Condividi tramite


Raccomandazioni per il monitoraggio e il rilevamento delle minacce

Si applica a questa raccomandazione per l'elenco di controllo di sicurezza di Azure Well-Architected Framework:

SE:10 Implementare una strategia di monitoraggio olistica basata su meccanismi di rilevamento delle minacce moderni che possono essere integrati con la piattaforma. I meccanismi devono avvisare in modo affidabile i processi di valutazione e inviare segnali nei processi SecOps esistenti.

Questa guida descrive i consigli per il monitoraggio e il rilevamento delle minacce. Il monitoraggio è fondamentalmente un processo di recupero di informazioni sugli eventi già verificatisi. Il monitoraggio della sicurezza è una pratica di acquisizione di informazioni a altitudini diverse del carico di lavoro (infrastruttura, applicazione, operazioni) per acquisire consapevolezza delle attività sospette. L'obiettivo è prevedere gli eventi imprevisti e imparare da eventi passati. I dati di monitoraggio forniscono la base dell'analisi post-evento imprevisto di ciò che si è verificato per aiutare la risposta agli eventi imprevisti e le indagini forensi.

Il monitoraggio è un approccio di eccellenza operativa applicato a tutti i pilastri Well-Architected Framework. Questa guida fornisce raccomandazioni solo dal punto di vista della sicurezza. I concetti generali relativi al monitoraggio, ad esempio strumentazione del codice, raccolta dati e analisi, sono fuori ambito per questa guida. Per informazioni sui concetti di monitoraggio principali, vedere Raccomandazioni per la progettazione e la creazione di un framework di osservabilità.

Definizioni

Termine Definizione
Log di controllo Record di attività in un sistema.
Soluzione SIEM (Security information and event management) Un approccio che usa funzionalità predefinite di rilevamento delle minacce e intelligence basate sui dati aggregati da più origini.
Rilevamento delle minacce Strategia per rilevare le deviazioni dalle azioni previste usando dati raccolti, analizzati e correlati.
Intelligence per le minacce Strategia per interpretare i dati di rilevamento delle minacce per rilevare attività sospette o minacce esaminando i modelli.
Prevenzione delle minacce Controlli di sicurezza inseriti in un carico di lavoro a varie altitudini per proteggere i propri asset.

Strategie di progettazione chiave

Lo scopo principale del monitoraggio della sicurezza è il rilevamento delle minacce. L'obiettivo principale è impedire potenziali violazioni della sicurezza e mantenere un ambiente sicuro. Tuttavia, è altrettanto importante riconoscere che non tutte le minacce possono essere bloccate in modo preemptive. In tali casi, il monitoraggio funge anche da meccanismo per identificare la causa di un evento imprevisto di sicurezza che si è verificato nonostante gli sforzi di prevenzione.

Il monitoraggio può essere affrontato da diverse prospettive:

  • Monitorare in varie altitudini. L'osservazione da varie altitudini è il processo di ottenere informazioni sui flussi utente, l'accesso ai dati, l'identità, la rete e persino il sistema operativo. Ognuna di queste aree offre informazioni dettagliate univoche che consentono di identificare le deviazioni dai comportamenti previsti stabiliti rispetto alla baseline di sicurezza. Al contrario, il monitoraggio continuo di un sistema e delle applicazioni nel tempo può aiutare a stabilire tale comportamento di base. Ad esempio, è possibile visualizzare in genere circa 1.000 tentativi di accesso nel sistema di identità ogni ora. Se il monitoraggio rileva un picco di 50.000 tentativi di accesso durante un breve periodo, un utente malintenzionato potrebbe tentare di ottenere l'accesso al sistema.

  • Monitorare in vari ambiti di impatto. È fondamentale osservare l'applicazione e la piattaforma. Si supponga che un utente dell'applicazione ottenga accidentalmente privilegi inoltrati o si verifichi una violazione della sicurezza. Se l'utente esegue azioni oltre l'ambito designato, l'impatto potrebbe essere limitato alle azioni che altri utenti possono eseguire.

    Tuttavia, se un'entità interna compromette un database, l'estensione del potenziale danno è incerta.

    Se si verifica una compromissione sul lato risorsa di Azure, l'impatto potrebbe essere globale, che influisce su tutte le entità che interagiscono con la risorsa.

