Che cos'è Microsoft Defender per cloud?

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati i Azure Defender in piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione.

Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Defender for Cloud è uno strumento per la gestione delle posture di sicurezza e la protezione dalle minacce. Rafforza la sicurezza delle risorse cloud e, con i piani integrati di Microsoft Defender, Defender for Cloud protegge i carichi di lavoro in esecuzione in Azure, in ambienti ibridi e in altre piattaforme cloud.

Defender for Cloud offre gli strumenti necessari per rendere più dure le risorse, tenere traccia del proprio stato di sicurezza, proteggersi dagli attacchi informatici e semplificare la gestione della sicurezza. Poiché è integrata in modo nativo, la distribuzione di Defender for Cloud è semplice, offrendo un provisioning automatico semplice per proteggere le risorse per impostazione predefinita.

Defender for Cloud è in grado di soddisfare tre esigenze fondamentali quando si gestisce la sicurezza delle risorse e dei carichi di lavoro nel cloud e in locale:

Informazioni sulle funzionalità di base di Microsoft Defender per cloud.

Requisito di sicurezza Soluzione Defender for Cloud
Valutazione continua: comprendere il problema di sicurezza corrente. Punteggio di sicurezza: un singolo punteggio in modo da poter identificare a colpo d'occhio la situazione di sicurezza corrente: maggiore è il punteggio, minore è il livello di rischio identificato.
Protezione: protezione avanzata di tutte le risorse e i servizi connessi. Raccomandazioni sulla sicurezza: attività di protezione avanzata personalizzate e con priorità per migliorare la posizione. Per implementare una raccomandazione, seguire i passaggi dettagliati di correzione forniti nella raccomandazione. Per molte raccomandazioni, Defender for Cloud offre un pulsante "Correggi" per l'implementazione automatica.
Difesa: rilevare e risolvere le minacce a tali risorse e servizi. Avvisi di sicurezza: con le funzionalità di sicurezza avanzate abilitate, Defender for Cloud rileva le minacce alle risorse e ai carichi di lavoro. Questi avvisi vengono visualizzati nel portale di Azure e Defender for Cloud può anche inviarli tramite posta elettronica al personale pertinente dell'organizzazione. Gli avvisi possono essere trasmessi anche alle soluzioni SIEM, SOAR o IT Service Management in base alle esigenze.

Gestione delle posture e protezione dei carichi di lavoro

Le funzionalità di Microsoft Defender per cloud riguardano i due principali pilastri della sicurezza cloud: la gestione delle posture di sicurezza cloud e la protezione dei carichi di lavoro cloud.

Cloud Security Posture Management (CSPM)

In Defender for Cloud le funzionalità di gestione delle posture offrono:

  • Visibilità: per comprendere la situazione di sicurezza corrente
  • Linee guida per la protezione avanzata: per migliorare in modo efficiente ed efficace la sicurezza

La funzionalità centrale di Defender for Cloud che consente di raggiungere questi obiettivi è il punteggio sicuro. Defender for Cloud valuta continuamente le risorse, le sottoscrizioni e l'organizzazione per i problemi di sicurezza. Aggrega quindi tutti i risultati in un singolo punteggio, in modo da poter indicare, a colpo d'occhio, lo stato di sicurezza attuale: maggiore è il punteggio, minore è il livello di rischio identificato.

Quando si apre Defender for Cloud per la prima volta, soddisfa gli obiettivi di visibilità e di consolidamento, come indicato di seguito:

  1. Generare un punteggio di sicurezza per le sottoscrizioni in base a una valutazione delle risorse connesse rispetto alle indicazioni fornite in Azure Security Benchmark. Usare il punteggio per comprendere il proprio stato di sicurezza e il dashboard di conformità per verificare la conformità con il benchmark predefinito. Dopo aver abilitato le funzionalità di sicurezza avanzate, è possibile personalizzare gli standard usati per valutare la conformità e aggiungere altre normative (ad esempio NIST e Azure CIS) o requisiti di sicurezza specifici dell'organizzazione.

  2. Fornire raccomandazioni per la protezione avanzata in base a eventuali errori di configurazione e punti deboli di sicurezza identificati. Usare queste raccomandazioni sulla sicurezza per rafforzare la sicurezza delle risorse azure, ibride e multi-cloud dell'organizzazione.

Altre informazioni sul punteggio di sicurezza.

Cloud Workload Protection (CWP)

Defender for Cloud offre avvisi di sicurezza basati su Microsoft Threat Intelligence. Include anche una gamma di protezioni avanzate, intelligenti e per i carichi di lavoro. Le protezioni del carico di lavoro vengono fornite tramite piani di Microsoft Defender specifici per i tipi di risorse nelle sottoscrizioni. Ad esempio, è possibile abilitare Microsoft Defender per Archiviazione ricevere avvisi sulle attività sospette correlate agli account Archiviazione di Azure personali.

