Altre protezioni dalle minacce in Microsoft Defender per il cloud

Oltre ai piani di protezione avanzata predefiniti, Microsoft Defender per il cloud offre anche le funzionalità di protezione dalle minacce seguenti.

Suggerimento

Per abilitare le funzionalità di protezione dalle minacce di Defender per il cloud, è necessario abilitare funzionalità di sicurezza avanzate nella sottoscrizione contenente i carichi di lavoro applicabili.

Protezione dalle minacce per il livello di rete di Azure

I defender per l'analisi a livello di rete cloud sono basati su dati IPFIX di esempio, ovvero intestazioni di pacchetto raccolte dai router principali di Azure. In base a questo feed di dati, Defender for Cloud usa i modelli di Machine Learning per identificare e contrassegnare le attività di traffico dannose. Defender For Cloud usa anche il database di intelligence sulle minacce di Microsoft per arricchire gli indirizzi IP.

Alcune configurazioni di rete impediscono a Defender for Cloud di generare avvisi sulle attività di rete sospette. Affinché Defender for Cloud sia in grado di generare avvisi in relazione alla rete, assicurarsi di procedere nel modo seguente:

• La macchina virtuale abbia un indirizzo IP pubblico o si trovi in un servizio di bilanciamento del carico con un indirizzo IP pubblico.
• Il traffico di rete in uscita della macchina virtuale non sia bloccato da una soluzione IDS esterna.

Per un elenco degli avvisi a livello di rete di Azure, vedere la tabella di riferimento degli avvisi.

Trasmettere avvisi di sicurezza da altri servizi Microsoft

Visualizzare gli avvisi waf di Azure in Defender per il cloud

Il gateway applicazione di Azure offre un web application firewall (WAF) che garantisce alle applicazioni Web una protezione centralizzata da exploit e vulnerabilità comuni.

Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni e note vulnerabilità. Il gateway applicazione WAF si basa sul set di regole di base 3.2 o versione successiva dal progetto Open Web Application Security.The gateway applicazione WAF is based on Core Rule Set 3.2 or higher from the Open Web Application Security Project. Il WAF viene aggiornato automaticamente per offrire protezione dalle nuove vulnerabilità.

Se è stata creata una soluzione di sicurezza WAF, gli avvisi WAF vengono trasmessi a Defender per il cloud senza altre configurazioni. Per altre informazioni sugli avvisi generati da WAF, vedere Regole e gruppi di regole CRS di Web Application Firewall.

Nota

Solo WAF v1 è supportato e funzionerà con Microsoft Defender per il cloud.

Per distribuire gateway applicazione WAF di Azure, seguire questa procedura:

1. Dal portale di Azure aprire Defender per il cloud.

2. Nel menu di Defender per il cloud selezionare Soluzioni di sicurezza.

3. Nella sezione Aggiungi origini dati selezionare Aggiungi per waf di Azure gateway applicazione.

   

Visualizzare gli avvisi di Protezione DDoS di Azure in Defender per il cloud

Gli attacchi Distributed Denial of Service (DDoS) sono notoriamente facili da eseguire. Sono diventati un grosso problema di sicurezza, soprattutto se si stanno trasferendo le applicazioni nel cloud. Un attacco DDoS tenta di esaurire le risorse di un'applicazione, che quindi non risulta più disponibile per gli utenti legittimi. Gli attacchi DDoS possono avere come obiettivo qualsiasi endpoint raggiungibile tramite Internet.

Per difendersi dagli attacchi DDoS, acquistare una licenza per Protezione DDoS di Azure e attenersi alle procedure consigliate per la progettazione delle applicazioni. Protezione DDoS offre diversi livelli di servizio. Per altre informazioni, vedere Panoramica di Protezione DDoS di Azure Standard.

Se è abilitata la protezione DDoS di Azure, gli avvisi DDoS vengono trasmessi a Defender per il cloud senza altre configurazioni necessarie. Per altre informazioni sugli avvisi generati da Protezione DDoS, vedere Tabella di riferimento degli avvisi.

Gestione delle autorizzazioni di Microsoft Entra (in precedenza Cloudknox)

Gestione delle autorizzazioni di Microsoft Entra è una soluzione CIEM (Cloud Infrastructure Entitlement Management). Microsoft Entra Permission Management offre visibilità completa e controllo sulle autorizzazioni per qualsiasi identità e risorsa in Azure, AWS e GCP.

Nell'ambito dell'integrazione, ogni sottoscrizione di Azure di cui è stato eseguito l'onboarding, l'account AWS e il progetto GCP offrono una visualizzazione dell'indice di tipo Permission Creep Index (PCI). PCI è una metrica aggregata che valuta periodicamente il livello di rischio associato al numero di autorizzazioni inutilizzate o eccessive tra identità e risorse. PCI misura il modo in cui le identità rischiose possono essere potenzialmente, in base alle autorizzazioni disponibili.

Passaggi successivi

Per altre informazioni sugli avvisi di sicurezza generati da queste funzionalità di protezione dalle minacce, vedere gli articoli seguenti:

• Tabella di riferimento per tutti gli avvisi di Defender per il cloud
• Avvisi di sicurezza in Defender per il cloud
• Gestire e rispondere agli avvisi di sicurezza in Defender per il cloud
• Esportare continuamente i dati Defender per il cloud