    Il raggio di esplosione o l'ambito di impatto potrebbero essere significativamente diversi, a seconda di quale di questi scenari si verifica.

  • Usare strumenti di monitoraggio specializzati. È fondamentale investire in strumenti specializzati che possono analizzare continuamente il comportamento anomalo che potrebbe indicare un attacco. La maggior parte di questi strumenti include funzionalità di intelligence sulle minacce che possono eseguire analisi predittive in base a un volume elevato di dati e minacce note. La maggior parte degli strumenti non è senza stato e incorpora una conoscenza approfondita dei dati di telemetria in un contesto di sicurezza.

    Gli strumenti devono essere integrati dalla piattaforma o almeno a conoscenza della piattaforma per ottenere segnali profondi dalla piattaforma e effettuare stime con alta fedeltà. Devono essere in grado di generare avvisi in modo tempestivo con informazioni sufficienti per condurre un'adeguata valutazione. L'uso di troppi strumenti diversi può causare complessità.

  • Usare il monitoraggio per la risposta agli eventi imprevisti. I dati aggregati, trasformati in intelligenza attivabile, consentono reazioni rapide ed efficaci agli eventi imprevisti. Il monitoraggio consente di eseguire attività post-eventi imprevisti. L'obiettivo è raccogliere dati sufficienti per analizzare e comprendere cosa è successo. Il processo di monitoraggio acquisisce informazioni sugli eventi passati per migliorare le funzionalità reattive e stimare potenzialmente gli eventi imprevisti futuri.

Le sezioni seguenti forniscono le procedure consigliate che includono le prospettive di monitoraggio precedenti.

Acquisire i dati per mantenere un percorso di attività

L'obiettivo è quello di mantenere un audit trail completo degli eventi significativi dal punto di vista della sicurezza. La registrazione è il modo più comune per acquisire i modelli di accesso. La registrazione deve essere eseguita per l'applicazione e la piattaforma.

Per un audit trail, è necessario stabilire cosa, quando e chi è associato alle azioni. È necessario identificare gli intervalli di tempo specifici quando vengono eseguite le azioni. Eseguire questa valutazione nella modellazione delle minacce. Per contrastare una minaccia di ripudio, è necessario stabilire sistemi di registrazione e controllo forti che comportano un record di attività e transazioni.

Le sezioni seguenti descrivono i casi d'uso per alcune altitudini comuni di un carico di lavoro.

Flussi utente dell'applicazione

L'applicazione deve essere progettata per offrire visibilità di runtime quando si verificano eventi. Identificare i punti critici all'interno dell'applicazione e stabilire la registrazione per questi punti. Ad esempio, quando un utente accede all'applicazione, acquisisce l'identità dell'utente, la posizione di origine e altre informazioni pertinenti. È importante riconoscere qualsiasi escalation nei privilegi utente, le azioni eseguite dall'utente e se l'utente ha eseguito l'accesso alle informazioni riservate in un archivio dati sicuro. Tenere traccia delle attività per l'utente e la sessione utente.

Per facilitare questo rilevamento, il codice deve essere instrumentato tramite la registrazione strutturata. In questo modo è possibile eseguire query e filtri semplici e uniformi dei log.

Importante

È necessario applicare la registrazione responsabile per mantenere la riservatezza e l'integrità del sistema. I segreti e i dati sensibili non devono essere visualizzati nei log. Tenere presente la perdita di dati personali e altri requisiti di conformità quando si acquisiscono questi dati di log.

Monitoraggio di identità e accesso

Mantenere un record completo dei modelli di accesso per l'applicazione e le modifiche alle risorse della piattaforma. Sono presenti log attività affidabili e meccanismi di rilevamento delle minacce, in particolare per le attività correlate all'identità, perché gli utenti malintenzionati spesso tentano di modificare le identità per ottenere l'accesso non autorizzato.

Implementare la registrazione completa usando tutti i punti dati disponibili. Ad esempio, includere l'indirizzo IP client per distinguere tra attività utente regolari e potenziali minacce da posizioni impreviste. Tutti gli eventi di registrazione devono essere timestampati dal server.

Registrare tutte le attività di accesso alle risorse, catturando chi sta facendo cosa e quando lo stanno facendo. Le istanze dell'escalation dei privilegi sono un punto dati significativo che deve essere registrato. È necessario registrare anche azioni correlate alla creazione o all'eliminazione dell'account dall'applicazione. Questa raccomandazione si estende ai segreti dell'applicazione. Monitorare chi accede ai segreti e quando vengono ruotati.

Anche se la registrazione delle azioni riuscite è importante, la registrazione degli errori è necessaria dal punto di vista della sicurezza. Documentare eventuali violazioni, ad esempio un utente che tenta un'azione, ma verifica un errore di autorizzazione, tentativi di accesso per le risorse inesistente e altre azioni che sembrano sospette.

Monitoraggio della rete

Monitorando i pacchetti di rete e le relative origini, destinazioni e strutture, si ottiene visibilità sui modelli di accesso a livello di rete.

La progettazione della segmentazione deve abilitare i punti di osservazione ai limiti per monitorare i dati incrociati e registrarli. Ad esempio, monitorare le subnet con gruppi di sicurezza di rete che generano log di flusso. Monitorare anche i log del firewall che mostrano i flussi consentiti o negati.

Sono disponibili log di accesso per le richieste di connessione in ingresso. Questi log registrano gli indirizzi IP di origine che avviano le richieste, il tipo di richiesta (GET, POST) e tutte le altre informazioni che fanno parte delle richieste.

L'acquisizione dei flussi DNS è un requisito significativo per molte organizzazioni. Ad esempio, i log DNS consentono di identificare l'utente o il dispositivo avviato una determinata query DNS. Correlando l'attività DNS con i log di autenticazione utente/dispositivo, è possibile tenere traccia delle attività ai singoli client. Questa responsabilità si estende spesso al team del carico di lavoro, soprattutto se distribuiscono qualsiasi cosa che effettua richieste DNS parte dell'operazione. L'analisi del traffico DNS è un aspetto fondamentale dell'osservabilità della piattaforma.

È importante monitorare richieste DNS impreviste o richieste DNS indirizzate verso endpoint noti e di controllo.

Compromesso: la registrazione di tutte le attività di rete può comportare una grande quantità di dati. Ogni richiesta dal livello 3 può essere registrata in un log del flusso, incluse tutte le transazioni che superano un limite di subnet. Sfortunatamente, non è possibile acquisire solo eventi negativi perché possono essere identificati solo dopo che si verificano. Prendere decisioni strategiche sul tipo di eventi da acquisire e su quanto tempo archiviarli. Se non si è attenti, la gestione dei dati può essere travolgente. Esiste anche un compromesso sul costo dell'archiviazione dei dati.

A causa dei compromessi, è consigliabile valutare se il vantaggio del monitoraggio di rete del carico di lavoro è sufficiente per giustificare i costi. Se si dispone di una soluzione applicazione Web con un volume di richieste elevato e il sistema usa ampiamente le risorse di Azure gestite, il costo potrebbe superare i vantaggi. D'altra parte, se si dispone di una soluzione progettata per l'uso di macchine virtuali con varie porte e applicazioni, potrebbe essere importante acquisire e analizzare i log di rete.

Acquisire le modifiche del sistema

Per mantenere l'integrità del sistema, è necessario disporre di un record accurato e aggiornato dello stato del sistema. Se sono presenti modifiche, è possibile usare questo record per risolvere tempestivamente eventuali problemi che si verificano.

I processi di compilazione devono anche generare dati di telemetria. Comprendere il contesto di sicurezza degli eventi è fondamentale. Conoscere il processo di compilazione attivato, chi lo ha attivato e quando è stato attivato può fornire informazioni preziose.

Tenere traccia della creazione delle risorse e quando vengono rimosse. Queste informazioni devono essere estratte dalla piattaforma. Queste informazioni forniscono informazioni dettagliate preziose per la gestione delle risorse e la responsabilità.

Monitorare la deriva nella configurazione delle risorse. Documentare tutte le modifiche apportate a una risorsa esistente. Tenere inoltre traccia delle modifiche che non vengono completate come parte di un'implementazione in una flotta di risorse. I log devono acquisire le specifiche della modifica e l'ora esatta in cui si è verificato.

Avere una visione completa, dal punto di vista dell'applicazione di patch, del fatto che il sistema sia aggiornato e sicuro. Monitorare i processi di aggiornamento della routine per verificare che vengano completati come pianificato. Un processo di patch di sicurezza che non viene completato deve essere considerato una vulnerabilità. È inoltre consigliabile mantenere un inventario che registra i livelli di patch e tutti gli altri dettagli necessari.

Il rilevamento delle modifiche si applica anche al sistema operativo. Ciò comporta il rilevamento se i servizi vengono aggiunti o disattivati. Include anche il monitoraggio per l'aggiunta di nuovi utenti al sistema. Esistono strumenti progettati per la destinazione di un sistema operativo. Sono utili per il monitoraggio senza contesto nel senso che non hanno come destinazione la funzionalità del carico di lavoro. Ad esempio, il monitoraggio dell'integrità dei file è uno strumento fondamentale che consente di tenere traccia delle modifiche nei file di sistema.

È consigliabile configurare gli avvisi per queste modifiche, in particolare se non si prevede che si verifichino spesso.

Importante

Quando si esegue l'implementazione in produzione, assicurarsi che gli avvisi siano configurati per rilevare attività anomale rilevate nelle risorse dell'applicazione e nel processo di compilazione.

Nei piani di test includere la convalida della registrazione e l'avviso come test case con priorità.

Archiviare, aggregare e analizzare i dati

I dati raccolti da queste attività di monitoraggio devono essere archiviati nei sink di dati in cui possono essere esaminati, normalizzati e correlati. I dati di sicurezza devono essere mantenuti all'esterno degli archivi dati del sistema. I sink di monitoraggio, indipendentemente dal fatto che siano localizzati o centrali, devono uscire dalle origini dati. I sink non possono essere effimerali perché i sink sono l'origine per i sistemi di rilevamento delle intrusioni.

I log di rete possono essere dettagliati e occupare l'archiviazione. Esplorare livelli diversi nei sistemi di archiviazione. I log possono naturalmente passare all'archiviazione più fredda nel tempo. Questo approccio è utile perché i log di flusso meno recenti in genere non vengono usati attivamente e sono necessari solo su richiesta. Questo metodo garantisce una gestione efficiente dell'archiviazione garantendo anche che sia possibile accedere ai dati cronologici quando è necessario.

I flussi del carico di lavoro sono in genere un composito di più origini di registrazione. I dati di monitoraggio devono essere analizzati in modo intelligente in tutte queste origini. Ad esempio, il firewall blocca solo il traffico che lo raggiunge. Se si dispone di un gruppo di sicurezza di rete che ha già bloccato un determinato traffico, il traffico non è visibile al firewall. Per ricostruire la sequenza di eventi, è necessario aggregare i dati da tutti i componenti che si trovano nel flusso e quindi aggregare i dati da tutti i flussi. Questi dati sono particolarmente utili in uno scenario di risposta post-evento imprevisto quando si sta tentando di comprendere cosa è successo. L'accuratezza del tempo è essenziale. A scopo di sicurezza, tutti i sistemi devono usare un'origine temporale di rete in modo che siano sempre sincronizzate.

Rilevamento centralizzato delle minacce con log correlati

È possibile usare un sistema come le informazioni di sicurezza e la gestione degli eventi (SIEM) per consolidare i dati di sicurezza in una posizione centrale in cui può essere correlato tra vari servizi. Questi sistemi hanno meccanismi di rilevamento delle minacce predefiniti . Possono connettersi a feed esterni per ottenere dati di intelligence sulle minacce. Microsoft, ad esempio, pubblica i dati di intelligence sulle minacce che è possibile usare. È anche possibile acquistare feed di intelligence sulle minacce da altri provider, ad esempio Anomali e FireEye. Questi feed possono fornire informazioni dettagliate preziose e migliorare il comportamento di sicurezza. Per informazioni dettagliate sulle minacce da Microsoft, vedere Security Insider.

Un sistema SIEM può generare avvisi in base ai dati correlati e normalizzati. Questi avvisi sono una risorsa significativa durante un processo di risposta agli eventi imprevisti.

Compromesso: i sistemi SIEM possono essere costosi, complessi e richiedono competenze specializzate. Tuttavia, se non ne hai uno, potrebbe essere necessario correlare i dati autonomamente. Ciò può richiedere molto tempo e un processo complesso.

I sistemi SIEM sono in genere gestiti dai team centrali di un'organizzazione. Se l'organizzazione non ne ha una, è consigliabile richiamarla. Potrebbe ridurre il carico di analisi manuale dei log e correlazione per consentire una gestione della sicurezza più efficiente ed efficace.

Alcune opzioni convenienti sono fornite da Microsoft. Molti prodotti Microsoft Defender forniscono la funzionalità di avviso di un sistema SIEM, ma senza una funzionalità di aggregazione dati.

Combinando diversi strumenti più piccoli, è possibile emulare alcune funzioni di un sistema SIEM. Tuttavia, è necessario sapere che queste soluzioni di spostamento potrebbero non essere in grado di eseguire l'analisi della correlazione. Queste alternative possono essere utili, ma potrebbero non sostituire completamente la funzionalità di un sistema SIEM dedicato.

Rilevare gli abusi

Essere proattivi per il rilevamento delle minacce e prestare attenzione ai segni di abuso, ad esempio attacchi di forza bruta di identità su un componente SSH o un endpoint RDP. Anche se le minacce esterne potrebbero generare un sacco di rumore, soprattutto se l'applicazione è esposta a Internet, le minacce interne sono spesso una maggiore preoccupazione. Un attacco di forza bruta imprevista da un'origine di rete attendibile o da una configurazione errata inavvertita, ad esempio, deve essere analizzata immediatamente.

Continuare con le procedure di protezione avanzata. Il monitoraggio non è un sostituto per la protezione proattiva dell'ambiente. Un'area di superficie più grande è soggetta a più attacchi. Restringere i controlli fino alla pratica. Rilevare e disabilitare gli account inutilizzati, rimuovere porte inutilizzate e usare un web application firewall, ad esempio. Per altre informazioni sulle tecniche di protezione avanzata, vedere Raccomandazioni sulla protezione avanzata della sicurezza.

Il rilevamento basato sulla firma può controllare in dettaglio un sistema. Implica la ricerca di segni o correlazioni tra attività che potrebbero indicare un potenziale attacco. Un meccanismo di rilevamento può identificare determinate caratteristiche che sono indicative di un tipo specifico di attacco. Potrebbe non essere sempre possibile rilevare direttamente il meccanismo di comando e controllo di un attacco. Tuttavia, spesso sono presenti hint o modelli associati a un determinato processo di comando e controllo. Ad esempio, un attacco potrebbe essere indicato da una determinata frequenza di flusso dal punto di vista della richiesta o potrebbe spesso accedere ai domini con terminazioni specifiche.

Rilevare modelli di accesso utente anomali in modo che sia possibile identificare e analizzare le deviazioni dai modelli previsti. Ciò comporta il confronto del comportamento utente corrente con il comportamento passato per individuare le anomalie. Anche se potrebbe non essere possibile eseguire manualmente questa attività, è possibile usare strumenti di intelligence per le minacce per eseguire questa operazione. Investire negli strumenti UEBA (User and Entity Behavior Analytics) che raccolgono il comportamento dell'utente dai dati di monitoraggio e analizzarli. Questi strumenti possono spesso eseguire analisi predittive che esegue il mapping di comportamenti sospetti a potenziali tipi di attacco.

Rilevare le minacce durante le fasi di pre-distribuzione e post-distribuzione. Durante la fase di predeployment, incorporare l'analisi della vulnerabilità nelle pipeline e intraprendere azioni necessarie in base ai risultati. Dopo la distribuzione, continuare a eseguire l'analisi delle vulnerabilità. È possibile usare strumenti come Microsoft Defender per contenitori, che analizzano le immagini dei contenitori. Includere i risultati nei dati raccolti. Per informazioni sulle procedure di sviluppo sicure, vedere Raccomandazioni per l'uso di procedure di distribuzione sicure.

Sfruttare i meccanismi e le misure di rilevamento forniti dalla piattaforma. Ad esempio, Firewall di Azure può analizzare il traffico e bloccare le connessioni alle destinazioni non attendibili. Azure offre anche modi per rilevare e proteggere da attacchi DDoS (Distributed Denial of Service).

