Guida alla pianificazione e alle operazioni

Questa guida è destinata a professionisti IT (Information Technology), architetti IT, analisti della sicurezza delle informazioni e amministratori cloud che intendono usare Defender per il cloud.

Guida alla pianificazione

Questa guida illustra in che modo Defender per il cloud rientra nei requisiti di sicurezza dell'organizzazione e nel modello di gestione cloud. È importante comprendere in che modo diversi utenti o team dell'organizzazione usano il servizio per soddisfare esigenze di sviluppo e operazioni sicure, monitoraggio, governance e risposta agli eventi imprevisti. Le aree principali da considerare quando si prevede di usare Microsoft Defender per il cloud sono:

• Ruoli di sicurezza e controlli di accesso
• Criteri di sicurezza e raccomandazioni
• Raccolta dati e archiviazione
• Onboarding delle risorse non Azure
• Monitoraggio continuo della sicurezza
• Risposta all'incidente

Nella sezione successiva si apprenderà come pianificare ognuna di queste aree e applicare tali raccomandazioni in base ai requisiti.

Nota

Leggere Defender per il cloud domande comuni per un elenco di domande comuni che possono essere utili anche durante la fase di progettazione e pianificazione.

Ruoli di sicurezza e controlli di accesso

A seconda delle dimensioni e della struttura dell'organizzazione, più utenti e team possono usare Defender per il cloud per eseguire diverse attività correlate alla sicurezza. Nel diagramma seguente è riportato un esempio di utenti fittizi e dei rispettivi ruoli e responsabilità in materia di sicurezza:

Defender per il cloud consente a questi utenti di svolgere i relativi ruoli. Ad esempio:

Jeff (proprietario del carico di lavoro)

• Gestire un carico di lavoro cloud e le relative risorse correlate.

• Responsabile dell'implementazione e della gestione delle protezioni in conformità ai criteri di sicurezza aziendali.

Ellen (CISO/CIO)

• Responsabile di tutti gli aspetti della sicurezza per l'azienda.

• Vuole comprendere il comportamento di sicurezza dell'azienda nei carichi di lavoro cloud.

• Deve essere informato dei principali attacchi e rischi.

David (sicurezza IT)

• Imposta i criteri di sicurezza aziendali per assicurarsi che siano presenti le protezioni appropriate.

• Monitora la conformità ai criteri.

• Genera report per la leadership o i revisori.

Judy (attività di sicurezza)

• Monitora e risponde agli avvisi di sicurezza in qualsiasi momento.

• Inoltra il carico di lavoro al proprietario del carico di lavoro cloud o all'analista della sicurezza IT.

Sam (analista della sicurezza)

• Analizzare gli attacchi.

• Collaborare con il proprietario del carico di lavoro cloud per applicare la correzione.

Defender per il cloud usi Controllo degli accessi in base al ruolo di Azure (controllo degli accessi in base al ruolo di Azure), che fornisce ruoli predefiniti che possono essere assegnati a utenti, gruppi e servizi in Azure. Quando un utente apre il Microsoft Defender per il cloud, visualizza solo informazioni correlate alle risorse a cui ha accesso. All'utente viene infatti assegnato il ruolo Proprietario, Collaboratore o Lettore per la sottoscrizione o il gruppo di risorse a cui appartiene la risorsa. Oltre a questi ruoli, esistono due ruoli specifici di Microsoft Defender per il cloud:

• Ruolo con autorizzazioni di lettura per la sicurezza: un utente che appartiene a questo ruolo può visualizzare solo le configurazioni del Microsoft Defender per il cloud, inclusi avvisi, criteri, raccomandazioni e integrità, ma non potrà apportare modifiche.

• Amministratore della protezione: come il ruolo con autorizzazioni di lettura per la sicurezza, ma è anche in grado di aggiornare i criteri di sicurezza e di ignorare raccomandazioni e avvisi.

I personaggi illustrati nel diagramma precedente richiedono questi ruoli di controllo degli accessi in base al ruolo di Azure:

Jeff (proprietario del carico di lavoro)

• Proprietario/Collaboratore del gruppo di risorse.

Ellen (CISO/CIO)

• Proprietario della sottoscrizione/Collaboratore o Amministrazione di sicurezza.

David (sicurezza IT)

• Proprietario della sottoscrizione/Collaboratore o Amministrazione di sicurezza.

Judy (attività di sicurezza)

• Lettore di sottoscrizioni o con autorizzazioni di lettura per la sicurezza per visualizzare gli avvisi.

