Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La pagina inventario delle risorse di Microsoft Defender per il cloud mostra il comportamento di security delle risorse connesse. Offre una panoramica dell'infrastruttura cloud in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). Raggruppa gli asset in base allo stato di carico di lavoro, criticità e copertura. Combina anche i dati di integrità, le azioni dei dispositivi e i segnali di rischio in un'unica posizione.
Defender per il cloud analizza periodicamente lo stato di sicurezza delle risorse connesse. Quando le risorse hanno raccomandazioni di sicurezza attive o avvisi di sicurezza, vengono visualizzate nell'inventario.
Accedere all'inventario degli asset nel portale di Azure
Nel portale di Azure passare a Microsoft Defender per il cloud>Inventory.
La pagina Inventario fornisce informazioni su:
- Risorse connesse. Verificare rapidamente quali risorse sono connesse a Defender per il cloud.
- Stato generale di sicurezza: ottenere un riepilogo chiaro sullo stato di sicurezza delle risorse connesse di Azure, AWS e GCP, incluse le risorse totali connesse a Defender per il cloud, le risorse per ambiente e il numero di risorse non sicure.
- Raccomandazioni, avvisi: eseguire il drill-down dello stato di risorse specifiche per visualizzare le raccomandazioni di sicurezza attive e gli avvisi di sicurezza per una risorsa.
- Definizione delle priorità dei rischi: le raccomandazioni basate sui rischi assegnano livelli di rischio alle raccomandazioni, in base a fattori quali la riservatezza dei dati, l'esposizione a Internet, il potenziale di spostamento laterale e i potenziali percorsi di attacco.
- La definizione delle priorità dei rischi è disponibile quando il piano di Defender CSPM è abilitato.
- Software. È possibile esaminare le risorse in base alle applicazioni installate. Per sfruttare i vantaggi dell'inventario software, è necessario abilitare il piano Defender Cloud Security Posture Management (CSPM) o un Defender per il piano Server.
L'inventario usa Azure Resource Graph (ARG) per eseguire query e recuperare i dati su larga scala. Per informazioni dettagliate personalizzate, è possibile usare KQL per eseguire query sull'inventario.
Esaminare l'inventario
- In Defender per il cloud nel portale di Azure selezionare Inventory. Per impostazione predefinita, le risorse vengono ordinate in base al numero di raccomandazioni di sicurezza attive.
- Esaminare le impostazioni disponibili:
- In Ricerca, è possibile usare una ricerca di testo libero per trovare le risorse.
- Total resources visualizza il numero di risorse connesse a Defender per il cloud.
- Le risorse non integre mostrano il numero di risorse con raccomandazioni e avvisi di sicurezza attivi.
- Resource count by environment: Conteggio totale delle risorse Azure, AWS e GCP.
- Selezionare una risorsa per eseguire il drill-down per informazioni dettagliate.
- Nella pagina Integrità risorse della risorsa, rivedi le informazioni relative alla risorsa.
- La scheda Raccomandazioni mostra le raccomandazioni di sicurezza attive, in ordine di rischio. È possibile eseguire il drill-down in ogni raccomandazione per maggiori informazioni e opzioni di correzione.
- Nella scheda Avvisi, vengono visualizzati eventuali avvisi di sicurezza pertinenti.
Esaminare l'inventario software
Per esaminare i dettagli dell'inventario software:
- Selezionare Applicazione installata.
- In Valore, selezionare le app da filtrare.
- Total resources: numero totale di risorse connesse a Defender per il cloud.
- Risorse non integre: risorse con raccomandazioni di sicurezza attive che è possibile implementare. Per indicazioni sulla correzione, vedere Esaminare le raccomandazioni sulla sicurezza.
- Numero di risorse per ambiente: numero di risorse in ogni ambiente.
- Sottoscrizioni non registrate: qualsiasi sottoscrizione nel campo selezionato non ancora connessa a Microsoft Defender per il cloud.
- Vengono visualizzate le risorse connesse a Defender per il cloud che eseguono tali app. Le opzioni vuote mostrano i computer in cui Defender per server o Defender per endpoint non sono disponibili.
Filtrare l'inventario
Non appena vengono applicati i filtri, i valori riepilogativi vengono aggiornati in base ai risultati della query.
Strumenti di esportazione
Scaricare il report CSV: esportare i risultati delle opzioni di filtro selezionate in un file CSV.
Apri query: esportare la query stessa in Azure Resource Graph (ARG) per perfezionare, salvare o modificare ulteriormente la query KQL (Kusto Query Language).
Come funziona l'inventario degli asset?
