Integrare i servizi di sicurezza Di Azure e Microsoft Defender XDR

È possibile migliorare il comportamento di sicurezza dell'ambiente IT dell'organizzazione usando le funzionalità di sicurezza di Microsoft 365 e Azure. Questo articolo, il quinto di una serie di cinque, descrive come integrare le funzionalità di sicurezza di questi servizi usando Microsoft Defender XDR e i servizi di monitoraggio di Azure.

Questo articolo si basa sugli articoli precedenti della serie:

1. Usare il monitoraggio di Azure per integrare i componenti di sicurezza offre una panoramica generale del modo in cui è possibile integrare i servizi di sicurezza di Azure e Microsoft Defender XDR.

2. Eseguire il mapping delle minacce all'ambiente IT descrive i metodi per mappare esempi di minacce, tattiche e tecniche comuni rispetto a un esempio di ambiente IT ibrido che usa sia i servizi cloud locali che microsoft.

3. Creare il primo livello di difesa con i servizi di sicurezza di Azure esegue il mapping di un esempio di alcuni servizi di sicurezza di Azure che creano il primo livello di difesa per proteggere l'ambiente di Azure in base ad Azure Security Benchmark versione 3.

4. Creare il secondo livello di difesa con i servizi di sicurezza XDR di Microsoft Defender descrive un esempio di una serie di attacchi contro l'ambiente IT e come aggiungere un altro livello di protezione usando Microsoft Defender XDR.

Architettura

Scaricare un file di Visio di questa architettura.

©2021 MITRE Corporation. Questo lavoro viene riprodotto e distribuito con l'autorizzazione di The MITRE Corporation.

Questo diagramma mostra un riferimento completo all'architettura. Include un esempio di ambiente IT, un set di minacce di esempio descritte in base alle loro tattiche (in blu) e alle relative tecniche (nella casella di testo) in base alla matrice MITRE ATT&CK. La matrice MITRE ATT&CK è descritta in Mappare le minacce all'ambiente IT.

Nel diagramma sono presenti servizi importanti. Alcuni di questi servizi, ad esempio Network Watcher e Application Insights, sono incentrati sull'acquisizione di informazioni da servizi specifici. Alcuni di essi, ad esempio Log Analytics (noti anche come log di Monitoraggio di Azure) e Microsoft Sentinel, sono servizi di base perché possono raccogliere, archiviare e analizzare le informazioni da vari servizi, indipendentemente dal fatto che si tratti di servizi di rete, calcolo o applicazioni.

La parte centrale del diagramma ha due livelli di servizi di sicurezza. Esiste anche un livello con specifici servizi di monitoraggio di Azure integrati tramite Monitoraggio di Azure (sul lato sinistro del diagramma). Il componente chiave di questa integrazione è Microsoft Sentinel.

Il diagramma mostra i servizi seguenti in Core Monitoring Services e nel livello Monitoraggio :

• Monitoraggio di Azure
• Log Analytics
• Microsoft Defender for Cloud
• Microsoft Sentinel
• Network Watcher
• Analisi del traffico (parte di Network Watcher)
• Application Insights
• Analisi archiviazione

Workflow

1. Monitoraggio di Azure è l'ombrello per molti servizi di monitoraggio di Azure. Include, tra gli altri, la gestione dei log, le metriche e Application Insights. Fornisce anche una raccolta di dashboard pronti per l'uso e la gestione degli avvisi. Per altre informazioni, vedere Panoramica di Monitoraggio di Azure.

2. Microsoft Defender per il cloud offre raccomandazioni per le macchine virtuali (VM), l'archiviazione, le applicazioni e altre risorse, che consentono a un ambiente IT di essere conforme a vari standard normativi, ad esempio ISO e PCI. Allo stesso tempo, Defender per il cloud offre un punteggio per il comportamento di sicurezza dei sistemi che consentono di tenere traccia della sicurezza dell'ambiente. Defender per il cloud offre anche avvisi automatici basati sui log raccolti e analizzati. Defender per il cloud era precedentemente noto come Centro sicurezza di Azure. Per altre informazioni, vedere Microsoft Defender per il cloud.

3. Log Analytics è uno dei servizi più importanti. È responsabile dell'archiviazione di tutti i log e gli avvisi usati per creare avvisi, informazioni dettagliate e eventi imprevisti. Microsoft Sentinel funziona su Log Analytics. Fondamentalmente, tutti i dati inseriti da Log Analytics sono disponibili automaticamente per Microsoft Sentinel. Log Analytics è noto anche come log di Monitoraggio di Azure. Per altre informazioni, vedere Panoramica di Log Analytics in Monitoraggio di Azure.