• Proprietario della sottoscrizione/Collaboratore o Amministrazione di sicurezza necessari per ignorare gli avvisi.

Sam (analista della sicurezza)

• Lettore di sottoscrizioni per visualizzare gli avvisi.

• Proprietario della sottoscrizione/Collaboratore necessario per ignorare gli avvisi.

• Potrebbe essere necessario accedere all'area di lavoro.

Altre informazioni importanti da considerare:

• Solto i ruoli Proprietario/Collaboratore della sottoscrizione e Amministratore della protezione possono modificare i criteri di sicurezza.

• Solo i ruoli Proprietario e Collaboratore della sottoscrizione e del gruppo di risorse possono applicare le raccomandazioni relative alla sicurezza per una risorsa.

Quando si pianifica il controllo di accesso usando il controllo degli accessi in base al ruolo di Azure per Microsoft Defender per il cloud, assicurarsi di comprendere chi nell'organizzazione deve accedere a Microsoft Defender per il cloud per le attività che eseguiranno. È quindi possibile configurare correttamente il controllo degli accessi in base al ruolo di Azure.

Nota

È consigliabile assegnare il ruolo con il minor numero di autorizzazioni che permetta agli utenti di completare le attività. Ad esempio, agli utenti che hanno solo necessità di visualizzare le informazioni sullo stato di sicurezza delle risorse senza intervenire, per applicare le raccomandazioni o modificare i criteri, deve essere assegnato il ruolo Lettore.

Criteri di sicurezza e raccomandazioni

Un criterio di sicurezza definisce la configurazione specifica dei carichi di lavoro e contribuisce ad assicurare la conformità ai requisiti aziendali o normativi per la sicurezza. In Microsoft Defender per il cloud è possibile definire criteri per gli abbonamenti di Azure, che possono essere personalizzati in base al tipo di carico di lavoro o alla riservatezza dei dati.

I criteri defender per cloud contengono i componenti seguenti:

• Raccolta di dati: provisioning dell'agente e impostazioni della raccolta di dati.

• Criteri di sicurezza: un Criteri di Azure che determina quali controlli vengono monitorati e consigliati da Defender per il cloud. È anche possibile usare Criteri di Azure per creare nuove definizioni, definire altri criteri e assegnare criteri tra i gruppi di gestione.

• Notifiche tramite posta elettronica: contatti e impostazioni di notifica relativi alla sicurezza.

• Piano tariffario: con o senza piani di Defender di Microsoft Defender per il cloud, che determinano quali Defender per il cloud funzionalità sono disponibili per le risorse nell'ambito (possono essere specificate per le sottoscrizioni e le aree di lavoro che usano l'API).

Nota

La specifica di un contatto di sicurezza garantisce che Azure possa raggiungere la persona giusta nell'organizzazione se si verifica un evento imprevisto per la sicurezza. Per altre informazioni su come abilitare questa raccomandazione, vedere Fornire i dettagli dei contatti di sicurezza in Defender per il cloud.

Definizioni dei criteri di sicurezza e raccomandazioni

Il Microsoft Defender per il cloud crea automaticamente un criterio di sicurezza predefinito per ogni sottoscrizione di Azure. È possibile modificare i criteri in Microsoft Defender per il cloud o usare Criteri di Azure per creare nuove definizioni, definire altri criteri e assegnare criteri tra i gruppi di gestione. I gruppi di gestione possono rappresentare l'intera organizzazione o una business unit all'interno dell'organizzazione. È possibile monitorare la conformità dei criteri tra questi gruppi di gestione.

Prima di configurare i criteri di sicurezza, esaminare ognuna delle raccomandazioni sulla sicurezza:

• Verificare se questi criteri sono appropriati per le varie sottoscrizioni e gruppi di risorse.

• Comprendere le azioni che rispondono alle raccomandazioni sulla sicurezza.

• Determinare chi nell'organizzazione è responsabile del monitoraggio e della correzione di nuove raccomandazioni.

Raccolta dati e archiviazione

Microsoft Defender per il cloud usa l'agente di Log Analytics e l'agente di Monitoraggio di Azure per raccogliere i dati di sicurezza dalle macchine virtuali. I dati raccolti da questo agente vengono archiviati nelle aree di lavoro Log Analytics.

Agente

Quando il provisioning automatico è abilitato nei criteri di sicurezza, l'agente di raccolta dati viene installato in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali supportate create. Se la macchina virtuale o il computer ha già installato l'agente di Log Analytics, Microsoft Defender per il cloud usa l'agente installato corrente. Il processo dell'agente è progettato per non essere invasivo e ridurre al minimo l'impatto sulle prestazioni delle VM.