Oltre ai filtri predefiniti, è possibile esplorare i dati di inventario software da Resource Graph Explorer.
Il servizio ARG è progettato per fornire un'efficace esplorazione delle risorse con la possibilità di eseguire query su larga scala.
Puoi usare Kusto Query Language (KQL) nell'inventario degli asset per produrre rapidamente informazioni dettagliate facendo riferimento incrociato ai dati di Defender per il cloud con altre proprietà delle risorse.
Come usare l'inventario degli asset
Per lavorare con i filtri e le opzioni di query nell'inventario delle risorse:
Nella barra laterale di Defender per il cloud selezionare Inventory.
Usare la casella Filtra per nome per visualizzare una risorsa specifica o usare i filtri per concentrarsi su risorse specifiche.
Per impostazione predefinita, le risorse vengono ordinate in base al numero di raccomandazioni di sicurezza attive.
Importante
Le opzioni in ogni filtro sono specifiche per le risorse nelle sottoscrizioni attualmente selezionate e le selezioni negli altri filtri.
Ad esempio, se è stata selezionata una sola sottoscrizione e la sottoscrizione non dispone di risorse con raccomandazioni di sicurezza in sospeso per correggere (0 risorse non integre), il filtro Raccomandazioni non avrà opzioni.
Per usare il filtro Risultati sicurezza, immettere testo libero con l'ID, il controllo di sicurezza o il nome CVE di un risultato relativo alla vulnerabilità per filtrare in base alle risorse interessate:
Tip
I filtri Risultati sicurezza e Tag accettano solo un valore. Per filtrare in base a più filtri, usare Aggiungi filtri.
Per visualizzare le opzioni di filtro selezionate correnti come query in Resource Graph Explorer, selezionare Apri query.
Se sono stati definiti alcuni filtri e si lascia aperta la pagina, Defender per il cloud non aggiorna automaticamente i risultati. Le modifiche apportate alle risorse non influiscono sui risultati visualizzati a meno che non si ricarichi manualmente la pagina o non si selezioni Aggiorna.
Esportare l'inventario
Per esportare i dati di inventario filtrati:
Per salvare l'inventario filtrato in formato CSV, selezionare Scarica report CSV.
Per salvare una query in Resource Graph Explorer, selezionare Apri una query. Quando si è pronti per salvare una query, selezionare Salva con nome. In Salva query specificare un nome di query, una descrizione e se la query è privata o condivisa.
Le modifiche apportate alle risorse non influiscono sui risultati visualizzati a meno che non si ricarichi manualmente la pagina o non si selezioni Aggiorna.
Accedere a un inventario software
Per accedere all'inventario software, è necessario uno dei piani seguenti:
- Scansione della macchina senza agente da Defender Cloud Security Posture Management (CSPM).
- Analisi automatica senza agente da Defender per server P2.
- integrazione di Microsoft Defender per endpoint da Defender per Servers.
Esempi che usano Azure Resource Graph Explorer per accedere ed esplorare i dati di inventario software
Per eseguire query sui dati di inventario software in Esplora Azure Resource Graph:
Aprire Azure Resource Graph Explorer.
Selezionare l'ambito di sottoscrizione seguente: securityresources/softwareinventories
Immettere una delle query seguenti (o personalizzarle o scriverle personalmente) e selezionare Esegui query.
Esempi di query
Per generare un elenco di base di software installato:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version
Per filtrare in base ai numeri di versione:
securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties. version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")
Per trovare computer con una combinazione di prodotti software:
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1
Per combinare un prodotto software con un'altra raccomandazione sulla sicurezza:
(In questo esempio: macchine con MySQL installato e porte di gestione esposte.)
securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId
Passaggi successivi
- Rivedere le raccomandazioni sulla sicurezza
- Gestire e rispondere agli avvisi di sicurezza
- Esportazione continua - Esportare i dati di sicurezza in SIEM, SOAR o altri strumenti
- Creare dashboard di sicurezza personalizzati con cartelle di lavoro di Azure
- Abilita i piani di Defender per il cloud
- Connettere gli account AWS
- Connettere progetti GCP
Questo articolo descrive come usare l'inventario unificato degli asset cloud in Microsoft Defender per il cloud all'interno del portale di Microsoft Defender XDR per gestire e monitorare l'infrastruttura multicloud.
Informazioni generali
L'inventario delle risorse cloud offre una visualizzazione dell'infrastruttura cloud in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). Raggruppa gli asset in base allo stato di carico di lavoro, criticità e copertura. Combina anche i dati di integrità, le azioni dei dispositivi e i segnali di rischio in un'unica interfaccia.
Funzionalità principali
Visibilità multicloud unificata
- Copertura completa: Visualizza gli asset in Azure, AWS, GCP e in altre piattaforme supportate.
- Interfaccia coerente: usare un'interfaccia per gestire gli asset multicloud.
- Sincronizzazione in tempo reale: vedere i dati correnti degli asset dagli ambienti cloud connessi.
- Relazioni multipiattaforma: esaminare le dipendenze tra provider di servizi cloud.
Informazioni dettagliate specifiche del carico di lavoro
L'inventario è organizzato in base ai tipi di carico di lavoro, ognuno dei quali offre visibilità e dati personalizzati:
- Macchine virtuali: istanze di calcolo tra provider di servizi cloud con comportamento di sicurezza e dati di vulnerabilità
- Risorse dati: database, account di archiviazione e servizi dati con informazioni dettagliate sulla conformità e sull'esposizione
- Contenitori: cluster Kubernetes, istanze di contenitori e registri contenitori con risultati di analisi della sicurezza
- Servizi di intelligenza artificiale (AI) e apprendimento automatico (ML): risorse di intelligenza artificiale (AI) e apprendimento automatico (ML) con contesto di governance e sicurezza.
- API: interfacce di programmazione delle applicazioni REST (Representational State Transfer), funzioni serverless e servizi di integrazione con analisi dell'esposizione.
- Risorse DevOps: pipeline di integrazione continua e distribuzione continua (CI/CD), repository e strumenti di sviluppo con informazioni dettagliate sulla sicurezza.
- Risorse di identità: account di servizio, identità gestite e componenti di controllo di accesso
- Serverless: funzioni, app per la logica e risorse di calcolo guidate dagli eventi
Filtro avanzato e definizione dell'ambito
- Ambito permanente: usare gli ambiti cloud per filtrare in modo coerente le diverse esperienze.
- Filtro multidimensionale: filtra per ambiente, carico di lavoro, livello di rischio e stato di conformità.
- Funzionalità di ricerca: trovare rapidamente gli asset con la ricerca predefinita.
- Visualizzazioni salvate: consente di salvare le visualizzazioni filtrate per le attività operative ripetute.
Categorizzazione degli asset e metadati
Classificazione di criticità degli asset
Gli asset vengono classificati automaticamente in base a:
- Impatto aziendale: determinato dal tipo di asset, dalle dipendenze e dall'importanza dell'organizzazione
- Comportamento di sicurezza: in base alla configurazione, alle vulnerabilità e allo stato di conformità
- Fattori di rischio: inclusa l'esposizione a Internet, la riservatezza dei dati e i modelli di accesso
- Classificazioni personalizzate: regole di criticità definite dall'utente e override manuali
Indicatori di stato di copertura
Ogni asset visualizza le informazioni di copertura:
- Protetto: Protezione completa di Defender per il cloud abilitata
- Parziale: alcune funzionalità di sicurezza abilitate, altre disponibili per l'aggiornamento
- Non protetto: Nessun Defender per la protezione del cloud; è richiesto l'onboarding.
- Escluso: escluso in modo esplicito dal monitoraggio o dalla protezione
Segnali di salute e rischio
Gli indicatori di rischio integrati forniscono un contesto di asset completo:
- Avvisi di sicurezza: eventi imprevisti di sicurezza attivi e rilevamenti delle minacce
- Vulnerabilità: punti deboli noti della sicurezza e patch necessarie
- Stato di conformità: valutazione della conformità alle normative e ai criteri
- Metriche di esposizione: accessibilità Internet, accesso con privilegi e dati sulla superficie di attacco
Navigazione e filtro
Accesso all'inventario del cloud
Per aprire l'inventario cloud nel portale di Microsoft Defender:
- Passare al portale di Microsoft Defender
- Selezionare Assets>Cloud dalla navigazione principale
- Usare schede specifiche per carichi di lavoro per visualizzazioni focalizzate.
- Tutti gli asset: visualizzazione completa in tutti i tipi di carico di lavoro
- Macchine virtuali: inventario e informazioni dettagliate specifiche della macchina virtuale
- Dati: risorse di dati, inclusi database e archiviazione
- Contenitori: risorse di contenitore e Kubernetes
- Intelligenza artificiale: intelligenza artificiale e servizi di Machine Learning
- API: API e servizi di integrazione
- DevOps: risorse della pipeline di sviluppo e distribuzione
- Identità: componenti di gestione delle identità e degli accessi
- Serverless: funzioni e risorse di calcolo guidate dagli eventi
Uso efficace dei filtri
- Filtro dell'ambiente: selezionare provider di servizi cloud specifici o visualizzare tutti gli ambienti.