Protezioni azure, ibride e multi-cloud

Poiché Defender for Cloud è un servizio nativo di Azure, molti servizi di Azure vengono monitorati e protetti senza la necessità di alcuna distribuzione.

Quando necessario, Defender for Cloud può distribuire automaticamente un agente di Log Analytics per raccogliere dati correlati alla sicurezza. Per i computer Azure, la distribuzione viene gestita direttamente. Per gli ambienti ibridi e multi-cloud, i piani di Microsoft Defender vengono estesi a computer non Azure con l'aiuto di Azure Arc. Le funzionalità di CSPM vengono estese ai computer multi-cloud senza la necessità di agenti (vedere Proteggere le risorse in esecuzione in altri cloud).

Protezioni native di Azure

Defender for Cloud consente di rilevare le minacce in:

  • Servizi PaaS di Azure: rilevare le minacce per i servizi di Azure, tra cui Servizio app di Azure, Azure SQL, Archiviazione di Azure Account e altri servizi dati. È anche possibile eseguire il rilevamento delle anomalie nei log attività di Azure usando l'integrazione nativa con Microsoft Defender per le app cloud (precedentemente nota come Microsoft Cloud App Security).

  • Servizi dati di Azure : Defender per cloud include funzionalità che consentono di classificare automaticamente i dati in Azure SQL. È anche possibile ottenere valutazioni per le potenziali vulnerabilità nei servizi di archiviazione e SQL di Azure e raccomandazioni su come attenuarle.

  • Reti: Defender per cloud consente di limitare l'esposizione agli attacchi di forza bruta. Riducendo l'accesso alle porte delle macchine virtuali, tramite l'accesso alle macchine virtuali JIT, è possibile rafforzare la protezione della rete impedendo accessi non necessari. È possibile impostare policy di accesso sicure su porte selezionate, per i soli utenti autorizzati, intervalli di indirizzi IP di origine o singoli indirizzi IP e per un periodo di tempo limitato.

Proteggere le risorse ibride

Oltre a proteggere l'ambiente azure, è possibile aggiungere le funzionalità di Defender for Cloud all'ambiente cloud ibrido per proteggere i server non Azure. Per concentrarsi su ciò che conta di più, si otterrà un'intelligence personalizzata per le minacce e avvisi con priorità in base all'ambiente specifico.

Per estendere la protezione ai computer locali, distribuire Azure Arc e abilitare le funzionalità di sicurezza avanzate di Defender for Cloud. Per altre informazioni, vedere Aggiungere computer non Azure con Azure Arc.

Proteggere le risorse in esecuzione in altri cloud

Defender per cloud può proteggere le risorse in altri cloud,ad esempio AWS e GCP.

Ad esempio, se è stato connesso un account Amazon Web Services (AWS) a una sottoscrizione di Azure, è possibile abilitare una di queste protezioni:

  • Le funzionalità CSPM di Defender for Cloud si estendono alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste sono incluse nel punteggio di sicurezza. Le risorse verranno inoltre valutate per la conformità agli standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). La pagina di inventario degli asset di Defender for Cloud è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.
  • Microsoft Defender per Kubernetes estende il rilevamento delle minacce dei contenitori e le difese avanzate ai cluster Amazon EKS Linux.
  • Microsoft Defender per i server offre il rilevamento delle minacce e le difese avanzate per Windows e linux EC2. Questo piano include la licenza integrata per Microsoft Defender per Endpoint, le baseline di sicurezza e le valutazioni a livello del sistema operativo, l'analisi della valutazione delle vulnerabilità, i controlli adattivi delle applicazioni (AAC), il monitoraggio dell'integrità dei file (FIM) e altro ancora.

Altre informazioni sulla connessione degli account AWS e GCP a Microsoft Defender per cloud.

Valutazione e gestione delle vulnerabilità

Concentrarsi sulle funzionalità di valutazione di Microsoft Defender per cloud.

Defender per cloud include soluzioni di valutazione delle vulnerabilità per le macchine virtuali, i registri contenitori e SQL server come parte delle funzionalità di sicurezza avanzate. Alcuni scanner sono basati su Qualys. Ma non è necessaria una licenza Qualys o anche un account Qualys: tutto viene gestito senza problemi all'interno di Defender for Cloud.

Microsoft Defender per i server include l'integrazione nativa automatica con Microsoft Defender per endpoint. Altre informazioni, Proteggere gli endpoint con la soluzione EDR cloud integrata di Defender for Cloud: Microsoft Defender for Endpoint. Con questa integrazione abilitata, sarà possibile accedere ai risultati della vulnerabilità di Microsoft gestione di minacce e vulnerabilità. Per altre informazioni, vedere Analizzare i punti deboli con Microsoft Defender per l'endpoint gestione di minacce e vulnerabilità.

Esaminare i risultati di questi scanner di vulnerabilità e rispondervi tutti dall'interno di Defender for Cloud. Questo approccio generale avvicina Defender for Cloud al singolo riquadro di controllo per tutte le attività di sicurezza del cloud.