Per disabilitare successivamente la raccolta dati, è possibile usare i criteri di sicurezza. Tuttavia, poiché l'agente di Log Analytics potrebbe essere usato da altri servizi di gestione e monitoraggio di Azure, l'agente non verrà disinstallato automaticamente quando si disattiva la raccolta dei dati in Defender per il cloud. È possibile disinstallare manualmente l'agente se necessario.

Nota

Per trovare un elenco delle macchine virtuali supportate, leggere le Defender per il cloud domande comuni.

Area di lavoro

Un'area di lavoro di Azure è una risorsa usata come contenitore per i dati. Nell'organizzazione è possibile usare più aree di lavoro per gestire diversi set di dati raccolti dall'intera infrastruttura IT o da una parte di essa.

I dati raccolti dall'agente di Log Analytics possono essere archiviati in un'area di lavoro Log Analytics esistente associata alla sottoscrizione di Azure o a una nuova area di lavoro.

Nel portale di Azure è possibile visualizzare un elenco delle aree di lavoro di Log Analytics, incluse quelle create dal Microsoft Defender per il cloud. Per le nuove aree di lavoro verrà creato un gruppo di risorse correlato. Le risorse vengono create in base a questa convenzione di denominazione:

• Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]

• Gruppo di risorse: DefaultResourceGroup-[geo]

Per le aree di lavoro create da Microsoft Defender per il cloud, i dati vengono conservati per 30 giorni. Per le aree di lavoro esistenti, il periodo di memorizzazione dipende dal piano tariffario dell'area di lavoro. Se si preferisce, è anche possibile usare un'area di lavoro esistente.

Se l'agente segnala a un'area di lavoro diversa dall'area di lavoro predefinita, tutti i piani di Defender per il cloud Defender abilitati nella sottoscrizione devono essere abilitati anche nell'area di lavoro.

Nota

Microsoft è fortemente impegnata nella protezione della privacy e della sicurezza dei dati. Microsoft è conforme alle più rigorose linee guida sulla sicurezza e sulla conformità in tutte le fasi, dalla codifica all'esecuzione di un servizio. Per altre informazioni sulla gestione e la privacy dei dati, vedere Defender per il cloud Sicurezza dei dati.

Onboarding di risorse non di Azure

Microsoft Defender per il cloud consente di monitorare le condizioni di sicurezza dei computer non Azure, ma è necessario prima caricare queste risorse. Per altre informazioni su come eseguire l'onboarding di risorse non di Azure, vedere Onboarding di computer non di Azure.

Monitoraggio continuo della sicurezza

Dopo la configurazione iniziale e l'applicazione delle raccomandazioni di Microsoft Defender per il cloud, il passaggio successivo consiste nel considerare i processi operativi di Microsoft Defender per il cloud.

La panoramica del Microsoft Defender per il cloud fornisce una visualizzazione unificata della sicurezza per tutte le risorse di Azure ed eventuali risorse non Azure connesse. Questo esempio mostra un ambiente con molti problemi da risolvere:

Nota

Defender per il cloud non interferisce con le normali procedure operative. Defender per il cloud monitora passivamente le distribuzioni e fornisce raccomandazioni in base ai criteri di sicurezza abilitati.

Quando si acconsente esplicitamente per la prima volta all'uso del Microsoft Defender per il cloud per l'ambiente Azure corrente, assicurarsi di esaminare tutte le raccomandazioni nella pagina Raccomandazioni.

Pianificare una verifica dell'opzione Intelligence per le minacce come parte delle operazioni di sicurezza giornaliere. Questa opzione consente di identificare le minacce alla sicurezza per l'ambiente specifico, ad esempio determinare se un computer specifico fa parre di un botnet.

Monitoraggio di risorse nuove o modificate

Gli ambienti di Azure sono per la maggior parte dinamici, con risorse che vengono regolarmente create, attivate o disattivate, riconfigurate e modificate. Il Microsoft Defender per il cloud contribuisce a garantire la visibilità dello stato di sicurezza delle nuove risorse.

Quando si aggiungono nuove risorse (VM, DATABASE SQL) all'ambiente Azure, Microsoft Defender per il cloud individua automaticamente queste risorse e inizia a monitorare la sicurezza, inclusi i ruoli Web PaaS e i ruoli di lavoro. Se la raccolta dati è abilitata nei criteri di sicurezza, vengono abilitate automaticamente altre funzionalità di monitoraggio per le macchine virtuali.

