Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'infrastruttura comprende l'hardware, il software, i microservizi, l'infrastruttura di rete e le strutture necessarie per supportare i servizi IT per un'organizzazione. Le soluzioni di infrastruttura Zero Trust valutano, monitorano e impediscono minacce alla sicurezza per questi servizi.
Le soluzioni di infrastruttura Zero Trust supportano i principi di Zero Trust assicurandosi che l'accesso alle risorse dell'infrastruttura venga verificato in modo esplicito, l'accesso venga concesso usando principi di accesso con privilegi minimi e meccanismi che presuppongono violazioni e cercano e correggeno le minacce alla sicurezza nell'infrastruttura.
Queste linee guida sono destinate a provider di software e partner tecnologici che vogliono migliorare le proprie soluzioni di sicurezza dell'infrastruttura integrandosi con i prodotti Microsoft.
Guida all'integrazione zero trust per l'infrastruttura
Questa guida all'integrazione include strategia e istruzioni per l'integrazione con Microsoft Defender for Cloud e i relativi piani di protezione integrata per carichi di lavoro cloud, Microsoft Defender per ... (Server, contenitori, database, archiviazione, servizi app e altro ancora).
Le linee guida includono le integrazioni con le soluzioni SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR), Rilevamento endpoint e risposta (EDR) e GESTIONE dei servizi IT (ITSM).
Zero Trust e Defender for Cloud
Le linee guida per la distribuzione dell'infrastruttura Zero Trust forniscono le fasi chiave della strategia Zero Trust per l'infrastruttura:
- Valutare la conformità con gli standard e i criteri scelti
- Protezione avanzata della configurazione ovunque si trovino lacune
- Usare altri strumenti di protezione avanzata, ad esempio l'accesso JIT (Just-In-Time) alle macchine virtuali
- Configurare il rilevamento e le protezioni delle minacce
- Bloccare e contrassegna automaticamente il comportamento rischioso e intraprendere azioni protettive
Esiste un chiaro mapping degli obiettivi descritti nelle linee guida per la distribuzione dell'infrastruttura per gli aspetti principali di Defender for Cloud.
| Obiettivo Zero Trust | Funzionalità di Defender for Cloud |
|---|---|
| Valutare la conformità | In Defender for Cloud ogni sottoscrizione ha automaticamente il benchmark di sicurezza cloud Microsoft assegnato come iniziativa di sicurezza predefinita. Usando gli strumenti del punteggio di sicurezza e il dashboard di conformità alle normative è possibile ottenere una conoscenza approfondita del comportamento di sicurezza del cliente. |
| Configurazione della protezione avanzata | Assegnare iniziative di sicurezza alle sottoscrizioni ed esaminare il punteggio di sicurezza per fornire indicazioni sulla protezione avanzata integrate in Defender for Cloud. Defender for Cloud analizza periodicamente lo stato di conformità delle risorse per identificare potenziali errori di configurazione e punti deboli della sicurezza. Fornisce quindi raccomandazioni su come risolvere tali problemi. |
| Usare meccanismi di protezione avanzata | E le correzioni occasionali per le configurazioni errate della sicurezza, Defender for Cloud include funzionalità per rafforzare ulteriormente le risorse, ad esempio: Accesso JIT (Just-In-Time) alle macchine virtuali Protezione avanzata adattiva della rete Controlli applicazioni adattivi. |
| Configurare il rilevamento delle minacce | Defender for Cloud offre piani di protezione dei carichi di lavoro cloud integrati, per il rilevamento e la risposta alle minacce. I piani offrono risorse e carichi di lavoro avanzati, intelligenti, di protezione di Azure, ibridi e multicloud. Uno dei piani di Microsoft Defender, Defender per server, include un'integrazione nativa con Microsoft Defender per endpoint. Per altre informazioni, vedere Introduzione a Microsoft Defender for Cloud. |
| Blocca automaticamente il comportamento sospetto | Molte delle raccomandazioni di protezione avanzata in Defender for Cloud offrono un'opzione di negazione . Questa funzionalità consente di impedire la creazione di risorse che non soddisfano i criteri di protezione avanzata definiti. Per altre informazioni, vedere Impedire errori di configurazione con le raccomandazioni Enforce/Deny. |
| Contrassegna automaticamente il comportamento sospetto | I rilevamenti avanzati attivano gli avvisi di sicurezza di Microsoft Defender for Cloud. Defender for Cloud assegna priorità ed elenca gli avvisi, insieme alle informazioni necessarie per analizzare rapidamente il problema. Defender for Cloud fornisce anche passaggi dettagliati per correggere gli attacchi. Per un elenco completo degli avvisi disponibili, vedere Avvisi di sicurezza - guida di riferimento. |
Proteggere i servizi PaaS di Azure con Defender for Cloud
Con Defender for Cloud abilitato nella sottoscrizione e i piani di protezione del carico di lavoro di Defender abilitati per tutti i tipi di risorse disponibili, è disponibile un livello di protezione intelligente dalle minacce, la protezione delle risorse in Azure Key Vault, Archiviazione di Azure, DNS di Azure e altri servizi PaaS di Azure. Per un elenco completo, vedere i servizi PaaS elencati nella matrice di supporto.
App per la logica di Azure
Usare App per la logica di Azure per creare flussi di lavoro scalabili automatizzati, processi aziendali e orchestrazioni aziendali per integrare le app e i dati nei servizi cloud e nei sistemi locali.
La funzionalità di automazione del flusso di lavoro di Defender for Cloud consente di automatizzare le risposte ai trigger di Defender for Cloud.
Questo approccio è un ottimo modo per definire e rispondere in modo automatizzato e coerente quando vengono individuate le minacce. Ad esempio, per notificare agli stakeholder pertinenti, avviare un processo di gestione delle modifiche e applicare passaggi di correzione specifici quando viene rilevata una minaccia.
Integrare Defender for Cloud con le soluzioni SIEM, SOAR e ITSM
Microsoft Defender for Cloud può trasmettere gli avvisi di sicurezza nelle soluzioni SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) e IT Service Management (ITSM).
Sono disponibili strumenti nativi di Azure per garantire che sia possibile visualizzare i dati degli avvisi in tutte le soluzioni più diffuse attualmente in uso, tra cui:
- Microsoft Sentinel
- Splunk Enterprise e Splunk Cloud
- QRadar di IBM
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender for Cloud si integra in modo nativo con Microsoft Sentinel, la soluzione SIEM (Security Information Event Management) nativa del cloud e soAR (Security Orchestration Automated Response).
Esistono due approcci per garantire che i dati di Defender for Cloud siano rappresentati in Microsoft Sentinel:
Connettori sentinel : Microsoft Sentinel include connettori predefiniti per Microsoft Defender for Cloud a livello di sottoscrizione e tenant:
- Trasmettere avvisi a Microsoft Sentinel a livello di sottoscrizione
- Connettere tutte le sottoscrizioni nel tenant a Microsoft Sentinel
Suggerimento
Per altre informazioni, vedere Connettere gli avvisi di sicurezza da Microsoft Defender for Cloud.
Trasmettere i log di controllo : un modo alternativo per analizzare gli avvisi di Defender for Cloud in Microsoft Sentinel consiste nel trasmettere i log di controllo in Microsoft Sentinel:
Trasmettere avvisi con l'API Microsoft Graph Security
Defender for Cloud include un'integrazione predefinita con l'API Microsoft Graph Security. Non è necessaria alcuna configurazione e non sono previsti costi aggiuntivi.
È possibile usare questa API per trasmettere avvisi dall'intero tenant (e i dati di molti altri prodotti Microsoft Security) in SIEM non Microsoft e altre piattaforme comuni:
- Splunk Enterprise e Splunk Cloud - Usare l'API Microsoft Graph Security Add-On per Splunk
- Power BI - Connettersi all'API Microsoft Graph Security in Power BI Desktop
- ServiceNow - Seguire le istruzioni per installare e configurare l'applicazione api Microsoft Graph Security da ServiceNow Store
- QRadar - Modulo di supporto dei dispositivi IBM per Microsoft Defender for Cloud tramite l'API Microsoft Graph
- Palo Alto Networks, Anomali, Lookout, InSpark e altro ancora - API Microsoft Graph Security
Altre informazioni sull'API Microsoft Graph Security.
