶。

1. 它會顯示連線到適用於雲端的 Defender 且正在執行相關應用程式的資源。 空白選項顯示的是適用於伺服器的 Defender/適用於端點的 Defender 無法使用的電腦。

篩選清查

只要套用篩選條件，摘要值就會更新為與查詢結果相關。

匯出工具

下載 CSV 報告 - 將所選篩選條件的選項得到的結果匯出為 CSV 檔案。

開啟查詢 - 將查詢本身匯出到 Azure Resource Graph (ARG) 以便進一步修正、儲存或修改 Kusto 查詢語言 (KQL) 的查詢。

資產清查的運作方式為何？

除了預先定義的篩選條件之外，您還可以從 Resource Graph 總管探索軟體清查資料。

ARG 的目的是提供有效率的資源探索以及大規模查詢的功能。

您可以在資產清查使用 Kusto 查詢語言 (KQL)，藉由交互參照適用於雲端的 Defender 資料和其他資源屬性，快速產生深入解析。

如何使用資產清查

1. 從適用於雲端的 Defender 側邊欄，選取 [清查]。

2. 使用 [依名稱篩選] 方塊來顯示特定資源，或使用篩選條件聚焦在特定資源。

   根據預設，資源會依作用中安全性建議的數目來排序。

   重要

   每個篩選條件的選項都專屬於目前所選訂用帳戶的資源，以及您在其他篩選條件的選取項目。

   舉例來說，如果您只選取一個訂用帳戶，且該帳戶沒有任何資源有需要補救的未處理安全性建議 (0 個狀況不良的資源)，則 [建議] 篩選條件將不會有任何選項。

3. 若要使用 [安全性結果] 篩選條件，請從 ID、安全性檢查或弱點偵測結果的 CVE 名稱中取任意文字來輸入，以便篩選出受影響的資源：

   

   秘訣

   [安全性結果] 和 [標籤] 篩選條件只能接受單一值。 若要篩選多個值，請使用 [新增篩選條件]。

4. 若要在 Resource Graph 總管以查詢的形式檢視目前選取的篩選選項，請選取 [開啟查詢]。

   

5. 如果您定義了幾項篩選條件並讓頁面保持開啟，適用於雲端的 Defender 不會自動更新結果。 除非您手動重新載入頁面或選取 [重新整理]，否則資源的任何變更都不會影響顯示的結果。

匯出清查

1. 若要以 CSV 格式儲存篩選的清查，請選取 [下載 CSV 報告]。

2. 若要在 Resource Graph 總管儲存查詢，請選取 [開啟查詢]。 只要您準備好儲存查詢，請選取 [另存新檔]，並在 [儲存查詢] 指定特定查詢名稱和描述，以及查詢為私人或共用。

   

除非您手動重新載入頁面或選取 [重新整理]，否則資源的變更都不會影響顯示的結果。

存取軟體清查

若要存取軟體清查，您需要下列其中一個方案：

• 適用於雲端的 Defender 安全性態勢管理 (CSPM) 的無代理程式電腦掃描。
• 適用於伺服器的 Defender P2 的無代理程式電腦掃描。
• 適用於伺服器的 Defender 的適用於端點的 Microsoft Defender 整合。

使用 Azure Resource Graph 總管存取並探索軟體清查資料的範例

1. 開啟 Azure Resource Graph 總管。

   

2. 選取下列訂用帳戶範圍：securityresources/softwareinventories

3. 輸入下列任一查詢 (也可自訂或自行撰寫！)，然後選取 [執行查詢]。

查詢範例

若要產生已安裝軟體的基本清單：

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

若要依版本號碼篩選：

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

若要尋找內含軟體產品組合的電腦：

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

若要將軟體產品結合其他安全性建議：

(在此範例中，電腦已安裝 MySQL 並公開管理連接埠)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

後續步驟

• 檢閱安全性建議
• 管理和回應安全性警示
• 持續匯出 - 將安全資料匯出至 SIEM、SOAR 或其他工具
• 用 Azure Workbooks 建立自訂安全儀表板
• 啟用 Defender for Cloud 方案
• 連結 AWS 帳號
• 連接 GCP 專案

本文說明如何在 Microsoft Defender XDR 入口網站中使用 Microsoft Defender for Cloud 的統一雲端資產清單來管理與監控您的多雲基礎設施。

概觀

雲端資產清單提供 Azure、AWS 及 GCP 環境中統一且具情境性的雲端基礎架構視圖。 它依據工作負載、重要性及覆蓋狀態分類資產，並將健康資料、裝置動作與風險訊號整合於單一介面中。

