Archivio per le novità di Defender per il cloud?

La pagina principale Novità di Defender per il cloud? contiene aggiornamenti per gli ultimi sei mesi, mentre questa pagina contiene elementi meno recenti.

Questa pagina illustra quanto segue:

  • Nuove funzionalità
  • Correzioni di bug
  • Funzionalità deprecate

Dicembre 2021

Gli aggiornamenti di dicembre includono:

Piano Microsoft Defender per contenitori rilasciato per la disponibilità generale (GA)

Oltre due anni fa, è stato introdotto Defender per Kubernetes e Defender per i registri contenitori come parte dell'offerta azure Defender all'interno di Microsoft Defender per il cloud.

Con la versione di Microsoft Defender per contenitori, sono stati uniti questi due piani di Defender esistenti.

Nuovo piano:

  • Combina le funzionalità dei due piani esistenti : rilevamento delle minacce per i cluster Kubernetes e valutazione della vulnerabilità per le immagini archiviate nei registri contenitori
  • Offre funzionalità nuove e migliorate , tra cui il supporto multicloud, il rilevamento delle minacce a livello di host con oltre sessanta nuove analisi con riconoscimento di Kubernetes e la valutazione della vulnerabilità per l'esecuzione di immagini
  • Introduce l'onboarding nativo di Kubernetes : per impostazione predefinita, quando si abilita il piano che tutti i componenti pertinenti vengono configurati per essere distribuiti automaticamente

Con questa versione, la disponibilità e la presentazione di Defender per Kubernetes e Defender per i registri contenitori sono stati modificati nel modo seguente:

  • Nuove sottoscrizioni: i due piani di contenitore precedenti non sono più disponibili
  • Sottoscrizioni esistenti: ovunque vengano visualizzate nella portale di Azure, i piani vengono visualizzati come deprecati con istruzioni per l'aggiornamento al piano più recenteDefender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

Il nuovo piano è gratuito per il mese di dicembre 2021. Per le potenziali modifiche alla fatturazione dai piani precedenti a Defender per contenitori e per altre informazioni sui vantaggi introdotti con questo piano, vedere Introduzione a Microsoft Defender per i contenitori.

Per altre informazioni, vedere:

Nuovi avvisi per Microsoft Defender per Archiviazione rilasciati per la disponibilità generale (GA)

Gli attori delle minacce usano strumenti e script per cercare contenitori aperti pubblicamente nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili.

Microsoft Defender per Archiviazione rileva questi scanner in modo da poterli bloccare e correggere il comportamento.

L'avviso di anteprima rilevato è stato denominato "Analisi anonima dei contenitori di archiviazione pubblici". Per garantire maggiore chiarezza sugli eventi sospetti individuati, questo è stato diviso in due nuovi avvisi. Questi avvisi sono rilevanti solo per Archiviazione BLOB di Azure.

È stata migliorata la logica di rilevamento, aggiornata i metadati dell'avviso e modificato il nome e il tipo di avviso.

Questi sono i nuovi avvisi:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Contenitori di archiviazione accessibili pubblicamente individuati
(Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery)
Un'individuazione riuscita dei contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi.

Questo indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi.

L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per analizzare i contenitori aperti pubblicamente.

✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Storage Gen2
Raccolta Media
Contenitori di archiviazione accessibili pubblicamente senza esito negativo
(Archiviazione. Blob_OpenContainersScanning.FailedAttempt)
Nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente.

Questo indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi.

L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per analizzare i contenitori aperti pubblicamente.

✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Storage Gen2
Raccolta Basso

Per altre informazioni, vedere:

Miglioramenti agli avvisi per Microsoft Defender per Archiviazione

Gli avvisi di accesso iniziale ora hanno migliorato l'accuratezza e altri dati per supportare l'analisi.

Gli attori delle minacce usano varie tecniche nell'accesso iniziale per ottenere un piè di pagina all'interno di una rete. Due degli avvisi di Microsoft Defender per Archiviazione che rilevano anomalie comportamentali in questa fase ora hanno migliorato la logica di rilevamento e i dati aggiuntivi per supportare le indagini.

Se sono state configurate automazione o regole di eliminazione degli avvisi definite per questi avvisi in passato, aggiornarle in base a queste modifiche.

Rilevamento dell'accesso da un nodo di uscita di Tor

L'accesso da un nodo di uscita di Tor potrebbe indicare un attore di minacce che tenta di nascondere la propria identità.

L'avviso è ora ottimizzato per generare solo per l'accesso autenticato, che comporta una maggiore accuratezza e attendibilità che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo benigno.

Un modello di interruzione avrà gravità elevata, mentre i modelli meno anomali avranno gravità media.

Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.

  • Nome avviso (precedente): accesso da un nodo di uscita tor a un account di archiviazione
  • Nome avviso (nuovo): Accesso autenticato da un nodo di uscita di Tor
  • Tipi di avviso: Archiviazione. Blob_TorAnomaly/Archiviazione. Files_TorAnomaly
  • Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto per essere un nodo di uscita attivo di Tor (un proxy anonimizzato). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita di Tor è probabilmente un'indicazione che un attore della minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2
  • Tattiche MITRE: Accesso iniziale
  • Gravità: alto/medio

Accesso non autenticato insolito

Una modifica dei modelli di accesso può indicare che un attore di minacce è stato in grado di sfruttare l'accesso in lettura pubblica ai contenitori di archiviazione, sfruttando un errore nelle configurazioni di accesso o modificando le autorizzazioni di accesso.

Questo avviso di gravità media è ora ottimizzato con una logica comportamentale migliorata, un'accuratezza superiore e la certezza che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo benigno.

Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.

  • Nome avviso (precedente): accesso anonimo a un account di archiviazione
  • Nome avviso (nuovo): accesso non autenticato insolito a un contenitore di archiviazione
  • Tipi di avviso: Archiviazione. Blob_AnonymousAccessAnomaly
  • Descrizione: questo account di archiviazione è stato accessibile senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minacce è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questo account di archiviazione. Si applica a: Archiviazione BLOB di Azure
  • Tattiche MITRE: Raccolta
  • Gravità: Medio

Per altre informazioni, vedere:

Avviso "PortSweeping" rimosso dagli avvisi del livello di rete

L'avviso seguente è stato rimosso dagli avvisi del livello di rete a causa di inefficienze:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Rilevata possibile attività di analisi delle porte in uscita
(PortSweeping)
L'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso}. Questo traffico può essere il risultato di un'attività di analisi delle porte. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Se questo comportamento è intenzionale, tenere presente che l'esecuzione dell'analisi delle porte è contraria alle condizioni d'uso di Azure. Se questo comportamento non è intenzionale, potrebbe indicare che la risorsa è stata compromessa. Individuazione Medio

Novembre 2021

La versione di Ignite include:

Altre modifiche in novembre includono:

Centro sicurezza di Azure e Azure Defender diventano Microsoft Defender per il cloud

Secondo il report State of the Cloud 2021, il 92% delle organizzazioni ha ora una strategia multicloud. In Microsoft, l'obiettivo è centralizzare la sicurezza in questi ambienti e aiutare i team di sicurezza a lavorare in modo più efficace.

Microsoft Defender per il cloud (in precedenza nota come Centro sicurezza di Azure e Azure Defender) è una soluzione CWP (Cloud Security Posture Management) e cloud workload protection (CWP) che individua i punti deboli nella configurazione del cloud, consente di rafforzare il comportamento complessivo di sicurezza dell'ambiente e di proteggere i carichi di lavoro in tutto ambienti multicloud e ibridi.

In Ignite 2019 abbiamo condiviso la nostra visione per creare l'approccio più completo per proteggere il tuo digital estate e integrare le tecnologie XDR nel marchio Microsoft Defender. Unificando Centro sicurezza di Azure e Azure Defender con il nuovo nome Microsoft Defender per il cloud, riflette le funzionalità integrate dell'offerta di sicurezza e la possibilità di supportare qualsiasi piattaforma cloud.

CSPM nativo per AWS e protezione dalle minacce per Amazon EKS e AWS EC2

Una nuova pagina delle impostazioni di ambiente offre maggiore visibilità e controllo sui gruppi di gestione, le sottoscrizioni e gli account AWS. La pagina è progettata per eseguire l'onboarding degli account AWS su larga scala: connettere l'account di gestione AWS ed eseguire automaticamente l'onboarding degli account esistenti e futuri.

Use the new environment settings page to connect your AWS accounts.

Dopo aver aggiunto gli account AWS, Defender per il cloud protegge le risorse AWS con uno o tutti i piani seguenti:

  • le funzionalità CSPM di Defender per il cloud si estendono alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste sono incluse nel punteggio sicuro. Le risorse verranno valutate anche per la conformità con standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). Defender per il cloud pagina di inventario delle risorse è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.
  • Microsoft Defender per Kubernetes estende il rilevamento delle minacce del contenitore e le difese avanzate ai cluster Amazon EKS Linux.
  • Microsoft Defender for Server offre il rilevamento delle minacce e le difese avanzate alle istanze Windows e Linux EC2. Questo piano include la licenza integrata per Microsoft Defender per endpoint, le baseline di sicurezza e le valutazioni a livello di sistema operativo, l'analisi della valutazione delle vulnerabilità, i controlli applicazioni adattivi (AAC), il monitoraggio dell'integrità dei file (FIM) e altro ancora.

Altre informazioni sulla connessione degli account AWS ai Microsoft Defender per il cloud.

Priorità delle azioni di sicurezza in base alla riservatezza dei dati (basata su Microsoft Purview) (in anteprima)

Le risorse dati rimangono una destinazione popolare per gli attori delle minacce. È quindi fondamentale per i team di sicurezza identificare, definire la priorità e proteggere le risorse dei dati sensibili tra gli ambienti cloud.

Per risolvere questa sfida, Microsoft Defender per il cloud ora integra le informazioni di riservatezza da Microsoft Purview. Microsoft Purview è un servizio di governance dei dati unificato che fornisce informazioni dettagliate sulla riservatezza dei dati all'interno di più cloud e carichi di lavoro locali.

L'integrazione con Microsoft Purview estende la visibilità della sicurezza in Defender per il cloud dal livello di infrastruttura ai dati, consentendo un modo completamente nuovo per assegnare priorità alle risorse e alle attività di sicurezza per i team di sicurezza.

Altre informazioni in Priorità delle azioni di sicurezza in base alla riservatezza dei dati.

Valutazioni del controllo della sicurezza espanse con Azure Security Benchmark v3

le raccomandazioni per la sicurezza di Microsoft Defender per il cloud sono abilitate e supportate da Azure Security Benchmark.

Azure Security Benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e dell'Istituto nazionale di standard e tecnologia (NIST) con un focus sulla sicurezza incentrata sul cloud.

Da Ignite 2021, Azure Security Benchmark v3 è disponibile nel dashboard di conformità alle normative di Defender per il cloud e abilitato come nuova iniziativa predefinita per tutte le sottoscrizioni di Azure protette con Microsoft Defender per il cloud.

I miglioramenti per v3 includono:

  • Mapping aggiuntivi ai framework di settore PCI-DSS v3.2.1 e controlli CIS v8.

  • Linee guida più granulari e utilizzabili per i controlli con l'introduzione di:

    • Principi di sicurezza: fornire informazioni dettagliate sugli obiettivi di sicurezza generali che creano le basi per le raccomandazioni.
    • Linee guida di Azure : la procedura tecnica per soddisfare questi obiettivi.
  • I nuovi controlli includono DevOps sicurezza per problemi, ad esempio la modellazione delle minacce e la sicurezza della catena di fornitura software, nonché la gestione delle chiavi e dei certificati per le procedure consigliate in Azure.

Altre informazioni in Introduzione al benchmark di sicurezza di Azure.

Sincronizzazione facoltativa degli avvisi bidirezionali del connettore Di Microsoft Sentinel rilasciata per la disponibilità generale (GA)

A luglio è stata annunciata una funzionalità di anteprima, sincronizzazione degli avvisi bidirezionali, per il connettore predefinito in Microsoft Sentinel (soluzione SIEM e SOAR nativa del cloud di Microsoft). Questa funzionalità viene ora rilasciata per la disponibilità generale (GA).

Quando si connette Microsoft Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso verrà visualizzato anche come chiuso in Microsoft Sentinel. La modifica dello stato di un avviso in Defender per il cloud non influisce sullo stato di eventuali eventi imprevisti di Microsoft Sentinel che contengono l'avviso Microsoft Sentinel sincronizzato, solo quello dell'avviso sincronizzato stesso.

Quando si abilita la sincronizzazione degli avvisi bidirezionali, si sincronizza automaticamente lo stato degli avvisi di Defender per il cloud originali con gli eventi imprevisti di Microsoft Sentinel che contengono le copie di tali avvisi Defender per il cloud. Ad esempio, quando viene chiuso un evento imprevisto di Microsoft Sentinel contenente un avviso Defender per il cloud, Defender per il cloud chiuderà automaticamente l'avviso originale corrispondente.

Altre informazioni in Connessione avvisi di Azure Defender da Centro sicurezza di Azure e trasmettere avvisi ad Azure Sentinel.

Nuova raccomandazione per eseguire il push dei log servizio Azure Kubernetes (Servizio Azure Kubernetes) in Sentinel

In un ulteriore miglioramento del valore combinato di Defender per il cloud e Microsoft Sentinel, verranno ora evidenziate servizio Azure Kubernetes istanze che non inviano dati di log a Microsoft Sentinel.

I team SecOps possono scegliere l'area di lavoro Microsoft Sentinel pertinente direttamente dalla pagina dei dettagli della raccomandazione e abilitare immediatamente lo streaming dei log non elaborati. Questa connessione facile tra i due prodotti semplifica la sicurezza dei team di sicurezza per garantire la copertura completa della registrazione tra i carichi di lavoro per rimanere al massimo dell'intero ambiente.

La nuova raccomandazione "I log di diagnostica nei servizi Kubernetes devono essere abilitati" include l'opzione "Correzione" per la correzione più rapida.

È stata inoltre migliorata la raccomandazione "Controllo sul server SQL" con le stesse funzionalità di streaming sentinel.

Consigli mappato a MITRE ATT& Framework CK® : rilasciato per la disponibilità generale (GA)

Sono stati migliorati i consigli di sicurezza di Defender per il cloud per mostrare la propria posizione nel framework MITRE ATT&CK®. Questo knowledge base accessibile a livello globale delle tattiche e delle tecniche degli attori delle minacce in base alle osservazioni reali, offre più contesto per comprendere i rischi associati delle raccomandazioni per l'ambiente.

Queste tattiche sono disponibili ovunque si accedono alle informazioni di raccomandazione:

  • I risultati delle query di Azure Resource Graph per raccomandazioni pertinenti includono MITRE ATT& Tattiche e tecniche CK®.

  • Le pagine dei dettagli delle raccomandazioni mostrano il mapping per tutte le raccomandazioni pertinenti:

    Screenshot of the MITRE tactics mapping for a recommendation.

  • La pagina raccomandazioni in Defender per il cloud ha un nuovo filtro per selezionare le raccomandazioni in base alla loro tattica associata:

Altre informazioni in Esaminare le raccomandazioni sulla sicurezza.

Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità - rilasciata per la disponibilità generale (GA)

A ottobre è stata annunciata un'estensione per l'integrazione tra Microsoft Defender per server e Microsoft Defender per endpoint, per supportare un nuovo provider di valutazione delle vulnerabilità per i computer: Microsoft gestione di minacce e vulnerabilità. Questa funzionalità è ora rilasciata per la disponibilità generale.

Usare gestione di minacce e vulnerabilità per individuare vulnerabilità e errori di configurazione quasi in tempo reale con l'integrazione con Microsoft Defender per endpoint abilitato e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti dell'organizzazione.

Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.

Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).

Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.

Microsoft Defender per endpoint per Linux ora supportato da Microsoft Defender per server - rilasciato per la disponibilità generale (GA)

In agosto è stato annunciato il supporto in anteprima per la distribuzione del sensore Defender per endpoint per Linux nei computer Linux supportati. Questa funzionalità è ora rilasciata per la disponibilità generale.

Microsoft Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.

Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender for Cloud. Da Defender per il cloud è anche possibile passare alla console di Defender per endpoint ed eseguire un'indagine dettagliata per individuare l'ambito dell'attacco.

Per altre informazioni, vedere Proteggere gli endpoint con la soluzione integrata di EDR del Centro sicurezza: Microsoft Defender per endpoint.

Esportazione di snapshot per consigli e risultati della sicurezza (in anteprima)

Defender per il cloud genera raccomandazioni e avvisi di sicurezza dettagliati. È possibile visualizzarli nel portale o tramite strumenti programmatici. Potrebbe anche essere necessario esportare alcune o tutte queste informazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente.

Defender per il cloud funzionalità di esportazione continua consente di personalizzare completamente ciò che verrà esportato e il percorso in cui verrà esportato. Per altre informazioni, vedere Esportazione continua dei dati Microsoft Defender per il cloud.

Anche se la funzionalità è chiamata continua, è disponibile anche un'opzione per esportare snapshot settimanali. Fino ad ora, questi snapshot settimanali erano limitati ai dati di sicurezza di punteggio e conformità alle normative. È stata aggiunta la funzionalità per esportare raccomandazioni e risultati della sicurezza.

Provisioning automatico delle soluzioni di valutazione della vulnerabilità rilasciate per la disponibilità generale

In ottobre è stata annunciata l'aggiunta di soluzioni di valutazione della vulnerabilità alla pagina di provisioning automatico di Defender per il cloud. Questo è rilevante per le macchine virtuali di Azure e le macchine virtuali di Azure Arc nelle sottoscrizioni protette da Azure Defender per server. Questa funzionalità è ora rilasciata per la disponibilità generale.

Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:

  • (NUOVO) Modulo microsoft gestione di minacce e vulnerabilità di Microsoft Defender per endpoint (vedere la nota sulla versione)
  • Agente Qualys integrato

La soluzione scelta verrà abilitata automaticamente nei computer supportati.

Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.

Filtri di inventario software nell'inventario degli asset rilasciati per la disponibilità generale

A ottobre sono stati annunciati nuovi filtri per la pagina inventario asset per selezionare i computer che eseguono software specifico e specificare anche le versioni di interesse. Questa funzionalità è ora rilasciata per la disponibilità generale.

È possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.

Per usare queste funzionalità, è necessario abilitare l'integrazione con Microsoft Defender per endpoint.

Per informazioni dettagliate, incluse le query di esempio Kusto per Azure Resource Graph, vedere Accedere a un inventario software.

Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa predefinita: per l'uso solo da parte dei clienti dell'anteprima privata

Per garantire che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, Defender per il cloud include i criteri a livello di Kubernetes e le raccomandazioni per la protezione avanzata, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.

Come parte di questo progetto, sono stati aggiunti criteri e raccomandazioni (disabilitati per impostazione predefinita) per la distribuzione di gating nei cluster Kubernetes. Il criterio si trova nell'iniziativa predefinita, ma è rilevante solo per le organizzazioni che esebono per l'anteprima privata correlata.

È possibile ignorare in modo sicuro i criteri e le raccomandazioni ("i cluster Kubernetes devono controllare la distribuzione di immagini vulnerabili") e non vi sarà alcun impatto sull'ambiente.

Se si vuole partecipare all'anteprima privata, è necessario essere membri dell'anello di anteprima privata. Se non si è già un membro, inviare una richiesta qui. I membri riceveranno una notifica all'inizio dell'anteprima.

La visualizzazione dell'inventario dei computer locali applica un modello diverso per il nome della risorsa

Per migliorare la presentazione delle risorse nell'inventario asset, è stato rimosso l'elemento "source-computer-IP" dal modello per la denominazione dei computer locali.

  • Formato precedente:machine-name_source-computer-id_VMUUID
  • Da questo aggiornamento:machine-name_VMUUID

Ottobre 2021

Gli aggiornamenti del mese di ottobre includono quanto segue:

Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità (in anteprima)

L'integrazione tra Azure Defender per server e Microsoft Defender per endpoint è stata estesa per supportare un nuovo provider di valutazione delle vulnerabilità per i computer: Microsoft gestione di minacce e vulnerabilità.

Usare gestione di minacce e vulnerabilità per individuare vulnerabilità e errori di configurazione quasi in tempo reale con l'integrazione con Microsoft Defender per endpoint abilitato e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti dell'organizzazione.

Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.

Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).

Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.

Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima)

La pagina di provisioning automatico del Centro sicurezza include ora l'opzione per abilitare automaticamente una soluzione di valutazione della vulnerabilità per le macchine virtuali di Azure e le macchine virtuali di Azure Arc nelle sottoscrizioni protette da Azure Defender per server.

Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:

  • (NUOVO) Modulo microsoft gestione di minacce e vulnerabilità di Microsoft Defender per endpoint (vedere la nota sulla versione)
  • Agente Qualys integrato

Configure auto provisioning of Microsoft's threat and vulnerability management from Azure Security Center.

La soluzione scelta verrà abilitata automaticamente nei computer supportati.

Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.

Filtri di inventario software aggiunti all'inventario asset (in anteprima)

La pagina inventario asset include ora un filtro per selezionare i computer che eseguono software specifico e anche specificare le versioni di interesse.

È anche possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.

Per usare queste nuove funzionalità, è necessario abilitare l'integrazione con Microsoft Defender per endpoint.

Per informazioni dettagliate, incluse le query di esempio Kusto per Azure Resource Graph, vedere Accedere a un inventario software.

If you've enabled the threat and vulnerability solution, Security Center's asset inventory offers a filter to select resources by their installed software.

Prefisso modificato di alcuni tipi di avviso da "ARM_" a "VM_"

Nel luglio 2021 è stata annunciata una riorganizzazione logica degli avvisi di Azure Defender per Resource Manager

Come parte di una riorganizzazione logica di alcuni dei piani di Azure Defender, sono stati spostati venti avvisi da Azure Defender per Resource Manager ad Azure Defender per server.

Con questo aggiornamento sono stati modificati i prefissi di questi avvisi in modo che corrispondano a questa riassegnazione e sostituito "ARM_" con "VM_" come illustrato nella tabella seguente:

Nome originale Da questa modifica
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Altre informazioni sui piani di Azure Defender per Resource Manager e Azure Defender per server.

Modifiche alla logica di una raccomandazione di sicurezza per i cluster Kubernetes

Il consiglio "I cluster Kubernetes non devono usare lo spazio dei nomi predefinito" impedisce l'uso dello spazio dei nomi predefinito per un intervallo di tipi di risorse. Due dei tipi di risorse inclusi in questa raccomandazione sono stati rimossi: ConfigMap e Secret.

Altre informazioni su questa raccomandazione e la protezione avanzata dei cluster Kubernetes sono disponibili in Informazioni Criteri di Azure per i cluster Kubernetes.

Per chiarire le relazioni tra raccomandazioni diverse, è stata aggiunta un'area Raccomandazioni correlate alle pagine dei dettagli di molte raccomandazioni.

I tre tipi di relazione visualizzati in queste pagine sono:

  • Prerequisito : raccomandazione che deve essere completata prima della raccomandazione selezionata
  • Alternativa : una raccomandazione diversa che offre un altro modo per raggiungere gli obiettivi della raccomandazione selezionata
  • Dipendente: raccomandazione per la quale la raccomandazione selezionata è un prerequisito

Per ogni raccomandazione correlata, il numero di risorse non integre viene visualizzato nella colonna "Risorse interessate".

Suggerimento

Se una raccomandazione correlata è disattivata, la relativa dipendenza non è ancora stata completata e quindi non è disponibile.

Esempio di raccomandazioni correlate:

  1. Il Centro sicurezza controlla i computer per individuare le soluzioni di valutazione delle vulnerabilità supportate:
    È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali

  2. Se ne viene trovata una, si riceverà una notifica sulle vulnerabilità individuate:
    È consigliabile correggere le vulnerabilità nelle macchine virtuali

Ovviamente, il Centro sicurezza non può notificare le vulnerabilità individuate a meno che non trovi una soluzione di valutazione della vulnerabilità supportata.

Di conseguenza:

  • Raccomandazione n. 1 è un prerequisito per la raccomandazione n. 2
  • La raccomandazione n. 2 dipende dalla raccomandazione n. 1

Screenshot of recommendation to deploy vulnerability assessment solution.

Screenshot of recommendation to resolve discovered vulnerabilities.

Nuovi avvisi per Azure Defender per Kubernetes (in anteprima)

Per espandere le protezioni dalle minacce fornite da Azure Defender per Kubernetes, sono stati aggiunti due avvisi di anteprima.

Questi avvisi vengono generati in base a un nuovo modello di Machine Learning e all'analisi avanzata di Kubernetes, misurando più attributi di assegnazione di distribuzione e ruolo rispetto alle attività precedenti nel cluster e in tutti i cluster monitorati da Azure Defender.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Distribuzione di pod anomali (anteprima)
(K8S_AnomalousPodDeployment)
L'analisi del log di controllo di Kubernetes ha rilevato la distribuzione di pod anomala in base all'attività di distribuzione precedente dei pod. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di distribuzione si trovano nelle relazioni tra loro. Le funzionalità monitorate da questa analisi includono il registro immagini del contenitore usato, l'account che esegue la distribuzione, il giorno della settimana, la frequenza con cui questo account esegue le distribuzioni di pod, l'agente utente usato nell'operazione, è uno spazio dei nomi che si verifica spesso nella distribuzione dei pod o in altre funzionalità. I principali motivi che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. Esecuzione Media
Autorizzazioni di ruolo eccessive assegnate nel cluster Kubernetes (anteprima)
(K8S_ServiceAcountPermissionAnomaly)
L'analisi dei log di controllo di Kubernetes ha rilevato un'assegnazione di ruolo di autorizzazioni eccessiva al cluster. Dall'esame delle assegnazioni di ruolo, le autorizzazioni elencate non sono comuni all'account del servizio specifico. Questo rilevamento considera le assegnazioni di ruolo precedenti allo stesso account del servizio nei cluster monitorati da Azure, dal volume per autorizzazione e dall'impatto dell'autorizzazione specifica. Il modello di rilevamento anomalie usato per questo avviso tiene conto del modo in cui questa autorizzazione viene usata in tutti i cluster monitorati da Azure Defender. Escalation privilegi Basso

Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.

Settembre 2021

A settembre è stato rilasciato l'aggiornamento seguente:

Due nuovi consigli per controllare le configurazioni del sistema operativo per la conformità della baseline di sicurezza di Azure (in anteprima)

Sono state rilasciate le due raccomandazioni seguenti per valutare la conformità dei computer alla baseline di sicurezza Windows e alla baseline di sicurezza di Linux:

Queste raccomandazioni usano la funzionalità di configurazione guest di Criteri di Azure per confrontare la configurazione del sistema operativo di un computer con la baseline definita in Azure Security Benchmark.

Altre informazioni sull'uso di queste raccomandazioni sono disponibili in Protezione avanzata della configurazione del sistema operativo di un computer tramite la configurazione guest.

Agosto 2021

Gli aggiornamenti del mese di agosto includono quanto segue:

Microsoft Defender per endpoint per Linux ora supportato da Azure Defender per server (in anteprima)

Azure Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.

Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene ora mostrato nel Centro sicurezza. Nel Centro sicurezza è anche possibile passare alla console di Microsoft Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco.

Durante il periodo di anteprima, il sensore Defender per endpoint per Linux verrà distribuito nei computer Linux supportati in due modi, a seconda che sia già stato distribuito nei computer Windows:

Per altre informazioni, vedere Proteggere gli endpoint con la soluzione integrata di EDR del Centro sicurezza: Microsoft Defender per endpoint.

Due nuove raccomandazioni per la gestione delle soluzioni di Endpoint Protection (in anteprima)

Sono state aggiunte due raccomandazioni di anteprima per distribuire e gestire le soluzioni di Endpoint Protection nei computer. Entrambe le raccomandazioni includono il supporto per macchine virtuali e macchine virtuali di Azure connesse ai server abilitati per Azure Arc.

Recommendation Descrizione Gravità
È consigliabile installare Endpoint Protection nei computer Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection.
Altre informazioni sulla valutazione di Endpoint Protection per i computer.
(criterio correlato: Monitora server senza Endpoint Protection nel Centro sicurezza di Azure)
Alto
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate qui. La valutazione di Endpoint Protection è documentata qui.
(criterio correlato: Monitora server senza Endpoint Protection nel Centro sicurezza di Azure)
Media

Nota

I consigli mostrano l'intervallo di aggiornamento come 8 ore, ma esistono alcuni scenari in cui questa operazione potrebbe richiedere molto più tempo. Ad esempio, quando un computer locale viene eliminato, sono necessarie 24 ore prima che il Centro sicurezza identifichi l'eliminazione. Successivamente, la valutazione richiederà fino a 8 ore per restituire le informazioni. In tale situazione specifica potrebbe quindi essere necessario attendere 32 ore prima che il computer venga rimosso dall'elenco delle risorse interessate.

Freshness interval indicator for these two new Security Center recommendations

Risoluzione dei problemi predefiniti e linee guida per la risoluzione di problemi comuni

Un'area nuova e dedicata delle pagine del Centro sicurezza nel portale di Azure offre un set sempre crescente di materiali self-help per risolvere le sfide comuni con il Centro sicurezza e Azure Defender.

Quando si riscontra un problema o si cercano consigli dal team di supporto, diagnosticare e risolvere i problemi è un altro strumento per trovare la soluzione:

Security Center's 'Diagnose and solve problems' page

Report di controllo di Azure rilasciati nel dashboard di conformità alle normative per la disponibilità generale

La barra degli strumenti del dashboard di conformità alle normative offre report di certificazione di Azure e Dynamics per gli standard applicati alle sottoscrizioni.

Regulatory compliance dashboard's toolbar showing the button for generating audit reports.

È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.

Per altre informazioni, vedere Generare report sullo stato di conformità e certificati.

Tabbed lists of available Azure Audit reports. Shown are tabs for ISO reports, SOC reports, PCI, and more.

Raccomandazione deprecata "I problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer"

È stato rilevato che i problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer in modo che influiscano sui punteggi sicuri in modo incoerente con lo stato attivo di Cloud Security Posture Management (CSPM) del Centro sicurezza. In genere, CSPM è correlato all'identificazione di errori di configurazione della sicurezza. I problemi di integrità dell'agente non rientrano in questa categoria di problemi.

Inoltre, la raccomandazione è un'anomalia rispetto agli altri agenti correlati al Centro sicurezza: si tratta dell'unico agente con una raccomandazione relativa ai problemi di integrità.

La raccomandazione è stata deprecata.

In seguito a questa deprecazione, sono state apportate anche modifiche secondarie alle raccomandazioni per l'installazione dell'agente di Log Analytics (l'agente di Log Analytics deve essere installato in...).

È probabile che questa modifica influirà sul punteggio di sicurezza. Per la maggior parte delle sottoscrizioni, si prevede che la modifica comporti un punteggio maggiore, ma è possibile che gli aggiornamenti alla raccomandazione di installazione comportino una riduzione dei punteggi in alcuni casi.

Suggerimento

La pagina inventario asset è stata interessata anche da questa modifica, in quanto visualizza lo stato monitorato per i computer (monitorato, non monitorato o parzialmente monitorato, ovvero uno stato che fa riferimento a un agente con problemi di integrità).

Azure Defender per registri contenitori include uno scanner di vulnerabilità per analizzare le immagini nei registri Registro Azure Container. Informazioni su come analizzare i registri e correggere i risultati in Usare Azure Defender per i registri contenitori per analizzare le immagini per individuare le vulnerabilità.

Per limitare l'accesso a un registro ospitato in Registro Azure Container, assegnare indirizzi IP privati della rete virtuale agli endpoint del Registro di sistema e usare collegamento privato di Azure come illustrato in Connessione privatamente a un registro Azure Container usando collegamento privato di Azure.

Nell'ambito delle attività in corso per supportare altri ambienti e casi d'uso, Azure Defender ora analizza anche i registri contenitori protetti con collegamento privato di Azure.

Il Centro sicurezza può ora effettuare automaticamente il provisioning dell'estensione configurazione guest del Criteri di Azure (in anteprima)

Criteri di Azure possibile controllare le impostazioni all'interno di un computer, sia per i computer in esecuzione in Azure che in computer connessi ad Arc. La convalida viene eseguita dall'estensione Configurazione guest e dal client. Per altre informazioni, vedere Informazioni sulla configurazione guest di Criteri di Azure.

Con questo aggiornamento, è ora possibile impostare il Centro sicurezza per effettuare automaticamente il provisioning di questa estensione in tutti i computer supportati.

Enable auto deployment of Guest Configuration extension.

Altre informazioni sul funzionamento del provisioning automatico in Configurare il provisioning automatico per agenti ed estensioni.

Consigli per abilitare i piani di Azure Defender ora supportano "Imponi"

Il Centro sicurezza include due funzionalità che consentono di garantire che il provisioning delle risorse appena create venga eseguito in modo sicuro: applicare e negare. Quando una raccomandazione offre queste opzioni, è possibile assicurarsi che i requisiti di sicurezza vengano soddisfatti ogni volta che un utente tenta di creare una risorsa:

  • Nega impedisce la creazione di risorse non integre
  • Applicare la correzione automatica delle risorse non conformi al momento della creazione

Con questo aggiornamento, l'opzione di imposizione è ora disponibile nelle raccomandazioni per abilitare i piani di Azure Defender( ad esempio Azure Defender per servizio app deve essere abilitata, Azure Defender per Key Vault deve essere abilitato, Azure Defender per Archiviazione deve essere abilitato).

Altre informazioni su queste opzioni sono disponibili in Impedire configurazioni errate con le raccomandazioni Applica/Nega.

Esportazioni CSV dei dati delle raccomandazioni ora limitate a 20 MB

Stiamo introducendo un limite di 20 MB durante l'esportazione dei dati delle raccomandazioni del Centro sicurezza.

Security Center's 'download CSV report' button to export recommendation data.

Se è necessario esportare grandi quantità di dati, usare i filtri disponibili prima di selezionare o selezionare subset delle sottoscrizioni e scaricare i dati in batch.

Filtering subscriptions in the Azure portal.

Altre informazioni sull'esecuzione di un'esportazione CSV delle raccomandazioni sulla sicurezza.

Consigli pagina include ora più visualizzazioni

La pagina raccomandazioni include ora due schede per fornire modi alternativi per visualizzare le raccomandazioni rilevanti per le risorse:

  • Raccomandazioni relative al punteggio di sicurezza : usare questa scheda per visualizzare l'elenco di raccomandazioni raggruppate in base al controllo di sicurezza. Altre informazioni su questi controlli sono disponibili in Controlli di sicurezza e raccomandazioni.
  • Tutti i consigli : usare questa scheda per visualizzare l'elenco di raccomandazioni come elenco semplice. Questa scheda è utile anche per comprendere quale iniziativa (inclusi gli standard di conformità alle normative) ha generato la raccomandazione. Per altre informazioni sulle iniziative e sulla relazione con le raccomandazioni , vedere Che cosa sono i criteri di sicurezza, le iniziative e le raccomandazioni?.

Tabs to change the view of the recommendations list in Azure Security Center.

Luglio 2021

Gli aggiornamenti del mese di luglio includono quanto segue:

Il connettore Azure Sentinel include ora la sincronizzazione facoltativa degli avvisi bidirezionali (in anteprima)

Il Centro sicurezza si integra in modo nativo con Azure Sentinel, la soluzione SIEM e SOAR nativa del cloud di Azure.

Azure Sentinel include connettori predefiniti per Centro sicurezza di Azure a livello di sottoscrizione e tenant. Per altre informazioni, vedere Trasmettere avvisi ad Azure Sentinel.

Quando si connette Azure Defender ad Azure Sentinel, lo stato degli avvisi di Azure Defender inseriti in Azure Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Azure Defender, tale avviso verrà visualizzato anche come chiuso in Azure Sentinel. La modifica dello stato di un avviso in Azure Defender "non sarà"* influisce sullo stato di tutti gli eventi imprevisti di Azure Sentinel che contengono l'avviso di Azure Sentinel sincronizzato, solo quello dell'avviso sincronizzato stesso.

L'abilitazione di questa funzionalità di anteprima, la sincronizzazione degli avvisi bidirezionali, sincronizza automaticamente lo stato degli avvisi originali di Azure Defender con gli eventi imprevisti di Azure Sentinel che contengono le copie di tali avvisi di Azure Defender. Ad esempio, quando viene chiuso un evento imprevisto di Azure Sentinel contenente un avviso di Azure Defender, Azure Defender chiuderà automaticamente l'avviso originale corrispondente.

Per altre informazioni, vedere Connessione avvisi di Azure Defender da Centro sicurezza di Azure.

Riorganizzazione logica degli avvisi di Azure Defender per Resource Manager

Gli avvisi elencati di seguito sono stati forniti come parte del piano di Azure Defender per Resource Manager.

Come parte di una riorganizzazione logica di alcuni piani di Azure Defender, sono stati spostati alcuni avvisi da Azure Defender per Resource Manager ad Azure Defender per server.

Gli avvisi sono organizzati in base a due principi principali:

  • Gli avvisi che forniscono la protezione del piano di controllo, in molti tipi di risorse di Azure, fanno parte di Azure Defender per Resource Manager
  • Gli avvisi che proteggono carichi di lavoro specifici si trovano nel piano di Azure Defender correlato al carico di lavoro corrispondente

Questi sono gli avvisi che fanno parte di Azure Defender per Resource Manager e che, in seguito a questa modifica, fanno ora parte di Azure Defender per server:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Altre informazioni sui piani di Azure Defender per Resource Manager e Azure Defender per server.

Miglioramenti alla raccomandazione per abilitare Crittografia dischi di Azure (ADE)

Dopo il feedback degli utenti, è stata rinominata la raccomandazione Crittografia disco deve essere applicata alle macchine virtuali.

La nuova raccomandazione usa lo stesso ID di valutazione e viene chiamato Macchine virtuali deve crittografare dischi temporanei, cache e flussi di dati tra calcolo e risorse Archiviazione.

La descrizione è stata aggiornata anche per spiegare meglio lo scopo di questa raccomandazione di protezione avanzata:

Recommendation Descrizione Gravità
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non sono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Per altre informazioni, vedere il confronto delle diverse tecnologie di crittografia dei dischi in Azure.
Usare Crittografia dischi di Azure per crittografare tutti i dati. Ignorare questa raccomandazione se: (1) si usa la funzionalità di crittografia at-host o (2) crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione.
Alto

Esportazione continua dei dati di punteggio di sicurezza e conformità alle normative rilasciati per la disponibilità generale (GA)

L'esportazione continua fornisce il meccanismo per esportare gli avvisi di sicurezza e le raccomandazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente.

Quando si configura l'esportazione continua, si configurano gli elementi esportati e la posizione in cui verrà eseguita. Per altre informazioni, vedere la panoramica dell'esportazione continua.

Questa funzionalità è stata migliorata ed espansa nel tempo:

Con questo aggiornamento, queste due opzioni vengono rilasciate per la disponibilità generale .With this update, these two options are released for general availability (GA).

Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (GA)

A febbraio 2021 è stato aggiunto un terzo tipo di dati di anteprima alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative. Per altre informazioni, vedere Automazione del flusso di lavoro può essere attivata dalle modifiche alle valutazioni di conformità alle normative.

Con questo aggiornamento, questa opzione di trigger viene rilasciata per la disponibilità generale .With this update, this trigger option is released for general availability (GA).

Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.

Using changes to regulatory compliance assessments to trigger a workflow automation.

Campo API valutazioni 'FirstEvaluationDate' e 'StatusChangeDate' ora disponibile negli schemi dell'area di lavoro e nelle app per la logica

A maggio 2021 l'API di valutazione è stata aggiornata con due nuovi campi, FirstEvaluationDate e StatusChangeDate. Per informazioni dettagliate, vedere API valutazioni espansa con due nuovi campi.

Questi campi sono stati accessibili tramite l'API REST, Azure Resource Graph, l'esportazione continua e le esportazioni CSV.

Con questa modifica, le informazioni sono disponibili nello schema dell'area di lavoro Log Analytics e dalle app per la logica.

A marzo è stata annunciata l'esperienza integrata di Monitoraggio di Azure Workbooks nel Centro sicurezza (vedere Monitoraggio di Azure Workbooks integrato nel Centro sicurezza e tre modelli forniti).

La versione iniziale include tre modelli per creare report dinamici e visivi sul comportamento di sicurezza dell'organizzazione.

È stata ora aggiunta una cartella di lavoro dedicata al monitoraggio della conformità di una sottoscrizione agli standard normativi o di settore applicati.

Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report avanzati e interattivi dei dati del Centro sicurezza.

Azure Security Center's compliance over time workbook

Giugno 2021

Gli aggiornamenti del mese di giugno includono quanto segue:

Nuovo avviso per Azure Defender per Key Vault

Per espandere le protezioni dalle minacce fornite da Azure Defender per Key Vault, è stato aggiunto l'avviso seguente:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccess)
Un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò può indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Accesso tramite credenziali Medio

Per altre informazioni, vedere:

Consigli per crittografare con chiavi gestite dal cliente (CMK) disabilitate per impostazione predefinita

Il Centro sicurezza include più raccomandazioni per crittografare i dati inattivi con chiavi gestite dal cliente, ad esempio:

  • I registri contenitori devono essere crittografati con una chiave gestita dal cliente
  • Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente

I dati in Azure vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso delle chiavi gestite dal cliente deve essere applicato solo quando necessario per la conformità a un criterio specifico che l'organizzazione sceglie di applicare.

Con questa modifica, le raccomandazioni per l'uso dei cmk sono ora disabilitate per impostazione predefinita. Quando pertinente per l'organizzazione, è possibile abilitarli modificando il parametro Effect per i criteri di sicurezza corrispondenti su AuditIfNotExists o Enforce. Per altre informazioni, vedere Abilitare i criteri di sicurezza.

Questa modifica si riflette nei nomi della raccomandazione con un nuovo prefisso , [Abilita se necessario], come illustrato negli esempi seguenti:

  • [Abilita se necessario] Archiviazione account devono usare la chiave gestita dal cliente per crittografare i dati inattivi
  • [Abilita se necessario] I registri contenitori devono essere crittografati con una chiave gestita dal cliente
  • [Abilita se necessario] Gli account del database di Azure Cosmos devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Security Center's CMK recommendations will be disabled by default.

Prefisso per gli avvisi Kubernetes modificato da "AKS_" a "K8S_"

Azure Defender per Kubernetes è stato espanso di recente per proteggere i cluster Kubernetes ospitati in locale e in ambienti multicloud. Altre informazioni in Usare Azure Defender per Kubernetes per proteggere le distribuzioni ibride e multicloud Kubernetes (in anteprima).

Per riflettere il fatto che gli avvisi di sicurezza forniti da Azure Defender per Kubernetes non sono più limitati ai cluster in servizio Azure Kubernetes, è stato modificato il prefisso per i tipi di avviso da "AKS_" a "K8S_". Se necessario, anche i nomi e le descrizioni sono stati aggiornati. Ad esempio, questo avviso:

Avviso (tipo di avviso) Descrizione
Strumento di test di penetrazione Kubernetes rilevato
Servizio Azure Kubernetes_PenTestToolsKubeHunter)
L'analisi del log di controllo kubernetes ha rilevato l'utilizzo dello strumento di test di penetrazione Kubernetes nel cluster del servizio Azure Kubernetes. Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici a scopo dannoso.

è stato modificato in:

Avviso (tipo di avviso) Descrizione
Strumento di test di penetrazione Kubernetes rilevato
(K8S_PenTestToolsKubeHunter)
L'analisi del log di controllo kubernetes ha rilevato l'utilizzo dello strumento di test di penetrazione Kubernetes nel cluster Kubernetes . Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici a scopo dannoso.

Tutte le regole di eliminazione che fanno riferimento agli avvisi che iniziano "AKS_" vengono convertite automaticamente. Se sono state configurate le esportazioni SIEM o gli script di automazione personalizzati che fanno riferimento agli avvisi kubernetes in base al tipo di avviso, sarà necessario aggiornarli con i nuovi tipi di avviso.

Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.

Deprecato due consigli dal controllo di sicurezza "Applica aggiornamenti di sistema"

Sono state deprecate le due raccomandazioni seguenti:

  • La versione del sistema operativo deve essere aggiornata per i ruoli del servizio cloud: per impostazione predefinita, Azure aggiorna periodicamente il sistema operativo guest all'interno della famiglia di sistemi operativi specificata nella configurazione del servizio (con estensione cscfg), ad esempio Windows Server 2016.
  • I servizi Kubernetes devono essere aggiornati a una versione kubernetes non vulnerabile : le valutazioni di questa raccomandazione non sono più a portata di mano che si desidera che siano. Si prevede di sostituire la raccomandazione con una versione avanzata allineata alle esigenze di sicurezza.