Per altre informazioni, vedere le pagine seguenti:

Concentrarsi sulle funzionalità "sicure" di Microsoft Defender per cloud.

Conoscere e verificare che i carichi di lavoro siano protetti è fondamentale. Per farlo, è necessario disporre di policy di sicurezza personalizzate. Poiché i criteri in Defender per Cloud si basano sui controlli Criteri di Azure, è possibile ottenere l'intera gamma e la flessibilità di una soluzione di criteri di livello mondiale. In Defender for Cloud è possibile impostare i criteri per l'esecuzione su gruppi di gestione, tra sottoscrizioni e anche per un intero tenant.

Defender for Cloud individua continuamente le nuove risorse distribuite tra i carichi di lavoro e valuta se sono configurate in base alle procedure consigliate per la sicurezza. In caso contrario, vengono contrassegnati e viene visualizzato un elenco di raccomandazioni con priorità per ciò che è necessario correggere. Consigli ridurre la superficie di attacco in ogni risorsa.

L'elenco di raccomandazioni è abilitato e supportato da Azure Security Benchmark. Questo benchmark specifico di Azure creato da Microsoft offre un set di linee guida per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Per altre informazioni, vedere Introduzione ad Azure Security Benchmark.

In questo modo, Defender for Cloud consente non solo di impostare i criteri di sicurezza, ma anche di applicare standard di configurazione sicuri tra le risorse.

Esempio di raccomandazione di Defender for Cloud.

Per comprendere l'importanza di ogni raccomandazione per la sicurezza complessiva, Defender for Cloud raggruppa le raccomandazioni in controlli di sicurezza e aggiunge un valore di punteggio sicuro a ogni controllo. Si tratta di una funzionalità essenziale per classificare in ordine di priorità gli interventi di sicurezza.

Punteggio di sicurezza di Defender per il cloud.

Difesa dalle minacce

Concentrarsi sulle funzionalità di "difesa" di Microsoft Defender per cloud.

Defender per cloud offre:

  • Avvisi di sicurezza: quando Defender per cloud rileva una minaccia in qualsiasi area dell'ambiente, genera un avviso di sicurezza. Questi avvisi descrivono i dettagli sulle risorse interessate, le procedure di correzione consigliate e, in alcuni casi, un'opzione per attivare un'app per la logica in risposta. Se un avviso viene generato da Defender per cloud o ricevuto da Defender per Cloud da un prodotto di sicurezza integrato, è possibile esportarlo. Per esportare gli avvisi in Microsoft Sentinel, in qualsiasi sistema SIEM di terze parti o in qualsiasi altro strumento esterno, seguire le istruzioni in Trasmettere gli avvisi a una soluzione SIEM, SOARo gestione dei servizi IT. La protezione dalle minacce di Defender per cloud include l'analisi della kill chain fusion, che correla automaticamente gli avvisi nell'ambiente in base all'analisi della catena di attacco informatica, per aiutare a comprendere meglio la storia completa di una campagna di attacco, il punto in cui è iniziata e il tipo di impatto sulle risorse. Le finalità della kill chain supportate da Defender per Cloud si basano sulla versione 7 della matrice MITRE ATT&CK.

  • Funzionalità avanzate di protezione dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora: le protezioni includono la protezione delle porte di gestione delle macchine virtuali con accesso just-in-timee i controlli applicazioni adattivi per creare elenchi consentiti per le app che devono e non devono essere eseguite nei computer.

La pagina Piani di Defender di Microsoft Defender per cloud offre i piani seguenti per difese complete per i livelli di calcolo, dati e servizio dell'ambiente:

Usare i riquadri di protezione avanzata nel dashboard delle protezioni dei carichi di lavoro per monitorare e configurare ognuna di queste protezioni.

Suggerimento

Microsoft Defender per IoT è un prodotto separato. Tutti i dettagli sono presenti in Introduzione a Microsoft Defender per IoT.

Passaggi successivi

  • Per iniziare a usare Defender per cloud, è necessaria una sottoscrizione per Microsoft Azure. Se non si ha una sottoscrizione, iscriversi per una versione di valutazione gratuita.

  • Il piano gratuito di Defender per cloud viene abilitato in tutte le sottoscrizioni di Azure correnti quando si visitano le pagine di Defender per cloud nel portale di Azure per la prima volta o se abilitati a livello di codice tramite l'API REST. Per sfruttare le funzionalità avanzate di gestione della sicurezza e rilevamento delle minacce, è necessario abilitare le funzionalità di sicurezza avanzate. Queste funzionalità sono gratuite per i primi 30 giorni. Altre informazioni sui prezzi.

  • Se si è pronti per abilitare le funzionalità di sicurezza avanzate ora, guida introduttiva: Abilitare le funzionalità di sicurezza avanzate illustra i passaggi.