Creare iniziative e criteri di sicurezza personalizzati

  • Articolo
  • 6 minuti per la lettura

Per proteggere i sistemi e l'ambiente, Microsoft Defender for Cloud genera raccomandazioni sulla sicurezza. Questi consigli si basano sulle procedure consigliate del settore, che vengono integrate nei più generici criteri di sicurezza predefiniti forniti a tutti i clienti. Possono anche provenire dalla conoscenza di Defender for Cloud degli standard normativi e del settore.

Con questa funzionalità è possibile aggiungere iniziative personalizzate . Anche se le iniziative personalizzate non sono incluse nel punteggio di sicurezza, si riceveranno consigli se l'ambiente non segue i criteri creati. Tutte le iniziative personalizzate create vengono visualizzate nell'elenco di tutte le raccomandazioni ed è possibile filtrare in base all'iniziativa per visualizzare le raccomandazioni per l'iniziativa. Vengono visualizzate anche con le iniziative predefinite nel dashboard di conformità alle normative, come descritto nell'esercitazione Migliorare la conformità alle normative.

Come illustrato nella documentazione sui criteri di Azure, quando si specifica una posizione per l'iniziativa personalizzata, è necessario indicare un gruppo di gestione o una sottoscrizione.

Suggerimento

Per una panoramica dei concetti chiave in questa pagina, vedere Che cosa sono i criteri di sicurezza, le iniziative e le raccomandazioni?.

È possibile visualizzare le iniziative personalizzate organizzate in base ai controlli, in modo analogo ai controlli nello standard di conformità. Per informazioni su come creare gruppi di criteri all'interno delle iniziative personalizzate e organizzarli nell'iniziativa, seguire le indicazioni fornite nei gruppi di definizioni dei criteri.

Per aggiungere un'iniziativa personalizzata alla sottoscrizione

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare la sottoscrizione o il gruppo di gestione pertinente a cui si vuole aggiungere un'iniziativa personalizzata.

    Nota

    Affinché le iniziative personalizzate vengano valutate e visualizzate in Defender for Cloud, è necessario aggiungerle a livello di sottoscrizione (o superiore). È consigliabile selezionare l'ambito più ampio disponibile.

  3. Aprire la pagina Criteri di sicurezza e nell'area Iniziative personalizzate selezionare Aggiungi un'iniziativa personalizzata.

    Screenshot dell'accesso alla pagina dei criteri di sicurezza in Microsoft Defender for Cloud.

  4. Nella pagina Aggiungi iniziative personalizzate controllare l'elenco dei criteri personalizzati già creati nell'organizzazione.

    • Se viene visualizzato uno che si vuole assegnare alla sottoscrizione, selezionare Aggiungi.

    • Se non è presente un'iniziativa nell'elenco che soddisfa le proprie esigenze, creare una nuova iniziativa personalizzata:

      1. Selezionare Crea nuovo.
      2. Immettere il percorso e il nome della definizione.
      3. Selezionare i criteri da includere e selezionare Aggiungi.
      4. Immettere i parametri desiderati.
      5. Selezionare Salva.
      6. Nella pagina Aggiungi iniziative personalizzate selezionare Aggiorna. La nuova iniziativa sarà disponibile.
      7. Selezionare Aggiungi e assegnarlo alla sottoscrizione.

    Creare o aggiungere un criterio.

    Nota

    Per creare una nuova iniziativa, è necessario specificare le credenziali del proprietario della sottoscrizione. Per altre informazioni sui ruoli di Azure, vedere Autorizzazioni in Microsoft Defender for Cloud.

    La nuova iniziativa diventa effettiva ed è possibile osservarne l'impatto nei due modi seguenti:

    • Dal menu Defender for Cloud selezionare Conformità alle normative. Viene visualizzato il dashboard di conformità in cui la nuova iniziativa personalizzata appare insieme alle iniziative predefinite.

    • Si inizierà a ricevere raccomandazioni nel momento in cui l'ambiente non segue più i criteri definiti.

  5. Per visualizzare i consigli risultanti per i criteri, selezionare Raccomandazioni dalla barra laterale per aprire la pagina dei consigli. Le raccomandazioni verranno contrassegnate con l'etichetta "Personalizzata" e saranno disponibili entro un'ora circa.

    Raccomandazioni personalizzate.

Configurare criteri di sicurezza in Criteri di Azure usando l'API REST

Nell'ambito dell'integrazione nativa con Criteri di Azure, Microsoft Defender for Cloud consente di sfruttare Criteri di Azure'API REST per creare assegnazioni di criteri. Le istruzioni seguenti illustrano la creazione di assegnazioni di criteri e la personalizzazione delle assegnazioni esistenti.

Concetti importanti in Criteri di Azure

  • Una definizione di criteri è una regola

  • Un'iniziativa è una raccolta di definizioni di criteri (regole)

  • Un'assegnazione è un'applicazione di un'iniziativa o di un criterio a un ambito specifico (gruppo di gestione, sottoscrizione e così via)

Defender for Cloud ha un'iniziativa predefinita, Azure Security Benchmark, che include tutti i criteri di sicurezza. Per valutare i criteri di Defender for Cloud sulle risorse di Azure, è necessario creare un'assegnazione nel gruppo di gestione o nella sottoscrizione da valutare.

L'iniziativa predefinita include tutti i criteri di Defender for Cloud abilitati per impostazione predefinita. È possibile scegliere di disabilitare determinati criteri dall'iniziativa predefinita. Ad esempio, per applicare tutti i criteri di Defender for Cloud ad eccezione del web application firewall, modificare il valore del parametro di effetto del criterio su Disabilitato.

