Archiviare le novità di Defender per il cloud?

  • Articolo

La pagina principale Novità di Defender per il cloud? contiene gli aggiornamenti degli ultimi sei mesi, mentre questa pagina contiene elementi meno recenti.

Questa pagina illustra quanto segue:

  • Nuove funzionalità
  • Correzioni di bug
  • Funzionalità deprecate

Settembre 2023

Data Aggiornamento
27 settembre Dashboard di sicurezza dei dati disponibile in anteprima pubblica
21 settembre Versione di anteprima: nuovo processo di provisioning automatico per SQL Server nei computer
20 settembre Sicurezza avanzata di GitHub per gli avvisi di Azure DevOps in Defender per il cloud
11 settembre Funzionalità esentate ora disponibili per le raccomandazioni di Defender per le API
11 settembre Creare avvisi di esempio per i rilevamenti di Defender per le API
6 settembre Versione di anteprima: la valutazione delle vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender ora supporta l'analisi sul pull
6 settembre Aggiornamento del formato di denominazione degli standard CIS (Center for Internet Security) nella conformità alle normative
5 settembre Individuazione dei dati sensibili per i database PaaS (anteprima)
1 settembre Disponibilità generale (GA): analisi malware in Defender per Archiviazione

Dashboard di sicurezza dei dati disponibile in anteprima pubblica

27 settembre 2023

Il dashboard di sicurezza dei dati è ora disponibile in anteprima pubblica come parte del piano CSPM di Defender. Il dashboard di sicurezza dei dati è un dashboard interattivo incentrato sui dati che illumina rischi significativi per i dati sensibili, assegnando priorità agli avvisi e ai potenziali percorsi di attacco per i dati nei carichi di lavoro cloud ibridi. Altre informazioni sul dashboard di sicurezza dei dati.

Versione di anteprima: nuovo processo di provisioning automatico per SQL Server nei computer

21 settembre 2023

Microsoft Monitoring Agent (MMA) è deprecato nell'agosto 2024. Defender per il cloud aggiornata è la strategia sostituendo MMA con il rilascio di un processo di provisioning automatico di Azure Monitoring Agent destinato a SQL Server.

Durante l'anteprima, i clienti che usano il processo di provisioning automatico MMA con l'opzione Agente di Monitoraggio di Azure (anteprima) vengono richiesti di eseguire la migrazione al nuovo agente di monitoraggio di Azure per SQL Server nei computer (anteprima) processo di provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.

Per altre informazioni, vedere Eseguire la migrazione al processo di provisioning automatico di Azure Monitoring Agent destinato a SQL Server.

Sicurezza avanzata di GitHub per gli avvisi di Azure DevOps in Defender per il cloud

20 settembre 2023

È ora possibile visualizzare gli avvisi di GitHub Advanced Security for Azure DevOps (GHAzDO) correlati a CodeQL, segreti e dipendenze in Defender per il cloud. I risultati vengono visualizzati nella pagina DevOps e in Consigli. Per visualizzare questi risultati, eseguire l'onboarding dei repository abilitati per GHAzDO per Defender per il cloud.

Altre informazioni su GitHub Advanced Security per Azure DevOps.

Funzionalità esentate ora disponibili per le raccomandazioni di Defender per le API

11 settembre 2023

È ora possibile esentare le raccomandazioni per le raccomandazioni sulla sicurezza di Defender per le API seguenti.

Elemento consigliato Descrizione e criteri correlati Gravità
(Anteprima) Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio azure Gestione API Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio azure Gestione API. Mantenere gli endpoint API inutilizzati potrebbe comportare un rischio per la sicurezza. Queste potrebbero essere API che dovrebbero essere deprecate dal servizio Azure Gestione API, ma che sono state accidentalmente lasciate attive. Queste API in genere non ricevono la copertura di sicurezza più aggiornata. Basso
(Anteprima) Gli endpoint API in Azure Gestione API devono essere autenticati Gli endpoint API pubblicati in Azure Gestione API devono applicare l'autenticazione per ridurre al minimo i rischi per la sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Per le API pubblicate in Azure Gestione API, questa raccomandazione valuta l'esecuzione dell'autenticazione tramite le chiavi di sottoscrizione, il token JWT e il certificato client configurati in Azure Gestione API. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API riceverà questa raccomandazione. Alto

Altre informazioni sull'esenzione delle raccomandazioni in Defender per il cloud.

