Come utilizzare ed esportare i risultati dell'analisi in Microsoft Defender per il cloud

Usare questo articolo per eseguire query sui risultati della valutazione della vulnerabilità ed esportare i risultati dell'analisi SQL per i flussi di lavoro di analisi, creazione di report e correzione.

Eseguire query sui risultati della scansione di valutazione delle vulnerabilità ed esportarli

Defender per la valutazione della vulnerabilità di SQL analizza i database ogni settimana e segnala errori di configurazione identificati.

Tutti i risultati vengono archiviati in Azure Resource Graph (ARG), che costituisce la fonte per gran parte dell'interfaccia utente di Defender for SQL. Quando i risultati vengono scritti in ARG, Defender per il cloud li arricchisce con impostazioni correlate, ad esempio regole disabilitate o raccomandazioni esentate. Di conseguenza, ARG riflette lo stato effettivo dei risultati e delle raccomandazioni.

Questo articolo descrive diversi modi per usare ed esportare i risultati dell'analisi.

Eseguire query ed esportare i risultati in ARG con Defender per il cloud

Usare questo metodo per eseguire query sui risultati di Defender per il cloud ed esportare i risultati per la creazione di report.

Per eseguire query ed esportare i risultati tramite ARG con Defender per il cloud:

  1. Accedi al portale di Azure.

  2. Passare a Microsoft Defender per il cloud>Consigli.

  3. Cercare e selezionare una delle opzioni seguenti:

    • Per i database SQL di Azure - SQL databases should have vulnerability findings resolved.

    • Per i server SQL sui computer - SQL servers on machines should have vulnerability findings resolved.

  4. Selezionare Apri query.

  5. Selezionare una delle due opzioni seguenti:

    • Query che restituisce le risorse interessate: restituisce un elenco delle risorse attualmente interessate (stato del consiglio per risorsa).
    • Query che restituisce i risultati per la sicurezza: restituisce un elenco di tutti i risultati per la sicurezza (risultati e sottovalutazioni aggregate per ogni risorsa applicabile).

    Screenshot della pagina Raccomandazioni, con l'elenco a discesa Query aperta indicato in alto a sinistra. L'elenco a discesa mostra due opzioni: la query che restituisce la risorsa interessata e la query che restituisce i risultati sulla sicurezza.

  6. Selezionare Esegui query.

  7. Selezionare Scarica come CSV.

Queste query sono modificabili. È possibile personalizzarli per una risorsa specifica, un set di risultati o uno stato di ricerca.

Eseguire query ed esportare i risultati in ARG

Usare questo metodo per eseguire query sui risultati direttamente in Resource Graph Explorer quando è necessaria una personalizzazione avanzata delle query.

Per eseguire query ed esportare i risultati con ARG:

  1. Accedi al portale di Azure.

  2. Passare a Resource Graph explorer.

  3. Modificare e immettere la query seguente:

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id), subAssessmentId=tostring(properties.id), parentResourceId= extract("(.+)/providers/Microsoft.Security", 1, id)
| extend resourceIdTemp = iff(properties.resourceDetails.id != "", properties.resourceDetails.id, extract("(.+)/providers/Microsoft.Security", 1, id))
| extend resourceId = iff(properties.resourceDetails.source =~ "OnPremiseSql", strcat(resourceIdTemp, "/servers/", properties.resourceDetails.serverName, "/databases/" , properties.resourceDetails.databaseName), resourceIdTemp)
| where resourceId =~ "/subscriptions/resourcegroups/rgname/providers/microsoft.sql/servers/servername/databases/dbname"
| where assessmentKey =~ "82e20e14-edc5-4373-bfc4-f13121257c37"
| project resourceId,
subscriptionId,
assessmentKey,
subAssessmentId,
name=properties.displayName,
description=properties.description,
severity=properties.status.severity,
status=properties.status.code,
cause=properties.status.cause,
category=properties.category,
impact=properties.impact,
remediation=properties.remediation,
benchmarks=properties.additionalData.benchmarks

  4. Selezionare Esegui query.

  5. Selezionare Scarica come CSV.

    Schermata della pagina Resource Graph Explorer con i controlli Esegui query e Scarica come CSV evidenziati.

Questa query è modificabile. È possibile personalizzarla per una risorsa specifica, un set di risultati o uno stato di ricerca.

Aprire una query dal database SQL

Usa questo metodo per interrogare i risultati relativi alle vulnerabilità per un database SQL specifico dalla pagina della risorsa del database.

Per aprire una query dal database SQL:

  1. Accedi al portale di Azure.

  2. Accedere al database SQL pertinente.

  3. Passare a Sicurezza>di Microsoft Defender per il cloud.

  4. Selezionare il risultato delle raccomandazioni pertinenti.

  5. Selezionare Apri query.

    Screenshot della pagina di raccomandazione del database SQL con il pulsante Apri query selezionato.

  6. Selezionare Esegui query.

  7. Selezionare Scarica come CSV.

    Schermata della pagina Resource Graph Explorer con i controlli Esegui query e Scarica come CSV evidenziati.

Questa query è modificabile. È possibile personalizzarla per una risorsa specifica, un set di risultati o uno stato di ricerca.

Automatizzare le notifiche tramite posta elettronica con App per la logica

App per la logica di Azure è un servizio cloud senza codice e con poco codice che automatizza i flussi di lavoro e integra i dati e i servizi nei sistemi cloud e locali. È possibile usare App per la logica per automatizzare i report per i risultati della valutazione delle vulnerabilità nelle versioni SQL supportate e inviare riepiloghi settimanali dei report per i server analizzati. È anche possibile personalizzare pianificazioni, ad esempio ambiti giornalieri, settimanali o mensili e report, ad esempio database, server o gruppo di risorse.

Per automatizzare le notifiche usando il modello di esempio, seguire il modello di notifica di posta elettronica Logic Apps per i report di vulnerabilità sql.

Questo modello di App per la logica automatizza un report settimanale via e-mail che riassume i risultati dell’analisi delle vulnerabilità per ogni database da un elenco selezionato di server. Dopo aver distribuito il modello, è necessario autorizzare il connettore Microsoft 365 a generare un token di accesso valido per autenticare le credenziali.

I destinatari ricevono messaggi e-mail con i risultati dell'analisi.

Esempio di messaggio e-mail su Azure SQL Server:

Screenshot di un messaggio e-mail di esempio con un report di valutazione delle vulnerabilità eseguito da un server.

Esempio di messaggio e-mail su una macchina virtuale SQL:

Screenshot di un messaggio e-mail di esempio con i risultati relativi a una macchina virtuale SQL.

Altri metodi per l'esportazione dei risultati dell'analisi

È possibile usare le automazioni del flusso di lavoro per attivare azioni basate sulle modifiche allo stato del consiglio.

È inoltre possibile usare la cartella di lavoro Valutazioni delle vulnerabilità per visualizzare un report interattivo dei risultati. I dati della cartella di lavoro possono essere esportati e una copia della cartella di lavoro può essere personalizzata e archiviata. Scopri come creare report dettagliati e interattivi dei dati di Defender per il cloud.

È inoltre possibile abilitare l'esportazione continua per trasmettere in streaming avvisi e consigli man mano che vengono generati o definire una pianificazione per inviare snapshot periodici di tutti i nuovi dati.

Passaggio successivo

Abilitare server Microsoft Defender for SQL nei computer

  • Last updated on