Trasmettere avvisi con Monitoraggio di Azure
Usare la funzionalità di esportazione continua di Defender for Cloud per connettere Defender for Cloud con Monitoraggio di Azure tramite Hub eventi di Azure e trasmettere avvisi in ArcSight, SumoLogic, server Syslog, LogRhythm, Logz.io Cloud Observability Platform e altre soluzioni di monitoraggio.
Per altre informazioni, vedere Avvisi di Stream con Monitoraggio di Azure.
È anche possibile eseguire questa operazione a livello di gruppo di gestione usando Criteri di Azure. Vedere Creare configurazioni di automazione dell'esportazione continua su larga scala.
Suggerimento
Per visualizzare gli schemi eventi dei tipi di dati esportati, visitare gli schemi di eventi di Hub eventi.
Integrare Defender for Cloud con una soluzione di rilevamento e risposta degli endpoint (EDR)
Microsoft Defender per endpoint
Microsoft Defender per endpoint è una soluzione olistica di sicurezza degli endpoint fornita dal cloud.
Microsoft Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, forniscono funzionalità complete di rilevamento e risposta degli endpoint (EDR). Per altre informazioni, vedere Proteggere gli endpoint.
Quando Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender for Cloud ed è possibile passare alla console di Defender per endpoint per eseguire un'indagine dettagliata e scoprire l'ambito dell'attacco. Altre informazioni su Microsoft Defender per endpoint.
Altre soluzioni EDR
Defender for Cloud offre raccomandazioni per la protezione avanzata per assicurarsi di proteggere le risorse dell'organizzazione in base alle linee guida di Microsoft Cloud Security Benchmark (MCSB). Uno dei controlli nel benchmark è correlato alla sicurezza degli endpoint: ES-1: Usare il rilevamento degli endpoint e la risposta (EDR).
In Defender for Cloud sono disponibili due raccomandazioni per assicurarsi di abilitare Endpoint Protection e di funzionare correttamente. Questi consigli verificano la presenza e l'integrità operativa delle soluzioni EDR da:
- Trend Micro
- Symantec
- Mcafee
- Sophos
Per altre informazioni, vedere Valutazione e consigli di Endpoint Protection in Microsoft Defender for Cloud.
Applicare la strategia Zero Trust agli scenari ibridi e multicloud
Con i carichi di lavoro cloud che in genere si estendono su più piattaforme cloud, i servizi di sicurezza cloud devono eseguire le stesse operazioni.
Microsoft Defender for Cloud protegge i carichi di lavoro ovunque siano in esecuzione: in Azure, in locale, Amazon Web Services (AWS) o Google Cloud Platform (GCP).
Integrare Defender for Cloud con computer locali
Per proteggere i carichi di lavoro cloud ibridi, è possibile estendere le protezioni di Defender for Cloud connettendo i computer locali ai server abilitati per Azure Arc.
Informazioni su come connettere i computer in Connettere i computer non Azure a Defender for Cloud.
Integrare Defender for Cloud con altri ambienti cloud
Per visualizzare il comportamento di sicurezza dei computer Amazon Web Services in Defender for Cloud, eseguire l'onboarding degli account AWS in Defender for Cloud. Questo approccio integra AWS Security Hub e Microsoft Defender for Cloud per una visualizzazione unificata delle raccomandazioni di Defender for Cloud e dei risultati di AWS Security Hub e offre una serie di vantaggi, come descritto in Connettere gli account AWS a Microsoft Defender for Cloud.
Per visualizzare il comportamento di sicurezza dei computer Google Cloud Platform in Defender for Cloud, eseguire l'onboarding degli account GCP in Defender for Cloud. Questo approccio integra il comando di sicurezza GCP e Microsoft Defender for Cloud per una visualizzazione unificata delle raccomandazioni di Defender for Cloud e dei risultati del Centro comandi di sicurezza GCP e offre una serie di vantaggi, come descritto in Connettere gli account GCP a Microsoft Defender for Cloud.
Passaggi successivi
Per altre informazioni su Microsoft Defender for Cloud, vedere la documentazione completa di Defender for Cloud.