主要功能

統一多雲可視性

• 全面覆蓋：瀏覽 Azure、AWS、GCP 及其他支援平台的所有雲端資產
• 一致的介面：多雲資產管理的一體化視窗
• 即時同步：所有連接雲端環境中的最新資產資訊
• 跨平台關係：了解不同雲端供應商間資產的相依性與連結

針對工作負載的洞察

庫存依照工作負載類型組織，每種類型都提供量身訂做的可視性與數據：

• 虛擬機：跨雲端供應商計算實例，提供安全態勢與漏洞資料
• 資料資源：資料庫、儲存帳戶及具備合規與曝光洞察的資料服務
• 容器：Kubernetes 叢集、容器實例，以及具備安全掃描結果的容器登錄
• AI/ML 服務：具備治理與安全脈絡的人工智慧與機器學習資源
• API：REST API、無伺服器函式，以及具備暴露分析的整合服務
• DevOps 資源：CI/CD 管線、資料庫與具備安全洞察的開發工具
• 身份資源：服務帳號、受管理身份與存取控制元件
• 無伺服器：函式、邏輯應用程式與事件驅動運算資源

進階篩選與範疇設定

• 持續性範圍設定：利用雲端範圍在不同體驗間實現一致的過濾
• 多維度篩選：依環境、工作負載、風險等級、合規狀態等篩選
• 搜尋功能：透過全面搜尋功能快速發現資產
• 儲存檢視：建立並維護針對不同營運需求的自訂篩選檢視

資產分類與元資料

資產關鍵性分類

資產會自動根據以下分類：

• 業務影響：依資產類型、依賴性及組織重要性決定
• 安全態勢：基於配置、漏洞及合規狀態
• 風險因子：包括網路暴露、資料敏感度及存取模式
• 自訂分類：使用者自訂的臨界性規則與手動覆寫

覆蓋狀態指標

每項資產會顯示覆蓋資訊：

• 保護：啟用完整雲端保護
• 部分：部分安全功能已啟用，其他可升級
• 無保護：沒有 Defender for Cloud 保護；需要註冊
• 排除：明確排除於監控或保護之外

健康與風險訊號

整合風險指標提供全面的資產背景：

• 安全警示：主動安全事件與威脅偵測
• 漏洞：已知的安全弱點與所需修補程式
• 合規狀態：法規與政策合規評估
• 暴露指標：網路可及性、特權存取與攻擊面資料

導航與篩選

存取雲端庫存

1. 前往 Microsoft Defender 入口網站
2. 從主導覽中選擇 Assets Cloud（資產>雲端 ）
3. 使用針對工作負載的分頁來進行聚焦檢視：
   • 所有資產：涵蓋所有工作負載類型的全面檢視
   • VMS：虛擬機專屬的庫存與洞察
   • 資料：包括資料庫與儲存空間的資料資源
   • 容器：容器與 Kubernetes 資源
   • 人工智慧：人工智慧與機器學習服務
   • API：API 與整合服務
   • DevOps：開發與部署流程資源
   • 身份：身份與存取管理元件
   • 無伺服器：功能驅動與事件驅動的計算資源

有效運用濾鏡

• 環境篩選：選擇特定雲端供應商（Azure、AWS、GCP）或查看所有環境
• 範圍篩選：應用雲端範圍管理組織邊界
• 風險導向篩選：聚焦於需要立即關注的高風險或暴露資產
• 工作負載過濾：將結果縮小至特定類型的雲端資源
• 狀態過濾：依防護狀態、合規狀態或健康指標進行篩選

搜尋與發現

• 文字搜尋：依據名稱、資源 ID 或元資料屬性尋找資產
• 基於標籤的搜尋：利用雲端供應商的標籤與標示尋找資產
• 進階查詢：使用複雜的篩選組合以精準發現資產
• 匯出功能：匯出篩選結果以供報告與分析

資產細節與見解

完整的資產資訊

每個資產都提供詳細資訊，包括：

• 基本元資料：資源名稱、ID、位置與建立時間戳記
• 設定細節：目前設定、政策及套用設定
• 安全態勢：合規狀態、漏洞評估與安全建議
• 風險評估：暴露分析、威脅情報與風險評分
• 關係：環境中的依賴關係、連結及相關資源

安全建議整合

資產直接連結至相關安全建議：

• 配置改進：錯誤配置與強化機會
• 漏洞修復：修補程式管理與安全更新
• 存取控制：身份與權限優化
• 網路安全：防火牆規則、網路分段與風險降低

事件應變工作流程

該庫存透過以下方式支援安全作業：

• 警示關聯：將安全警示連結至特定資產，以加快調查速度
• 回應行動：直接存取修復工作流程與回應能力
• 鑑識支援：詳細資產背景資料，用於事件調查與分析
• 自動化整合：提供 API 存取以進行安全協調與自動回應

與暴露管理的整合

攻擊路徑視覺化

庫存中的資產可整合攻擊路徑分析：

• 路徑參與：查看哪些攻擊路徑包含特定資產
• 瓶頸點識別：標示關鍵匯聚點的資產
• 目標分類：識別常見攻擊目標的資產
• 入門點分析：了解哪些資產提供初始存取機會

關鍵資產管理

該庫存支援關鍵資產工作流程：

• 自動分類：資產可根據預先定義的規則自動被歸類為關鍵
• 人工指定：安全團隊可手動將資產指定為關鍵
• 關鍵性繼承：資產關係會影響關鍵性分類
• 保護優先順序：關鍵資產獲得加強的監控與保護

漏洞管理整合

雲端資產與漏洞管理無縫連接：

• 統一漏洞檢視：在整合儀表板中查看雲端與端點漏洞
• 風險導向優先排序：根據資產情境與業務影響優先處理漏洞
• 修復追蹤：監控跨雲端環境的漏洞修復進度
• 合規報告：產生包含雲端與端點資料的漏洞報告

報告和分析

內建報告

• 覆蓋報告：評估 Defender for Cloud 在整個雲端資產的部署情況
• 風險評估：跨多雲環境進行全面風險分析
• 合規儀表板：追蹤所有雲端資產的法規合規狀態
• 趨勢分析：監控資安態勢隨時間的變化

自訂分析

• 進階搜尋：使用 KQL 查詢雲端資產資料以進行客製化分析
• API 存取：程式化存取庫存資料，以進行自訂報告與整合
• 匯出功能：以多種格式匯出資產資料以供外部分析
• 儀表板整合：利用雲端資產庫存資料建立自訂儀表板

限制與考量

目前的限制

• 即時更新：部分資產變更可能在出現在庫存中前會有輕微延遲
• 歷史資料：初期部署期間有限的歷史資產資訊

效能考量

• 大型環境：過濾與範圍設定有助於管理擁有數千資產的環境中的效能
• 更新率：資產資料會定期更新;即時資料可能需要直接透過雲端服務提供商的控制台存取
• 網路依賴性：庫存功能需要可靠連接雲端供應商 API

範圍限制

部分資產可能出現在定義的雲端範圍之外：

• 跨範疇相依：跨多個範疇的關聯資產
• 浮動資產：某些不支援細緻範圍範圍的資產類型
• 繼承權限：從權限範圍外繼承父資源權限的資產

最佳做法

庫存管理

• 定期檢視：定期檢視資產清單的準確性與完整性
• 標籤策略：在雲端環境中實施一致標籤以提升組織品質
• 範圍配置：設定適當的雲端範圍以符合組織架構
• 篩選器優化：建立並儲存有用的篩選組合，以提升日常運作效率

安全性作業

• 關鍵資產焦點：優先監控與保護業務關鍵資產
• 風險導向方法：利用風險指標引導安全關注與資源分配
• 整合工作流程：在事件回應與漏洞管理流程中運用庫存資料
• 自動化機會：識別可透過庫存 API 自動化的重複性任務

檢視清查

1. 在 Microsoft Defender 入口網站中，請前往 Assets>Cloud。

2. 檢視統一的雲端資產總覽：

   • 涵蓋所有連接雲端環境的總資源
   • 安全態勢摘要顯示健康資源與不健康資源
   • 顯示 Defender for Cloud 保護狀態的涵蓋率指標
   • 風險分布顯示依風險等級分類的資產

3. 使用工作負載專屬分頁來聚焦特定資產類型：

   • 選取 [VM] 以查看虛擬機器與計算執行個體
   • 選擇 數據 以用於資料庫和儲存資源
   • 選擇與 Kubernetes 及容器相關資料的容器
   • 選擇 AI 來處理 AI 與機器學習工作量
   • 選擇 API 以管理 API 與端點
   • 選擇 DevOps 以提供開發流程資源
   • 選擇身份以存取管理資產
   • 選擇 Serverless 來表示函式與無伺服器運算

4. 套用全域範圍過濾器，聚焦於特定的雲端範圍或組織邊界

5. 選擇資產以查看詳細資訊：

   • 依風險等級優先排序的安全建議
   • 具備威脅偵測洞察的安全警示
   • 攻擊路徑參與所示為在潛在攻擊情境中的參與程度
   • 安全標準的合規狀況
   • 風險因子 包括網路接觸及橫向移動潛力

後續步驟

• Cloud overview dashboard
• 管理安全建議