Creare avvisi di esempio per i rilevamenti di Defender per le API

11 settembre 2023

È ora possibile generare avvisi di esempio per i rilevamenti di sicurezza rilasciati come parte dell'anteprima pubblica di Defender per le API. Altre informazioni sulla generazione di avvisi di esempio in Defender per il cloud.

Versione di anteprima: la valutazione delle vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender ora supporta l'analisi sul pull

6 settembre 2023

La valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM), supporta ora un trigger aggiuntivo per l'analisi delle immagini estratte da un Registro Azure Container. Questo trigger appena aggiunto offre una copertura aggiuntiva per le immagini attive oltre ai trigger esistenti che analizzano le immagini di cui è stato eseguito il push in un Registro Azure Container negli ultimi 90 giorni e le immagini attualmente in esecuzione nel servizio Azure Kubernetes.

Il nuovo trigger inizierà a essere implementato oggi e dovrebbe essere disponibile per tutti i clienti entro la fine di settembre.

Per altre informazioni, vedere Valutazione della vulnerabilità dei contenitori basata su MDVM

Aggiornamento del formato di denominazione degli standard CIS (Center for Internet Security) nella conformità alle normative

6 settembre 2023

Il formato di denominazione dei benchmark di base CIS (Center for Internet Security) nel dashboard di conformità viene modificato da [Cloud] CIS [version number] a CIS [Cloud] Foundations v[version number]. Fare riferimento alla tabella seguente:

Nome corrente Nuovo nome
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Informazioni su come migliorare la conformità alle normative.

Individuazione dei dati sensibili per i database PaaS (anteprima)

5 settembre 2023

Le funzionalità di sicurezza con riconoscimento dei dati per l'individuazione dei dati sensibili senza problemi per i database PaaS (database SQL di Azure e istanze di Amazon RDS di qualsiasi tipo) sono ora disponibili in anteprima pubblica. Questa anteprima pubblica consente di creare una mappa dei dati critici ovunque si trovino e il tipo di dati presenti in tali database.

L'individuazione dei dati sensibili per i database di Azure e AWS aggiunge alla tassonomia e alla configurazione condivise, che è già disponibile pubblicamente per le risorse di archiviazione degli oggetti cloud (Archiviazione BLOB di Azure, bucket AWS S3 e bucket di archiviazione GCP) e offre una singola configurazione e un'esperienza di abilitazione.

I database vengono analizzati su base settimanale. Se si abilita sensitive data discovery, l'individuazione viene eseguita entro 24 ore. I risultati possono essere visualizzati in Cloud Security Explorer o esaminando i nuovi percorsi di attacco per i database gestiti con dati sensibili.

Il comportamento di sicurezza compatibile con i dati per i database è disponibile tramite il piano CSPM di Defender e viene abilitato automaticamente nelle sottoscrizioni in cui sensitive data discovery è abilitata l'opzione .

Per altre informazioni sul comportamento di sicurezza compatibile con i dati, vedere gli articoli seguenti:

Disponibilità generale (GA): analisi malware in Defender per Archiviazione

1 settembre 2023

L'analisi malware è ora disponibile a livello generale come componente aggiuntivo a Defender per Archiviazione. L'analisi di malware in Defender per Archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi eseguendo un'analisi completa del malware sui contenuti caricati quasi in tempo reale, usando Antivirus Microsoft Defender funzionalità. È progettato per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili. La funzionalità di analisi malware è una soluzione SaaS senza agente che consente la configurazione su larga scala e supporta l'automazione della risposta su larga scala.

Altre informazioni sull'analisi di malware in Defender per Archiviazione.

L'analisi malware è prezzo in base all'utilizzo e al budget dei dati. La fatturazione inizia il 3 settembre 2023. Per altre informazioni, visitare la pagina dei prezzi.

Se si usa il piano precedente (ora rinominato "Microsoft Defender per Archiviazione (versione classica)"), è necessario eseguire la migrazione proattiva al nuovo piano per abilitare l'analisi malware.

Leggere il post di blog sull'annuncio Microsoft Defender per il cloud.

