Descrivere le soluzioni di sicurezza di Azure Arc
Contoso vuole proteggere i server e i cluster Kubernetes connessi ad Azure Arc. Usando Microsoft Sentinel, Contoso può raccogliere eventi correlati alla sicurezza per i server abilitati per Arc, offrendo il rilevamento degli avvisi, la visibilità delle minacce e altri vantaggi. Contoso può anche usare Microsoft Defender per server per monitorare il comportamento di sicurezza dei server abilitati per Arc, contribuendo anche a proteggere i cluster Kubernetes tramite Microsoft Defender per contenitori.
Sicurezza di Azure Arc con Microsoft Sentinel
Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) integrata. Microsoft Sentinel rende disponibili funzionalità di intelligence sulle minacce, offrendo un'unica soluzione per il rilevamento degli attacchi, la ricerca proattiva e la risposta alle minacce. Microsoft Sentinel offre una panoramica generale sull'intera azienda, alleviando il carico associato ad attacchi sempre più sofisticati, volume crescente degli avvisi e lunghi tempi di risoluzione.
I vantaggi di Microsoft Sentinel sono i seguenti:
- Raccogliere dati su scala cloud per tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, in locale e in più cloud.
- Rilevare le minacce precedentemente non individuate e ridurre al minimo i falsi positivi grazie alle funzionalità di analisi e alla straordinaria intelligence sulle minacce di Microsoft.
- Analizzare le minacce tramite intelligenza artificiale e rilevare le attività sospette su larga scala, sfruttando i vantaggi di anni di esperienza di Microsoft a livello di cybersecurity.
- Rispostarapida agli eventi imprevisti con funzionalità integrate di orchestrazione e automazione delle attività comuni.
Tramite Azure Arc, questi vantaggi possono estendersi ai server nell'ambiente ibrido di Contoso.
Microsoft Sentinel è dotato di diversi connettori per le soluzioni Microsoft, che sono disponibili per impostazione predefinita e consentono l'integrazione in tempo reale. Per le macchine virtuali e fisiche, si installa l'agente di Log Analytics che raccoglie i log e li inoltra a Microsoft Sentinel.
Dopo che i server abilitati per Azure Arc sono stati connessi all'area di lavoro Log Analytics e Microsoft Sentinel è stato abilitato, è possibile configurare i connettori dati per avviare l'inserimento dei log.
Contoso può usare i modelli di rilevamento delle minacce di Microsoft Sentinel per creare regole personalizzate per rilevare attività sospette. Questi modelli di regola si basano su minacce note e vettori di attacco comuni e consentono a Contoso di creare regole specifiche per cercare automaticamente le minacce nell'ambiente. È possibile personalizzare i modelli per cercare le attività o escluderle tramite filtro, in base alle esigenze.
Sicurezza di Azure Arc con Microsoft Sentinel
Microsoft Defender per server e Microsoft Defender per contenitori offrono una protezione dalle minacce aggiuntiva per i server e i cluster Kubernetes di Contoso.
Microsoft Defender per i server è una delle funzionalità di sicurezza avanzate di Defender per il cloud. Microsoft Defender per server aggiunge il rilevamento delle minacce e le difese avanzate ai computer Windows e Linux, indipendentemente dal fatto che siano in esecuzione in Azure, in locale o in un ambiente multi-cloud.
Microsoft Defender per contenitori è la soluzione nativa del cloud per la protezione dei contenitori. Defender per contenitori protegge i cluster valutandoli continuamente, offrendo visibilità sulle configurazioni errate e fornendo linee guida per ridurre le minacce identificate. La protezione dalle minacce genera avvisi di sicurezza per attività sospette.