Maggio 2021

Gli aggiornamenti del mese di maggio includono quanto segue:

Azure Defender per DNS e Azure Defender per Resource Manager rilasciato per la disponibilità generale (GA)

Questi due piani di protezione delle minacce nativi del cloud sono ora disponibilità generale.

Queste due nuove funzionalità migliorano notevolmente la resilienza dell'ambiente contro attacchi e minacce, oltre ad aumentare sensibilmente il numero di risorse di Azure protette da Azure Defender.

Per semplificare il processo di abilitazione di questi piani, usare le raccomandazioni:

  • Azure Defender per Resource Manager deve essere abilitato
  • Azure Defender per DNS deve essere abilitato

Nota

L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.

Azure Defender per i database relazionali open source rilasciati per la disponibilità generale (GA)

Centro sicurezza di Azure espande l'offerta per la protezione SQL con un nuovo bundle per coprire i database relazionali open source:

  • Azure Defender per i server di database SQL di Azure: protegge i sistemi SQL Server nativi di Azure
  • Azure Defender per i server SQL nei computer: estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali
  • Azure Defender per i database relazionali open source : protegge i database di Azure per MySQL, PostgreSQL e MariaDB a server singoli

Azure Defender per i database relazionali open source monitora costantemente i server per le minacce alla sicurezza e rileva attività di database anomale che indicano potenziali minacce a Database di Azure per MySQL, PostgreSQL e MariaDB. Ad esempio:

  • Rilevamento granulare degli attacchi di forza bruta : Azure Defender per i database relazionali open source fornisce informazioni dettagliate sugli attacchi di forza bruta e riuscita. Ciò consente di analizzare e rispondere con una comprensione più completa della natura e dello stato dell'attacco all'ambiente.
  • Rilevamento degli avvisi comportamentali : Azure Defender per i database relazionali open source avvisa gli utenti di comportamenti sospetti e imprevisti nei server, ad esempio le modifiche apportate al modello di accesso al database.
  • Rilevamento basato sull'intelligence sulle minacce: Azure Defender applica l'intelligenza delle minacce di Microsoft e un'ampia knowledge base agli avvisi delle minacce di superficie in modo da poter agire contro di essi.

Altre informazioni in Introduzione ad Azure Defender per i database relazionali open source.

Nuovi avvisi per Azure Defender per Resource Manager

Per espandere le protezioni delle minacce fornite da Azure Defender per Resource Manager, sono stati aggiunti gli avvisi seguenti:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Autorizzazioni concesse per un ruolo di controllo degli accessi in base al ruolo in modo insolito per l'ambiente di Azure (anteprima)
(ARM_AnomalousRBACRoleAssignment)
Azure Defender per Resource Manager ha rilevato un'assegnazione di ruolo RBAC insolita rispetto ad altre assegnazioni eseguite dallo stesso assegnatore/eseguito per lo stesso assegnatare/nel tenant a causa delle anomalie seguenti: tempo di assegnazione, percorso assegnatore, metodo di autenticazione, entità assegnate, software client usato, estensione dell'assegnazione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di concedere le autorizzazioni a un account utente aggiuntivo proprietario. Movimento laterale, evasione della difesa Medio
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima)
(ARM_PrivilegedRoleDefinitionCreation)
Azure Defender per Resource Manager rilevato una creazione sospetta della definizione di ruolo personalizzata con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento. Movimento laterale, evasione della difesa Basso
Operazione di Resource Manager di Azure dall'indirizzo IP sospetto (anteprima)
(ARM_OperationFromSuspiciousIP)
Azure Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence sulle minacce. Esecuzione Media
Operazione di azure Resource Manager dall'indirizzo IP proxy sospetto (anteprima)
(ARM_OperationFromSuspiciousProxyIP)
Azure Defender per Resource Manager rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, è spesso visto nelle attività dannose, quando gli attori delle minacce tentano di nascondere l'IP di origine. Evasione delle difese Medio

Per altre informazioni, vedere:

Analisi delle vulnerabilità CI/CD delle immagini del contenitore con flussi di lavoro di GitHub e Azure Defender (anteprima)

Azure Defender per registri contenitori offre ora ai team DevSecOps l'osservabilità nei flussi di lavoro GitHub Actions.

La nuova funzionalità di analisi delle vulnerabilità per le immagini del contenitore, che usa Trivy, consente agli sviluppatori di analizzare le vulnerabilità comuni nelle immagini del contenitore prima di eseguire il push delle immagini nei registri contenitori.

I report di analisi dei contenitori sono riepilogati in Centro sicurezza di Azure, offrendo ai team di sicurezza informazioni e informazioni migliori sull'origine delle immagini dei contenitori vulnerabili e sui flussi di lavoro e i repository da cui provengono.

Per altre informazioni, vedere Identificare le immagini dei contenitori vulnerabili nei flussi di lavoro CI/CD.

Altre query Resource Graph disponibili per alcune raccomandazioni

Tutte le raccomandazioni del Centro sicurezza hanno la possibilità di visualizzare le informazioni sullo stato delle risorse interessate usando Azure Resource Graph dalla query Apri. Per informazioni dettagliate su questa potente funzionalità, vedere Esaminare i dati delle raccomandazioni in Azure Resource Graph Explorer (ARG).For full details about this powerful feature, see Review recommendation data in Azure Resource Graph Explorer (ARG).

Il Centro sicurezza include scanner di vulnerabilità predefiniti per analizzare le macchine virtuali, i server SQL e i relativi host e i registri contenitori per individuare le vulnerabilità di sicurezza. I risultati vengono restituiti come raccomandazioni con tutti i singoli risultati per ogni tipo di risorsa raccolto in una singola visualizzazione. Le raccomandazioni sono:

  • È consigliabile correggere le vulnerabilità delle immagini del Registro Azure Container (con tecnologia Qualys)
  • È consigliabile correggere le vulnerabilità nelle macchine virtuali
  • SQL database devono essere risolti i risultati della vulnerabilità
  • SQL server nei computer devono avere i risultati delle vulnerabilità risolti

Con questa modifica, è possibile usare il pulsante Apri query per aprire anche la query che mostra i risultati della sicurezza.

The open query button now offers options for a deeper query showing the security findings for vulnerability scanner-related recommendations.

Il pulsante Apri query offre opzioni aggiuntive per altre raccomandazioni, se pertinenti.

Altre informazioni sugli scanner di vulnerabilità del Centro sicurezza:

SQL gravità della raccomandazione di classificazione dei dati modificata

La gravità dei dati sensibili consigliati nei database SQL deve essere classificata è stata modificata da Alta a Bassa.

Questa è parte di una modifica in corso a questa raccomandazione annunciata nella pagina delle modifiche imminenti.

Nuove raccomandazioni per abilitare le funzionalità di avvio attendibili (in anteprima)

Azure offre un lancio affidabile come un modo semplice per migliorare la sicurezza delle macchine virtuali di seconda generazione . L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. Il lancio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure.

Importante

L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.

L'avvio attendibile è attualmente disponibile in anteprima pubblica. L'anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.

La raccomandazione del Centro sicurezza , vTPM deve essere abilitata nelle macchine virtuali supportate, garantisce che le macchine virtuali di Azure usino un vTPM. Questa versione virtualizzata di un modulo trusted platform hardware consente l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

Con vTPM abilitato, l'estensione Attestazione guest può convalidare in remoto l'avvio protetto. Le raccomandazioni seguenti assicurano che questa estensione venga distribuita:

  • L'avvio protetto deve essere abilitato nelle macchine virtuali supportate Windows
  • L'estensione attestazione guest deve essere installata nelle macchine virtuali supportate Windows
  • L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali supportati Windows
  • L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate
  • L'estensione di attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati

Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure.

Nuove raccomandazioni per la protezione avanzata dei cluster Kubernetes (in anteprima)

Le raccomandazioni seguenti consentono di rafforzare ulteriormente i cluster Kubernetes

  • I cluster Kubernetes non devono usare lo spazio dei nomi predefinito : per evitare l'accesso non autorizzato per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount, impedire l'uso dello spazio dei nomi predefinito nei cluster Kubernetes.
  • I cluster Kubernetes devono disabilitare il montaggio automatico delle credenziali API : per evitare che una risorsa pod potenzialmente compromessa esegua comandi API nei cluster Kubernetes, disabilitare il montaggio automatico delle credenziali api.
  • I cluster Kubernetes non devono concedere funzionalità di sicurezza CAPSYSADMIN

Informazioni su come il Centro sicurezza può proteggere gli ambienti in contenitori nella sicurezza dei contenitori nel Centro sicurezza.

API Valutazioni espansa con due nuovi campi

Sono stati aggiunti i due campi seguenti all'API REST Valutazioni:

  • FirstEvaluationDate : ora in cui la raccomandazione è stata creata e valutata per la prima volta. Restituito come ora UTC nel formato ISO 8601.
  • StatusChangeDate : ora dell'ultima modifica dello stato della raccomandazione. Restituito come ora UTC nel formato ISO 8601.

Il valore predefinito iniziale per questi campi, per tutte le raccomandazioni, è 2021-03-14T00:00:00+0000000Z.

Per accedere a queste informazioni, è possibile usare uno dei metodi nella tabella seguente.

Strumento Dettagli
Chiamata API REST GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Diagramma delle risorse di Azure securityresources
where type == "microsoft.security/assessments"
Esportazione continua I due campi dedicati saranno disponibili nei dati dell'area di lavoro Log Analytics
Esportazione CSV I due campi sono inclusi nei file CSV

Altre informazioni sull'API REST valutazioni.

L'inventario asset ottiene un filtro dell'ambiente cloud

La pagina inventario asset del Centro sicurezza offre molti filtri per perfezionare rapidamente l'elenco delle risorse visualizzate. Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.

Un nuovo filtro offre la possibilità di perfezionare l'elenco in base agli account cloud connessi alle funzionalità multicloud del Centro sicurezza:

Inventory's environment filter

Altre informazioni sulle funzionalità multicloud:

Aprile 2021

Gli aggiornamenti del mese di aprile includono quanto segue:

Pagina Integrità risorse aggiornata (in anteprima)

L'integrità delle risorse del Centro sicurezza è stata ampliata, migliorata e migliorata per offrire una visualizzazione snapshot dell'integrità complessiva di una singola risorsa.

È possibile esaminare informazioni dettagliate sulla risorsa e tutte le raccomandazioni applicabili a tale risorsa. Inoltre, se si usano i piani di protezione avanzata di Microsoft Defender, è possibile visualizzare anche gli avvisi di sicurezza in sospeso per tale risorsa specifica.

Per aprire la pagina relativa all'integrità delle risorse per una risorsa, selezionare una risorsa nella pagina inventario asset.

Questa pagina di anteprima nelle pagine del portale del Centro sicurezza mostra:

  1. Informazioni sulle risorse: il gruppo di risorse e la sottoscrizione a cui è collegato, alla posizione geografica e altro ancora.
  2. Funzionalità di sicurezza applicata : se Azure Defender è abilitato per la risorsa.
  3. Conteggio delle raccomandazioni e degli avvisi in sospeso : numero di raccomandazioni per la sicurezza in sospeso e avvisi di Azure Defender.
  4. Raccomandazioni e avvisi utilizzabili : due schede elencano i consigli e gli avvisi che si applicano alla risorsa.

Azure Security Center's resource health page showing the health information for a virtual machine

Altre informazioni in Esercitazione: esaminare l'integrità delle risorse.

Le immagini del Registro contenitori che sono state estratte di recente sono ora riscante settimanalmente (rilasciate per disponibilità generale))

Azure Defender per i registri contenitori include uno scanner di vulnerabilità predefinito. Questo scanner analizza immediatamente qualsiasi immagine che si esegue il push nel Registro di sistema e qualsiasi immagine estratta negli ultimi 30 giorni.

Ogni giorno vengono individuate nuove vulnerabilità. Con questo aggiornamento, le immagini del contenitore che sono state estratte dai registri negli ultimi 30 giorni verranno riscante ogni settimana. Ciò garantisce che le vulnerabilità appena individuate vengano identificate nelle immagini.

L'analisi viene addebitata per ogni immagine, quindi non è previsto alcun addebito aggiuntivo per queste analisi.

Altre informazioni su questo scanner in Usare Azure Defender per i registri contenitori per analizzare le immagini per le vulnerabilità.

Usare Azure Defender per Kubernetes per proteggere le distribuzioni ibride e multicloud Kubernetes (in anteprima)

Azure Defender per Kubernetes espande le funzionalità di protezione delle minacce per difendere i cluster ovunque vengano distribuiti. Questa funzionalità è stata abilitata grazie all'integrazione con Kubernetes abilitato per Azure Arc e alle nuove funzionalità delle estensioni.

Quando è stato abilitato Azure Arc nei cluster non Azure Kubernetes, una nuova raccomandazione da Centro sicurezza di Azure offerte per distribuire l'estensione Azure Defender in tali cluster con pochi clic.

Usare la raccomandazione (i cluster Kubernetes abilitati per Azure Arc devono avere installato l'estensione di Azure Defender) e l'estensione per proteggere i cluster Kubernetes distribuiti in altri provider di cloud, anche se non nei servizi Kubernetes gestiti.

Questa integrazione tra Centro sicurezza di Azure, Azure Defender e Kubernetes abilitato per Azure Arc offre:

  • Provisioning semplice dell'estensione Azure Defender per i cluster Kubernetes abilitati per Azure Arc (manualmente e su larga scala)
  • Monitoraggio dell'estensione Azure Defender e del relativo stato di provisioning dal portale di Azure Arc
  • Le raccomandazioni sulla sicurezza del Centro sicurezza vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
  • Le minacce di sicurezza identificate da Azure Defender vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
  • I cluster Kubernetes abilitati per Azure Arc sono integrati nella piattaforma e nell'esperienza di Centro sicurezza di Azure

Altre informazioni in Usare Azure Defender per Kubernetes con i cluster Kubernetes locali e multicloud.

Azure Security Center's recommendation for deploying the Azure Defender extension for Azure Arc-enabled Kubernetes clusters.

Microsoft Defender per endpoint integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Windows Desktop virtuale rilasciato per la disponibilità generale (GA)

Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Fornisce gestione delle vulnerabilità e valutazione basati sui rischi e rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per Endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione di EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.

Quando si abilita Azure Defender per server che esegue Windows Server, è inclusa una licenza per Defender per Endpoint. Se è già stato abilitato Azure Defender per server e si dispone di server Windows server 2019 nella sottoscrizione, riceveranno automaticamente Defender per endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.

Il supporto è stato ora espanso per includere Windows Server 2019 e Windows 10 in Windows Desktop virtuale.

Nota

Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Abilitare l'integrazione Microsoft Defender per endpoint.

Consigli per abilitare Azure Defender per DNS e Resource Manager (in anteprima)

Sono state aggiunte due nuove raccomandazioni per semplificare il processo di abilitazione di Azure Defender per Resource Manager e Azure Defender per DNS:

  • Azure Defender per Resource Manager deve essere abilitato: Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi all'attività sospetta.
  • Azure Defender per DNS deve essere abilitato : Defender per DNS offre un livello aggiuntivo di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisa l'attività sospetta a livello DNS.

L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.

Suggerimento

Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.

Sono stati aggiunti tre standard di conformità normativi: Azure CIS 1.3.0, CMMC Level 3 e New Zelanda ISM con restrizioni

Sono stati aggiunti tre standard per l'uso con Centro sicurezza di Azure. Usando il dashboard di conformità alle normative, è ora possibile tenere traccia della conformità con:

È possibile assegnarli alle sottoscrizioni, come descritto in Personalizzare il set di standard nel dashboard di conformità alle normative.

Three standards added for use with Azure Security Center's regulatory compliance dashboard.

Altre informazioni sono disponibili in:

I report dell'estensione configurazione guest di Azure nel Centro sicurezza consentono di assicurarsi che le impostazioni guest delle macchine virtuali siano avanzate. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc. L'estensione richiede un'identità gestita dal sistema nel computer.

Sono state aggiunte quattro nuove raccomandazioni al Centro sicurezza per sfruttare al meglio questa estensione.

  • Due raccomandazioni richiedono di installare l'estensione e la relativa identità gestita dal sistema:

    • L'estensione configurazione guest deve essere installata nei computer
    • L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema
  • Quando l'estensione è installata ed in esecuzione, inizierà a controllare i computer e verrà richiesto di proteggere le impostazioni di protezione avanzata, ad esempio la configurazione del sistema operativo e le impostazioni dell'ambiente. Questi due consigli ti chiederanno di proteggere i computer Windows e Linux, come descritto di seguito:

    • Windows Defender Exploit Guard deve essere abilitato nei computer
    • L'autenticazione nei computer Linux deve richiedere chiavi SSH

Altre informazioni in Informazioni sulla configurazione guest di Criteri di Azure.

Raccomandazioni di CMK spostate nel controllo della sicurezza delle procedure consigliate

Ogni programma di sicurezza dell'organizzazione include i requisiti di crittografia dei dati. Per impostazione predefinita, i dati dei clienti di Azure vengono crittografati inattivi con chiavi gestite dal servizio. Tuttavia, le chiavi gestite dal cliente (CMK) sono comunemente necessarie per soddisfare gli standard di conformità normativi. I CMK consentono di crittografare i dati con una chiave di Key Vault di Azure creata e di proprietà dell'utente. Ciò offre il controllo completo e la responsabilità per il ciclo di vita della chiave, inclusa la rotazione e la gestione.

i controlli di sicurezza di Centro sicurezza di Azure sono gruppi logici di raccomandazioni relative alla sicurezza e riflettono le superfici di attacco vulnerabili. Ogni controllo ha un numero massimo di punti che è possibile aggiungere al punteggio sicuro se si corregge tutte le raccomandazioni elencate nel controllo, per tutte le risorse. Il controllo Implementare le procedure consigliate per la sicurezza vale zero punti. Pertanto, le raccomandazioni in questo controllo non influiscono sul punteggio sicuro.

Le raccomandazioni elencate di seguito vengono spostate nel controllo Implement security best practices security per riflettere meglio la loro natura facoltativa. Questo passaggio garantisce che queste raccomandazioni si trovino nel controllo più appropriato per soddisfare l'obiettivo.

  • Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
  • Gli account servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente (CMK)
  • I registri contenitori devono essere crittografati con una chiave gestita dal cliente
  • Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia

Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.

11 Avvisi di Azure Defender deprecati

Gli avvisi di Azure Defender elencati di seguito sono stati deprecati.

  • I nuovi avvisi sostituiranno questi due avvisi e offrono una copertura migliore:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo PREVIEW : viene rilevata l'esecuzione della funzione "Get-AzureDomainInfo" del toolkit microBurst
    ARM_MicroBurstRunbook PREVIEW - Funzione "Get-AzurePasswords" del toolkit MicroBurst rilevata
  • Questi nove avvisi si riferiscono a un connettore IPC (Identity Protection Connector) Azure Active Directory già deprecato:

    AlertType AlertDisplayName
    Non familiareLocation Proprietà di accesso insolite
    AnonymousLogin Indirizzo IP anonimo
    InfectedDeviceLogin Indirizzo IP collegato a malware
    ImpossibleTravel Trasferimento atipico
    MaliciousIP Indirizzo IP dannoso
    Credenziali perse Credenziali perse
    PasswordSpray Password Spray
    Credenziali perse Intelligence per le minacce di Azure AD
    AADAI Azure AD AI

    Suggerimento

    Questi nove avvisi IPC non sono mai stati avvisi del Centro sicurezza. Fanno parte del connettore IPC (Identity Protection) di Azure Active Directory (AAD) che li invia al Centro sicurezza. Negli ultimi due anni, gli unici clienti che hanno visto tali avvisi sono organizzazioni che hanno configurato l'esportazione (dal connettore all'ambiente del servizio app) nel 2019 o versioni precedenti. AAD IPC ha continuato a mostrarli nei propri sistemi di avvisi e hanno continuato a essere disponibili in Azure Sentinel. L'unica modifica è che non vengono più visualizzate nel Centro sicurezza.

Sono state deprecate due raccomandazioni dal controllo di sicurezza "Applica aggiornamenti di sistema"

I due consigli seguenti sono stati deprecati e le modifiche potrebbero comportare un lieve impatto sul punteggio sicuro:

  • È consigliabile riavviare i computer per applicare gli aggiornamenti del sistema
  • L'agente di monitoraggio deve essere installato nei computer. Questa raccomandazione riguarda solo i computer locali e alcune delle relative logiche verranno trasferite a un'altra raccomandazione, i problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer

È consigliabile controllare le configurazioni di automazione continua dell'esportazione e del flusso di lavoro per verificare se queste raccomandazioni sono incluse in esse. Inoltre, tutti i dashboard o altri strumenti di monitoraggio che potrebbero essere usati devono essere aggiornati di conseguenza.

Altre informazioni su queste raccomandazioni nella pagina di riferimento sulle raccomandazioni sulla sicurezza.

Azure Defender per SQL nel riquadro del computer rimosso dal dashboard di Azure Defender

L'area di copertura del dashboard di Azure Defender include riquadri per i piani di Azure Defender pertinenti per l'ambiente. A causa di un problema con la segnalazione dei numeri di risorse protette e non protette, è stato deciso di rimuovere temporaneamente lo stato di copertura delle risorse per Azure Defender per SQL nei computer fino a quando non viene risolto il problema.

21 raccomandazioni spostate tra i controlli di sicurezza

Le raccomandazioni seguenti sono state spostate in diversi controlli di sicurezza. I controlli di sicurezza sono gruppi logici di raccomandazioni relative alla sicurezza e riflettono le superfici di attacco vulnerabili. Questo passaggio garantisce che ognuna di queste raccomandazioni sia nel controllo più appropriato per soddisfare l'obiettivo.

Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.

Recommendation Modifica e impatto
La valutazione delle vulnerabilità deve essere abilitata nei server SQL
La valutazione delle vulnerabilità deve essere abilitata nelle istanze gestite di SQL
Le vulnerabilità nei database SQL devono essere risolte nuove
Le vulnerabilità nei database SQL delle macchine virtuali devono essere corrette
Spostamento da Correzione delle vulnerabilità (vale 6 punti)
per correggere le configurazioni di sicurezza (vale 4 punti).
A seconda dell'ambiente, queste raccomandazioni avranno un impatto ridotto sul punteggio.
Alla sottoscrizione deve essere assegnato più di un proprietario
Le variabili dell'account di automazione devono essere crittografate
Dispositivi IoT - Processo controllato arrestato l'invio di eventi
Dispositivi IoT - Errore di convalida della baseline del sistema operativo
Dispositivi IoT - Aggiornamento della suite di crittografia TLS necessario
Dispositivi IoT - Porte aperte nel dispositivo
Dispositivi IoT - Criteri firewall permissive in una delle catene sono stati trovati
Dispositivi IoT - Regola del firewall permissiva nella catena di input è stata trovata
Dispositivi IoT - Regola del firewall permissiva nella catena di output è stata trovata
È consigliabile abilitare i log di diagnostica nell'hub IoT
Dispositivi IoT - Agente che invia messaggi sottoutilizzati
Dispositivi IoT : i criteri di filtro IP predefiniti devono essere Negati
Dispositivi IoT - Regola filtro IP di grandi dimensioni
Dispositivi IoT : gli intervalli e le dimensioni dei messaggi dell'agente devono essere modificati
Dispositivi IoT - Credenziali di autenticazione identiche
Dispositivi IoT - Processo controllato arrestato l'invio di eventi
Dispositivi IoT - La configurazione della baseline del sistema operativo (OS) deve essere fissa
Passaggio a Implementare le procedure consigliate per la sicurezza.
Quando un consiglio passa al controllo Implement security best practices security, che vale la pena no punti, la raccomandazione non influisce più sul punteggio sicuro.

Marzo 2021

Aggiornamenti a marzo includono:

Firewall di Azure gestione integrata nel Centro sicurezza

Quando si apre il Centro sicurezza di Azure, la prima pagina che viene visualizzata è quella di panoramica.

Questo dashboard interattivo offre una visualizzazione unificata nel comportamento di sicurezza dei carichi di lavoro cloud ibridi. Mostra inoltre avvisi di sicurezza, informazioni sulla copertura e altri dettagli.

Come parte dell'assistenza per visualizzare lo stato di sicurezza da un'esperienza centrale, è stato integrato il Firewall di Azure Manager in questo dashboard. È ora possibile controllare lo stato di copertura del firewall in tutte le reti e gestire in modo centralizzato i criteri Firewall di Azure a partire dal Centro sicurezza.

Altre informazioni su questo dashboard nella pagina di panoramica di Centro sicurezza di Azure.

Security Center's overview dashboard with a tile for Azure Firewall

SQL valutazione della vulnerabilità include ora l'esperienza "Disabilita regola" (anteprima)

Il Centro sicurezza include uno scanner di vulnerabilità predefinito per individuare, tenere traccia e correggere potenziali vulnerabilità del database. I risultati delle analisi di valutazione forniscono una panoramica dello stato di sicurezza dei computer di SQL e dei dettagli relativi ai risultati della sicurezza.

Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Altre informazioni in Disabilita risultati specifici.

Monitoraggio di Azure Workbooks integrato nel Centro sicurezza e tre modelli forniti

Come parte di Ignite Spring 2021, abbiamo annunciato un'esperienza integrata di Monitoraggio di Azure Workbooks nel Centro sicurezza.

È possibile usare la nuova integrazione per iniziare a usare i modelli predefiniti della raccolta del Centro sicurezza. Usando i modelli di cartella di lavoro, è possibile accedere e creare report visivi e dinamici per tenere traccia del comportamento di sicurezza dell'organizzazione. È inoltre possibile creare nuove cartelle di lavoro in base ai dati del Centro sicurezza o a qualsiasi altro tipo di dati supportato e distribuire rapidamente cartelle di lavoro della community dalla community GitHub del Centro sicurezza.

Vengono forniti tre report di modelli:

  • Secure Score Over Time - Tenere traccia dei punteggi delle sottoscrizioni e delle modifiche alle raccomandazioni per le risorse
  • Aggiornamenti di sistema: visualizzare gli aggiornamenti di sistema mancanti per risorse, sistema operativo, gravità e altro ancora
  • Risultati della valutazione della vulnerabilità - Visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure

Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report avanzati e interattivi dei dati del Centro sicurezza.

Secure score over time report.

Il dashboard conformità alle normative include ora report di controllo di Azure (anteprima)

Dalla barra degli strumenti del dashboard di conformità alle normative è ora possibile scaricare i report di certificazione di Azure e Dynamics.

Regulatory compliance dashboard's toolbar

È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.

Altre informazioni sulla gestione degli standard nel dashboard di conformità alle normative.

Filtering the list of available Azure Audit reports.

I dati delle raccomandazioni possono essere visualizzati in Azure Resource Graph con "Esplora in ARG"

Le pagine dei dettagli delle raccomandazioni includono ora il pulsante della barra degli strumenti "Esplora in ARG". Usare questo pulsante per aprire una query di Azure Resource Graph ed esplorare, esportare e condividere i dati della raccomandazione.

Azure Resource Graph (ARG) offre accesso immediato alle informazioni sulle risorse negli ambienti cloud con potenti funzionalità di filtro, raggruppamento e ordinamento. Si tratta di un modo rapido ed efficiente di eseguire query sulle informazioni nelle sottoscrizioni di Azure a livello di codice o dall'interno del portale di Azure.

Altre informazioni su Azure Resource Graph (ARG).

Explore recommendation data in Azure Resource Graph.

Aggiornamenti ai criteri per la distribuzione dell'automazione del flusso di lavoro

L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.

Sono disponibili tre Criteri di Azure criteri "DeployIfNotExist" che creano e configurano le procedure di automazione del flusso di lavoro in modo da poter distribuire le automazione nell'organizzazione:

Obiettivo Policy ID condizione
Automazione dei flussi di lavoro per gli avvisi di sicurezza Distribuisci automazione del flusso di lavoro per gli avvisi del Centro sicurezza di Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza Distribuisci automazione del flusso di lavoro per le raccomandazioni del Centro sicurezza di Azure 73d6ab6c-2475-4850-afd6-43795f3492ef
Automazione del flusso di lavoro per le modifiche di conformità alle normative Distribuire Automazione del flusso di lavoro per la conformità alle normative di Centro sicurezza di Azure 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Sono disponibili due aggiornamenti per le funzionalità di questi criteri:

  • Quando assegnato, rimarranno abilitati dall'imposizione.
  • È ora possibile personalizzare questi criteri e aggiornare uno dei parametri anche dopo che sono già stati distribuiti. Ad esempio, se un utente vuole aggiungere un'altra chiave di valutazione o modificare una chiave di valutazione esistente, può farlo.

Introduzione ai modelli di automazione dei flussi di lavoro.

Altre informazioni su come automatizzare le risposte ai trigger del Centro sicurezza.

Due raccomandazioni legacy non scrivono più dati direttamente nel log attività di Azure

Il Centro sicurezza passa i dati per quasi tutte le raccomandazioni di sicurezza ad Azure Assistente, che a sua volta le scrive nel log attività di Azure.

Per due consigli, i dati vengono scritti contemporaneamente direttamente nel log attività di Azure. Con questa modifica, il Centro sicurezza smette di scrivere i dati per queste raccomandazioni di sicurezza legacy direttamente nel log attività. Verranno invece esportati i dati in Azure Assistente come per tutte le altre raccomandazioni.

Le due raccomandazioni legacy sono:

  • È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer
  • Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte

Se si accede alle informazioni per queste due raccomandazioni nella categoria "Raccomandazione di tipo TaskDiscovery" del log attività, non è più disponibile.

miglioramenti delle pagine Consigli

È stata rilasciata una versione migliorata dell'elenco di raccomandazioni per presentare altre informazioni a colpo d'occhio.

Ora nella pagina verrà visualizzato:

  1. Punteggio massimo e punteggio corrente per ogni controllo di sicurezza.
  2. Icone che sostituiscono tag come Correzione e Anteprima.
  3. Nuova colonna che mostra l'iniziativa Criteri correlata a ogni raccomandazione, visibile quando "Raggruppa per controlli" è disabilitata.

Enhancements to Azure Security Center's recommendations page - March 2021

Enhancements to Azure Security Center's recommendations 'flat' list - March 2021

Per altre informazioni, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.

Febbraio 2021

Aggiornamenti a febbraio includono:

Nuova pagina degli avvisi di sicurezza nella portale di Azure rilasciata per la disponibilità generale

La pagina Avvisi di sicurezza del Centro sicurezza di Azure è stata riprogettata per offrire:

  • Esperienza di valutazione migliorata per gli avvisi : consente di ridurre l'affaticamento degli avvisi e di concentrarsi sulle minacce più rilevanti più facilmente, l'elenco include filtri personalizzabili e opzioni di raggruppamento.
  • Altre informazioni nell'elenco degli avvisi , ad esempio tattiche MITRE ATT&ACK.
  • Pulsante per creare avvisi di esempio : per valutare le funzionalità di Azure Defender e testare gli avvisi. configurazione (per l'integrazione SIEM, le notifiche tramite posta elettronica e le automazione del flusso di lavoro), è possibile creare avvisi di esempio da tutti i piani di Azure Defender.
  • Allineamento con l'esperienza degli eventi imprevisti di Azure Sentinel : per i clienti che usano entrambi i prodotti, il passaggio tra di essi è ora un'esperienza più semplice ed è facile imparare l'uno dall'altro.
  • Prestazioni migliori per elenchi di avvisi di grandi dimensioni.
  • Spostamento tramite tastiera nell'elenco di avvisi.
  • Avvisi di Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API di tipo Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Vedere altre informazioni su Azure Resource Graph.
  • Creare una funzionalità di avvisi di esempio : per creare avvisi di esempio dalla nuova esperienza degli avvisi, vedere Generare avvisi di Azure Defender di esempio.

Azure Security Center's security alerts list

Raccomandazioni sulla protezione del carico di lavoro Kubernetes rilasciate per la disponibilità generale

Microsoft è lieta di annunciare la disponibilità generale (GA) del set di raccomandazioni per le protezioni dei carichi di lavoro Kubernetes.

Per garantire che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza ha aggiunto raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.

Quando il componente aggiuntivo Criteri di Azure per Kubernetes viene installato nel cluster servizio Azure Kubernetes (AKS), ogni richiesta al server API Kubernetes verrà monitorata in base al set predefinito di procedure consigliate, visualizzate come 13 raccomandazioni di sicurezza, prima di essere rese persistenti nel cluster. È quindi possibile configurare l'imposizione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.

È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.

Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.

Nota

Anche se le raccomandazioni erano in anteprima, non eseguivano il rendering di una risorsa cluster del servizio Azure Kubernetes non integre e non erano incluse nei calcoli del punteggio di sicurezza. con questo annuncio ga questi saranno inclusi nel calcolo del punteggio. Se non sono già stati corretti, questo potrebbe comportare un lieve impatto sul punteggio di sicurezza. Correggerli laddove possibile, come descritto in Correggere le raccomandazioni in Centro sicurezza di Azure.

Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in desktop virtuale Windows (in anteprima)

Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Fornisce gestione delle vulnerabilità e valutazione basata sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint con Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione integrata di EDR del Centro sicurezza: Microsoft Defender per endpoint.

Quando si abilita Azure Defender per server che eseguono Windows Server, nel piano è inclusa una licenza per Defender per endpoint. Se Azure Defender per server è già stato abilitato e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.

Il supporto è stato ora ampliato per includere Windows Server 2019 e Windows 10 in desktop virtuale Windows.

Nota

Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Abilitare l'integrazione Microsoft Defender per endpoint.

Quando si esaminano i dettagli di una raccomandazione, spesso è utile visualizzare i criteri sottostanti. Per ogni raccomandazione supportata da un criterio, è disponibile un nuovo collegamento dalla pagina dei dettagli della raccomandazione:

Link to Azure Policy page for the specific policy supporting a recommendation.

Usare questo collegamento per visualizzare la definizione dei criteri ed esaminare la logica di valutazione.

Se si esamina l'elenco delle raccomandazioni nella guida di riferimento per le raccomandazioni sulla sicurezza, verranno visualizzati anche i collegamenti alle pagine di definizione dei criteri:

Accessing the Azure Policy page for a specific policy directly from the Azure Security Center recommendations reference page.

SQL raccomandazione di classificazione dei dati non influisce più sul punteggio di sicurezza

I dati sensibili consigliati nei database SQL devono essere classificati non influiscono più sul punteggio sicuro. Si tratta dell'unico consiglio nel controllo Applica sicurezza di classificazione dei dati , in modo che il controllo abbia ora un valore di punteggio sicuro pari a 0.

Per un elenco completo di tutti i controlli di sicurezza nel Centro sicurezza, insieme ai relativi punteggi e a un elenco dei consigli in ognuno, vedere Controlli di sicurezza e le relative raccomandazioni.

Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità normative (in anteprima)

È stato aggiunto un terzo tipo di dati alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità normative.

Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.

Using changes to regulatory compliance assessments to trigger a workflow automation.

Miglioramenti delle pagine di inventario degli asset

La pagina dell'inventario delle risorse del Centro sicurezza è stata migliorata nei modi seguenti:

  • I riepiloghi nella parte superiore della pagina includono ora sottoscrizioni non registrate, che mostra il numero di sottoscrizioni senza il Centro sicurezza abilitato.

    Count of unregistered subscriptions in the summaries at the top of the asset inventory page.

  • I filtri sono stati espansi e migliorati per includere:

    • Conteggi: ogni filtro presenta il numero di risorse che soddisfano i criteri di ogni categoria

      Counts in the filters in the asset inventory page of Azure Security Center.

    • Contiene filtri di esenzione (facoltativo): restringere i risultati alle risorse che hanno/non hanno esenzioni. Questo filtro non è visualizzato per impostazione predefinita, ma è accessibile dal pulsante Aggiungi filtro .

      Adding the filter 'contains exemption' in Azure Security Center's asset inventory page

Altre informazioni su come esplorare e gestire le risorse con l'inventario delle risorse.

Gennaio 2021

Aggiornamenti a gennaio includono:

Azure Security Benchmark è ora l'iniziativa di criteri predefinita per Centro sicurezza di Azure

Azure Security Benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e dell'Istituto nazionale di standard e tecnologia (NIST) con un focus sulla sicurezza incentrata sul cloud.

Negli ultimi mesi, l'elenco dei consigli di sicurezza predefiniti del Centro sicurezza è cresciuto in modo significativo per espandere la copertura di questo benchmark.

Da questa versione, il benchmark è la base per le raccomandazioni del Centro sicurezza e completamente integrato come iniziativa di criteri predefinita.

Tutti i servizi di Azure hanno una pagina di base di sicurezza nella relativa documentazione. Queste baseline sono basate su Benchmark di sicurezza di Azure.

Se si usa il dashboard di conformità alle normative del Centro sicurezza, vengono visualizzate due istanze del benchmark durante un periodo di transizione:

Azure Security Center's regulatory compliance dashboard showing the Azure Security Benchmark

Le raccomandazioni esistenti non sono interessate e, man mano che il benchmark aumenta, le modifiche verranno automaticamente riflesse all'interno del Centro sicurezza.

Per altre informazioni, vedere le pagine seguenti:

La valutazione della vulnerabilità per i computer locali e multicloud viene rilasciata per la disponibilità generale (GA)

A ottobre è stata annunciata un'anteprima per l'analisi dei server abilitati per Azure Arc con lo scanner di valutazione integrata delle vulnerabilità di Azure Defender for Server (basato su Qualys).

Ora viene rilasciato per la disponibilità generale (GA).

Quando Azure Arc viene abilitato in computer non di Azure, il Centro sicurezza offre la possibilità di distribuirvi lo strumento integrato di analisi delle vulnerabilità, manualmente e su larga scala.

Con questo aggiornamento è possibile liberare la potenza di Azure Defender for Server per consolidare il programma gestione delle vulnerabilità in tutti gli asset di Azure e non azure.

Funzionalità principali:

  • Monitoraggio dello stato di provisioning dello strumento di analisi per la valutazione delle vulnerabilità nei computer Azure Arc
  • Provisioning dell'agente di valutazione delle vulnerabilità nei computer Azure Arc Windows e Linux non protetti (manualmente e su larga scala)
  • Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
  • Esperienza unificata per macchine virtuali di Azure e computer Azure Arc

Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.

Altre informazioni sui server abilitati per Azure Arc.

Il punteggio sicuro per i gruppi di gestione è ora disponibile in anteprima

La pagina del punteggio di sicurezza mostra ora i punteggi sicuri aggregati per i gruppi di gestione oltre al livello di sottoscrizione. Ora è possibile visualizzare l'elenco dei gruppi di gestione nell'organizzazione e il punteggio per ogni gruppo di gestione.

Viewing the secure scores for your management groups.

Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.

L'API del punteggio sicuro viene rilasciata per la disponibilità generale (GA)

È ora possibile accedere al punteggio tramite l'API del punteggio sicuro. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. Ad esempio:

  • usare l'API Secure Score per ottenere il punteggio per una sottoscrizione specifica
  • usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni

Informazioni sugli strumenti esterni resi possibili con l'API secure score nell'area del punteggio sicuro della community GitHub.

Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.

Protezione DNS dangling aggiunta ad Azure Defender per servizio app

Le acquisizioni di sottodominio sono una minaccia comune di gravità elevata per le organizzazioni. Un'acquisizione di sottodominio può verificarsi quando si dispone di un record DNS che punta a un sito Web deprovisioned. Tali record DNS sono noti anche come voci DNS "inngling DNS". I record CNAME sono particolarmente vulnerabili a questa minaccia.

Le acquisizioni di sottodominio consentono agli attori delle minacce di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.

Azure Defender per servizio app ora rileva le voci DNS in grado di indicare quando un sito Web di servizio app viene rimosso. Questo è il momento in cui la voce DNS punta a una risorsa inesistente e il sito Web è vulnerabile a un'acquisizione di sottodominio. Queste protezioni sono disponibili se i domini sono gestiti con DNS di Azure o un registrar di dominio esterno e si applicano sia a servizio app in Windows che in Servizio app in Linux.

Altre informazioni:

I connettori multicloud vengono rilasciati per la disponibilità generale (GA)

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.

Il Centro sicurezza di Azure protegge i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La connessione dei progetti AWS o GCP integra i propri strumenti di sicurezza nativi, ad esempio l'hub di sicurezza AWS e il Centro comandi GCP in Centro sicurezza di Azure.

Questa funzionalità significa che il Centro sicurezza offre visibilità e protezione in tutti gli ambienti cloud principali. Alcuni dei vantaggi di questa integrazione:

  • Provisioning automatico dell'agente - Centro sicurezza usa Azure Arc per distribuire l'agente Log Analytics nelle istanze di AWS
  • Gestione dei criteri
  • Gestione vulnerabilità
  • Rilevamento di endpoint e risposta incorporato
  • Rilevamento degli errori di configurazione per la sicurezza
  • Visualizzazione singola che mostra le raccomandazioni sulla sicurezza da tutti i provider di servizi cloud
  • Incorporare tutte le risorse nei calcoli dei punteggi sicuri del Centro sicurezza
  • Valutazioni di conformità alle normative delle risorse AWS e GCP

Dal menu di Defender per il cloud selezionare Connettori Multicloud e verranno visualizzate le opzioni per la creazione di nuovi connettori:

Add AWS account button on Security Center's multicloud connectors page

Altre informazioni sono disponibili in:

Esentare l'intero punteggio sicuro per le sottoscrizioni e i gruppi di gestione

Stiamo espandendo la funzionalità di esenzione per includere interi consigli. Fornendo altre opzioni per ottimizzare le raccomandazioni sulla sicurezza fornite dal Centro sicurezza per le sottoscrizioni, i gruppi di gestione o le risorse.

A volte, una risorsa verrà elencata come non integra quando si conosce il problema è stato risolto da uno strumento di terze parti che il Centro sicurezza non ha rilevato. O un consiglio mostrerà in un ambito in cui si sente che non appartiene. La raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.

Con questa funzionalità di anteprima, è ora possibile creare un'esenzione per una raccomandazione per:

  • Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisca sul punteggio di sicurezza. La risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esentato" con la motivazione specifica selezionata.

  • Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio di sicurezza e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Ciò si riferisce alle risorse esistenti e a tutte le risorse create in futuro. La raccomandazione verrà contrassegnata con la motivazione specifica selezionata per l'ambito selezionato.

Per altre informazioni, vedere Esenzione di risorse e consigli dal punteggio di sicurezza.

Gli utenti possono ora richiedere visibilità a livello di tenant dall'amministratore globale

Se un utente non dispone delle autorizzazioni per visualizzare i dati del Centro sicurezza, verrà visualizzato un collegamento per richiedere le autorizzazioni all'amministratore globale dell'organizzazione. La richiesta include il ruolo desiderato e la giustificazione per il motivo per cui è necessario.

Banner informing a user they can request tenant-wide permissions.

Per altre informazioni, vedere Richiedere autorizzazioni a livello di tenant quando l'utente non è sufficiente.

Aggiunte 35 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark

Azure Security Benchmark è l'iniziativa dei criteri predefinita in Centro sicurezza di Azure.

Per aumentare la copertura di questo benchmark, al Centro sicurezza sono state aggiunte le 35 raccomandazioni di anteprima seguenti.

Suggerimento

Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.

Controllo di sicurezza Nuove raccomandazioni
Abilita la crittografia dei dati inattivi - Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
- La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server MySQL
- La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server PostgreSQL
- Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente
- I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia
Implementa le procedure consigliate per la sicurezza - Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza
- Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nella sottoscrizione
- Le notifiche di posta elettronica devono essere abilitate per gli avvisi con gravità alta
- Le notifiche di posta elettronica al proprietario della sottoscrizione devono essere abilitate per gli avvisi con gravità alta
- Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva
- Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea
Gestire l'accesso e le autorizzazioni - Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)'
Proteggi le applicazioni da attacchi DDoS - Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione
- Web application firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure
Limita l'accesso non autorizzato alla rete - Il firewall deve essere abilitato in Key Vault
- L'endpoint privato deve essere configurato per Key Vault
- Configurazione app deve usare collegamenti privati
- La cache di Azure per Redis deve risiedere all'interno di una rete virtuale
- I domini di Griglia di eventi di Azure devono usare collegamenti privati
- Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati
- Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati
- Il servizio Azure SignalR deve usare collegamenti privati
- Azure Spring Cloud deve usare l'aggiunta alla rete
- I registri contenitori non devono consentire l'accesso alla rete senza restrizioni
- I registri contenitori devono usare collegamenti privati
- L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB
- L'accesso alla rete pubblica deve essere disabilitato per i server MySQL
- L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL
- L'account di archiviazione deve usare una connessione collegamento privato
- Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale
- I modelli di Image Builder per macchine virtuali devono usare un collegamento privato

Collegamenti correlati:

Esportazione in CSV dell'elenco filtrato di raccomandazioni

A novembre 2020 sono stati aggiunti i filtri alla pagina Raccomandazioni (vedere L'elenco di raccomandazioni ora include i filtri). A dicembre questi filtri sono stati ampliati (La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili).

Con questo annuncio, il comportamento del pulsante Scarica in CSV è stato cambiato in modo che l'esportazione in CSV includa solo le raccomandazioni attualmente visualizzate nell'elenco filtrato.

Nell'immagine seguente, ad esempio, è possibile vedere che l'elenco è stato filtrato per includere due raccomandazioni. Il file CSV generato include i dettagli sullo stato di ogni risorsa interessata da queste due raccomandazioni.

Exporting filtered recommendations to a CSV file.

Per altre informazioni, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.

Risorse "Non applicabili" ora segnalate come "Conformi" nelle valutazioni Criteri di Azure

In precedenza, le risorse valutate per una raccomandazione e risultavano non applicabili venivano visualizzate in Criteri di Azure come "Non conformi". Nessuna azione utente potrebbe modificare lo stato in "Conforme". Con questa modifica, vengono segnalati come "Conformi" per maggiore chiarezza.

L'unico effetto si vedrà in Criteri di Azure, dove il numero di risorse conformi aumenterà. Non ci sarà alcun impatto sul punteggio di sicurezza nel Centro sicurezza di Azure.

Esportare snapshot settimanali di punteggio di sicurezza e dati di conformità alle normative con l'esportazione continua (anteprima)

È stata aggiunta una nuova funzionalità di anteprima agli strumenti di esportazione continua per l'esportazione settimanale di snapshot di punteggio di sicurezza e dati di conformità alle normative.

Quando si definisce un'esportazione continua, impostare la frequenza di esportazione:

Choosing the frequency of your continuous export.

  • Streaming : le valutazioni verranno inviate quando viene aggiornato lo stato di integrità di una risorsa (se non si verificano aggiornamenti, non verranno inviati dati).
  • Snapshot: uno snapshot dello stato corrente di tutte le valutazioni di conformità alle normative verrà inviato ogni settimana (si tratta di una funzionalità di anteprima per snapshot settimanali di punteggi sicuri e dati di conformità alle normative).

Altre informazioni sulle funzionalità complete di questa funzionalità sono disponibili in Esportare continuamente i dati del Centro sicurezza.

Dicembre 2020

Gli aggiornamenti di dicembre includono:

Azure Defender per server SQL nei computer è disponibile a livello generale

Il Centro sicurezza di Azure prevede due piani di Azure Defender per SQL Server:

  • Azure Defender per i server di database SQL di Azure: protegge i sistemi SQL Server nativi di Azure
  • Azure Defender per i server SQL nei computer: estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali

Con questo annuncio, Azure Defender per SQL ora protegge i database e i relativi dati ovunque siano collocati.

Azure Defender per SQL include funzionalità di valutazione delle vulnerabilità. Lo strumento di valutazione delle vulnerabilità offre le seguenti funzionalità avanzate:

  • Configurazione di base (novità) per affinare in modo intelligente i risultati delle analisi di vulnerabilità limitandoli a quelli che potrebbero rappresentare problemi concreti per la sicurezza. Dopo aver stabilito lo stato di sicurezza di base, lo strumento di valutazione delle vulnerabilità segnala solo le deviazioni da tale stato. I risultati corrispondenti alla base non vengono considerati problemi nelle analisi successive. In questo modo gli analisti possono dedicare la loro attenzione alle questioni importanti.
  • Informazioni di benchmark dettagliate per aiutare a interpretare i risultati individuati e al motivo per cui riguardano le risorse.
  • Script di correzione per mitigare i rischi identificati.

Vedere altre informazioni su Azure Defender per SQL.

Il supporto di Azure Defender per SQL per i pool SQL dedicati di Azure Synapse Analytics è disponibile a livello generale

Azure Synapse Analytics (in precedenza SQL Data Warehouse) è un servizio di analisi che riunisce funzionalità aziendali di data warehousing e analisi di Big Data. I pool SQL dedicati rappresentano le funzionalità di data warehousing aziendali di Azure Synapse. Per altre informazioni, vedere Che cos'è Azure Synapse Analytics (in precedenza SQL Data Warehouse)?

Azure Defender per SQL protegge i pool SQL dedicati con:

  • Advanced Threat Protection per rilevare minacce e attacchi
  • Funzionalità di valutazione delle vulnerabilità per identificare e correggere le configurazioni di sicurezza errate

Il supporto di Azure Defender per SQL per i pool SQL di Azure Synapse Analytics viene aggiunto automaticamente al bundle di database SQL di Azure nel Centro sicurezza di Azure. Nella pagina dell'area di lavoro di Synapse nel portale di Azure sarà disponibile una nuova scheda "Azure Defender per SQL".

Vedere altre informazioni su Azure Defender per SQL.

Gli amministratori globali ora possono concedere autorizzazioni a livello di tenant a se stessi

Un utente con il ruolo Amministratore globale di Azure Active Directory potrebbe avere responsabilità a livello di tenant ma non avere le autorizzazioni di Azure per visualizzare queste informazioni nell'intera organizzazione in Azure Active Directory.

Per assegnare a se stessi le autorizzazioni a livello di tenant, seguire le istruzioni riportate in Concedere autorizzazioni a livello di tenant a se stessi.

Due nuovi piani di Azure Defender: Azure Defender per DNS e Azure Defender per Resource Manager (in anteprima)

Sono state aggiunte due nuove funzionalità native del cloud per la protezione completa dell'ambiente di Azure dalle minacce.

Queste due nuove funzionalità migliorano notevolmente la resilienza dell'ambiente contro attacchi e minacce, oltre ad aumentare sensibilmente il numero di risorse di Azure protette da Azure Defender.

Pagina Nuovi avvisi di sicurezza nel portale di Azure (anteprima)

La pagina Avvisi di sicurezza del Centro sicurezza di Azure è stata riprogettata per offrire:

  • Esperienza di valutazione migliorata per gli avvisi: per ridurre il sovraccarico di avvisi ed evidenziare più facilmente le minacce pertinenti, l'elenco include filtri personalizzabili e opzioni di raggruppamento
  • Altre informazioni nell'elenco degli avvisi , ad esempio tattiche MITRE ATT&ACK
  • Pulsante per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare la configurazione degli avvisi (per verificare l'integrazione di SIEM, le notifiche tramite posta elettronica e le automazioni del flusso di lavoro), è possibile creare avvisi di esempio in tutti i piani di Azure Defender
  • Allineamento con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, è ora più semplice passare da uno all'altro e combinare le informazioni che offrono
  • Prestazioni più elevate per elenchi di avvisi lunghi
  • Esplorazione tramite tastiera dell'elenco di avvisi
  • Avvisi di Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API di tipo Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Vedere altre informazioni su Azure Resource Graph.

Per accedere alla nuova esperienza, usare il collegamento 'Prova adesso' sul banner nella parte superiore della pagina Avvisi di sicurezza.

Banner with link to the new preview alerts experience.

Per creare avvisi di esempio nella nuova esperienza, vedere Generare avvisi di esempio di Azure Defender.

Esperienza del Centro sicurezza in database SQL di Azure Istanza gestita di SQL &

L'esperienza del Centro sicurezza in SQL consente di accedere alle funzionalità del Centro sicurezza e di Azure Defender per SQL descritte di seguito:

  • Raccomandazioni sulla sicurezza: il Centro sicurezza analizza periodicamente lo stato di sicurezza di tutte le risorse di Azure connesse per identificare possibili errori di configurazione della sicurezza. Fornisce quindi raccomandazioni su come correggere queste vulnerabilità e migliorare il comportamento di sicurezza delle organizzazioni.
  • Avvisi di sicurezza: servizio di rilevamento che monitora costantemente le attività di Azure SQL per individuare minacce come attacchi SQL injection, attacchi di forza bruta e abuso dei privilegi. Questo servizio attiva avvisi di sicurezza dettagliati e orientati all'azione nel Centro sicurezza e fornisce opzioni per continuare le analisi con Azure Sentinel, la soluzione SIEM nativa di Microsoft Azure.
  • Risultati: servizio di valutazione delle vulnerabilità che monitora continuamente le configurazioni di Azure SQL e aiuta a correggere le vulnerabilità. Le analisi di valutazione forniscono una panoramica degli stati di sicurezza di Azure SQL insieme a risultati dettagliati sulla sicurezza.

Azure Security Center's security features for SQL are available from within Azure SQL

Strumenti e filtri dell'inventario degli asset aggiornati

La pagina di inventario nel Centro sicurezza di Azure è stata aggiornata con le modifiche seguenti:

  • Guide e feedback aggiunti alla barra degli strumenti. Viene aperto un riquadro con collegamenti a informazioni e strumenti correlati.

  • Filtro per le sottoscrizioni aggiunto ai filtri predefiniti disponibili per le risorse.

  • Collegamento Apri query per aprire le opzioni di filtro correnti come query di Azure Resource Graph (in precedenza "Visualizza in Resource Graph Explorer").

  • Opzioni per gli operatori per ogni filtro. È ora possibile scegliere tra operatori logici diversi da '='. Ad esempio, è possibile trovare tutte le risorse con raccomandazioni attive il cui titolo include la stringa "crittografare".

    Controls for the operator option in asset inventory's filters

Per altre informazioni sull'inventario, vedere Esplorare e gestire le risorse con l'inventario degli asset.

La raccomandazione relativa alla richiesta di certificati SSL da parte delle app Web non fa più parte del punteggio di sicurezza

La raccomandazione "È consigliabile che le app Web richiedano un certificato SSL per tutte le richieste in ingresso" è stata spostata dal controllo di sicurezza Gestisci l'accesso e le autorizzazioni (che vale un massimo di 4 punti) al controllo Implementa le procedure consigliate per la sicurezza (che non vale alcun punto).

Garantire che un'app Web richieda un certificato sicuramente più sicuro. Questa impostazione è tuttavia irrilevante per le app Web pubbliche. se si accede al sito tramite HTTP e non HTTPS, non si riceveranno i certificati client. Pertanto, se l'applicazione richiede i certificati client, è consigliabile non consentire le richieste all'applicazione tramite HTTP. Per altre informazioni, vedere Configurare l'autenticazione reciproca TLS per Servizio app di Azure.

Con questa modifica, la raccomandazione è ora una procedura consigliata che non influisce sul punteggio.

Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.

La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili

Il Centro sicurezza di Azure monitora tutte le risorse connesse e genera raccomandazioni sulla sicurezza. Usare queste raccomandazioni per rafforzare il comportamento del cloud ibrido e monitorare la conformità con i criteri e gli standard pertinenti per la propria organizzazione, il proprio settore e il proprio paese.

L'elenco delle raccomandazioni sulla sicurezza cresce ogni mese, man mano che il Centro sicurezza continua a espandere la propria copertura e le funzionalità. Ad esempio, vedere Aggiunte 29 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark.

Con l'elenco in crescita, è necessario filtrare i consigli per trovare quelli di maggiore interesse. Lo scorso novembre sono stati aggiunti i filtri alla pagina Raccomandazioni (vedere L'elenco di raccomandazioni ora include i filtri).

I filtri aggiunti questo mese forniscono le opzioni per affinare l'elenco delle raccomandazioni in base a:

  • Ambiente: visualizzare le raccomandazioni relative alle risorse di AWS, GCP o Azure (o qualsiasi combinazione)

  • Gravità: visualizzare le raccomandazioni in base alla classificazione di gravità impostata dal Centro sicurezza

  • Azioni di risposta : visualizzare le raccomandazioni in base alla disponibilità delle opzioni di risposta del Centro sicurezza: Correzione, Negazione e Imposizione

    Suggerimento

    Il filtro delle azioni di risposta sostituisce il filtro Correzione rapida disponibile (Sì/No) .

    Per altre informazioni su ognuna di queste opzioni di risposta, vedere:

Recommendations grouped by security control.

L'esportazione continua ha nuovi tipi di dati e criteri DeployIfNotExists migliorati

Gli strumenti di esportazione continua del Centro sicurezza di Azure consentono di esportare le raccomandazioni e gli avvisi del Centro sicurezza per usarli con altri strumenti di monitoraggio nell'ambiente.

L'esportazione continua consente di personalizzare completamente gli elementi che verranno esportati e la posizione in cui verranno inseriti. Per informazioni dettagliate, vedere Esportazione continua dei dati del Centro sicurezza.

Questi strumenti sono stati migliorati e ampliati nei modi seguenti:

  • I criteri DeployIfNotExists dell'esportazione continua sono stati migliorati. Ora consentono di:

    • Verificare se la configurazione è abilitata. Se non è abilitata, il criterio visualizza uno stato non conforme e crea una risorsa conforme. Altre informazioni sui modelli di Criteri di Azure forniti nella scheda "Distribuisci su larga scala con Criteri di Azure" in Configurare un'esportazione continua.

    • Supportare l'esportazione dei risultati di sicurezza. Quando si usano i modelli di Criteri di Azure, è possibile configurare l'esportazione continua per includere i risultati. Questa configurazione è importante quando si esportano raccomandazioni che contengono "sottoraccomandazioni", ad esempio i risultati di analisi di valutazione delle vulnerabilità o aggiornamenti di sistema specifici per la raccomandazione "padre" "È consigliabile installare gli aggiornamenti del sistema nei computer".

    • Supportare l'esportazione dei dati dei punteggi di sicurezza.

  • Dati di valutazione della conformità con le normative aggiunti (in anteprima). È ora possibile esportare continuamente gli aggiornamenti alle valutazioni di conformità alle normative, incluse le iniziative personalizzate, in un'area di lavoro Log Analytics o in Hub eventi. Questa funzionalità non è disponibile nei cloud nazionali.

    The options for including regulatory compliance assessment information with your continuous export data.

Novembre 2020

Gli aggiornamenti del mese di novembre includono quanto segue:

Aggiunte 29 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark

Azure Security Benchmark è il set di linee guida specifiche di Microsoft per la sicurezza e la conformità basate su framework di conformità comuni. Altre informazioni su Azure Security Benchmark.

Le seguenti 29 nuove raccomandazioni di anteprima verranno aggiunte al Centro sicurezza per aumentare la copertura del benchmark.

Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.

Controllo di sicurezza Nuove raccomandazioni
Crittografa i dati in transito - Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL
- Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL
- TLS deve essere aggiornato all'ultima versione per l'app per le API
- TLS deve essere aggiornato all'ultima versione per l'app per le funzioni
- TLS deve essere aggiornato all'ultima versione per l'app Web
- L'app per le API deve usare FTPS
- L'app per le funzioni deve usare FTPS
- L'app Web deve usare FTPS
Gestire l'accesso e le autorizzazioni - Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso
- Nell'app per le API è necessario usare un'identità gestita
- Nell'app per le funzioni è necessario usare un'identità gestita
- Nell'app Web è necessario usare un'identità gestita
Limita l'accesso non autorizzato alla rete - L'endpoint privato deve essere abilitato per i server PostgreSQL
- L'endpoint privato deve essere abilitato per i server MariaDB
- L'endpoint privato deve essere abilitato per i server MySQL
Abilita il controllo e la registrazione - È necessario abilitare i log di diagnostica in Servizi app
Implementa le procedure consigliate per la sicurezza - La soluzione Backup di Azure deve essere abilitata per le macchine virtuali
- Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB
- Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL
- Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL
- PHP deve essere aggiornato all'ultima versione per l'app per le API
- PHP deve essere aggiornato all'ultima versione per l'app Web
- Java deve essere aggiornato all'ultima versione per l'app per le API
- Java deve essere aggiornato all'ultima versione per l'app per le funzioni
- Java deve essere aggiornato all'ultima versione per l'app Web
- Python deve essere aggiornato all'ultima versione per l'app per le API
- Python deve essere aggiornato all'ultima versione per l'app per le funzioni
- Python deve essere aggiornato all'ultima versione per l'app Web
- La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni

Collegamenti correlati:

Aggiunta di NIST SP 800 171 R2 al dashboard di conformità alle normative del Centro sicurezza

Lo standard NIST SP 800-171 R2 è ora disponibile come iniziativa predefinita per l'uso nel dashboard di conformità alle normative del Centro sicurezza di Azure. I mapping per i controlli sono descritti in Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2.

Per applicare lo standard alle sottoscrizioni e monitorare continuamente lo stato di conformità, usare le istruzioni in Personalizzare il set di standard nel dashboard di conformità alle normative.

The NIST SP 800 171 R2 standard in Security Center's regulatory compliance dashboard

Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.

L'elenco di raccomandazioni ora include i filtri

È ora possibile filtrare l'elenco di raccomandazioni di sicurezza in base a una serie di criteri. Nell'esempio seguente l'elenco di raccomandazioni è stato filtrato per mostrare le raccomandazioni che:

  • Sono disponibili a livello generale (ovvero, non in anteprima)
  • Riguardano gli account di archiviazione
  • Supportano la correzione rapida

Filters for the recommendations list.

Esperienza di provisioning automatico migliorata e ampliata

La funzionalità di provisioning automatico consente di ridurre il sovraccarico di gestione installando le estensioni necessarie nelle VM di Azure nuove ed esistenti in modo che possano trarre vantaggio dalle protezioni del Centro sicurezza.

Con la crescita del Centro sicurezza di Azure, sono state sviluppate più estensioni ed è ora possibile monitorare un elenco più lungo di tipi di risorsa. Gli strumenti di provisioning automatico sono ora stati espansi per supportare altre estensioni e tipi di risorse sfruttando le funzionalità di Criteri di Azure.

È ora possibile configurare il provisioning automatico di:

  • Agente di Log Analytics
  • (Novità) Componente aggiuntivo Criteri di Azure per Kubernetes
  • (Novità) Microsoft Dependency Agent

Per altre informazioni, vedere Provisioning automatico di agenti ed estensioni del Centro sicurezza di Azure.

Punteggio di sicurezza ora disponibile nell'esportazione continua (anteprima)

Con l'esportazione continua del punteggio di sicurezza, è possibile trasmettere le modifiche del punteggio in tempo reale a Hub eventi di Azure o a un'area di lavoro Log Analytics. Usare questa funzionalità per:

  • Tenere traccia del punteggio di sicurezza nel corso del tempo con report dinamici
  • Esportare i dati sul punteggio di sicurezza in Azure Sentinel (o qualsiasi altro strumento SIEM)
  • Integrare questi dati con qualsiasi processo che potrebbe già essere in uso per monitorare il punteggio di sicurezza nell'organizzazione

Per altre informazioni, vedere Esportazione continua dei dati del Centro sicurezza.

La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" ora includono sottocomendazioni

La raccomandazione Gli aggiornamenti di sistema devono essere installati nelle macchine virtuali è stata ottimizzata. La nuova versione include sottocomendazioni per ogni aggiornamento mancante e apporta i miglioramenti seguenti:

  • Un'esperienza riprogettata nelle pagine del Centro sicurezza di Azure del portale di Azure. La pagina di dettagli della raccomandazione Gli aggiornamenti di sistema devono essere installati nelle macchine virtuali include l'elenco di risultati, come illustrato di seguito. Quando si seleziona un singolo risultato, viene visualizzato il riquadro dei dettagli con un collegamento alle informazioni sulla correzione e un elenco delle risorse interessate.

    Opening one of the subrecommendations in the portal experience for the updated recommendation.

  • Dati della raccomandazione arricchiti da Azure Resource Graph. Azure Resource Graph è un servizio di Azure progettato per offrire un'esplorazione efficiente delle risorse. È possibile usare Azure Resource Graph per eseguire query su larga scala su un determinato set di sottoscrizioni, in modo da regolamentare efficacemente l'ambiente.

    Per il Centro sicurezza di Azure, è possibile usare Azure Resource Graph e il linguaggio di query Kusto per eseguire query su un'ampia gamma di dati relativi alla postura di sicurezza.

    In precedenza, se si eseguivano query su questa raccomandazione in Azure Resource Graph, le uniche informazioni disponibili erano che era necessario apportare la correzione raccomandata in un computer. La query seguente della versione avanzata restituirà ogni aggiornamento di sistema mancante raggruppato per computer.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

La pagina di gestione dei criteri nel portale di Azure ora mostra lo stato delle assegnazioni di criteri predefiniti

È ora possibile verificare se alle sottoscrizioni sono assegnati o meno i criteri predefiniti del Centro sicurezza nella relativa pagina criteri di sicurezza del portale di Azure.

The policy management page of Azure Security Center showing the default policy assignments.

Ottobre 2020

Gli aggiornamenti del mese di ottobre includono quanto segue:

Valutazione della vulnerabilità per computer locali e multicloud (anteprima)

Lo scanner di valutazione delle vulnerabilità integrato di Azure Defender per server (basato su Qualys) ora analizza i server abilitati per Azure Arc.

Quando Azure Arc viene abilitato in computer non di Azure, il Centro sicurezza offre la possibilità di distribuirvi lo strumento integrato di analisi delle vulnerabilità, manualmente e su larga scala.

Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma gestione delle vulnerabilità in tutti gli asset di Azure e non di Azure.

Funzionalità principali:

  • Monitoraggio dello stato di provisioning dello strumento di analisi per la valutazione delle vulnerabilità nei computer Azure Arc
  • Provisioning dell'agente di valutazione delle vulnerabilità nei computer Azure Arc Windows e Linux non protetti (manualmente e su larga scala)
  • Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
  • Esperienza unificata per macchine virtuali di Azure e computer Azure Arc

Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.

Altre informazioni sui server abilitati per Azure Arc.

Aggiunta una raccomandazione per Firewall di Azure (anteprima)

È stata aggiunta una nuova raccomandazione per proteggere tutte le reti virtuali con Firewall di Azure.

La raccomandazione È consigliabile che le reti virtuali siano protette da Firewall di Azure consiglia di limitare l'accesso alle reti virtuali ed evitare potenziali minacce tramite Firewall di Azure.

Altre informazioni su Firewall di Azure.

Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes - Aggiornata la raccomandazione con una correzione rapida

La raccomandazione Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes include ora un'opzione per la correzione rapida.

Per altre informazioni su questa e su tutte le altre raccomandazioni del Centro sicurezza, vedere Raccomandazioni sulla sicurezza: una guida di riferimento.

The authorized IP ranges should be defined on Kubernetes Services recommendation with the quick fix option.

Il dashboard Conformità con le normative include ora un'opzione per rimuovere gli standard

Il dashboard Conformità con le normative del Centro sicurezza fornisce informazioni dettagliate sul comportamento di conformità in base a come vengono soddisfatti specifici controlli e requisiti.

Il dashboard include un set predefinito di standard normativi. Se uno degli standard forniti non è rilevante per l'organizzazione, è ora un semplice processo per rimuoverli dall'interfaccia utente per una sottoscrizione. Gli standard possono essere rimossi solo a livello della sottoscrizione, non nell'ambito del gruppo di gestione.

Per altre informazioni, vedere Rimuovere uno standard dal dashboard.

Rimossa la tabella Microsoft.Security/securityStatuses da Azure Resource Graph (ARG)

Azure Resource Graph è un servizio di Azure progettato per offrire un'esplorazione efficiente delle risorse con la possibilità di eseguire query su larga scala in un determinato set di sottoscrizioni in modo da poter controllare l'ambiente efficacemente.

Per il Centro sicurezza di Azure, è possibile usare Azure Resource Graph e il linguaggio di query Kusto per eseguire query su un'ampia gamma di dati relativi alla postura di sicurezza. Esempio:

All'interno di ARG sono disponibili tabelle di dati da usare nelle query.

Azure Resource Graph Explorer and the available tables.

Suggerimento

La documentazione di Azure Resource Graph descrive tutte le tabelle disponibili nella sezione Tabella di Azure Resource Graph e riferimenti sui tipi di risorsa.

Con questo aggiornamento, la tabella Microsoft.Security/securityStatuses è stata rimossa. L'API securityStatuses è ancora disponibile.

La sostituzione dei dati può essere eseguita tramite la tabella Microsoft.Security/Assessments.

La principale differenza tra Microsoft.Security/securityStatuses e Microsoft.Security/Assessments è che mentre la prima mostra l'aggregazione delle valutazioni, la seconda contiene un singolo record per ognuna.

Ad esempio, Microsoft.Security/securityStatuses restituisce un risultato con una matrice di due policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection Standard should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Mentre Microsoft.Security/Assessments contiene un record per ognuna di queste valutazioni dei criteri, come segue:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection Standard should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Esempio di conversione di una query di Azure Resource Graph esistente usando securityStatuses per usare la tabella Assessments:

Query che fa riferimento a SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Query di sostituzione per la tabella Assessments:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Per altre informazioni, vedere i collegamenti seguenti:

Settembre 2020

Gli aggiornamenti del mese di settembre includono quanto segue:

Il Centro sicurezza ottiene un nuovo aspetto

È stata rilasciata un'interfaccia utente aggiornata per le pagine del portale del Centro sicurezza. Le nuove pagine includono una nuova pagina di panoramica e dashboard per il punteggio di sicurezza, l'inventario degli asset e Azure Defender.

La pagina di panoramica riprogettata include ora un riquadro per l'accesso al punteggio di sicurezza, all'inventario delle risorse e ai dashboard di Azure Defender. Include anche un riquadro di collegamento al dashboard di conformità alle normative.

Altre informazioni sulla pagina di panoramica.

Rilascio di Azure Defender

Azure Defender è la soluzione CWPP (Cloud Workload Protection Platform) integrata nel Centro sicurezza per offrire una protezione avanzata e intelligente dei carichi di lavoro di Azure e ibridi. Sostituisce l'opzione Standard del piano tariffario del Centro sicurezza.

Quando si abilita Azure Defender dall'area Prezzi e impostazioni del Centro sicurezza di Azure, vengono abilitati contemporaneamente tutti i piani seguenti di Defender e vengono fornite difese complete per i livelli di calcolo, dati e servizio dell'ambiente:

Ogni piano è illustrato separatamente nella documentazione del Centro sicurezza.

Grazie al dashboard dedicato, Azure Defender offre avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora.

Altre informazioni su Azure Defender

Disponibilità generale di Azure Defender per Key Vault

Azure Key Vault è un servizio cloud che protegge le chiavi di crittografia e i segreti, come certificati, stringhe di connessione e password.

Azure Defender per Key Vault fornisce la protezione avanzata dalle minacce nativa di Azure per Azure Key Vault, offrendo un livello aggiuntivo di intelligence sulla sicurezza. Azure Defender per Key Vault protegge quindi molte delle risorse che dipendono dagli account di Key Vault.

Il piano facoltativo è ora disponibile a livello generale. Questa funzionalità era disponibile in anteprima come "Advanced Threat Protection per Azure Key Vault".

Le pagine di Key Vault nel portale di Azure includono ora inoltre una pagina Sicurezza dedicata per le raccomandazioni e gli avvisi del Centro sicurezza.

Per altre informazioni, vedere Azure Defender per Key Vault.

Disponibilità generale della protezione di Azure Defender per Archiviazione per File e ADLS Gen2

Azure Defender per Archiviazione rileva le attività potenzialmente dannose negli account di archiviazione di Azure. I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.

È ora disponibile a livello generale il supporto per File di Azure e Azure Data Lake Storage Gen2.

Dal 1° ottobre 2020 inizieremo a pagare per la protezione delle risorse su questi servizi.

Per altre informazioni, vedere Azure Defender per Archiviazione.

Disponibilità generale degli strumenti di inventario delle risorse

La pagina di inventario delle risorse del Centro sicurezza di Azure offre una pagina singola per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.

Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità.

Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.

Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.

Possibilità di disabilitare un risultato specifico della vulnerabilità per le analisi dei registri contenitori e delle macchine virtuali

Azure Defender include rilevatori di vulnerabilità per analizzare le immagini nel Registro Azure Container e nelle macchine virtuali.

Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati.

Questa opzione è disponibile nella pagina dei dettagli delle raccomandazioni per:

  • È consigliabile correggere le vulnerabilità nelle immagini del Registro Azure Container
  • È consigliabile correggere le vulnerabilità nelle macchine virtuali

Per altre informazioni, vedere Disabilitare risultati specifici per le immagini del contenitore e Disabilitare risultati specifici per le macchine virtuali.

Esentare una risorsa da una raccomandazione

Una risorsa verrà occasionalmente elencata come non integra rispetto a una raccomandazione specifica, con una conseguente riduzione del punteggio di sicurezza, anche se si ritiene che si tratti di un errore. È possibile che sia stata corretta da un processo non rilevato dal Centro sicurezza o che l'organizzazione abbia deciso di accettare il rischio per tale risorsa specifica.

In questi casi è possibile creare una regola di esenzione e assicurare che la risorsa non sia elencata in futuro tra le risorse non integre. Queste regole possono includere giustificazioni documentate, come illustrato di seguito.

Per altre informazioni, vedere Esentare una risorsa dalle raccomandazioni e dal punteggio di sicurezza.

I connettori AWS e GCP nel Centro sicurezza consentono di offrire un'esperienza multicloud

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.

Il Centro sicurezza di Azure protegge ora i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

L'onboarding dei progetti AWS e GCP nel Centro sicurezza integra AWS Security Hub, GCP Security Command e Centro sicurezza di Azure.

Per altre informazioni, vedere Connessione gli account AWS per Centro sicurezza di Azure e Connessione i progetti GCP per Centro sicurezza di Azure.

Aggregazione di raccomandazioni sulla protezione dei carichi di lavoro Kubernetes

Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di applicazione con il controllo ammissione di Kubernetes.

Dopo l'installazione del componente aggiuntivo di Criteri di Azure per Kubernetes nel cluster del servizio Azure Kubernetes, ogni richiesta al server API Kubernetes sarà monitorata rispetto al set predefinito di procedure consigliate prima del salvataggio permanente nel cluster. È quindi possibile configurare l'imposizione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.

È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.

Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.

Possibilità di esportazione continua dei risultati delle valutazioni delle vulnerabilità

Usare l'esportazione continua per trasmettere gli avvisi e le raccomandazioni per Hub eventi di Azure, aree di lavoro Log Analytics o Monitoraggio di Azure. È quindi possibile integrare questi dati con soluzioni di informazioni di sicurezza e gestione degli eventi, tra cui Azure Sentinel, Power BI, Esplora dati di Azure e altre ancora.

Gli strumenti integrati di valutazione delle vulnerabilità del Centro sicurezza restituiscono risultati sulle risorse sotto forma di raccomandazioni di utilità pratica con una raccomandazione "padre", ad esempio "È consigliabile correggere le vulnerabilità nelle macchine virtuali".

I risultati di sicurezza sono ora disponibili per l'esportazione tramite l'esportazione continua quando si selezionano le raccomandazioni e si abilita l'opzione Includi i risultati per la sicurezza.

Include security findings toggle in continuous export configuration.

Pagine correlate:

Possibilità di impedire errori di configurazione della sicurezza tramite l'applicazione di raccomandazioni durante la creazione di nuove risorse

Gli errori di configurazione della sicurezza sono una delle cause principali degli eventi imprevisti di sicurezza. Il Centro sicurezza consente ora di contribuire a evitare gli errori di configurazione delle nuove risorse per quanto riguarda raccomandazioni specifiche.

Questa funzionalità può contribuire alla protezione dei carichi di lavoro e alla stabilizzazione del punteggio di sicurezza.

È possibile imporre una configurazione di sicurezza, basata su una raccomandazione specifica, in due modi:

  • L'effetto Deny di Criteri di Azure consente di interrompere la creazione di risorse non integre

  • Usando l'opzione Imponi è possibile sfruttare l'effetto DeployIfNotExist di Criteri di Azure e correggere automaticamente le risorse non conformi al momento della creazione

Questa opzione è disponibile per raccomandazioni di sicurezza selezionate e si trova nella parte superiore della pagina dei dettagli delle risorse.

Per altre informazioni, vedere Impedire gli errori di configurazione con le raccomandazioni di tipo Imponi/Nega.

Miglioramento alle raccomandazioni per i gruppi di sicurezza di rete

Le raccomandazioni di sicurezza seguenti correlate ai gruppi di sicurezza di rete sono state migliorate per ridurre alcune istanze di falsi positivi.

  • È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla VM
  • È consigliabile chiudere le porte di gestione nelle macchine virtuali
  • Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete
  • Le subnet devono essere associate a un gruppo di sicurezza di rete

Deprecazione della raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" del servizio Azure Kubernetes

La raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" verrà deprecata come illustrato nella documentazione del servizio Azure Kubernetes.

La funzionalità dei criteri di sicurezza dei pod (anteprima) è impostata per la deprecazione e non sarà più disponibile dopo il 15 ottobre 2020 a favore di Criteri di Azure per il servizio Azure Kubernetes.

Dopo la deprecazione di Criteri di sicurezza dei pod (anteprima), sarà necessario disabilitare la funzionalità in eventuali cluster esistenti che usano la funzionalità deprecata per eseguire aggiornamenti futuri del cluster e mantenere il supporto tecnico di Azure.

Miglioramento delle notifiche tramite posta elettronica dal Centro sicurezza di Azure

Le aree seguenti dei messaggi di posta elettronica correlati agli avvisi di sicurezza sono state migliorate:

  • Aggiunta della possibilità di inviare notifiche tramite posta elettronica sugli avvisi per tutti i livelli di gravità
  • Aggiunta la possibilità di inviare notifiche agli utenti con ruoli di Azure diversi nella sottoscrizione
  • Notifiche proattive per i proprietari delle sottoscrizioni per impostazione predefinita in caso di avvisi a gravità alta, con probabilità elevata di essere violazioni effettive
  • Rimozione del campo relativo al numero di telefono dalla pagina di configurazione delle notifiche tramite posta elettronica

Per altre informazioni, vedere Configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.

Raccomandazioni in anteprima non incluse nel punteggio di sicurezza

Il Centro sicurezza valuta continuamente risorse, sottoscrizioni e organizzazione per rilevare problemi di sicurezza. Aggrega quindi tutti i risultati in un singolo punteggio, in modo da poter indicare, a colpo d'occhio, lo stato di sicurezza attuale: maggiore è il punteggio, minore è il livello di rischio identificato.

Quando vengono individuate nuove minacce, vengono resi disponibili nuovi consigli sulla sicurezza nel Centro sicurezza tramite nuove raccomandazioni. Per evitare modifiche inaspettate al punteggio di sicurezza e per offrire un periodo di tolleranza in cui è possibile esplorare le nuove raccomandazioni prima che influiscano sui punteggi, le raccomandazioni contrassegnate come Anteprima non sono più incluse nei calcoli del punteggio di sicurezza. È comunque necessario correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima.

Le raccomandazioni di tipo Anteprima non contrassegnano inoltre una risorsa come "Non integra".

Esempio di una raccomandazione in anteprima:

Recommendation with the preview flag.

Altre informazioni sul punteggio di sicurezza.

Indicatore di gravità e intervallo di aggiornamento ora inclusi nelle raccomandazioni

La pagina dei dettagli per le raccomandazioni include ora un indicatore dell'intervallo di aggiornamento, se rilevante, e un'indicazione chiara della gravità della raccomandazione.

Recommendation page showing freshness and severity.

Agosto 2020

Gli aggiornamenti del mese di agosto includono quanto segue:

Inventario delle risorse: nuova visualizzazione potente del comportamento di sicurezza delle risorse

L'inventario delle risorse del Centro sicurezza, attualmente disponibile in anteprima, offre una modalità per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.

Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità. Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.

È possibile usare la visualizzazione e i rispettivi filtri per esplorare i dati del comportamento di sicurezza ed eseguire altre azioni in base ai risultati.

Altre informazioni sull'inventario delle risorse.

Aggiunta di supporto per le impostazioni predefinite per la sicurezza di Azure Active Directory per l'autenticazione a più fattori

Il Centro sicurezza ha aggiunto il supporto completo per le impostazioni predefinite per la sicurezza, le protezioni di sicurezza delle identità gratuite di Microsoft.

Le impostazioni predefinite per la sicurezza offrono impostazioni preconfigurate per la sicurezza delle identità per proteggere l'organizzazione da attacchi comuni correlati alle identità. Le impostazioni predefinite per la sicurezza proteggono già più di 5 milioni di tenant complessivamente. 50.000 tenant sono protetti anche dal Centro sicurezza.

Il Centro sicurezza fornisce ora una raccomandazione sulla sicurezza ogni volta che identifica una sottoscrizione di Azure in cui non sono abilitate le impostazioni predefinite per la sicurezza. Fino a oggi il Centro sicurezza ha consigliato l'abilitazione dell'autenticazione a più fattori con l'accesso condizionale, incluso nella licenza di Azure Active Directory (AD) Premium. Per i clienti che usano Azure AD Gratuito è ora consigliabile abilitare le impostazioni predefinite per la sicurezza.

L'obiettivo consiste nell'invitare più clienti a proteggere gli ambienti cloud tramite autenticazione a più fattori e attenuare uno dei rischi più elevati e con impatto più significativo sul punteggio di sicurezza.

Altre informazioni sulle impostazioni predefinite per la sicurezza.

Aggiunta di una raccomandazione per le entità servizio

È stata aggiunta una nuova raccomandazione per consigliare ai clienti del Centro sicurezza che usano i certificati di gestione per gestire le sottoscrizioni di passare alle entità servizio.

La raccomandazione Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione consiglia di usare le entità servizio o Azure Resource Manager per migliorare la sicurezza della gestione delle sottoscrizioni.

Altre informazioni su Oggetti applicazione ed entità servizio in Azure Active Directory.

Valutazione delle vulnerabilità nelle VM: consolidamento di raccomandazioni e criteri

Il Centro sicurezza esamina le VM per rilevare se eseguono una soluzione di valutazione delle vulnerabilità. Se non viene trovata alcuna soluzione di valutazione delle vulnerabilità, il Centro sicurezza fornisce una raccomandazione per semplificare la distribuzione.

Quando vengono trovate vulnerabilità, il Centro sicurezza fornisce una raccomandazione che riepiloga i risultati per consentire l'indagine e la correzione, se necessario.

Per assicurare un'esperienza coerente per tutti gli utenti, indipendentemente dal tipo di rilevatore usato, quattro raccomandazioni sono state combinate nelle due raccomandazioni seguenti:

Raccomandazione unificata Descrizione delle modifiche
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Sostituisce le due raccomandazioni seguenti:
Abilitare la soluzione di valutazione della vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys (ora deprecata) (incluso con il livello standard)
La soluzione di valutazione della vulnerabilità deve essere installata nelle macchine virtuali (ora deprecate) (livelli Standard e gratuito)
È consigliabile correggere le vulnerabilità nelle macchine virtuali Sostituisce le due raccomandazioni seguenti:
Correggere le vulnerabilità rilevate nelle macchine virtuali (basate su Qualys) (ora deprecate)
Le vulnerabilità devono essere risolte da una soluzione di valutazione della vulnerabilità (ora deprecata)

A questo punto si userà la stessa raccomandazione per distribuire l'estensione di valutazione della vulnerabilità del Centro sicurezza o una soluzione con licenza privata ("BYOL") da un partner, ad esempio Qualys o Rapid7.

Quando le vulnerabilità vengono trovate e segnalate al Centro sicurezza, una singola raccomandazione informerà gli utenti in merito alla disponibilità dei risultati, indipendentemente dalla soluzione di valutazione delle vulnerabilità che le ha individuate.

Aggiornamento delle dipendenze

Se sono presenti script, query o automazioni che fanno riferimento a raccomandazioni o chiavi/nomi di criteri precedenti, usare la tabella seguente per aggiornare i riferimenti:

Prima del mese di agosto 2020
Recommendation Ambito
Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys)
Chiave: 550e890b-e652-4d22-8274-60b3bdb24c63
Predefinito
Correggere le vulnerabilità rilevate nelle macchine virtuali (con tecnologia Qualys)
Chiave: 1195afff-c881-495e-9bc5-1486211ae03f
Predefinito
È consigliabile installare una soluzione di valutazione della vulnerabilità nelle macchine virtuali
Chiave: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
Le vulnerabilità devono essere risolte tramite una soluzione di valutazione della vulnerabilità
Chiave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
Policy Ambito
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali
ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Predefinito
È consigliabile correggere le vulnerabilità tramite una soluzione di valutazione della vulnerabilità
ID criterio: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
Dal mese di agosto 2020
Recommendation Ambito
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali
Chiave: ffff0522-1e88-47fc-8382-2a80ba848f5d
Predefinito + BYOL
È consigliabile correggere le vulnerabilità nelle macchine virtuali
Chiave: 1195afff-c881-495e-9bc5-1486211ae03f
Predefinito + BYOL
Policy Ambito
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali
ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Predefinito + BYOL

Aggiunta di nuovi criteri di sicurezza del servizio Azure Kubernetes all'iniziativa ASC_default per l'uso esclusivo da parte dei clienti dell'anteprima privata

Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge criteri a livello di Kubernetes e raccomandazioni di protezione avanzata, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.

La fase iniziale di questo progetto include un'anteprima privata e l'aggiunta di nuovi criteri, disabilitati per impostazione predefinita, all'iniziativa ASC_default.

È possibile ignorare questi criteri, senza impatto sull'ambiente. Se si vuole abilitarli, iscriversi all'anteprima tramite il Community Privato di Microsoft Cloud Security e selezionare tra le opzioni seguenti:

  1. Anteprima singola: per partecipare solo a questa anteprima privata. Indicare in modo esplicito "Analisi continua del Centro sicurezza di Azure" come anteprima a cui si vuole partecipare.
  2. Programma in corso: per partecipare a questa anteprima privata e alle anteprime private future. È necessario completare un profilo e un contratto sulla privacy.

Luglio 2020

Gli aggiornamenti del mese di luglio includono quanto segue:

Disponibilità della valutazione delle vulnerabilità per macchine virtuali per immagini non del marketplace

Durante la distribuzione di una soluzione di valutazione delle vulnerabilità, il Centro sicurezza eseguiva in precedenza un controllo di convalida prima della distribuzione. Il controllo consentiva di confermare la disponibilità di uno SKU del marketplace della macchina virtuale di destinazione.

A partire da questo aggiornamento, il controllo è stato rimosso ed è ora possibile distribuire strumenti di valutazione delle vulnerabilità in computer Windows e Linux "personalizzati". Le immagini personalizzate sono immagini modificate a partire da impostazioni predefinite del marketplace.

Anche se è ora possibile distribuire l'estensione di valutazione delle vulnerabilità integrata (con tecnologia Qualys) in molti altri computer, il supporto è disponibile solo se si usa un sistema operativo elencato in Distribuire il rilevatore di vulnerabilità integrato nelle macchine virtuali di livello Standard

Altre informazioni sul rilevatore di vulnerabilità integrato per macchine virtuali (richiede Azure Defender).

Per altre informazioni sull'uso di una soluzione personalizzata di valutazione delle vulnerabilità con licenza privata di Qualys o Rapid7, vedere Distribuzione di una soluzione di analisi delle vulnerabilità di partner.

Espansione della protezione dalle minacce per Archiviazione di Azure in modo da includere File di Azure e Azure Data Lake Storage Gen2 (anteprima)

Threat Protection per Archiviazione di Azure rileva le attività potenzialmente dannose negli account di archiviazione di Azure. Il Centro sicurezza mostra avvisi quando rileva tentativi di accesso o di exploit degli account di archiviazione.

I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.

Otto nuove raccomandazioni per abilitare le funzionalità di protezione dalle minacce

Sono state aggiunte otto nuove raccomandazioni per offrire un modo semplice per abilitare le funzionalità di protezione dalle minacce del Centro sicurezza di Azure per i tipi di risorse seguenti: macchine virtuali, piani di servizio app, server di database SQL di Azure, Server SQL nei computer, account di archiviazione di Azure, cluster del servizio Azure Kubernetes, registri del Registro Azure Container e insiemi di credenziali di Azure Key Vault.

Di seguito sono elencate le nuove raccomandazioni:

  • La soluzione Sicurezza dei dati avanzata deve essere abilitata nei server del database SQL di Azure
  • La soluzione Sicurezza dei dati avanzata deve essere abilitata in SQL Server in macchine virtuali
  • La soluzione Advanced Threat Protection deve essere abilitata nei piani di servizio app di Azure
  • La soluzione Advanced Threat Protection deve essere abilitata nei registri in Registro Azure Container
  • La soluzione Advanced Threat Protection deve essere abilitata negli insiemi di credenziali in Azure Key Vault
  • La soluzione Advanced Threat Protection deve essere abilitata nei cluster del servizio Azure Kubernetes
  • La soluzione Advanced Threat Protection deve essere abilitata negli account di archiviazione di Azure
  • È consigliabile abilitare Advanced Threat Protection nelle macchine virtuali

Queste nuove raccomandazioni appartengono al controllo di sicurezza Abilita Azure Defender.

Le raccomandazioni includono anche la capacità di correzione rapida.

Importante

La correzione in base a una di queste raccomandazioni comporterà addebiti per la protezione delle risorse rilevanti. L'applicazione degli addebiti inizierà immediatamente se sono presenti risorse correlate nella sottoscrizione corrente oppure inizierà in futuro se si aggiungono risorse in un momento successivo.

Se ad esempio non sono presenti cluster del servizio Azure Kubernetes nella sottoscrizione e si abilita la protezione dalle minacce, non verranno applicati addebiti. Se in futuro si aggiunge un cluster nella stessa sottoscrizione, il cluster verrà protetto automaticamente e l'applicazione degli addebiti avrà inizio in tale momento.

Per altre informazioni su ogni raccomandazione, vedere la pagina di riferimento delle raccomandazioni sulla sicurezza.

Altre informazioni sulla protezione dalle minacce nel Centro sicurezza di Azure.

Miglioramenti alla sicurezza dei contenitori: analisi più rapida dei registri e documentazione aggiornata

Come parte degli investimenti continui nel dominio della sicurezza dei contenitori, è ora disponibile nel Centro sicurezza un miglioramento significativo delle prestazioni per le analisi dinamiche di immagini dei contenitori archiviate nel Registro Azure Container. Le analisi vengono ora in genere completate in due minuti circa. In alcuni casi l'analisi potrebbe richiedere fino a 15 minuti.

Per migliorare la chiarezza e le indicazioni correlate alle funzionalità di sicurezza dei contenitori del Centro sicurezza di Azure, sono stati anche apportati aggiornamenti alle pagine della documentazione sulla sicurezza.

Per altre informazioni sulla sicurezza dei contenitori del Centro sicurezza, vedere gli articoli seguenti:

Aggiornamento dei controlli applicazioni adattivi con una nuova raccomandazione e supporto per caratteri jolly nelle regole di percorso

Sono stati apportati due aggiornamenti significativi alla funzionalità Controlli applicazioni adattivi:

  • Una nuova raccomandazione identifica un comportamento potenzialmente legittimo che non era consentito in precedenza. La nuova raccomandazione, Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate, richiede l'aggiunta di nuove regole al criterio esistente per ridurre il numero di falsi positivi negli avvisi di violazione dei controlli applicazioni adattivi.

  • Le regole di percorso supportano ora i caratteri jolly. A partire da questo aggiornamento, è possibile configurare le regole di percorso consentite usando i caratteri jolly. Sono supportati due scenari:

    • Uso di un carattere jolly alla fine del percorso per consentire tutti i file eseguibili entro tale cartella e nelle sottocartelle

    • Uso di un carattere jolly al centro del percorso per consentire un nome di file eseguibile noto con un nome di cartella modificabile (ad esempio cartelle personali dell'utente con un file eseguibile noto, nomi di cartella generati automaticamente e così via)

Altre informazioni sull'applicazione di controlli applicazioni adattivi.

Sei criteri per la funzionalità deprecata Sicurezza dei dati avanzata SQL

Verranno deprecati sei criteri correlati alla sicurezza dei dati avanzata per i computer SQL:

  • I tipi di protezione di Advanced Threat Protection devono essere impostati su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
  • È necessario impostare i tipi di protezione di Advanced Threat Protection su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
  • Le impostazioni avanzate di sicurezza dei dati per l'istanza gestita di SQL devono contenere un indirizzo di posta elettronica a cui ricevere gli avvisi di sicurezza
  • Le impostazioni avanzate di sicurezza dei dati per SQL Server devono contenere un indirizzo di posta elettronica a cui ricevere gli avvisi di sicurezza
  • Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
  • Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata del server SQL

Altre informazioni sui criteri predefiniti.

Giugno 2020

Gli aggiornamenti del mese di giugno includono quanto segue:

API Secure Score (anteprima)

È ora possibile accedere al punteggio tramite l'API Secure Score, attualmente disponibile in anteprima. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. È ad esempio possibile usare l'API Secure Score per ottenere il punteggio per una sottoscrizione specifica. È anche possibile usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni.

Per esempi di strumenti esterni consentiti dall'API Secure Score, vedere l'area relativa a Secure Score della community di GitHub.

Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.

Sicurezza avanzata dei dati per i computer SQL (Azure, altri cloud e locali) (anteprima)

La funzionalità Sicurezza dei dati avanzata per computer SQL del Centro sicurezza di Azure protegge ora i server SQL ospitati in Azure, in altri ambienti cloud e anche in computer locali. Le protezioni per i server SQL nativi di Azure vengono quindi estese in modo da supportare completamente gli ambienti ibridi.

Sicurezza dei dati avanzata offre la valutazione delle vulnerabilità e la protezione avanzata dalle minacce per i computer SQL, ovunque si trovino.

La configurazione comporta due passaggi:

  1. Distribuzione dell'agente di Log Analytics nel computer host di SQL Server per fornire la connessione all'account Azure.

  2. Abilitazione dell'aggregazione facoltativa della pagina dei prezzi e delle impostazioni del Centro sicurezza.

Altre informazioni sulla sicurezza dei dati avanzata per computer SQL.

Due nuove raccomandazioni per distribuire l'agente di Log Analytics in computer Azure Arc (anteprima)

Sono state aggiunte due nuove raccomandazioni per semplificare la distribuzione dell'Agente di Log Analytics nei computer Azure Arc e per assicurare che siano protetti dal Centro sicurezza di Azure:

  • L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Windows (anteprima)
  • L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Linux (anteprima)

Queste nuove raccomandazioni verranno visualizzate negli stessi quattro controlli di sicurezza che includono la raccomandazione esistente correlata, È consigliabile installare l'agente di monitoraggio nei computer: Correggi le configurazioni di sicurezza, Applica il controllo applicazioni adattivo, Applica gli aggiornamenti del sistema e Abilita Endpoint Protection.

Le raccomandazioni includono anche la funzionalità di correzione rapida per accelerare il processo di distribuzione.

Per altre informazioni su queste due nuove raccomandazioni, vedere la tabella Raccomandazioni sulle risorse di calcolo e sulle app.

Per altre informazioni sul modo in cui il Centro sicurezza di Azure usa l'agente, vedere Che cos'è l'agente di Log Analytics?.

Altre informazioni sulle estensioni per i computer Azure Arc.

Nuovi criteri per creare configurazioni di esportazione continua e di automazione dei flussi di lavoro su larga scala

L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.

Per distribuire le configurazioni di automazione nell'organizzazione, usare questi criteri "DeployIfdNotExist" predefiniti di Azure per creare e configurare le procedure di esportazione continua e automazione dei flussi di lavoro:

Le definizioni dei criteri sono disponibili in Criteri di Azure:

Obiettivo Policy ID condizione
Esportazione continua in Hub eventi Distribuire l'esportazione in Hub eventi per gli avvisi e le raccomandazioni di Centro sicurezza di Azure cdfcce10-4578-4ecd-9703-530938e4abcb
Esportazione continua nell'area di lavoro Log Analytics Distribuisci esportazione nell'area di lavoro Log Analytics per gli avvisi e le raccomandazioni del Centro sicurezza di Azure ffb6f416-7bd2-4488-8828-56585fef2be9
Automazione dei flussi di lavoro per gli avvisi di sicurezza Distribuisci automazione del flusso di lavoro per gli avvisi del Centro sicurezza di Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza Distribuisci automazione del flusso di lavoro per le raccomandazioni del Centro sicurezza di Azure 73d6ab6c-2475-4850-afd6-43795f3492ef

Introduzione ai modelli di automazione dei flussi di lavoro.

Per altre informazioni sull'uso dei due criteri di esportazione, vedere Configurare l'automazione del flusso di lavoro su larga scala usando i criteri forniti e Configurare un'esportazione continua.

Nuova raccomandazione per l'uso dei gruppi di sicurezza di rete per proteggere macchine virtuali non connesse a Internet

Il controllo di sicurezza "Implementa le procedure consigliate per la sicurezza" include ora la nuova raccomandazione seguente:

  • Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete

Una raccomandazione esistente, Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete, non distingueva tra le macchine virtuali connesse a Internet e non connesse a Internet. Veniva generata per entrambi i tipi di VM una raccomandazione con gravità alta se una VM non era assegnata a un gruppo di sicurezza di rete. Questa nuova raccomandazione separa le macchine virtuali non connesse a Internet per ridurre i falsi positivi ed evitare avvisi con gravità elevata non necessari.

Per altre informazioni, vedere la tabella Raccomandazioni sulla rete.

Nuovi criteri per l'abilitazione della protezione dalle minacce e della sicurezza dei dati avanzata

Le nuove definizioni di criteri seguenti sono state aggiunte all'iniziativa AsC Default e sono progettate per facilitare l'abilitazione della protezione dalle minacce o della sicurezza avanzata dei dati per i tipi di risorse pertinenti.

Le definizioni dei criteri sono disponibili in Criteri di Azure:

Policy ID condizione
La soluzione Sicurezza dei dati avanzata deve essere abilitata nei server del database SQL di Azure 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
La soluzione Sicurezza dei dati avanzata deve essere abilitata in SQL Server in macchine virtuali 6581d072-105e-4418-827f-bd446d56421b
La soluzione Advanced Threat Protection deve essere abilitata negli account di archiviazione di Azure 308fbb08-4ab8-4e67-9b29-592e93fb94fa
La soluzione Advanced Threat Protection deve essere abilitata negli insiemi di credenziali in Azure Key Vault 0e6763cc-5078-4e64-889d-ff4d9a839047
La soluzione Advanced Threat Protection deve essere abilitata nei piani di servizio app di Azure 2913021d-f2fd-4f3d-b958-22354e2bdbcb
La soluzione Advanced Threat Protection deve essere abilitata nei registri in Registro Azure Container c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
La soluzione Advanced Threat Protection deve essere abilitata nei cluster del servizio Azure Kubernetes 523b5cd1-3e23-492f-a539-13118b6d1e3a
La soluzione Advanced Threat Protection deve essere abilitata nelle macchine virtuali 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Altre informazioni sulla protezione dalle minacce nel Centro sicurezza di Azure.

Maggio 2020

Gli aggiornamenti del mese di maggio includono quanto segue:

Regole di eliminazione degli avvisi (anteprima)

Questa nuova funzionalità, attualmente in anteprima, semplifica le attività correlate agli avvisi. Usare regole per nascondere automaticamente gli avvisi noti come innocui o correlati alle normali attività dell'organizzazione. In questo modo è possibile concentrarsi sulle minacce più pertinenti.

Gli avvisi che corrispondono alle regole di eliminazione abilitate vengono comunque generati, ma il relativo stato verrà impostato su Ignorato. È possibile visualizzare lo stato nel portale di Azure o accedere agli avvisi di sicurezza del Centro sicurezza.

Le regole di eliminazione definiscono i criteri per cui gli avvisi devono essere automaticamente ignorati. In genere, si usa una regola di eliminazione per:

  • eliminare gli avvisi identificati come falsi positivi

  • eliminare gli avvisi che vengono attivati troppo spesso per essere utili

Sono disponibili altre informazioni sull'eliminazione degli avvisi dalla protezione dalle minacce del Centro sicurezza di Azure.

La valutazione delle vulnerabilità delle macchine virtuali è ora disponibile a livello generale

Il livello standard del Centro sicurezza include ora una valutazione integrata delle vulnerabilità per le macchine virtuali, senza costi aggiuntivi. Questa estensione è supportata da Qualys, ma segnala i risultati direttamente al Centro sicurezza. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza.

La nuova soluzione può analizzare continuamente le macchine virtuali per individuare le vulnerabilità e presentare i risultati nel Centro sicurezza.

Per distribuire la soluzione, usare la nuova raccomandazione per la sicurezza:

"Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys)"

Sono disponibili altre informazioni sulla valutazione delle vulnerabilità integrata del Centro sicurezza per le macchine virtuali.

Modifiche all'accesso JIT (just-in-time) alle macchine virtuali

Il Centro sicurezza include una funzionalità opzionale per proteggere le porte di gestione delle macchine virtuali. Questa funzionalità garantisce una difesa contro la forma più comune di attacchi di forza bruta.

Questo aggiornamento apporta le seguenti modifiche a questa funzionalità:

  • La raccomandazione che consiglia di abilitare JIT in una macchina virtuale è stata rinominata. "Il controllo di accesso alla rete JIT deve essere applicato alle macchine virtuali" è ora diventato: "Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT".

  • La raccomandazione viene attivata solo se sono presenti porte di gestione aperte.

Sono disponibili altre informazioni sulla funzionalità di accesso JIT.

Le raccomandazioni personalizzate sono state spostate in un controllo di sicurezza distinto

Un controllo di sicurezza introdotto con il punteggio di sicurezza migliorato è "Implementa le procedure consigliate per la sicurezza". Eventuali raccomandazioni personalizzate create per le sottoscrizioni sono state inserite automaticamente nel controllo.

Per semplificare l'individuazione delle raccomandazioni personalizzate, sono state spostate in un controllo di sicurezza dedicato, "Custom Recommendations" (Raccomandazioni personalizzate). Questo controllo non ha alcun effetto sul punteggio di sicurezza.

Altre informazioni sui controlli di sicurezza sono disponibili in Enhanced secure score (preview) in Azure Security Center (Punteggio di sicurezza migliorato (anteprima) nel Centro sicurezza di Azure).

Interruttore aggiunto per visualizzare le raccomandazioni nei controlli o come elenco semplice

I controlli di sicurezza sono gruppi logici di raccomandazioni correlate alla sicurezza. Riflettono le superfici di attacco vulnerabili. Un controllo è un set di raccomandazioni sulla sicurezza, con istruzioni che consentono di implementare tali raccomandazioni.

Per verificare immediatamente in che modo l'organizzazione protegge ogni singola superficie di attacco, esaminare i punteggi per ogni controllo di sicurezza.

Per impostazione predefinita, le raccomandazioni vengono visualizzate nei controlli di sicurezza. Da questo aggiornamento è inoltre possibile visualizzarle come elenco. Per visualizzarle come semplici elenchi ordinati in base allo stato di integrità delle risorse interessate, usare il nuovo interruttore di raggruppamento per controlli. L'interruttore è in cima all'elenco nel portale.

I controlli di sicurezza, e questo interruttore, fanno parte della nuova esperienza di assegnazione dei punteggi di sicurezza. Ricordarsi di inviare feedback dall'interno del portale.

Altre informazioni sui controlli di sicurezza sono disponibili in Enhanced secure score (preview) in Azure Security Center (Punteggio di sicurezza migliorato (anteprima) nel Centro sicurezza di Azure).

Group by controls toggle for recommendations.

Controllo di sicurezza espanso "Implement security best practices" (Implementa procedure consigliate per la sicurezza)

Un controllo di sicurezza introdotto con il punteggio di sicurezza migliorato è "Implementa le procedure consigliate per la sicurezza". Quando una raccomandazione si trova in questo controllo, non ha alcun effetto sul punteggio di sicurezza.

Con questo aggiornamento, tre raccomandazioni sono state spostate dai controlli in cui erano originariamente posizionate e inserite in questo controllo di procedure consigliate. Ciò è dovuto al fatto che il rischio di queste tre raccomandazioni è risultato inferiore a quello inizialmente previsto.

Sono state introdotte due nuove raccomandazioni aggiunte a questo controllo.

Le tre raccomandazioni spostate sono:

  • La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di lettura per la sottoscrizione (in origine, il controllo "Abilita MFA")
  • Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)
  • Deve essere designato un massimo di 3 proprietari per la sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)

Le due nuove raccomandazioni aggiunte al controllo sono:

  • È consigliabile installare l'estensione Configurazione guest nelle macchine virtuali Windows (anteprima) : l'uso di Configurazione guest di Criteri di Azure fornisce la visibilità all'interno delle macchine virtuali per le impostazioni di server e applicazioni (solo Windows).

  • È consigliabile abilitare Windows Defender Exploit Guard nei computer (anteprima) - Windows Defender Exploit Guard sfrutta i vantaggi di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows).

Per altre informazioni su Windows Defender Exploit Guard, vedere Creare e distribuire criteri di Exploit Guard.

Per altre informazioni sui controlli di sicurezza, vedere Punteggio di sicurezza migliorato (anteprima).

I criteri personalizzati con metadati personalizzati sono ora disponibili a livello generale

I criteri personalizzati fanno ora parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità alle normative. Questa funzionalità è ora disponibile a livello generale e consente di estendere la copertura della valutazione della sicurezza dell'organizzazione nel Centro sicurezza.

Creare un'iniziativa personalizzata in Criteri di Azure, aggiungervi criteri ed eseguirne l'onboarding in Centro sicurezza di Azure e visualizzarla come raccomandazioni.

È stata anche aggiunta la possibilità di modificare i metadati delle raccomandazioni personalizzate. Le opzioni dei metadati includono gravità, procedure di correzione, informazioni sulle minacce e altro ancora.

Sono disponibili altre informazioni sull'ottimizzazione delle raccomandazioni personalizzate con informazioni dettagliate.

Migrazione delle funzionalità di analisi dei dump di arresto anomalo al rilevamento di attacchi senza file

Le funzionalità di rilevamento delle analisi dei dump di arresto anomalo di Windows sono state integrate nel rilevamento degli attacchi senza file. L'analisi del rilevamento degli attacchi senza file offre versioni migliorate degli avvisi di sicurezza seguenti per i computer Windows: individuazione dell'inserimento del codice, mascheramento Windows modulo rilevato, rilevamento del codice shell e segmento di codice sospetto rilevato.

Alcuni vantaggi di questa transizione:

  • Rilevamento proattivo e tempestivo di malware: l'approccio di analisi dei dump di arresto anomalo prevedeva l'attesa che si verificasse un arresto anomalo e quindi l'esecuzione dell'analisi per individuare gli artefatti dannosi. L'uso del rilevamento di attacchi senza file consente di identificare in modo proattivo le minacce in memoria durante l'esecuzione.

  • Avvisi avanzati: gli avvisi di sicurezza dal rilevamento di attacchi senza file includono miglioramenti non disponibili con l'analisi dei dump di arresto anomalo, come le informazioni sulle connessioni di rete attive.

  • Aggregazione di avvisi: quando l'analisi dei dump di arresto anomalo rilevava più schemi di attacco in un singolo evento di arresto, attivava più avvisi di sicurezza. Il rilevamento di attacchi senza file combina tutti gli schemi di attacco identificati dallo stesso processo in un singolo avviso, eliminando la necessità di correlare più avvisi.

  • Riduzione dei requisiti nell'area di lavoro Log Analytics: i dump di arresto anomalo contenenti dati potenzialmente sensibili non verranno più caricati nell'area di lavoro Log Analytics.

Aprile 2020

Gli aggiornamenti del mese di aprile includono quanto segue:

I pacchetti di conformità dinamici sono ora disponibili a livello generale

Il dashboard di conformità alle normative del Centro sicurezza di Azure include ora pacchetti di conformità dinamici (ora disponibili a livello generale) per tenere traccia di altri standard di settore e normativi.

È possibile aggiungere pacchetti di conformità dinamici alla sottoscrizione o al gruppo di gestione dalla pagina dei criteri di sicurezza del Centro sicurezza. Quando viene caricato uno standard o un benchmark, viene visualizzato nel dashboard di conformità alle normative insieme ai dati di conformità associati mappati come valutazioni. È anche possibile scaricare un report di riepilogo per gli standard caricati.

Ora è possibile aggiungere standard come:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK Official e UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (novità) (una rappresentazione più completa di Azure CIS 1.1.0)

Inoltre, è stato aggiunto di recente Azure Security Benchmark, le linee guida specifiche di Azure, create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Nel dashboard verranno supportati altri standard non appena saranno disponibili.

Sono disponibili altre informazioni sulla personalizzazione del set di standard nel dashboard di conformità alle normative.

Raccomandazioni per l'identità ora incluse nel livello gratuito del Centro sicurezza di Azure

Sono ora disponibili a livello generale raccomandazioni di sicurezza relative a identità e accesso nel livello gratuito del Centro sicurezza di Azure. Questa operazione rientra nell'impegno volto a rendere gratuite le funzionalità CSPM (Cloud Security Posture Management). Fino ad ora, queste raccomandazioni erano disponibili solo nel piano tariffario standard.

Esempi di raccomandazioni relative a identità e accesso includono:

  • "L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per la sottoscrizione".
  • "Deve essere designato un massimo di 3 proprietari per la sottoscrizione".
  • "Gli account deprecati devono essere rimossi dalla sottoscrizione".

Se si hanno sottoscrizioni nel piano tariffario gratuito, il punteggio di sicurezza corrispondente sarà influenzato da questa modifica, in quanto non sono state precedentemente valutate in termini di sicurezza dell'accesso e delle identità.

Sono disponibili altre informazioni sulle raccomandazioni relative a identità e accesso.

Altre informazioni sulla gestione dell'imposizione dell'autenticazione a più fattori nelle sottoscrizioni.

Marzo 2020

Aggiornamenti nel mese di marzo includono:

L'automazione del flusso di lavoro è ora disponibile a livello generale

La funzionalità di automazione del flusso di lavoro del Centro sicurezza di Azure è ora disponibile a livello generale. È possibile usarla per attivare automaticamente le app per la logica negli avvisi di sicurezza e nelle raccomandazioni. Sono inoltre disponibili trigger manuali per gli avvisi e tutte le raccomandazioni per le quali è disponibile l'opzione di correzione rapida.

Ogni programma di sicurezza include più flussi di lavoro per la risposta agli eventi imprevisti. Questi processi possono includere la notifica a stakeholder di rilievo, l'avvio di un processo di gestione delle modifiche e l'applicazione di procedure di correzione specifiche. Gli esperti di sicurezza raccomandano di automatizzare quante più procedure possibili. L'automazione riduce il sovraccarico e può migliorare la sicurezza garantendo che i passaggi del processo vengano eseguiti rapidamente, in modo coerente e in base ai requisiti predefiniti.

Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.

Sono disponibili altre informazioni sulla creazione di app per la logica.

Integrazione del Centro sicurezza di Azure con Windows Admin Center

È ora possibile spostare i server di Windows locali dal Windows Admin Center direttamente al Centro sicurezza di Azure. Il Centro sicurezza diventa quindi il punto centrale in cui visualizzare le informazioni di sicurezza per tutte le risorse Windows Admin Center, inclusi i server locali, le macchine virtuali e carichi di lavoro PaaS aggiuntivi.

Dopo aver spostato un server da Windows Admin Center a Centro sicurezza di Azure, sarà possibile:

  • Visualizzare gli avvisi di sicurezza e le raccomandazioni nell'estensione del Centro sicurezza di Windows Admin Center.
  • Visualizzare il comportamento di sicurezza e recuperare informazioni dettagliate aggiuntive dei server gestiti di Windows Admin Center nel Centro sicurezza all'interno del portale di Azure (o tramite un'API).

Sono disponibili altre informazioni su come integrare il Centro sicurezza di Azure con Windows Admin Center.

Protezione per il servizio Azure Kubernetes

Il Centro sicurezza di Azure espande le funzionalità di sicurezza dei contenitori per proteggere il servizio Azure Kubernetes.

La popolare piattaforma open source Kubernetes è stata adottata così ampiamente che è ora uno standard di settore per l'orchestrazione dei contenitori. Nonostante questa implementazione diffusa, c'è ancora una mancanza di comprensione per quanto riguarda come proteggere un ambiente Kubernetes. Per difendere le aree di attacco di un'applicazione aggiunta a un contenitore, è necessario avere una certa esperienza per garantire che l'infrastruttura sia configurata in modo sicuro e costantemente monitorata per potenziali minacce.

La difesa del Centro sicurezza include:

  • Individuazione e visibilità: individuazione continua delle istanze gestite del servizio Azure Kubernetes all'interno delle sottoscrizioni registrate nel Centro sicurezza.
  • Raccomandazioni sulla sicurezza: raccomandazioni utili per la conformità alle procedure consigliate sulla sicurezza per il servizio Azure Kubernetes. Questi consigli sono inclusi nel punteggio di sicurezza per assicurarsi che vengano visualizzati come parte del comportamento di sicurezza dell'organizzazione. Un esempio di raccomandazione relativa al servizio Azure Kubernetes potrebbe essere "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
  • Protezione dalle minacce: grazie all'analisi continua della distribuzione del servizio Azure Kubernetes, il Centro sicurezza avvisa l'utente in merito a minacce e attività dannose rilevate a livello di host e del cluster del servizio.

Sono disponibili altre informazioni sull'integrazione del servizio Azure Kubernetes con il Centro sicurezza.

Sono disponibili altre informazioni sulle funzionalità di sicurezza dei contenitori nel Centro sicurezza.

Esperienza JIT migliorata

Le funzionalità, le operazioni e l'interfaccia utente per gli strumenti JIT di Centro sicurezza di Azure che proteggono le porte di gestione sono state migliorate come segue:

  • Campo di giustificazione: quando si richiede l'accesso a una macchina virtuale tramite la pagina JIT del portale di Azure, è disponibile un nuovo campo facoltativo per immettere una giustificazione per la richiesta. Le informazioni immesse in questo campo possono essere rilevate nel log attività.
  • Pulizia automatica di regole JIT ridondanti: ogni volta che si aggiorna un criterio JIT, viene eseguito automaticamente uno strumento di pulizia per verificare la validità dell'intero set di regole. Lo strumento cerca eventuali mancate corrispondenze tra le regole nei criteri e le regole nel gruppo di sicurezza di rete. Se lo strumento di pulizia rileva una mancata corrispondenza, determina la cause e, se l'operazione è sicura, rimuove le regole incorporate che non sono più necessarie. Lo strumento di pulizia non elimina mai le regole create dall'utente.

Sono disponibili altre informazioni sulla funzionalità di accesso JIT.

Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora deprecate

Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora considerate deprecate:

  • È consigliabile applicare la protezione avanzata alle regole per le applicazioni Web nei gruppi di sicurezza di rete IaaS (criterio correlato: È necessario rafforzare le regole dei gruppi di sicurezza di rete per le applicazioni Web nella soluzione IaaS).

  • L'accesso ai Servizi app deve essere limitato (criterio correlato: [Anteprima]: L'accesso ai Servizi app deve essere limitato).

Queste raccomandazioni non verranno più visualizzate nel relativo elenco del Centro sicurezza. I criteri correlati non verranno più inclusi nell'iniziativa denominata "Criteri predefiniti del Centro sicurezza".

Sono disponibili altre informazioni sulle raccomandazioni relative alla sicurezza.

Febbraio 2020

Rilevamento di attacchi senza file per Linux (anteprima)

Dal momento che gli utenti malintenzionati impiegano metodi sempre più sofisticati per evitare il rilevamento, il Centro sicurezza di Azure estende il rilevamento degli attacchi senza file a Linux, oltre che a Windows. Gli attacchi senza file sfruttano le vulnerabilità del software, introducono payload dannosi in processi di sistema benigni e si nascondono nella memoria. Queste tecniche:

  • riducono al minimo o eliminano del tutto le tracce di malware sul disco
  • riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi dei malware basate su disco

Per contrastare questa minaccia, il Centro sicurezza di Azure ha rilasciato il rilevamento degli attacchi senza file per Windows nell'ottobre 2018 e ora ha esteso questa funzionalità anche a Linux.

Gennaio 2020

Punteggio di sicurezza migliorato (anteprima)

Una versione migliorata della funzionalità di punteggio di sicurezza del Centro sicurezza di Azure è ora disponibile in anteprima. In questa versione, più raccomandazioni vengono raggruppate nei controlli di sicurezza che riflettono meglio le superfici di attacco vulnerabili, limitando ad esempio l'accesso alle porte di gestione.

Acquisire familiarità con le modifiche apportate al punteggio di sicurezza durante la fase di anteprima e determinare altre correzioni che consentiranno di proteggere ulteriormente l'ambiente.

Altre informazioni sul punteggio di sicurezza avanzato (anteprima)

Novembre 2019

Gli aggiornamenti del mese di novembre includono quanto segue:

Protezione dalle minacce per Azure Key Vault in aree America del Nord (anteprima)

Azure Key Vault è un servizio essenziale per la protezione dei dati e il miglioramento delle prestazioni delle applicazioni cloud che offre la possibilità di gestire in modo centralizzato chiavi, segreti, chiavi crittografiche e criteri nel cloud. Poiché Azure Key Vault archivia dati sensibili e aziendali critici, richiede la massima sicurezza per gli insiemi di credenziali delle chiavi e i dati archiviati.

il supporto di Centro sicurezza di Azure per Threat Protection per Azure Key Vault offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli insiemi di credenziali delle chiavi. Questo nuovo livello di protezione consente ai clienti di affrontare le minacce agli insiemi di credenziali delle chiavi senza dover essere esperti di sicurezza o dover gestire sistemi di monitoraggio della sicurezza. La funzionalità è in anteprima pubblica nelle aree dell'America del Nord.

La protezione dalle minacce per Archiviazione di Azure include lo screening della reputazione del malware

La protezione dalle minacce per Archiviazione di Azure offre nuovi rilevamenti basati su Microsoft Threat Intelligence per il rilevamento di caricamenti di malware in Archiviazione di Azure tramite l'analisi della reputazione hash e l'accesso sospetto da un nodo di uscita Tor attivo (anonimizzazione proxy). È ora possibile visualizzare i malware rilevati negli account di archiviazione usando il Centro sicurezza di Azure.

Automazione del flusso di lavoro con App per la logica (anteprima)

Le organizzazioni con sicurezza gestita a livello centralizzato e IT/operazioni implementano processi di flusso di lavoro interni per condurre le azioni necessarie all'interno dell'organizzazione quando le discrepanze vengono individuate nei propri ambienti. In molti casi, questi flussi di lavoro sono processi ripetibili e l'automazione può semplificare significativamente i processi all'interno dell'organizzazione.

Attualmente viene introdotta una nuova funzionalità del Centro sicurezza che consente ai clienti di creare configurazioni di automazione sfruttando App per la logica di Azure e di creare criteri che li attiveranno automaticamente in base a risultati del certificato del servizio app specifici, ad esempio raccomandazioni o avvisi. App per la logica di Azure può essere configurato in modo da eseguire qualsiasi azione personalizzata supportata dalla vasta community di connettori di App per la logica oppure da usare uno dei modelli forniti dal Centro sicurezza, ad esempio l'invio di un messaggio di posta elettronica o l'apertura di un ticket ServiceNow™.

Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere automazione del flusso di lavoro.

Per informazioni sulla creazione di app per la logica, vedere App per la logica di Azure.

Correzione rapida per le risorse bulk disponibili a livello generale

Con le numerose attività fornite a un utente come parte del punteggio di sicurezza, può essere difficile correggere efficacemente i problemi in una flotta di grandi dimensioni.

Per semplificare la correzione di configurazioni di sicurezza errate e per poter correggere rapidamente le raccomandazioni in un blocco di risorse e migliorare il punteggio di sicurezza, usare la correzione rapida.

Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.

La correzione rapida è attualmente disponibile a livello generale come parte della pagina Consigli del Centro sicurezza.

Nella guida di riferimento alle raccomandazioni sulla sicurezza, vedere quali raccomandazioni sono abilitate per la correzione rapida.

Analizzare le immagini del contenitore per le vulnerabilità (anteprima)

Il Centro sicurezza di Azure può ora analizzare le immagini del contenitore in Registro Azure Container per individuare eventuali vulnerabilità.

L'analisi delle immagini funziona analizzando il file dell'immagine del contenitore e quindi controllando se sono presenti vulnerabilità note (con tecnologia Qualys).

L'analisi viene attivata automaticamente quando si effettua il push di nuove immagini del contenitore in Registro Azure Container. Le vulnerabilità trovate verranno rilevate come raccomandazioni del Centro sicurezza e incluse nel punteggio sicuro insieme alle informazioni su come applicare patch per ridurre la superficie di attacco consentita.

Standard aggiuntivi di conformità con le normative (anteprima)

Il dashboard per la conformità con le normative fornisce informazioni approfondite sul comportamento di conformità in base alle valutazioni del Centro sicurezza. Il dashboard mostra il modo in cui l'ambiente è conforme ai controlli e ai requisiti designati da standard normativi specifici e da benchmark di settore e fornisce consigli per la gestione di questi requisiti.

Il dashboard di conformità alle normative ha finora supportato quattro standard predefiniti: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Microsoft sta per annunciare la versione di anteprima pubblica degli standard aggiuntivi supportati: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official insieme a UK NHS. Sta anche rilasciando una versione aggiornata di Azure CIS 1.1.0, che include più controlli dello standard e un miglioramento dell'estendibilità.

Sono disponibili altre informazioni sulla personalizzazione del set di standard nel dashboard di conformità con le normative.

Protezione dalle minacce per il servizio Azure Kubernetes (anteprima)

Kubernetes sta diventando rapidamente il nuovo standard per la distribuzione e la gestione del software nel cloud. Pochi utenti hanno un'esperienza completa con Kubernetes e molti si concentrano solo sulla progettazione e l'amministrazione generali e danno uno sguardo rapido all'aspetto della sicurezza. Per garantire la sicurezza, l'ambiente Kubernetes deve essere configurato con cura, assicurandosi che non siano aperte porte della superficie di attacco incentrate sul contenitore per gli utenti malintenzionati. Il Centro sicurezza sta espandendo il supporto nello spazio del contenitore a uno dei servizi dalla crescita più rapida in Azure: il servizio Azure Kubernetes.

Le nuove funzionalità di questa versione di anteprima pubblica includono:

  • Scoperta & Visibilità : individuazione continua delle istanze del servizio Azure Kubernetes gestite nelle sottoscrizioni registrate del Centro sicurezza.
  • Raccomandazioni per il punteggio sicuro : elementi utilizzabili per aiutare i clienti a rispettare le procedure consigliate per la sicurezza per il servizio Azure Kubernetes e aumentare il punteggio di sicurezza. Consigli includere elementi come "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
  • Rilevamento delle minacce : analisi basata su host e cluster, ad esempio "Un contenitore con privilegi rilevato".

Valutazione della vulnerabilità della macchina virtuale (anteprima)

Le applicazioni installate in macchine virtuali possono spesso avere vulnerabilità che potrebbero causare una violazione della macchina virtuale. Si annuncia che il livello standard del Centro sicurezza include la valutazione della vulnerabilità predefinita per le macchine virtuali senza costi aggiuntivi. La valutazione della vulnerabilità, basata su Qualys nell'anteprima pubblica, consente di analizzare continuamente tutte le applicazioni installate in una macchina virtuale per trovare applicazioni vulnerabili e presentare i risultati nell'esperienza del portale del Centro sicurezza. Il Centro sicurezza si occupa di tutte le operazioni di distribuzione in modo che non sia necessario alcun lavoro aggiuntivo da parte dell'utente. In futuro si prevede di fornire opzioni di valutazione della vulnerabilità per supportare le esigenze aziendali univoche dei clienti.

Altre informazioni sulle valutazioni della vulnerabilità per le macchine virtuali di Azure.

Sicurezza dei dati avanzata per i server SQL in macchine virtuali di Azure (anteprima)

il supporto di Centro sicurezza di Azure per la protezione delle minacce e la valutazione della vulnerabilità per SQL DBS in esecuzione nelle macchine virtuali IaaS è ora in anteprima.

La valutazione della vulnerabilità è un servizio facile da configurare che consente di individuare, verificare e contribuire alla correzione di vulnerabilità potenziali dei database. Offre visibilità sul comportamento di sicurezza come parte del punteggio di sicurezza e include i passaggi per risolvere i problemi di sicurezza e migliorare le fortificazioni del database.

Advanced Threat Protection rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare il server SQL. Monitora in modo continuo il database in caso di attività sospette e fornisce avvisi di sicurezza orientati all'azione su modelli di accesso ai database anomali. Questi avvisi forniscono dettagli sulle attività sospette e azioni consigliate per l'analisi e la mitigazione della minaccia.

Supporto per criteri personalizzati (anteprima)

Il Centro sicurezza di Azure supporta ora criteri personalizzati (in anteprima).

I clienti Microsoft attendono da tempo la possibilità di estendere la copertura attuale della valutazione della sicurezza nel Centro sicurezza con le proprie valutazioni della sicurezza in base ai criteri creati in Criteri di Azure. Con il supporto per i criteri personalizzati, l'estensione della copertura è ora possibile.

Questi nuovi criteri faranno parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità con le normative. Con il supporto per i criteri personalizzati, è ora possibile creare un'iniziativa personalizzata in Criteri di Azure, quindi aggiungerla come criterio nel Centro sicurezza e visualizzarla come raccomandazione.

Estensione della copertura del Centro sicurezza di Azure con piattaforma per community e partner

Usare il Centro sicurezza per ricevere raccomandazioni non solo da Microsoft, ma anche da soluzioni esistenti di partner quali Check Point, Tenable e CyberArk con molte altre integrazioni in arrivo. Il semplice flusso di onboarding del Centro sicurezza può connettere le soluzioni esistenti al Centro sicurezza, consentendo di visualizzare le raccomandazioni relative al comportamento di sicurezza in un'unica posizione, eseguire report unificati e sfruttare tutte le funzionalità del Centro sicurezza in base alle raccomandazioni predefinite e ai partner. È anche possibile esportare le raccomandazioni del Centro sicurezza nei prodotti partner.

Altre informazioni su Microsoft Intelligent Security Association.

Integrazioni avanzate con l'esportazione di raccomandazioni e avvisi (anteprima)

Per abilitare gli scenari a livello aziendale nel Centro sicurezza, è ora possibile usare gli avvisi e le raccomandazioni del Centro sicurezza in posizioni aggiuntive, ad eccezione del portale di Azure o dell'API. Possono essere esportati direttamente in un hub eventi e in aree di lavoro Log Analytics. Ecco alcuni flussi di lavoro che è possibile creare con queste nuove funzionalità:

  • Con l'esportazione nell'area di lavoro Log Analytics è possibile creare dashboard personalizzati con Power BI.
  • Con l'esportazione in Hub eventi, sarà possibile esportare gli avvisi e le raccomandazioni del Centro sicurezza nei SIEM di terze parti, in una soluzione di terze parti o in Azure Esplora dati.

Eseguire l'onboarding dei server locali nel Centro sicurezza da Windows Admin Center (anteprima)

Windows Admin Center è un portale di gestione per i server Windows non distribuiti in Azure, che offre diverse funzionalità di gestione di Azure, ad esempio backup e aggiornamenti di sistema. Microsoft ha recentemente aggiunto la possibilità di eseguire l'onboarding di questi server non Azure, in modo che siano protetti dal certificato del servizio app direttamente dall'esperienza di Windows Admin Center.

Grazie a questa nuova esperienza, gli utenti potranno eseguire l'onboarding di un server Windows Admin Center nel Centro sicurezza di Azure e consentire la visualizzazione degli avvisi di sicurezza e delle raccomandazioni direttamente nell'esperienza di Windows Admin Center.

Settembre 2019

Gli aggiornamenti del mese di settembre includono quanto segue:

Gestione delle regole con i miglioramenti apportati ai controlli applicazioni adattivi

L'esperienza di gestione delle regole per le macchine virtuali che usano i controlli applicazioni adattivi è stata migliorata. I controlli applicazioni adattivi del Centro sicurezza di Azure consentono di controllare quali applicazioni possono essere eseguite nelle macchine virtuali. Oltre a un miglioramento generale per la gestione delle regole, un nuovo vantaggio consiste nella possibilità di controllare quali tipi di file verranno protetti quando si aggiunge una nuova regola.

Altre informazioni sull'applicazione di controlli applicazioni adattivi.

Controllare la raccomandazione sulla sicurezza del contenitore usando Criteri di Azure

Centro sicurezza di Azure'indicazione di correggere le vulnerabilità nella sicurezza dei contenitori può ora essere abilitata o disabilitata tramite Criteri di Azure.

Per visualizzare i criteri di sicurezza abilitati, dal Centro sicurezza aprire la pagina Criteri di sicurezza.

Agosto 2019

Gli aggiornamenti del mese di agosto includono quanto segue:

Accesso just-in-time (JIT) alla macchina virtuale per Firewall di Azure

L'accesso just-in-time alla macchina virtuale per Firewall di Azure è ora disponibile a livello generale. Usarlo per proteggere gli ambienti protetti Firewall di Azure oltre agli ambienti protetti del gruppo di sicurezza di rete.

L'accesso JIT alla macchina virtuale riduce l'esposizione agli attacchi volumetrici di rete, fornendo l'accesso controllato alle macchine virtuali solo quando necessario, usando le regole di Firewall di Azure e il gruppo di sicurezza di rete.

Quando si abilita JIT per le macchine virtuali, si crea un criterio che determina le porte da proteggere, per quanto tempo devono rimanere aperte e gli indirizzi IP approvati da cui è possibile accedere a queste porte. Questo criterio consente di mantenere il controllo sulle operazioni che gli utenti possono eseguire quando richiedono l'accesso.

Le richieste vengono registrate nel log attività di Azure, in modo che sia possibile monitorare e controllare facilmente l'accesso. La pagina JIT consente anche di identificare rapidamente le macchine virtuali esistenti in cui è abilitato JIT e le macchine virtuali in cui è consigliabile usare JIT.

Altre informazioni su Firewall di Azure.

Correzione con un solo clic per migliorare il comportamento di sicurezza (anteprima)

Il punteggio di sicurezza è uno strumento che consente di valutare le condizioni di sicurezza del carico di lavoro. Esamina i consigli sulla sicurezza e assegna a ciascuno un livello di priorità che indica quali consigli implementare per primi. Questo è utile per trovare le vulnerabilità della sicurezza più gravi e stabilire le priorità di indagine.

Per semplificare la correzione di errori di configurazione della sicurezza e per migliorare rapidamente il punteggio di sicurezza, è stata aggiunta una nuova funzionalità che consente di correggere una raccomandazione su una maggior parte delle risorse in un singolo clic.

Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.

Nella guida di riferimento alle raccomandazioni sulla sicurezza, vedere quali raccomandazioni sono abilitate per la correzione rapida.

Gestione tra tenant

Il Centro sicurezza supporta ora scenari di gestione tra tenant come parte di Azure Lighthouse. Questo consente di ottenere visibilità e gestire il comportamento di sicurezza di più tenant nel Centro sicurezza.

Informazioni sulle esperienze di gestione tra tenant.

Luglio 2019

Aggiornamenti alle raccomandazioni sulle risorse di rete

Il Centro sicurezza di Azure ha lanciato nuove raccomandazioni sulle risorse di rete e ne sono state migliorate alcune esistenti. Ora, l'uso del Centro sicurezza garantisce una maggiore protezione della rete per le risorse.

Altre informazioni sulle raccomandazioni sulle risorse di rete.

Giugno 2019

Protezione avanzata adattiva della rete : disponibile a livello generale

Una delle maggiori superfici di attacco per i carichi di lavoro in esecuzione nel cloud pubblico sono le connessioni da e verso la rete Internet pubblica. I clienti Microsoft hanno difficoltà a capire quali regole del gruppo di sicurezza di rete (NSG) devono essere applicate per assicurarsi che i carichi di lavoro di Azure siano disponibili solo per gli intervalli di origine richiesti. Con questa funzionalità, il Centro sicurezza apprende i modelli del traffico di rete e di connettività dei carichi di lavoro di Azure e fornisce indicazioni sulle regole del gruppo di sicurezza di rete per le macchine virtuali con connessione Internet. Questo consente ai clienti di configurare meglio i criteri di accesso alla rete e di limitare l'esposizione agli attacchi.

Altre informazioni sulla protezione avanzata adattiva per la rete.