4. Microsoft Sentinel funziona come una facciata per Log Analytics. Mentre Log Analytics archivia i log e gli avvisi provenienti da varie origini, Microsoft Sentinel offre API che consentono l'inserimento di log da varie origini. Tali origini includono macchine virtuali locali, macchine virtuali di Azure, avvisi da Microsoft Defender XDR e altri servizi. Microsoft Sentinel correla i log per fornire informazioni dettagliate su cosa sta succedendo nell'ambiente IT, evitando falsi positivi. Microsoft Sentinel è il nucleo della sicurezza e del monitoraggio per i servizi cloud Microsoft. Per altre informazioni su Microsoft Sentinel, vedere Che cos'è Microsoft Sentinel?.

I servizi precedenti in questo elenco sono servizi di base che funzionano in ambienti azure, Office 365 e locali. I servizi seguenti si concentrano su risorse specifiche:

5. Network Watcher offre strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse in una rete virtuale di Azure. Per altre informazioni, vedere Che cos'è Azure Network Watcher?

6. Analisi del traffico fa parte di Network Watcher e funziona sui log dei gruppi di sicurezza di rete. Analisi del traffico offre molti dashboard in grado di aggregare le metriche dalla connessione in uscita e in ingresso in Azure Rete virtuale. Per altre informazioni, vedere Analisi del traffico.

7. Application Insights è incentrato sulle applicazioni e offre funzionalità estendibili di gestione delle prestazioni e monitoraggio per app Web attive, incluso il supporto per un'ampia gamma di piattaforme, ad esempio .NET, Node.js, Java e Python. Application Insights è una funzionalità di Monitoraggio di Azure. Per altre informazioni, vedere Panoramica di Application Insights.

8. Archiviazione di Azure Analytics esegue la registrazione e fornisce metriche per un account di archiviazione. È possibile usare i dati per tracciare le richieste, analizzare le tendenze di utilizzo e diagnosticare i problemi relativi all'account di archiviazione. Per altre informazioni, vedere Usare Archiviazione di Azure analytics per raccogliere log e dati delle metriche.

9. Poiché questo riferimento all'architettura è basato su Microsoft Zero Trust, i servizi e i componenti in Infrastruttura ed endpoint non dispongono di servizi di monitoraggio specifici. I log e i Defender per il cloud di Monitoraggio di Azure sono i servizi principali che raccolgono, archiviano e analizzano i log dalle macchine virtuali e da altri servizi di calcolo.

Il componente chiave di questa architettura è Microsoft Sentinel, perché connette tutti i log e gli avvisi forniti dai servizi di sicurezza di Azure, Microsoft Defender XDR e Monitoraggio di Azure. Dopo l'implementazione di Microsoft Sentinel e la ricezione di log e avvisi da tutte le origini identificate in questo articolo, il passaggio successivo consiste nel eseguire il mapping di un set di query di tali log per ottenere informazioni dettagliate e prove degli indicatori di compromissione (IOC). Quando le informazioni vengono acquisite da Microsoft Sentinel, è possibile esaminarla o consentire una risposta automatizzata configurata per attenuare o risolvere l'evento imprevisto. Le risposte automatiche includono azioni come bloccare un utente in Microsoft Entra ID o bloccare un indirizzo IP tramite il firewall.

Per altre informazioni su Microsoft Sentinel, vedere la documentazione di Microsoft Sentinel.

Come accedere ai servizi di sicurezza e monitoraggio

L'elenco seguente fornisce informazioni su come accedere a ognuno dei servizi presentati in questo articolo:

• Servizi di sicurezza di Azure. È possibile accedere a tutti i servizi di sicurezza di Azure menzionati nei diagrammi di questa serie di articoli usando portale di Azure. Nel portale usare la funzione di ricerca per individuare i servizi a cui si è interessati e accedervi.

• Monitoraggio di Azure. Monitoraggio di Azure è disponibile in tutte le sottoscrizioni di Azure. È possibile accedervi da una ricerca di monitoraggio nel portale di Azure.

• Defender per il cloud. Defender per il cloud è disponibile per chiunque accesa al portale di Azure. Nel portale cercare Defender per il cloud.

• Log Analytics. Per accedere a Log Analytics, è prima necessario creare il servizio nel portale, perché non esiste per impostazione predefinita. Nella portale di Azure cercare l'area di lavoro Log Analytics e quindi selezionare Crea. Dopo la creazione, è possibile accedere al servizio.

• Microsoft Sentinel. Poiché Microsoft Sentinel funziona con Log Analytics, è prima necessario creare un'area di lavoro Log Analytics. Cercare quindi sentinel nel portale di Azure. Creare quindi il servizio scegliendo l'area di lavoro che si vuole avere dietro Microsoft Sentinel.