Occorre anche monitorare regolarmente le risorse esistenti per identificare le modifiche alla configurazione che potrebbero aver creato rischi per la sicurezza, deviazioni dalle baseline consigliate e avvisi di sicurezza.

Applicare la protezione avanzata all'accesso e alle applicazioni

Come parte delle operazioni di sicurezza è consigliabile adottare misure preventive per limitare l'accesso alle VM e controllare le applicazioni in esecuzioni sulle VM. Bloccando il traffico in ingresso nelle VM di Azure si riduce l'esposizione agli attacchi e si offre al tempo stesso un accesso facilitato per la connessione alle VM quando necessario. Usare la funzionalità Accesso Just-In-Time alla VM per applicare la protezione avanzata all'accesso alle macchine virtuali.

È possibile usare i controlli applicazioni adattivi per limitare le applicazioni che possono essere eseguite nelle VM in Azure. Tra gli altri vantaggi, i controlli applicazioni adattivi consentono di rafforzare la protezione delle macchine virtuali da malware. Con l'aiuto di Machine Learning, Microsoft Defender per il cloud analizza i processi in esecuzione nella macchina virtuale per creare regole consentite.

Risposta agli eventi imprevisti

Microsoft Defender per il cloud rileva e avvisa le minacce man mano che si verificano. Le organizzazioni devono monitorare i nuovi avvisi di sicurezza e intraprendere le azioni necessarie per indagare più a fondo o correggere l'attacco. Per altre informazioni sul funzionamento di Defender per il cloud protezione dalle minacce, vedere Come Defender per il cloud rileva e risponde alle minacce.

Anche se non è possibile creare il piano di risposta agli eventi imprevisti, microsoft userà La risposta alla sicurezza di Microsoft Azure nel ciclo di vita del cloud come base per le fasi di risposta agli eventi imprevisti. Le fasi della risposta agli eventi imprevisti nel ciclo di vita del cloud sono:

Nota

Per tale scopo è possibile usare la Computer Security Incident Handling Guide (Guida alla gestione degli eventi imprevisti della sicurezza nei computer) del National Institute of Standards and Technology (NIST).

È possibile usare gli avvisi di Microsoft Defender per il cloud durante le fasi seguenti:

• Rilevamento: identificazione di un'attività sospetta in una o più risorse.

• Valutazione: esecuzione della valutazione iniziale per ottenere altre informazioni sull'attività sospetta.

• Diagnosi: uso dei passaggi di correzione per completare la procedura tecnica per risolvere il problema.

Ogni avviso di sicurezza fornisce informazioni che possono essere usate per comprendere meglio la natura dell'attacco e trovare soluzioni di mitigazione. Alcuni avvisi forniscono anche collegamenti ad altre informazioni o fonti di informazioni all'interno di Azure. È possibile usare le informazioni fornite per ulteriori ricerche e per avviare la mitigazione dei rischi. È inoltre possibile eseguire ricerche nei dati relativi alla sicurezza archiviati nell'area di lavoro.

L'esempio seguente mostra un'attività RDP sospetta in azione:

Questa pagina include dettagli relativi al momento in cui si è verificato l'attacco, al nome host di origine, alla macchina virtuale di destinazione e ai passaggi necessari per applicare la raccomandazione. In alcune circostanze, le informazioni di origine dell'attacco potrebbero essere vuote. Per altre informazioni su questo tipo di comportamento, vedere Informazioni sull'origine mancanti in Defender per il cloud avvisi.

Dopo avere identificato il sistema danneggiato, è possibile eseguire un'automazione del flusso di lavoro creata in precedenza. Le automazione del flusso di lavoro sono una raccolta di procedure che possono essere eseguite da Microsoft Defender per il cloud dopo l'attivazione di un avviso.

Nota

Per altre informazioni su come usare le funzionalità di Defender per il cloud per facilitare il processo di risposta agli eventi imprevisti, vedere Gestione e risposta agli avvisi di sicurezza in Defender per il cloud.

Passaggi successivi

In questo documento si è appreso come pianificare l'adozione di Defender per il cloud. Altre informazioni su Defender per il cloud:

• Gestione e risposta agli avvisi di sicurezza in Defender per il cloud
• Monitoraggio delle soluzioni partner con Defender per il cloud: informazioni su come monitorare lo stato di integrità delle soluzioni partner.
• Defender per il cloud domande comuni: trovare le domande frequenti sull'uso del servizio.
• Blog sulla sicurezza di Azure: leggere i post di blog sulla sicurezza e la conformità di Azure.