Esaminare le raccomandazioni sulla sicurezza

  • Articolo

In Microsoft Defender per il cloud, le risorse e i carichi di lavoro vengono valutati in base agli standard di sicurezza predefiniti e personalizzati abilitati nelle sottoscrizioni di Azure, negli account AWS e nei progetti GCP. In base a queste valutazioni, le raccomandazioni sulla sicurezza forniscono passaggi pratici per correggere i problemi di sicurezza e migliorare il comportamento di sicurezza.

Defender per il cloud usa in modo proattivo un motore dinamico che valuta i rischi nell'ambiente tenendo conto del potenziale di sfruttamento e del potenziale impatto aziendale per l'organizzazione. Il motore assegna priorità alle raccomandazioni di sicurezza in base ai fattori di rischio di ogni risorsa, determinati dal contesto dell'ambiente, tra cui la configurazione della risorsa, le connessioni di rete e il comportamento di sicurezza.

Prerequisiti

Nota

Consigli sono inclusi per impostazione predefinita con Defender per il cloud, ma non sarà possibile visualizzare la priorità dei rischi senza l'abilitazione di Defender CSPM nell'ambiente.

Esaminare i dettagli delle raccomandazioni

È importante esaminare tutti i dettagli correlati a una raccomandazione prima di provare a comprendere il processo necessario per risolvere la raccomandazione. È consigliabile assicurarsi che tutti i dettagli della raccomandazione siano corretti prima di risolvere la raccomandazione.

Per esaminare i dettagli di una raccomandazione:

  1. Accedere al portale di Azure.

  2. Passare a Defender per il cloud> Consigli.

  3. Selezionare un consiglio.

  4. Nella pagina dei consigli esaminare i dettagli:

    • Livello di rischio: l'exploitbilità e l'impatto aziendale del problema di sicurezza sottostante, tenendo conto del contesto delle risorse ambientali, ad esempio l'esposizione a Internet, i dati sensibili, lo spostamento laterale e altro ancora.
    • Fattori di rischio : fattori ambientali della risorsa interessata dalla raccomandazione, che influenzano l'exploitbilità e l'impatto aziendale del problema di sicurezza sottostante. Esempi di fattori di rischio includono l'esposizione a Internet, i dati sensibili, il potenziale di spostamento laterale.
    • Risorsa : nome della risorsa interessata.
    • Stato : stato della raccomandazione. Ad esempio, non assegnato, nel tempo scaduto.
    • Descrizione: breve descrizione del problema di sicurezza.
    • Percorsi di attacco: numero di percorsi di attacco.
    • Ambito : sottoscrizione o risorsa interessata.
    • Freschezza : intervallo di aggiornamento per la raccomandazione.
    • Data ultima modifica: data dell'ultima modifica apportata alla raccomandazione
    • Proprietario : la persona assegnata a questa raccomandazione.
    • Scadenza: data di scadenza: la data di assegnazione della raccomandazione deve essere risolta da .
    • Tattiche e tecniche : tattiche e tecniche mappate a MITRE ATT&CK.

Esplorare una raccomandazione

È possibile eseguire molte azioni per interagire con le raccomandazioni. Se un'opzione non è disponibile, non è pertinente per la raccomandazione.

Per esplorare una raccomandazione:

  1. Accedere al portale di Azure.

  2. Passare a Defender per il cloud> Consigli.

  3. Selezionare un consiglio.

  4. Nella raccomandazione è possibile eseguire le azioni seguenti:

    • Selezionare Apri query per visualizzare informazioni dettagliate sulle risorse interessate usando una query di Azure Resource Graph Explorer.

    • Selezionare Visualizza definizione dei criteri per visualizzare la voce Criteri di Azure per la raccomandazione sottostante (se pertinente).

  5. In Azione:

    • Correzione: descrizione dei passaggi manuali necessari per correggere il problema di sicurezza nelle risorse interessate. Per consigli con l'opzione Correzione , è possibile selezionare Visualizza logica di correzione prima di applicare la correzione suggerita alle risorse.

    • Assegnare il proprietario e la data di scadenza: se è attiva una regola di governance per la raccomandazione, è possibile assegnare un proprietario e una data di scadenza.

    • Esenzione: è possibile esentare le risorse dalla raccomandazione o disabilitare risultati specifici usando regole di disabilitazione.

    • Automazione del flusso di lavoro: impostare un'app per la logica da attivare con questa raccomandazione.

    Screenshot che mostra ciò che è possibile visualizzare nella raccomandazione quando si seleziona la scheda Di esecuzione dell'azione.

  6. In Risultati è possibile esaminare i risultati associati in base alla gravità.

    Screenshot della scheda risultati in una raccomandazione che mostra tutti i percorsi di attacco per tale raccomandazione.

  7. In Graph è possibile visualizzare e analizzare tutto il contesto usato per la definizione delle priorità dei rischi, inclusi i percorsi di attacco. È possibile selezionare un nodo in un percorso di attacco per visualizzare i dettagli del nodo selezionato.

    Screenshot della scheda del grafico in una raccomandazione che mostra tutti i percorsi di attacco per tale raccomandazione.

  8. Selezionare un nodo per visualizzare dettagli aggiuntivi.

    Screenshot di un nodo che si trova nella scheda del grafico selezionata e che mostra i dettagli aggiuntivi.

  9. Seleziona Informazioni dettagliate.

  10. Nel menu a discesa della vulnerabilità selezionare una vulnerabilità per visualizzare i dettagli.

    Screenshot della scheda Informazioni dettagliate per un nodo specifico.

  11. (Facoltativo) Selezionare Apri la pagina della vulnerabilità per visualizzare la pagina di raccomandazione associata.

  12. Correggere la raccomandazione.

Raggruppare le raccomandazioni per titolo

Defender per il cloud pagina di raccomandazione consente di raggruppare le raccomandazioni in base al titolo. Questa funzionalità è utile quando si vuole correggere una raccomandazione che influisce su più risorse causate da un problema di sicurezza specifico.

Per raggruppare le raccomandazioni in base al titolo:

  1. Accedere al portale di Azure.

  2. Passare a Defender per il cloud> Consigli.

  3. Selezionare Raggruppa per titolo.

    Screenshot della pagina raccomandazioni che mostra dove si trova l'interruttore gruppo per titolo sullo schermo.

Gestire le raccomandazioni assegnate all'utente

Defender per il cloud supporta le regole di governance per le raccomandazioni, per specificare un proprietario della raccomandazione o una data di scadenza per l'azione. Le regole di governance consentono di garantire la responsabilità e un contratto di servizio per le raccomandazioni.

  • Consigli sono elencati come In tempo fino al superamento della data di scadenza, quando vengono modificati in Scaduto.
  • Prima che la raccomandazione sia scaduta, la raccomandazione non influisce sul punteggio di sicurezza.
  • È anche possibile applicare un periodo di tolleranza durante il quale le raccomandazioni scadute continuano a non influire sul punteggio di sicurezza.

Altre informazioni sulla configurazione delle regole di governance.

Per gestire le raccomandazioni assegnate all'utente:

  1. Accedere al portale di Azure.

  2. Passare a Defender per il cloud> Consigli.

  3. Selezionare Aggiungi proprietario filtro>.

  4. Selezionare la voce dell'utente.

  5. Selezionare Applica.

  6. Nei risultati della raccomandazione esaminare le raccomandazioni, incluse le risorse interessate, i fattori di rischio, i percorsi di attacco, le date di scadenza e lo stato.

  7. Selezionare una raccomandazione per esaminarla ulteriormente.

  8. In Azione Modifica>proprietario e scadenza selezionare Modifica assegnazione per modificare il proprietario della raccomandazione e la data di scadenza, se necessario.

    • Per impostazione predefinita, il proprietario della risorsa ottiene un messaggio di posta elettronica settimanale che elenca le raccomandazioni assegnate.
    • Se si seleziona una nuova data di correzione, in Giustificazione specificare i motivi per la correzione in base a tale data.
    • In Impostare le notifiche tramite posta elettronica è possibile:
      • Eseguire l'override del messaggio di posta elettronica settimanale predefinito al proprietario.
      • Inviare una notifica settimanale ai proprietari con un elenco di attività aperte/scadute.
      • Inviare una notifica al responsabile diretto del proprietario con un elenco di attività aperto.

  9. Seleziona Salva.

Nota

La modifica della data di completamento prevista non modifica la data di scadenza per la raccomandazione, ma i partner di sicurezza possono vedere che si prevede di aggiornare le risorse in base alla data specificata.

Esaminare le raccomandazioni in Azure Resource Graph

È possibile usare Azure Resource Graph per scrivere un Linguaggio di query Kusto (KQL) per eseguire query sui dati del comportamento di sicurezza Defender per il cloud tra più sottoscrizioni. Azure Resource Graph offre un modo efficiente per eseguire query su larga scala in ambienti cloud visualizzando, filtrando, raggruppando e ordinando i dati.

Per esaminare le raccomandazioni in Azure Resource Graph:

  1. Accedere al portale di Azure.

  2. Passare a Defender per il cloud> Consigli.

  3. Selezionare un consiglio.

  4. Selezionare Apri query.

  5. È possibile aprire la query in uno dei due modi seguenti:

    • Query che restituisce una risorsa interessata: restituisce un elenco di tutte le risorse interessate da questa raccomandazione.
    • Query che restituisce i risultati della sicurezza: restituisce un elenco di tutti i problemi di sicurezza rilevati dalla raccomandazione.

  6. Selezionare Esegui query.

    Screenshot di Azure Resource Graph Explorer che mostra i risultati per la raccomandazione mostrata nello screenshot precedente.

  7. Esamina i risultati.

Esempio

In questo esempio, questa pagina dei dettagli della raccomandazione mostra 15 risorse interessate:

Screenshot del pulsante Apri query nella pagina dei dettagli della raccomandazione.

Quando si apre la query sottostante ed eseguirla, Azure Resource Graph Explorer restituisce le stesse risorse interessate per questa raccomandazione.

Passaggio successivo

Correggere le raccomandazioni sulla sicurezza