• Microsoft Defender per endpoint. Defender per endpoint fa parte di Microsoft Defender XDR. Accedere al servizio tramite https://security.microsoft.com. Si tratta di una modifica rispetto all'URL precedente, securitycenter.windows.com.

• Microsoft Defender per il cloud App. Defender per il cloud Apps fa parte di Microsoft 365. Accedere al servizio tramite https://portal.cloudappsecurity.com.

• Microsoft Defender per Office 365. Defender per Office 365 fa parte di Microsoft 365. Accedere al servizio tramite https://security.microsoft.com, lo stesso portale usato per Defender per endpoint. Si tratta di una modifica rispetto all'URL precedente, protection.office.com.)

• Microsoft Defender per identità. Defender per identità fa parte di Microsoft 365. È possibile accedere al servizio tramite https://portal.atp.azure.com. Anche se si tratta di un servizio cloud, Defender per identità è responsabile anche della protezione dell'identità nei sistemi locali.

• Microsoft Endpoint Manager. Endpoint Manager è il nuovo nome per Intune, Configuration Manager e altri servizi. Accedervi tramite https://endpoint.microsoft.com. Per altre informazioni sull'accesso ai servizi forniti da Microsoft Defender XDR e sul modo in cui ogni portale è correlato, vedere Creare il secondo livello di difesa con i servizi di sicurezza XDR di Microsoft Defender.

• Azure Network Watcher. Per accedere ad Azure Network Watcher, cercare watcher nel portale di Azure.

• Analisi del traffico. Analisi del traffico fa parte di Network Watcher. È possibile accedervi dal menu a sinistra in Network Watcher. Si tratta di un potente monitoraggio di rete che funziona in base ai gruppi di sicurezza di rete implementati nelle singole interfacce di rete e subnet. Network Watcher richiede la raccolta di informazioni dai gruppi di sicurezza di rete. Per istruzioni su come raccogliere tali informazioni, vedere Esercitazione: Registrare il traffico di rete da e verso una macchina virtuale usando il portale di Azure.

• Application Insight. Application Insight fa parte di Monitoraggio di Azure. Tuttavia, è prima necessario crearlo per l'applicazione da monitorare. Per alcune applicazioni basate su Azure, ad esempio App Web, è possibile creare Application Insight direttamente dal provisioning di App Web. Per accedervi, cercare monitoraggio nel portale di Azure. Nella pagina Monitoraggio selezionare Applicazioni nel menu a sinistra.

• Analisi archiviazione. Archiviazione di Azure offre vari tipi di archiviazione nella stessa tecnologia dell'account di archiviazione. È possibile trovare BLOB, file, tabelle e code oltre agli account di archiviazione. Analisi archiviazione offre un'ampia gamma di metriche da usare con tali servizi di archiviazione. Accedere Analisi archiviazione dall'account di archiviazione nella portale di Azure, quindi selezionare Impostazioni di diagnostica nel menu a sinistra. Scegliere un'area di lavoro Log Analytics per inviare tali informazioni. È quindi possibile accedere a un dashboard da Insights. Tutti gli elementi dell'account di archiviazione monitorati sono rappresentati nel menu.

Componenti

L'architettura di esempio in questo articolo usa i componenti di Azure seguenti:

• Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud. Microsoft Entra ID consente agli utenti di accedere a risorse esterne, ad esempio Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS. Consente inoltre di accedere alle risorse interne, ad esempio le app nella rete Intranet aziendale.

• Rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. Rete virtuale consente a molti tipi di risorse di Azure di comunicare in modo sicuro tra loro, internet e reti locali. Rete virtuale offre una rete virtuale che trae vantaggio dall'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

• Azure Load Balancer è un servizio di bilanciamento del carico (in ingresso e in uscita) a bassa latenza e a bassa latenza per tutti i protocolli UDP e TCP. È progettato per gestire milioni di richieste al secondo assicurando al tempo stesso la disponibilità elevata della soluzione. Azure Load Balancer offre ridondanza della zona, garantendo disponibilità elevata tra zone di disponibilità.

• Le macchine virtuali sono uno dei diversi tipi di risorse di calcolo su richiesta e scalabili offerte da Azure. Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza che sia necessario acquistare e gestire l'hardware fisico in cui viene eseguita.

• Il servizio Azure Kubernetes è un servizio Kubernetes completamente gestito per la distribuzione e la gestione di applicazioni in contenitori. Il servizio Azure Kubernetes offre kubernetes serverless, integrazione continua/recapito continuo (CI/CD) e sicurezza e governance di livello aziendale.