- Filtro dell'ambito: applicare ambiti cloud in modo che corrispondano ai limiti dell'organizzazione.
- Filtro basato sui rischi: concentrarsi sugli asset ad alto rischio o esposti.
- Filtro del carico di lavoro: restringere i risultati a tipi di risorse cloud specifici.
- Filtro dello stato: filtra in base allo stato di protezione, allo stato di conformità o agli indicatori di integrità.
Ricerca e individuazione
- Ricerca testo: trovare gli asset in base al nome, all'ID risorsa o ai metadati.
- Ricerca basata su tag: individuare gli asset in base ai tag e alle etichette del provider di servizi cloud.
- Ricerche avanzate: Combina i filtri per individuare con precisione le risorse.
- Funzionalità di esportazione: esportare i risultati filtrati per la creazione di report e l'analisi.
Dettagli e informazioni sugli asset
Informazioni complete sui beni
Ogni asset fornisce informazioni dettagliate, tra cui:
- Metadati di base: nomi delle risorse, ID, posizioni e orari di creazione.
- Dettagli di configurazione: impostazioni, criteri e configurazioni applicate correnti.
- Comportamento di sicurezza: stato di conformità, valutazioni delle vulnerabilità e raccomandazioni sulla sicurezza.
- Valutazione dei rischi: analisi dell'esposizione, intelligence sulle minacce e punteggi di rischio.
- Relazioni: dipendenze, connessioni e risorse correlate.
Integrazione delle raccomandazioni per la sicurezza
Gli elementi patrimoniali collegano direttamente alle raccomandazioni di sicurezza pertinenti.
- Miglioramenti della configurazione: correggere errori di configurazione e migliorare la protezione avanzata.
- Correzione della vulnerabilità: assegnare priorità all'applicazione di patch e gli aggiornamenti della sicurezza.
- Controllo di accesso: migliorare le impostazioni di identità e autorizzazioni.
- Sicurezza di rete: migliorare le regole del firewall, la segmentazione e i controlli di esposizione.
Flussi di lavoro di risposta agli eventi imprevisti
L'inventario supporta le operazioni di sicurezza tramite:
- Correlazione degli avvisi: collegare avvisi a asset specifici per un'analisi più rapida.
- Azioni di risposta: aprire flussi di lavoro di correzione direttamente dal contesto dell'asset.
- Supporto forense: usare un contesto di asset dettagliato durante l'analisi degli eventi imprevisti.
- Integrazione dell'automazione: utilizzare l'accesso API per l'orchestrazione e la risposta automatizzata.
Integrazione con la gestione dell'esposizione
Visualizzazione del percorso di attacco
Gli asset nell'inventario si integrano con l'analisi del percorso di attacco:
- Partecipazione al percorso: vedere quali percorsi di attacco includono asset specifici.
- Identificazione dei punti di choke: evidenziare gli asset che sono punti di convergenza chiave.
- Classificazione di destinazione: identificare gli obiettivi di attacco comuni.
- Analisi dei punti di ingresso: identificare gli asset che possono fornire percorsi di accesso iniziali.
Gestione degli asset critici
L'inventario supporta i flussi di lavoro critici degli asset:
- Classificazione automatica: gli asset possono essere contrassegnati come critici da regole predefinite.
- Designazione manuale: i team di sicurezza possono contrassegnare manualmente gli asset come critici.
- Ereditarietà della criticità: le relazioni tra asset possono influire sulle classificazioni di criticità.
- Definizione delle priorità di protezione: gli asset critici ottengono un monitoraggio e una protezione avanzati.
Integrazione della gestione delle vulnerabilità
Gli asset cloud si connettono perfettamente alla gestione delle vulnerabilità:
- Visualizzazione delle vulnerabilità unificata: vedere vulnerabilità del cloud e degli endpoint in un unico dashboard.
- Definizione delle priorità basata sui rischi: classificare in ordine di priorità le vulnerabilità in base al contesto degli asset e all'impatto aziendale.
- Rilevamento delle correzioni: tenere traccia dello stato di avanzamento della correzione in ambienti cloud.
- Report di conformità: generare report che includono dati cloud ed endpoint.
Rendicontazione e analisi
Reportistica integrata
- Report di copertura: Valuta la distribuzione di Defender per il cloud nell'intero ambiente cloud.
- Valutazioni dei rischi: esaminare i rischi in ambienti multicloud.
- Dashboard di conformità: tenere traccia dello stato di conformità alle normative tra asset cloud.
- Analisi delle tendenze: monitorare le modifiche del comportamento di sicurezza nel tempo.
Analisi personali
- Ricerca avanzata: eseguire query sui dati degli asset cloud usando il linguaggio di query Kusto (KQL).
- Accesso api: accedere ai dati di inventario a livello di codice per report e integrazioni personalizzati.
- Funzionalità di esportazione: esportare i dati degli asset in più formati per l'analisi esterna.
- Integrazione del dashboard: creare dashboard personalizzati usando i dati di inventario degli asset cloud.
Limitazioni e considerazioni
Limitazioni correnti
- Aggiornamenti in tempo reale: alcune modifiche degli asset possono richiedere tempo per essere visualizzate nell'inventario.
- Dati cronologici: i dati cronologici degli asset possono essere limitati durante l'implementazione anticipata.
Considerazioni sulle prestazioni
- Ambienti di grandi dimensioni: il filtro e la definizione dell'ambito migliorano le prestazioni in ambienti con molti asset.
- Frequenze di aggiornamento: i dati degli asset vengono aggiornati periodicamente. Per i controlli in tempo reale, usare la console del provider di servizi cloud.
- Dipendenze di rete: le funzionalità di inventario richiedono connettività affidabile alle API (Application Programming Interface) del provider di servizi cloud.
Limitazioni di ambito
Alcuni asset possono essere visualizzati all'esterno degli ambiti cloud definiti:
- Dipendenze tra ambiti: asset con relazioni che si estendono su più ambiti.
- Asset mobili: alcuni tipi di asset non supportano la definizione dell'ambito con granularità fine.
- Autorizzazioni ereditate: risorse che ereditano le autorizzazioni da risorse principali al di fuori dell'ambito.
Procedure consigliate
Gestione dell'inventario
- Revisioni regolari: esaminare regolarmente l'inventario per verificare l'accuratezza e la completezza.
- Strategia di assegnazione di tag: usare tag coerenti in ambienti cloud per una migliore organizzazione.
- Configurazione dell'ambito: configurare gli ambiti cloud in modo che corrispondano all'organizzazione.
- Ottimizzazione filtro: consente di salvare combinazioni di filtri utili per le attività quotidiane.
Operazioni di sicurezza
- Attenzione agli asset critici: assegnare priorità al monitoraggio e alla protezione per gli asset critici per l'azienda.
- Approccio basato sui rischi: usare gli indicatori di rischio per guidare l'attenzione alla sicurezza e l'allocazione delle risorse.
- Flussi di lavoro di integrazione: usare i dati di inventario nei flussi di lavoro di risposta agli eventi imprevisti e vulnerabilità.
- Opportunità di automazione: identificare le attività ripetitive da automatizzare usando le API di inventario.
Esaminare l'inventario
Nel portale di Microsoft Defender passare a Assets>Cloud.
Esaminare la panoramica degli asset cloud unificati:
- Totale delle risorse in tutti gli ambienti cloud connessi
- Riepilogo della postura di sicurezza con risorse integre e non integre
- Metriche di copertura che indicano lo stato di protezione di Defender per il cloud
- Distribuzione dei rischi che mostra gli asset in base al livello di rischio
Usare schede specifiche del carico di lavoro per concentrarsi su tipi di asset specifici:
- Selezionare le macchine virtuali per le macchine virtuali e le istanze di calcolo
- Selezionare Dati per database e risorse di archiviazione
- Selezionare Contenitori per i contenitori di Kubernetes e gli asset correlati
- Selezionare intelligenza artificiale per i carichi di lavoro di Intelligenza artificiale e Machine Learning
- Seleziona API per la gestione delle API e degli endpoint
- Selezionare DevOps per le risorse della pipeline di sviluppo
- Selezionare Identità per gli asset di gestione delle identità e degli accessi
- Selezionare Serverless per funzioni ed elaborazione serverless
Applicare il filtro ambito globale per concentrarsi su ambiti cloud specifici o limiti dell'organizzazione
Selezionare un asset per visualizzare informazioni dettagliate:
- Raccomandazioni sulla sicurezza classificate in ordine di priorità per livello di rischio
- Avvisi di sicurezza con informazioni dettagliate sul rilevamento delle minacce
- Coinvolgimento del percorso di attacco che indica la partecipazione a potenziali scenari di attacco
- Stato di conformità rispetto agli standard di sicurezza
- Fattori di rischio , tra cui l'esposizione a Internet e il potenziale di spostamento laterale