Share via

Integrare Microsoft Defender per il cloud con soluzione Azure VMware

  • Articolo

Microsoft Defender per il cloud offre una protezione avanzata dalle minacce tra le macchine virtuali (VM) soluzione Azure VMware e locali. Valuta la vulnerabilità delle macchine virtuali soluzione Azure VMware e genera avvisi in base alle esigenze. Questi avvisi di sicurezza possono essere inoltrati a Monitoraggio di Azure per la risoluzione. È possibile definire criteri di sicurezza in Microsoft Defender per il cloud. Per altre informazioni, vedere Uso dei criteri di sicurezza.

Microsoft Defender per il cloud offre molte funzionalità, tra cui:

  • Monitoraggio dell'integrità dei file
  • Rilevamento di attacco senza file
  • Valutazione delle patch del sistema operativo
  • Valutazione degli errori di configurazione della sicurezza
  • Valutazione della protezione endpoint

Il diagramma mostra l'architettura di monitoraggio integrata della sicurezza integrata per le macchine virtuali soluzione Azure VMware.

Diagramma che mostra l'architettura della sicurezza integrata di Azure.

L'agente di Log Analytics raccoglie i dati di log da Azure, soluzione Azure VMware e macchine virtuali locali. I dati di log vengono inviati ai log di Monitoraggio di Azure e archiviati in un'area di lavoro Log Analytics. Ogni area di lavoro ha un proprio repository di dati e una configurazione per archiviare i dati. Dopo aver raccolto i log, Microsoft Defender per il cloud valuta lo stato di vulnerabilità delle macchine virtuali soluzione Azure VMware e genera un avviso per eventuali vulnerabilità critiche. Dopo la valutazione, Microsoft Defender per il cloud inoltra lo stato della vulnerabilità a Microsoft Sentinel per creare un evento imprevisto ed eseguire il mapping con altre minacce. Microsoft Defender per il cloud è connesso a Microsoft Sentinel tramite Microsoft Defender per il cloud Connessione or.

Prerequisiti

Aggiungere macchine virtuali soluzione Azure VMware a Defender per il cloud

  1. Nella portale di Azure cercare Azure Arc e selezionarlo.

  2. In Risorse selezionare Server e quindi +Aggiungi.

    Screenshot che mostra la pagina Server Azure Arc per l'aggiunta di una macchina virtuale soluzione Azure VMware ad Azure.

  3. Selezionare Genera script.

    Screenshot della pagina di Azure Arc che mostra l'opzione per l'aggiunta di un server tramite script interattivo.

  4. Nella scheda Prerequisiti selezionare Avanti.

  5. Nella scheda Dettagli risorsa immettere i dettagli seguenti e quindi selezionare Avanti. Tag:

    • Subscription
    • Gruppo di risorse
    • Area
    • Sistema operativo
    • Dettagli server proxy

  6. Nella scheda Tag selezionare Avanti.

  7. Nella scheda Scarica ed esegui script selezionare Scarica.

  8. Specificare il sistema operativo ed eseguire lo script nella macchina virtuale soluzione Azure VMware.

Visualizzare le raccomandazioni e le valutazioni passate

Consigli e le valutazioni forniscono i dettagli sull'integrità della sicurezza della risorsa.

  1. In Microsoft Defender per il cloud selezionare Inventario nel riquadro sinistro.

  2. Per Tipo di risorsa selezionare Server - Azure Arc.

    Screenshot che mostra la pagina inventario Microsoft Defender per il cloud con server - Azure Arc selezionato in Tipo di risorsa.

  3. Selezionare il nome della risorsa. Viene visualizzata una pagina che mostra i dettagli sull'integrità della sicurezza della risorsa.

  4. Nell'elenco Raccomandazioni selezionare le schede Consigli, Valutazioni passate e Valutazioni non disponibili per visualizzare questi dettagli.

    Screenshot che mostra le raccomandazioni e le valutazioni sulla sicurezza Microsoft Defender per il cloud.

Distribuire un'area di lavoro di Microsoft Sentinel

Microsoft Sentinel offre analisi della sicurezza, rilevamento degli avvisi e risposta automatizzata alle minacce in un ambiente. Si tratta di una soluzione siem (Security Information Event Management) nativa del cloud basata su un'area di lavoro Log Analytics.

Poiché Microsoft Sentinel si basa su un'area di lavoro Log Analytics, è sufficiente selezionare l'area di lavoro da usare.