Esempi di API

Negli esempi seguenti sostituire queste variabili:

  • {scope} immettere il nome del gruppo di gestione o della sottoscrizione a cui si applicano i criteri
  • {policyAssignmentName} immettere il nome dell'assegnazione dei criteri pertinente
  • {name} immettere il nome o il nome dell'amministratore che ha approvato la modifica dei criteri

Questo esempio illustra come assegnare l'iniziativa predefinita di Defender for Cloud in una sottoscrizione o in un gruppo di gestione:

   PUT  
   https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Microsoft Defender for Cloud", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{}, 

   } 

   }

Questo esempio illustra come assegnare l'iniziativa predefinita di Defender for Cloud in una sottoscrizione, con i criteri seguenti disabilitati:

  • Aggiornamenti del sistema ("systemUpdatesMonitoringEffect")

  • Configurazione di sicurezza ("systemConfigurationsMonitoringEffect")

  • Protezione di endpoint ("endpointProtectionMonitoringEffect")

   PUT https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01 

   Request Body (JSON) 

   { 

     "properties":{ 

   "displayName":"Enable Monitoring in Microsoft Defender for Cloud", 

   "metadata":{ 

   "assignedBy":"{Name}" 

   }, 

   "policyDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8", 

   "parameters":{ 

   "systemUpdatesMonitoringEffect":{"value":"Disabled"}, 

   "systemConfigurationsMonitoringEffect":{"value":"Disabled"}, 

   "endpointProtectionMonitoringEffect":{"value":"Disabled"}, 

   }, 

    } 

   }

Questo esempio illustra come assegnare un'iniziativa personalizzata di Defender for Cloud in una sottoscrizione o in un gruppo di gestione:

Nota

Assicurarsi di includere "ASC":"true" nel corpo della richiesta, come illustrato di seguito. Il ASC campo esegue l'onboarding dell'iniziativa in Microsoft Defender for Cloud.

  PUT  
  PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policySetDefinitions/{policySetDefinitionName}?api-version=2021-06-01

  Request Body (JSON) 

  {
    "properties": {
      "displayName": "Cost Management",
      "description": "Policies to enforce low cost storage SKUs",
      "metadata": {
        "category": "Cost Management"
        "ASC":"true"
      },
      "parameters": {
        "namePrefix": {
          "type": "String",
          "defaultValue": "myPrefix",
          "metadata": {
            "displayName": "Prefix to enforce on resource names"
          }
        }
      },
      "policyDefinitions": [
        {
          "policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
          "policyDefinitionReferenceId": "Limit_Skus",
          "parameters": {
            "listOfAllowedSKUs": {
              "value": [
                "Standard_GRS",
                "Standard_LRS"
              ]
            }
          }
        },
        {
          "policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
          "policyDefinitionReferenceId": "Resource_Naming",
          "parameters": {
            "prefix": {
              "value": "[parameters('namePrefix')]"
            },
            "suffix": {
              "value": "-LC"
            }
          }
        }
      ]
    }
  }

Questo esempio illustra come rimuovere un'assegnazione:

  DELETE   
  https://management.azure.com/{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}?api-version=2018-05-01

Migliorare le raccomandazioni personalizzate con informazioni dettagliate

Le raccomandazioni predefinite fornite con Microsoft Defender for Cloud includono dettagli come i livelli di gravità e le istruzioni di correzione. Per aggiungere questo tipo di informazioni alle raccomandazioni personalizzate in modo che vengano visualizzate nel portale di Azure o in qualsiasi altra posizione da cui si accede alle raccomandazioni, è necessario usare l'API REST.

I due tipi di informazioni che è possibile aggiungere sono:

  • RemediationDescription - Stringa
  • Severity - Enumerazione [Low, Medium, High]

Per i criteri associati a un'iniziativa personalizzata è necessario aggiungere anche i metadati, specificandoli nella proprietà 'securityCenter', come illustrato di seguito:

 "metadata": {
	"securityCenter": {
		"RemediationDescription": "Custom description goes here",
		"Severity": "High"
    },

Di seguito è riportato un esempio di criteri personalizzati con la proprietà metadata/securityCenter inclusa:

{
"properties": {
	"displayName": "Security - ERvNet - AuditRGLock",
	"policyType": "Custom",
	"mode": "All",
	"description": "Audit required resource groups lock",
	"metadata": {
		"securityCenter": {
			"RemediationDescription": "Resource Group locks can be set via Azure Portal -> Resource Group -> Locks",
			"Severity": "High"
		}
	},
	"parameters": {
		"expressRouteLockLevel": {
			"type": "String",
			"metadata": {
				"displayName": "Lock level",
				"description": "Required lock level for ExpressRoute resource groups."
			},
			"allowedValues": [
				"CanNotDelete",
				"ReadOnly"
			]
		}
	},
	"policyRule": {
		"if": {
			"field": "type",
			"equals": "Microsoft.Resources/subscriptions/resourceGroups"
		},
		"then": {
			"effect": "auditIfNotExists",
			"details": {
				"type": "Microsoft.Authorization/locks",
				"existenceCondition": {
					"field": "Microsoft.Authorization/locks/level",
					"equals": "[parameters('expressRouteLockLevel')]"
				}
			}
		}
	}
}
}

Per un altro esempio di uso della proprietà securityCenter, vedere questa sezione della documentazione dell'API REST.

Passaggi successivi

In questo articolo si è appreso come creare criteri di sicurezza personalizzati.

Per altri materiali correlati, vedere gli articoli seguenti: