Condividi tramite


Valutazione delle baseline di sicurezza

Si applica a:

Nota

Per usare questa funzionalità è necessario Gestione delle vulnerabilità di Microsoft Defender autonomo o se si è già un cliente Microsoft Defender per endpoint Piano 2, il componente aggiuntivo Defender Vulnerability Management.

Invece di eseguire analisi di conformità senza fine, la valutazione delle baseline di sicurezza consente di monitorare continuamente e senza sforzo la conformità delle baseline di sicurezza dell'organizzazione e di identificare le modifiche in tempo reale.

Un profilo di baseline di sicurezza è un profilo personalizzato che è possibile creare per valutare e monitorare gli endpoint nell'organizzazione rispetto ai benchmark di sicurezza del settore. Quando si crea un profilo di baseline di sicurezza, si crea un modello costituito da più impostazioni di configurazione del dispositivo e da un benchmark di base con cui eseguire il confronto.

Le baseline di sicurezza forniscono il supporto per i benchmark CIS (Center for Internet Security) per Windows 10, Windows 11 e Windows Server 2008 R2 e versioni successive, nonché benchmark STIG (Security Technical Implementation Guide) per Windows 10 e Windows Server 2019.

Nota

I benchmark supportano attualmente solo configurazioni Criteri di gruppo Object (GPO) e non Microsoft Configuration Manager (Intune).

Consiglio

Sapevi che puoi provare tutte le funzionalità in Gestione delle vulnerabilità di Microsoft Defender gratuitamente? Scopri come iscriversi per una versione di valutazione gratuita.

Introduzione alla valutazione delle baseline di sicurezza

  1. Passare allavalutazione delle baseline di gestione> delle vulnerabilità nel portale di Microsoft Defender.

  2. Selezionare la scheda Profili nella parte superiore e quindi selezionare il pulsante Create profilo.

  3. Immettere un nome e una descrizione per il profilo baseline di sicurezza e selezionare Avanti.

  4. Nella pagina Ambito profilo baseline impostare le impostazioni del profilo, ad esempio software, benchmark di base (CIS o STIG) e il livello di conformità e selezionare Avanti.

  5. Selezionare le configurazioni da includere nel profilo.

    Screenshot della pagina aggiungi impostazioni di configurazione

    Selezionare Personalizza se si vuole modificare il valore di configurazione della soglia per l'organizzazione.

    Screenshot della pagina personalizzare le impostazioni di configurazione

  6. Selezionare Avanti per scegliere i gruppi di dispositivi e i tag di dispositivo da includere nel profilo di base. Il profilo verrà applicato automaticamente ai dispositivi aggiunti a questi gruppi in futuro.

  7. Selezionare Avanti per esaminare il profilo.

  8. Selezionare Invia per creare il profilo.

  9. Nella pagina finale selezionare Visualizza pagina profilo per visualizzare i risultati della valutazione.

Nota

È possibile creare più profili per lo stesso sistema operativo con varie personalizzazioni.

Quando si personalizza una configurazione, accanto verrà visualizzata un'icona per indicare che è stata personalizzata e che non usa più il valore consigliato. Selezionare il pulsante di reimpostazione per ripristinare il valore consigliato.

Icone utili da tenere presenti:

Configurazione personalizzata in precedenza : questa configurazione è stata personalizzata in precedenza. Quando si crea un nuovo profilo se si seleziona Personalizza, verranno visualizzate le varianti disponibili tra cui è possibile scegliere.

Non si usa il valore predefinito : questa configurazione è stata personalizzata e non usa il valore predefinito.

Panoramica della valutazione delle baseline di sicurezza

Nella pagina di panoramica della valutazione delle baseline di sicurezza è possibile visualizzare la conformità dei dispositivi, la conformità del profilo, i dispositivi con errori principali e i principali dispositivi non configurati correttamente.

Esaminare i risultati della valutazione del profilo di baseline di sicurezza

  1. Nella pagina Profili selezionare uno dei profili per aprire un riquadro a comparsa con informazioni aggiuntive.

    Screenshot della pagina del profilo di base

  2. Selezionare Apri pagina profilo. La pagina del profilo contiene due schede Configurazioni e Dispositivi.

Visualizzazione in base alla configurazione

Nella scheda Configurazioni è possibile esaminare l'elenco delle configurazioni e valutarne lo stato di conformità segnalato.

Scheda Configurazione nella pagina del profilo

Selezionando una configurazione nell'elenco, verrà visualizzato un riquadro a comparsa con i dettagli per l'impostazione dei criteri, incluso il valore consigliato (l'intervallo di valori previsto per un dispositivo da considerare conforme) e l'origine usata per determinare le impostazioni correnti del dispositivo.

Dettagli del riquadro a comparsa di configurazione nella pagina del profilo

La scheda Dispositivi mostra un elenco di tutti i dispositivi applicabili e il relativo stato di conformità rispetto a questa configurazione specifica. Per ogni dispositivo, è possibile usare il valore corrente rilevato per vedere perché è conforme o non conforme.

Screenshot della pagina di conformità della linea di base

Visualizzazione in base al dispositivo

Nella scheda Dispositivi principale è possibile esaminare l'elenco dei dispositivi e valutarne lo stato di conformità segnalato.

Selezionando un dispositivo nell'elenco, verrà visualizzato un riquadro a comparsa con dettagli aggiuntivi.

Scheda Dispositivi nella pagina del profilo

Selezionare la scheda Configurazione per visualizzare la conformità di questo dispositivo specifico a tutte le configurazioni del profilo.

Nella parte superiore del pannello laterale del dispositivo selezionare Apri pagina del dispositivo per passare alla pagina del dispositivo nell'inventario del dispositivo. Nella pagina del dispositivo viene visualizzata la scheda Conformità di base che fornisce visibilità granulare sulla conformità del dispositivo.

Selezionando una configurazione nell'elenco, verrà visualizzato un riquadro a comparsa con i dettagli di conformità per l'impostazione dei criteri nel dispositivo.

Create e gestire le eccezioni

È possibile che si verifichino casi in cui non si vuole valutare configurazioni specifiche in determinati dispositivi. Ad esempio, un dispositivo potrebbe essere sotto il controllo di terze parti o potrebbe avere già una mitigazione alternativa. In queste situazioni è possibile aggiungere eccezioni per escludere la valutazione di configurazioni specifiche in un dispositivo.

I dispositivi inclusi nelle eccezioni non verranno valutati per le configurazioni specificate nei profili di base. Ciò significa che non influirà sulle metriche e sul punteggio di un'organizzazione e può aiutare a fornire alle organizzazioni una visione più chiara della loro conformità.

Per visualizzare le eccezioni:

  1. Passare allavalutazione delle baseline di gestione> delle vulnerabilità nel portale di Microsoft Defender.
  2. Selezionare la scheda Eccezioni nella parte superiore

Scheda Eccezioni nella pagina del profilo

Per aggiungere una nuova eccezione:

  1. Nella scheda Eccezioni selezionare il pulsante Create.

  2. Compilare i dettagli richiesti, inclusi il motivo della giustificazione e la durata.

  3. Selezionare Avanti.

  4. Nella pagina Ambito di configurazione scegliere il software, il benchmark di base e il livello di conformità e selezionare Avanti.

  5. Selezionare le configurazioni da aggiungere all'eccezione.

    Screenshot della pagina delle eccezioni di configurazione

  6. Selezionare Avanti per scegliere i dispositivi da includere nell'eccezione. L'eccezione verrà applicata automaticamente ai dispositivi.

  7. Selezionare Avanti per esaminare l'eccezione.

  8. Selezionare Invia per creare l'eccezione.

  9. Nella pagina finale selezionare Visualizza tutte le eccezioni per tornare alla pagina delle eccezioni.

Nella pagina Eccezioni selezionare una delle eccezioni per aprire un riquadro a comparsa in cui è possibile visualizzare lo stato, modificare o eliminare l'eccezione:

Screenshot della pagina dei dettagli lato eccezioni

Usare la ricerca avanzata

È possibile eseguire query di ricerca avanzate nelle tabelle seguenti per ottenere visibilità sulle baseline di sicurezza nell'organizzazione:

  • DeviceBaselineComplianceProfiles: fornisce dettagli sui profili creati.
  • DeviceBaselineComplianceAssessment: informazioni correlate alla conformità del dispositivo.
  • DeviceBaselineComplianceAssessmentKB: impostazioni generali per i benchmark CIS e STIG (non correlati ad alcun dispositivo).