  1. Nella portale di Azure cercare Microsoft Sentinel e selezionarlo.

  2. Nella pagina Aree di lavoro di Microsoft Sentinel selezionare +Aggiungi.

  3. Selezionare l'area di lavoro Log Analytics e selezionare Aggiungi.

Abilitare l'agente di raccolta dati per gli eventi di sicurezza

  1. Nella pagina Aree di lavoro di Microsoft Sentinel selezionare l'area di lavoro configurata.

  2. In Configurazione selezionare Connettori dati.

  3. Nella colonna Nome Connessione or selezionare Eventi di sicurezza dall'elenco e quindi selezionare Apri pagina connettore.

  4. Nella pagina del connettore selezionare gli eventi da trasmettere e quindi selezionare Applica modifiche.

    Screenshot della pagina Eventi di sicurezza in Microsoft Sentinel in cui è possibile selezionare gli eventi da trasmettere.

Connessione Microsoft Sentinel con Microsoft Defender per il cloud

  1. Nella pagina area di lavoro di Microsoft Sentinel selezionare l'area di lavoro configurata.

  2. In Configurazione selezionare Connettori dati.

  3. Selezionare Microsoft Defender per il cloud dall'elenco e quindi selezionare Apri connettore pagina.

    Screenshot della pagina Connettori dati in Microsoft Sentinel che mostra la selezione per connettersi Microsoft Defender per il cloud con Microsoft Sentinel.

  4. Selezionare Connessione per connettere il Microsoft Defender per il cloud con Microsoft Sentinel.

  5. Abilitare Crea evento imprevisto per generare un evento imprevisto per Microsoft Defender per il cloud.

Creare regole per identificare le minacce alla sicurezza

Dopo aver connesso le origini dati a Microsoft Sentinel, è possibile creare regole per generare avvisi per le minacce rilevate. Nell'esempio seguente viene creata una regola per i tentativi di accesso a Windows Server con la password errata.

  1. Nella pagina di panoramica di Microsoft Sentinel, in Configurazioni selezionare Analisi.

  2. In Configurazioni selezionare Analisi.

  3. Selezionare +Crea e nell'elenco a discesa selezionare Regola di query pianificata.

  4. Nella scheda Generale immettere le informazioni necessarie e quindi selezionare Avanti: Impostare la logica della regola.

    • Nome
    • Descrizione
    • Tattiche
    • Gravità
    • Stato

  5. Nella scheda Imposta logica regola immettere le informazioni necessarie e quindi selezionare Avanti.

    • Query regola (qui che mostra la query di esempio)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Esegui mapping entità

    • Pianificazione query

    • Soglia di avviso

    • Raggruppamento di eventi

    • Eliminazione degli avvisi

  6. Nella scheda Impostazioni evento imprevisto abilitare Crea eventi imprevisti dagli avvisi attivati da questa regola di analisi e selezionare Avanti: Risposta automatica.

    Screenshot che mostra la procedura guidata per la creazione di una nuova regola in Microsoft Sentinel.

  7. Selezionare Successivo: Revisione.

  8. Nella scheda Rivedi e crea esaminare le informazioni e selezionare Crea.

Suggerimento

Dopo il terzo tentativo non riuscito di accedere a Windows Server, la regola creata attiva un evento imprevisto per ogni tentativo non riuscito.

Visualizzazione avvisi

È possibile visualizzare gli eventi imprevisti generati con Microsoft Sentinel. È anche possibile assegnare eventi imprevisti e chiuderli una volta risolti, tutti dall'interno di Microsoft Sentinel.

  1. Passare alla pagina di panoramica di Microsoft Sentinel.

  2. In Gestione minacce selezionare Eventi imprevisti.

  3. Selezionare un evento imprevisto e assegnarlo a un team per la risoluzione.

    Screenshot della pagina Eventi imprevisti di Microsoft Sentinel con l'opzione e l'evento imprevisto selezionato e l'opzione per assegnare l'evento imprevisto per la risoluzione.

Suggerimento

Dopo aver risolto il problema, è possibile chiuderlo.

Cercare le minacce alla sicurezza con query

È possibile creare query o usare la query predefinita disponibile in Microsoft Sentinel per identificare le minacce nell'ambiente. I passaggi seguenti eseguono una query predefinita.

  1. Nella pagina di panoramica di Microsoft Sentinel, in Gestione delle minacce selezionare Ricerca. Viene visualizzato un elenco di query predefinite.

    Suggerimento

    È anche possibile creare una nuova query selezionando Nuova query.

    Screenshot della pagina Ricerca di Microsoft Sentinel con + Nuova query evidenziata.

  2. Selezionare una query e quindi selezionare Esegui query.

  3. Selezionare Visualizza risultati per controllare i risultati.

Passaggi successivi

Dopo aver illustrato come proteggere le macchine virtuali soluzione Azure VMware, è possibile ottenere altre informazioni su: