Eseguire la correzione con le regole di governance

Anche se il team responsabile della sicurezza è responsabile del miglioramento del comportamento di sicurezza, i membri del team potrebbero non implementare effettivamente le raccomandazioni sulla sicurezza.

L'uso delle regole di governance guidate dal team di sicurezza consente di gestire la responsabilità e un contratto di servizio per il processo di correzione.

Per altre informazioni, guardare questo episodio della Defender per il cloud nella serie video Field.

Regole di governance

È possibile definire regole che assegnano un proprietario e una data di scadenza per l'indirizzamento delle raccomandazioni per risorse specifiche. In questo modo, i proprietari delle risorse hanno un set chiaro di attività e scadenze per la correzione delle raccomandazioni.

Per tenere traccia, è possibile esaminare lo stato di avanzamento delle attività di correzione per sottoscrizione, raccomandazione o proprietario, in modo da poter seguire le attività che richiedono maggiore attenzione.

• Le regole di governance possono identificare le risorse che richiedono la correzione in base a raccomandazioni o gravità specifiche.
• La regola assegna un proprietario e una data di scadenza per garantire che le raccomandazioni vengano gestite. Molte regole di governance possono essere applicate alle stesse raccomandazioni, quindi la regola con un valore di priorità inferiore è quella che assegna il proprietario e la data di scadenza.
• La data di scadenza impostata per la raccomandazione da correggere è basata su un intervallo di tempo di 7, 14, 30 o 90 giorni da quando la raccomandazione viene trovata dalla regola.
• Ad esempio, se la regola identifica la risorsa il 1° marzo e l'intervallo di tempo di correzione è di 14 giorni, il 15 marzo è la data di scadenza.
• È possibile applicare un periodo di tolleranza in modo che le risorse date una data di scadenza non influiscano sul punteggio di sicurezza.
• È anche possibile impostare il proprietario delle risorse interessate dalle raccomandazioni specificate.
• Nelle organizzazioni che usano i tag delle risorse per associare le risorse a un proprietario, è possibile specificare la chiave del tag e la regola di governance legge il nome del proprietario della risorsa dal tag.
• Il proprietario viene visualizzato come non specificato quando il proprietario non è stato trovato nella risorsa, nel gruppo di risorse associato o nella sottoscrizione associata in base al tag specificato.
• Per impostazione predefinita, le notifiche tramite posta elettronica vengono inviate ai proprietari delle risorse settimanalmente per fornire un elenco delle attività in tempo e scadute.
• Se viene trovato un messaggio di posta elettronica per il manager del proprietario nell'ID Microsoft Entra dell'organizzazione, il responsabile del proprietario riceve un messaggio di posta elettronica settimanale che mostra le raccomandazioni scadute per impostazione predefinita.
• Le regole in conflitto vengono applicate in ordine di priorità. Ad esempio, le regole in un ambito di gestione (gruppi di gestione di Azure, account AWS e organizzazioni GCP), diventano effettive prima delle regole per gli ambiti (ad esempio, sottoscrizioni di Azure, account AWS o progetti GCP).

Operazioni preliminari

• Il piano CSPM (Defender Cloud Security Posture Management) deve essere abilitato.
• Sono necessarie le autorizzazioni Collaboratore, Sicurezza Amministrazione o Proprietario per le sottoscrizioni di Azure.
• Per gli account AWS e i progetti GCP, sono necessarie le autorizzazioni Collaboratore, Sicurezza Amministrazione o Proprietario per i connettori AWS o GCP Defender per il cloud.

Definire una regola di governance

È possibile definire una regola di governance come indicato di seguito:

1. Accedi al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Invironment settings Governance rules (Regole di governance delle impostazioni>di ambiente).

3. Selezionare Crea regola di governance.

   

4. Specificare un nome e un ambito della regola in cui applicare la regola.

   • Le regole per l'ambito di gestione (gruppi di gestione di Azure, account master AWS, organizzazioni GCP) vengono applicate prima delle regole in un singolo ambito.
   • È possibile definire le esclusioni all'interno dell'ambito in base alle esigenze.

5. Impostare un livello di priorità.

   Le regole vengono eseguite in ordine di priorità dal più alto (1) al più basso (1000).

6. Specificare una descrizione per identificare la regola.

7. Selezionare Avanti.

8. Specificare il modo in cui le raccomandazioni sono interessate dalla regola.

   • Per gravità : la regola assegna il proprietario e la data di scadenza a qualsiasi raccomandazione nella sottoscrizione che non li ha già assegnati.
   • Per raccomandazioni specifiche: selezionare le raccomandazioni predefinite o personalizzate specifiche a cui si applica la regola.

   

9. Impostare il proprietario per specificare chi è responsabile della correzione delle raccomandazioni coperte dalla regola.

   • Per tag di risorsa: immettere il tag della risorsa nelle risorse che definisce il proprietario della risorsa.
   • Per indirizzo di posta elettronica: immettere l'indirizzo di posta elettronica del proprietario da assegnare alle raccomandazioni.

10. Specificare l'intervallo di tempo di correzione per impostare il tempo che può trascorrere tra quando le risorse vengono identificate come richieste di correzione e il tempo di scadenza della correzione.

    Per le raccomandazioni rilasciate da MCSB, se non si vuole che le risorse influiscano sul punteggio di sicurezza fino a quando non sono scadute, selezionare Applica periodo di tolleranza.

11. (Facoltativo) Per impostazione predefinita, i proprietari e i responsabili ricevono una notifica settimanale sulle attività aperte e scadute. Se non si vuole che ricevano questi messaggi di posta elettronica settimanali, deselezionare le opzioni di notifica.

12. Seleziona Crea.

Se sono presenti raccomandazioni che corrispondono alla definizione della regola di governance, è possibile:

• Assegnare un proprietario e una data di scadenza alle raccomandazioni che non hanno già un proprietario o una data di scadenza.

• Sovrascrivere il proprietario e la data di scadenza delle raccomandazioni esistenti.

Quando si elimina o disabilita una regola, tutte le assegnazioni e le notifiche esistenti rimangono.

Visualizzare le regole valide

È possibile visualizzare l'effetto delle regole governative nell'ambiente in uso.

1. Accedi al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Invironment settings Governance rules (Regole di governance delle impostazioni>di ambiente).

3. Esaminare le regole di governance. L'elenco predefinito mostra tutte le regole di governance applicabili nell'ambiente.

4. È possibile cercare regole o regole di filtro.

   • Filtrare in base all'ambiente per identificare le regole per Azure, AWS e GCP.

   • Filtrare in base al nome della regola, al proprietario o all'ora tra il rilascio della raccomandazione e la data di scadenza.

   • Filtrare il periodo di tolleranza per trovare le raccomandazioni MCSB che non influiscono sul punteggio di sicurezza.

   • Identificare in base allo stato.

     

Esaminare il report di governance

Il report di governance consente di selezionare le sottoscrizioni con regole di governance e, per ogni regola e proprietario, mostra il numero di raccomandazioni completate, nel tempo, scadute o non assegnati.

1. Accedi al portale di Azure.

2. Passare al report governance delle regole>>di governance Microsoft Defender per il cloud> Environment.

   

3. Seleziona un abbonamento.

   

Dal report di governance è possibile eseguire il drill-down delle raccomandazioni in base all'ambito, al nome visualizzato, alla priorità, all'intervallo di tempo di correzione, al tipo di proprietario, ai dettagli del proprietario, al periodo di tolleranza e al cloud.

Passaggi successivi

Informazioni su come implementare le raccomandazioni sulla sicurezza.