Microsoft Defender per il cloud sicurezza dei dati
Per aiutare i clienti a prevenire, rilevare e rispondere alle minacce, Microsoft Defender per il cloud raccoglie ed elabora i dati correlati alla sicurezza, tra cui informazioni di configurazione, metadati, registri eventi e altro ancora. Microsoft è conforme alle più rigorose linee guida sulla sicurezza e sulla conformità in tutte le fasi, dalla codifica all'esecuzione di un servizio.
Questo articolo illustra come vengono gestiti e protetti i dati in Defender per il cloud.
Origini dati
Defender per il cloud analizza i dati dalle origini seguenti per fornire visibilità sullo stato di sicurezza, identificare le vulnerabilità e consigliare le mitigazioni e rilevare le minacce attive:
- Servizi di Azure: usa informazioni sulla configurazione dei servizi di Azure distribuiti comunicando con il provider di risorse del servizio.
- Traffico di rete: usa i metadati del traffico di rete campionati dall'infrastruttura di Microsoft, ad esempio ip/porta di origine/destinazione, dimensioni dei pacchetti e protocollo di rete.
- Soluzioni per i partner: usa avvisi di sicurezza da soluzioni partner integrate, ad esempio firewall e soluzioni antimalware.
- Computer: usa i dettagli di configurazione e le informazioni sugli eventi di sicurezza, ad esempio i log di controllo e gli eventi di Windows, e i messaggi syslog dai computer.
Condivisione dei dati
Quando si abilita Defender per Archiviazione Analisi malware, è possibile condividere metadati, inclusi i metadati classificati come dati dei clienti (ad esempio, hash SHA-256), con Microsoft Defender per endpoint.
Microsoft Defender per il cloud l'esecuzione del piano CSPM (Security Posture Management) di Defender per il cloud condivide i dati integrati nelle raccomandazioni di Microsoft Security Exposure Management.
Nota
Microsoft Security Exposure Management è attualmente disponibile in anteprima pubblica.
Protezione dei dati
Separazione dei dati
i dati vengono mantenuti separati logicamente in ogni componente del servizio. Tutti i dati vengono contrassegnati in base all'organizzazione. Questo tag viene salvato in modo permanente durante tutto il ciclo di vita dei dati e viene applicato a ogni livello del servizio.
Accesso ai dati
Per fornire raccomandazioni sulla sicurezza e analizzare potenziali minacce alla sicurezza, il personale Microsoft potrebbe accedere alle informazioni raccolte o analizzate dai servizi di Azure, inclusi gli eventi di creazione dei processi e altri artefatti, che potrebbero includere involontariamente dati dei clienti o dati personali dai computer.
Microsoft è conforme all'addendum per la protezione dei dati di Microsoft Online Services, che indica che Microsoft non userà i dati del cliente né ne deriva le informazioni per scopi pubblicitari o commerciali simili. Microsoft userà i dati dei clienti solo se necessari per fornire i servizi di Azure, incluse le finalità compatibili con la fornitura di tali servizi. L'utente conserva tutti i diritti sui dati dei clienti.
Uso dei dati
Microsoft usa modelli e intelligence per le minacce trovati in più tenant per migliorare le funzionalità di prevenzione e rilevamento, in base alle garanzie relative alla privacy descritte nell'informativa sulla privacy.
Gestire la raccolta di dati dai computer
Quando si abilita Defender per il cloud in Azure, la raccolta dati viene attivata per ogni sottoscrizione di Azure. È anche possibile abilitare la raccolta dati per le sottoscrizioni in Defender per il cloud. Quando la raccolta dati è abilitata, Defender per il cloud effettua il provisioning dell'agente di Log Analytics in tutte le macchine virtuali di Azure supportate esistenti e in quelle nuove create.
L'agente di Log Analytics esegue l'analisi delle varie configurazioni correlate alla sicurezza e ne genera gli eventi nelle tracce di Event Trace for Windows (ETW). Inoltre, il sistema operativo genera eventi del registro eventi durante il corso dell'esecuzione del computer. Esempi di tali dati sono: tipo e versione del sistema operativo, log del sistema operativo (registri eventi di Windows), processi in esecuzione, nome computer, indirizzi IP, utente connesso e ID tenant. L'agente di Log Analytics legge le voci del log eventi ed ETW le traccia e le copia nelle aree di lavoro per l'analisi. L'agente di Log Analytics abilita anche gli eventi di creazione del processo e il controllo della riga di comando.
Se non si usano le funzionalità di sicurezza avanzate di Microsoft Defender per il cloud, è anche possibile disabilitare la raccolta dati dalle macchine virtuali nei criteri di sicurezza. La raccolta dati è necessaria per le sottoscrizioni protette da funzionalità di sicurezza avanzate. Gli snapshot dei dischi delle VM e la raccolta di elementi resteranno abilitati anche se la raccolta dati è stata disabilitata.
È possibile specificare l'area di lavoro e l'area geografica in cui vengono archiviati i dati raccolti dai computer. L'impostazione predefinita prevede l'archiviazione dei dati raccolti dai computer nell'area di lavoro più vicina, come illustrato nella tabella seguente:
| Area geografica VM | Area geografica area di lavoro |
|---|---|
| Stati Uniti, Brasile, Sudafrica | Stati Uniti |
| Canada | Canada |
| Europa (escluso Regno Unito) | Europa |
| Regno Unito | Regno Unito |
| Asia (escluso India, Giappone, Corea, Cina) | Asia/Pacifico |
| Corea del Sud | Asia/Pacifico |
| India | India |
| Giappone | Giappone |
| Cina | Cina |
| Australia | Australia |
Nota
Microsoft Defender per Archiviazione archivia gli elementi a livello di area in base alla posizione della risorsa di Azure correlata. Per altre informazioni, vedere Panoramica di Microsoft Defender per Archiviazione.
Consumo di dati
I clienti possono accedere Defender per il cloud dati correlati dai flussi di dati seguenti:
| Stream | Tipo di dati |
|---|---|
| Log attività di Azure | Tutti gli avvisi di sicurezza, approvati Defender per il cloud richieste di accesso JUST-In-Time e tutti gli avvisi generati dai controlli applicazioni adattivi. |
| Log di Monitoraggio di Azure | Tutti gli avvisi di sicurezza. |
| Azure Resource Graph | Avvisi di sicurezza, raccomandazioni sulla sicurezza, risultati della valutazione delle vulnerabilità, informazioni sul punteggio di sicurezza, stato dei controlli di conformità e altro ancora. |
| API REST di Microsoft Defender for Cloud | Avvisi di sicurezza, raccomandazioni sulla sicurezza e altro ancora. |
Nota
Se nella sottoscrizione non sono abilitati piani di Defender, i dati verranno rimossi da Azure Resource Graph dopo 30 giorni di inattività nel portale di Microsoft Defender per il cloud. Dopo l'interazione con gli artefatti nel portale correlato alla sottoscrizione, i dati devono essere nuovamente visibili entro 24 ore.
integrazione di Defender per il cloud e Microsoft Defender 365 Defender
Quando si abilita uno dei piani a pagamento di Defender per il cloud, si ottengono automaticamente tutti i vantaggi di Microsoft Defender XDR. Le informazioni provenienti da Defender per il cloud verranno condivise con Microsoft Defender XDR. Questi dati possono contenere dati dei clienti e verranno archiviati in base alle linee guida per la gestione dei dati di Microsoft 365.
Passaggi successivi
In questo documento si è appreso come vengono gestiti e protetti i dati in Microsoft Defender per il cloud.
Per altre informazioni sulle Microsoft Defender per il cloud, vedere Che cos'è Microsoft Defender per il cloud?.