Facilitazione di Azure

Monitoraggio di Azure offre opzioni di osservabilità nell'intero ambiente. Senza alcuna configurazione, si ottengono automaticamente metriche della piattaforma, log attività e log di diagnostica dalla maggior parte delle risorse di Azure. I log attività forniscono informazioni di diagnostica e controllo dettagliate.

Nota

I log della piattaforma non sono disponibili in modo indefinito. È necessario mantenerli in modo che sia possibile esaminarli in un secondo momento per scopi di controllo o analisi offline. Usare gli account di archiviazione di Azure per l'archiviazione a lungo termine o archiviazione. In Monitoraggio di Azure specificare un periodo di conservazione quando si abilitano le impostazioni di diagnostica per le risorse.

Configurare gli avvisi in base a metriche e log predefiniti o personalizzati per ottenere notifiche quando vengono rilevati eventi o anomalie specifici relativi alla sicurezza.

Per altre informazioni, vedere Documentazione di Monitoraggio di Azure.

Microsoft Defender per Cloud offre funzionalità predefinite per il rilevamento delle minacce. Opera sui dati raccolti e analizza i log. Poiché è consapevole dei tipi di log generati, può usare regole predefinite per prendere decisioni informate. Ad esempio, controlla gli elenchi di indirizzi IP potenzialmente compromessi e genera avvisi.

Abilitare i servizi di protezione delle minacce predefiniti per le risorse di Azure. Ad esempio, abilitare Microsoft Defender per le risorse di Azure, ad esempio macchine virtuali, database e contenitori, per rilevare e proteggere da minacce note.

Defender for Cloud offre funzionalità CWPP (Cloud Workload Protection Platform) per il rilevamento delle minacce di tutte le risorse del carico di lavoro.

Per altre informazioni, vedere What is Microsoft Defender for Cloud?.

Gli avvisi generati da Defender possono anche essere inseriti nei sistemi SIEM. Microsoft Sentinel è l'offerta nativa. Usa intelligenza artificiale e Machine Learning per rilevare e rispondere alle minacce alla sicurezza in tempo reale. Offre una visualizzazione centralizzata dei dati di sicurezza e facilita la ricerca e l'analisi proattiva delle minacce.

Per altre informazioni, vedere Informazioni su Microsoft Sentinel?

Microsoft Sentinel può anche usare feed di intelligence sulle minacce da varie origini. Per altre informazioni, vedere Integrazione dell'intelligence delle minacce in Microsoft Sentinel.

Microsoft Sentinel può analizzare il comportamento dell'utente dai dati di monitoraggio. Per altre informazioni, vedere Identificare le minacce avanzate con User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel.

Defender e Microsoft Sentinel funzionano insieme, nonostante alcune sovrapposizioni nelle funzionalità. Questa collaborazione migliora il comportamento complessivo della sicurezza aiutando a garantire un rilevamento e una risposta completi delle minacce.

Sfruttare Azure Business Continuity Center per identificare le lacune nell'area di continuità aziendale e difendere contro minacce come attacchi ransomware, attività dannose e incidenti di amministratore non autorizzati. Per altre informazioni, vedere Informazioni sul Centro continuità aziendale di Azure?.

Rete

Esaminare tutti i log, incluso il traffico non elaborato, dai dispositivi di rete.

Identità

Monitorare gli eventi di rischio correlati a identità potenzialmente compromesse e prevenire tali rischi. Esaminare gli eventi di rischio segnalati nei modi seguenti:

Microsoft Entra ID usa algoritmi di Machine Learning adattivi, euristici e credenziali note compromesse (coppie nome utente e coppie di password) per rilevare azioni sospette correlate agli account utente. Queste coppie di nomi utente e password vengono visualizzate monitorando il Web pubblico e scuro e lavorando con ricercatori di sicurezza, forze dell'ordine, team di sicurezza in Microsoft e altri.

Azure Pipelines

DevOps sostiene la gestione delle modifiche dei carichi di lavoro tramite l'integrazione continua e il recapito continuo (CI/CD). Assicurarsi di aggiungere la convalida della sicurezza nelle pipeline. Seguire le indicazioni descritte in Protezione di Azure Pipelines.

Elenco di controllo relativo alla sicurezza

Fare riferimento al set completo di raccomandazioni.