• Desktop virtuale Azure è un servizio di virtualizzazione di desktop e app che viene eseguito nel cloud per fornire desktop per gli utenti remoti.

• App Web è un servizio basato su HTTP per l'hosting di applicazioni Web, API REST e back-end per dispositivi mobili. È possibile sviluppare nel linguaggio preferito e le applicazioni vengono eseguite e ridimensionate con facilità in ambienti basati su Windows e Linux.

• Archiviazione di Azure è a disponibilità elevata, scalabile, durevole e sicura di archiviazione per vari oggetti dati nel cloud, tra cui oggetto, BLOB, file, disco, coda e archiviazione tabelle. Tutti i dati scritti in un account di Archiviazione di Azure vengono crittografati dal servizio. Archiviazione di Azure offre un controllo dettagliato su chi può accedere ai dati.

• Il database SQL di Azure è un motore di database PaaS completamente gestito che gestisce la maggior parte delle funzioni di gestione del database, ad esempio l'aggiornamento, l'applicazione di patch, i backup e il monitoraggio. Fornisce queste funzioni senza coinvolgimento dell'utente. database SQL offre una gamma di funzionalità di sicurezza e conformità predefinite che consentono all'applicazione di soddisfare i requisiti di sicurezza e conformità.

Dettagli della soluzione

Le soluzioni di monitoraggio in Azure potrebbero sembrare poco chiare in un primo momento, perché Azure offre più servizi di monitoraggio. Tuttavia, ogni servizio di monitoraggio di Azure è importante nella strategia di sicurezza e monitoraggio descritta in questa serie. Gli articoli di questa serie descrivono i vari servizi e come pianificare una sicurezza efficace per l'ambiente IT.

1. Usare il monitoraggio di Azure per integrare i componenti di sicurezza
2. Eseguire il mapping delle minacce all'ambiente IT
3. Creare il primo livello di difesa con i servizi di sicurezza di Azure
4. Creare il secondo livello di difesa con i servizi di sicurezza XDR di Microsoft Defender

Potenziali casi d'uso

Questa architettura di riferimento consente di comprendere l'intero quadro dei servizi di sicurezza Microsoft Cloud e di come integrarli per il miglior comportamento di sicurezza.

Non è necessario implementare tutti i servizi di sicurezza presentati in questa architettura. Tuttavia, questo esempio e la mappa delle minacce rappresentata nel diagramma dell'architettura consentono di comprendere come creare una mappa personalizzata e quindi pianificare di conseguenza la strategia di sicurezza. Selezionare i servizi di sicurezza di Azure corretti e i servizi Microsoft Defender XDR da integrare tramite Azure in modo che l'ambiente IT disponga della sicurezza necessaria.

Ottimizzazione dei costi

I prezzi per i servizi di Azure presentati in questa serie di articoli vengono calcolati in diversi modi. Alcuni servizi sono gratuiti, alcuni hanno un addebito per ogni uso e alcuni hanno un addebito basato sulle licenze. Il modo migliore per stimare i prezzi per uno dei servizi di sicurezza di Azure consiste nell'usare il calcolatore prezzi. Nel calcolatore cercare un servizio a cui si è interessati e quindi selezionarlo per ottenere tutte le variabili che determinano il prezzo del servizio.

I servizi di sicurezza XDR di Microsoft Defender funzionano con le licenze. Per informazioni sui requisiti di licenza, vedere Prerequisiti di Microsoft Defender XDR.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

• Rudnei Oliveira | Senior Customer Engineer

Altri contributori:

• Gary Moore | Programmatore/writer
• Andrew Nathan | Senior Customer Engineering Manager

Passaggi successivi

• Difendersi dalle minacce con Microsoft 365
• Rilevare e rispondere agli attacchi informatici con Microsoft Defender XDR
• Introduzione a Microsoft Defender XDR
• Gestire la sicurezza con Microsoft 365
• Protezione da minacce dannose con Microsoft Defender per Office 365
• Proteggere le identità locali con Microsoft Defender per il cloud per identità

Risorse correlate

Per altri dettagli su questa architettura di riferimento, vedere gli altri articoli di questa serie:

• Parte 1: Usare il monitoraggio di Azure per integrare i componenti di sicurezza
• Parte 2: Eseguire il mapping delle minacce all'ambiente IT
• Parte 3: Creare il primo livello di difesa con i servizi di sicurezza di Azure
• Parte 4: Creare il secondo livello di difesa con i servizi di sicurezza XDR di Microsoft Defender

Per le architetture correlate nel Centro architetture di Azure, vedere gli articoli seguenti:

• Implementare una rete ibrida sicura
• Monitorare la sicurezza ibrida usando Microsoft Defender per il cloud e Microsoft Sentinel