Identificare e correggere i percorsi di attacco

  • Articolo

le funzionalità di sicurezza contestuali di Defender per il cloud aiutano i team di sicurezza a ridurre il rischio di violazioni con impatto. Defender per il cloud usa il contesto dell'ambiente per eseguire una valutazione dei rischi dei problemi di sicurezza. Defender per il cloud identifica i principali problemi di rischio di sicurezza, distinguendoli da problemi meno rischiosi.

L'analisi del percorso di attacco consente di risolvere i problemi di sicurezza che rappresentano minacce immediate con il potenziale più grande di essere sfruttati nell'ambiente. Defender per il cloud analizza quali problemi di sicurezza fanno parte di potenziali percorsi di attacco che gli utenti malintenzionati potrebbero usare per violare l'ambiente. Evidenzia anche le raccomandazioni sulla sicurezza che devono essere risolte per attenuarlo.

Per impostazione predefinita, i percorsi di attacco sono organizzati in base al livello di rischio. Il livello di rischio è determinato da un motore di classificazione dei rischi compatibile con il contesto che considera i fattori di rischio di ogni risorsa. Altre informazioni su come Defender per il cloud assegnare priorità alle raccomandazioni sulla sicurezza.

Prerequisiti

È necessario abilitare Defender Cloud Security Posture Management (CSPM) e abilitare l'analisi senza agente.

Per visualizzare i percorsi di attacco correlati ai contenitori:

  • È necessario abilitare l'estensione del comportamento del contenitore senza agente in Defender CSPM o

  • È possibile abilitare Defender per contenitori e installare gli agenti pertinenti per visualizzare i percorsi di attacco correlati ai contenitori. In questo modo è anche possibile eseguire query sui carichi di lavoro del piano dati dei contenitori in Esplora sicurezza.

  • Ruoli e autorizzazioni necessari: ruolo con autorizzazioni di lettura per la sicurezza, Amministrazione di sicurezza, lettore, collaboratore o proprietario.

Identificare i percorsi di attacco

La pagina del percorso di attacco mostra una panoramica di tutti i percorsi di attacco. È anche possibile visualizzare le risorse interessate e un elenco di percorsi di attacco attivi.

Screenshot di una home page del percorso di attacco di esempio.

È possibile usare l'analisi del percorso di attacco per individuare i maggiori rischi per l'ambiente e risolverli.

Per identificare i percorsi di attacco:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Attack path analysis (Analisi percorso di associazione).

    Screenshot che mostra la pagina di analisi del percorso di attacco nella schermata principale.

  3. Selezionare un percorso di attacco.

  4. Selezionare un nodo.

    Screenshot della schermata del percorso di attacco che mostra dove si trovano i nodi per la selezione.

  5. Selezionare Informazioni dettagliate per visualizzare le informazioni dettagliate associate per il nodo.

    Screenshot della scheda Informazioni dettagliate per un nodo specifico.

  6. Selezionare Raccomandazioni.

    Screenshot che mostra dove selezionare le raccomandazioni sullo schermo.

  7. Selezionare un consiglio.

  8. Correggere la raccomandazione.

Correggere i percorsi di attacco

Dopo aver esaminato un percorso di attacco ed esaminato tutti i risultati e le raccomandazioni associati, è possibile iniziare a correggere il percorso di attacco.

Per correggere un percorso di attacco:

  1. Passare a Microsoft Defender per il cloud> Attack path analysis (Analisi percorso di associazione).

  2. Selezionare un percorso di attacco.

  3. Selezionare Correzione.

    Screenshot del percorso di attacco che mostra dove selezionare la correzione.

  4. Selezionare un consiglio.

  5. Correggere la raccomandazione.

Una volta risolto un percorso di attacco, possono essere necessarie fino a 24 ore prima che un percorso di attacco venga rimosso dall'elenco.

Correggere tutte le raccomandazioni all'interno di un percorso di attacco

L'analisi del percorso di attacco consente di visualizzare tutte le raccomandazioni in base al percorso di attacco senza dover controllare singolarmente ogni nodo. È possibile risolvere tutti i consigli senza dover visualizzare ogni nodo singolarmente.

Il percorso di correzione contiene due tipi di raccomandazione:

  • Consigli: Consigli che attenuano il percorso di attacco.
  • Raccomandazioni aggiuntive: Consigli che riducono i rischi di sfruttamento, ma non riducono il percorso di attacco.

Per risolvere tutti i consigli:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Attack path analysis (Analisi percorso di associazione).

  3. Selezionare un percorso di attacco.

  4. Selezionare Correzione.

    Screenshot che mostra dove selezionare nella schermata per visualizzare l'elenco completo dei percorsi di attacco.

  5. Espandere Suggerimenti aggiuntivi.

  6. Selezionare un consiglio.

  7. Correggere la raccomandazione.

Una volta risolto un percorso di attacco, possono essere necessarie fino a 24 ore prima che un percorso di attacco venga rimosso dall'elenco.

Passaggio successivo

creare query con Cloud Security Explorer.