Agosto 2023

Gli aggiornamenti del mese di agosto includono quanto segue:

Data Aggiornamento
30 agosto Defender per contenitori: individuazione senza agente per Kubernetes
22 agosto Versione consigliata: Microsoft Defender per Archiviazione deve essere abilitato con l'analisi malware e il rilevamento delle minacce ai dati sensibili
17 agosto Le proprietà estese in Defender per il cloud gli avvisi di sicurezza vengono mascherati dai log attività
15 agosto Versione di anteprima del supporto GCP in Defender CSPM
7 agosto Nuovi avvisi di sicurezza in Defender per server Piano 2: rilevamento di potenziali attacchi che esbustono le estensioni delle macchine virtuali di Azure
1° agosto Modelli di business e aggiornamenti dei prezzi per i piani di Defender per il cloud

Defender per contenitori: individuazione senza agente per Kubernetes

30 agosto 2023

Microsoft è lieta di presentare Defender Per contenitori: individuazione senza agente per Kubernetes. Questa versione segna un passo avanti significativo nella sicurezza dei contenitori, consentendo di ottenere informazioni dettagliate avanzate e funzionalità di inventario complete per gli ambienti Kubernetes. La nuova offerta di contenitori è basata sul grafico di sicurezza contestuale Defender per il cloud. Ecco cosa ci si può aspettare da questo aggiornamento più recente:

  • Individuazione Kubernetes senza agente
  • Funzionalità complete di inventario
  • Informazioni dettagliate sulla sicurezza specifiche di Kubernetes
  • Ricerca avanzata dei rischi con Cloud Security Explorer

L'individuazione senza agente per Kubernetes è ora disponibile per tutti i clienti di Defender For Containers. È possibile iniziare subito a usare queste funzionalità avanzate. È consigliabile aggiornare le sottoscrizioni per avere il set completo di estensioni abilitate e trarre vantaggio dalle aggiunte e dalle funzionalità più recenti. Visitare il riquadro Ambiente e impostazioni della sottoscrizione di Defender per contenitori per abilitare l'estensione.

Nota

L'abilitazione delle aggiunte più recenti non comporta nuovi costi per i clienti attivi di Defender per contenitori.

Per altre informazioni, vedere Panoramica della sicurezza dei contenitori di Microsoft Defender per contenitori.

Versione consigliata: Microsoft Defender per Archiviazione deve essere abilitato con l'analisi malware e il rilevamento delle minacce ai dati sensibili

martedì 22 agosto 2023

È stata rilasciata una nuova raccomandazione in Defender per Archiviazione. Questa raccomandazione garantisce che Defender per Archiviazione sia abilitato a livello di sottoscrizione con funzionalità di analisi malware e rilevamento delle minacce ai dati sensibili.

Suggerimento Descrizione
È consigliabile abilitare Microsoft Defender per Archiviazione con l'analisi malware e il rilevamento delle minacce ai dati sensibili Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. Con una semplice configurazione senza agente su larga scala, se abilitata a livello di sottoscrizione, tutti gli account di archiviazione esistenti e appena creati in tale sottoscrizione verranno protetti automaticamente. È anche possibile escludere account di archiviazione specifici da sottoscrizioni protette.

Questa nuova raccomandazione sostituisce la raccomandazione Microsoft Defender for Storage should be enabled corrente (chiave di valutazione 1be22853-8ed1-4005-9907-ddad64cb1417). Tuttavia, questa raccomandazione sarà ancora disponibile nei cloud Azure per enti pubblici.

Altre informazioni su Microsoft Defender per Archiviazione.

Le proprietà estese in Defender per il cloud gli avvisi di sicurezza vengono mascherati dai log attività

17 agosto 2023

Di recente è stato modificato il modo in cui sono integrati gli avvisi di sicurezza e i log attività. Per proteggere meglio le informazioni riservate dei clienti, queste informazioni non sono più incluse nei log attività. Invece, lo mascheramo con asterischi. Tuttavia, queste informazioni sono ancora disponibili tramite l'API degli avvisi, l'esportazione continua e il portale di Defender per il cloud.

I clienti che si basano sui log attività per esportare gli avvisi nelle soluzioni SIEM devono prendere in considerazione l'uso di una soluzione diversa, perché non è il metodo consigliato per l'esportazione di Defender per il cloud avvisi di sicurezza.

Per istruzioni su come esportare Defender per il cloud avvisi di sicurezza in SIEM, SOAR e altre applicazioni di terze parti, vedere Trasmettere gli avvisi a una soluzione SIEM, SOAR o gestione dei servizi IT.

Versione di anteprima del supporto GCP in Defender CSPM

15 agosto 2023

È in corso l'annuncio della versione di anteprima del grafico della sicurezza cloud contestuale di Defender CSPM e dell'analisi del percorso di attacco con supporto per le risorse GCP. È possibile applicare la potenza di Defender CSPM per la visibilità completa e la sicurezza del cloud intelligente tra le risorse GCP.

Le funzionalità principali del supporto GCP includono:

  • Analisi del percorso di attacco: comprendere le potenziali route che potrebbero essere usate dagli utenti malintenzionati.
  • Esplora sicurezza cloud: identificare in modo proattivo i rischi per la sicurezza eseguendo query basate su grafo nel grafico della sicurezza.
  • Analisi senza agente: consente di analizzare i server e identificare segreti e vulnerabilità senza installare un agente.
  • Comportamento di sicurezza compatibile con i dati: individuare e correggere i rischi per i dati sensibili nei bucket di Google Cloud Archiviazione.

Altre informazioni sulle opzioni di piano cspm di Defender.

Nuovi avvisi di sicurezza in Defender per server Piano 2: rilevamento di potenziali attacchi che esbustono le estensioni delle macchine virtuali di Azure

7 ag. 2023

Questa nuova serie di avvisi è incentrata sul rilevamento di attività sospette delle estensioni delle macchine virtuali di Azure e fornisce informazioni dettagliate sui tentativi di compromissione e sull'esecuzione di attività dannose nelle macchine virtuali.

Microsoft Defender per server ora può rilevare attività sospette delle estensioni delle macchine virtuali, consentendo di ottenere una migliore copertura della sicurezza dei carichi di lavoro.

Le estensioni delle macchine virtuali di Azure sono applicazioni di piccole dimensioni che eseguono post-distribuzione nelle macchine virtuali e offrono funzionalità come la configurazione, l'automazione, il monitoraggio, la sicurezza e altro ancora. Anche se le estensioni sono uno strumento potente, possono essere usate dagli attori delle minacce per varie finalità dannose, ad esempio:

  • Raccolta e monitoraggio dei dati
  • Esecuzione del codice e distribuzione della configurazione con privilegi elevati
  • Reimpostazione delle credenziali e creazione di utenti amministratori
  • Crittografia dei dischi

Ecco una tabella dei nuovi avvisi.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima)
(VM_GPUExtensionSuspiciousFailure)		 Finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining. Impatto Medio
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
Questo avviso è stato rilasciato a luglio 2023.		 È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti. Impatto Basso
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousScript)		 Un comando Esegui con uno script sospetto è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. Esecuzione Alto
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousFailure)		 L'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. Esecuzione Medio
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousUsage)		 È stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. Esecuzione Basso
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima)
(VM_SuspiciousMultiExtensionUsage)		 È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza. Ricognizione Medio
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima)
(VM_DiskEncryptionSuspiciousUsage)		 È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni. Impatto Medio
È stato rilevato un uso sospetto dell'estensione di accesso alle macchine virtuali (anteprima)
(VM_VMAccessSuspiciousUsage)		 È stato rilevato un uso sospetto dell'estensione di accesso alle macchine virtuali. Gli utenti malintenzionati potrebbero abusare dell'estensione di accesso alle macchine virtuali per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. Persistenza Medio
Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_DSCExtensionSuspiciousScript)		 L'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. Esecuzione Alto
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima)
(VM_DSCExtensionSuspiciousUsage)		 È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. Impatto Basso
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima)
(VM_CustomScriptExtensionSuspiciousCmd)
Questo avviso esiste già ed è stato migliorato con metodi di rilevamento e logica più avanzati.		 L'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. Esecuzione Alto

Vedere gli avvisi basati sull'estensione in Defender per server.

Per un elenco completo degli avvisi, vedere la tabella di riferimento per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.

Modelli di business e aggiornamenti dei prezzi per i piani di Defender per il cloud

1 agosto 2023

Microsoft Defender per il cloud ha tre piani che offrono la protezione del livello di servizio:

  • Defender per Key Vault

  • Defender per Resource Manager

  • Defender per DNS

Questi piani sono passati a un nuovo modello di business con prezzi e pacchetti diversi per rispondere al feedback dei clienti sulla prevedibilità della spesa e semplificare la struttura complessiva dei costi.

Riepilogo del modello aziendale e delle modifiche dei prezzi:

I clienti esistenti di Defender per Key Vault, Defender per Resource Manager e Defender per DNS mantengono il modello di business e i prezzi correnti, a meno che non scelgano attivamente di passare al nuovo modello di business e al nuovo prezzo.

  • Defender per Resource Manager: questo piano ha un prezzo fisso per ogni sottoscrizione al mese. I clienti possono passare al nuovo modello di business selezionando il nuovo Defender per Resource Manager per ogni modello di sottoscrizione.

I clienti esistenti di Defender per Key Vault, Defender per Resource Manager e Defender per DNS mantengono il modello di business e i prezzi correnti, a meno che non scelgano attivamente di passare al nuovo modello di business e al nuovo prezzo.

  • Defender per Resource Manager: questo piano ha un prezzo fisso per ogni sottoscrizione al mese. I clienti possono passare al nuovo modello di business selezionando il nuovo Defender per Resource Manager per ogni modello di sottoscrizione.
  • Defender per Key Vault: questo piano ha un prezzo fisso per ogni insieme di credenziali, al mese senza addebiti per eccedenza. I clienti possono passare al nuovo modello aziendale selezionando il nuovo modello di Defender per Key Vault per ogni modello di insieme di credenziali
  • Defender per DNS: i clienti di Defender per server piano 2 ottengono l'accesso al valore di Defender per DNS come parte di Defender per server Piano 2 senza costi aggiuntivi. I clienti con Defender per Server Piano 2 e Defender per DNS non vengono più addebitati per Defender per DNS. Defender per DNS non è più disponibile come piano autonomo.

Altre informazioni sui prezzi per questi piani sono disponibili nella pagina dei prezzi di Defender per il cloud.

Luglio 2023

Gli aggiornamenti del mese di luglio includono quanto segue:

Data Aggiornamento
31 luglio Versione di anteprima dei contenitori Valutazione della vulnerabilità basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender per contenitori e Defender per registri contenitori
30 luglio Il comportamento dei contenitori senza agente in Defender CSPM è ora disponibile a livello generale
20 luglio Gestione degli aggiornamenti automatici a Defender per endpoint per Linux
18 luglio Analisi dei segreti senza agente per le macchine virtuali in Defender per server P2 & Defender CSPM
12 luglio Nuovo avviso di sicurezza in Defender per server piano 2: rilevamento di potenziali attacchi che sfruttano le estensioni del driver GPU della macchina virtuale di Azure
9 luglio Supporto per la disabilitazione di specifici risultati della vulnerabilità
1 luglio Il comportamento di sicurezza con riconoscimento dei dati è ora disponibile a livello generale

Versione di anteprima dei contenitori Valutazione della vulnerabilità basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender per contenitori e Defender per registri contenitori

31 luglio 2023

È in corso l'annuncio del rilascio di Valutazione della vulnerabilità per le immagini dei contenitori Linux nei registri contenitori di Azure basati su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender per contenitori e Defender per registri contenitori. La nuova offerta di valutazione dei contenitori verrà fornita insieme all'offerta Di va contenitore esistente basata su Qualys sia in Defender per contenitori che in Defender per registri contenitori e include analisi giornaliere delle immagini dei contenitori, informazioni sull'sfruttabilità, supporto per i linguaggi di sistema operativo e di programmazione (SCA) e altro ancora.

Questa nuova offerta inizierà a essere implementata oggi e dovrebbe essere disponibile per tutti i clienti entro il 7 agosto.

Per altre informazioni, vedere Valutazione della vulnerabilità dei contenitori basata su MDVM e Gestione delle vulnerabilità di Microsoft Defender (MDVM).

Il comportamento dei contenitori senza agente in Defender CSPM è ora disponibile a livello generale

30 luglio 2023

Le funzionalità di comportamento dei contenitori senza agente sono ora disponibili a livello generale come parte del piano Defender CSPM (Cloud Security Posture Management).

Altre informazioni sul comportamento dei contenitori senza agente in Defender CSPM.

Gestione degli aggiornamenti automatici a Defender per endpoint per Linux

20 luglio 2023

Per impostazione predefinita, Defender per il cloud tenta di aggiornare gli agenti defender per endpoint per Linux caricati con l'estensione MDE.Linux . Con questa versione, è possibile gestire questa impostazione e rifiutare esplicitamente la configurazione predefinita per gestire manualmente i cicli di aggiornamento.

Informazioni su come gestire la configurazione degli aggiornamenti automatici per Linux.

Analisi dei segreti senza agente per le macchine virtuali in Defender per server P2 & Defender CSPM

18 luglio 2023

L'analisi dei segreti è ora disponibile come parte dell'analisi senza agente in Defender per server P2 e Defender CSPM. Questa funzionalità consente di rilevare segreti non gestiti e non sicuri salvati nelle macchine virtuali in Azure o risorse AWS che possono essere usate per spostarsi in un secondo momento nella rete. Se vengono rilevati segreti, Defender per il cloud può aiutare a classificare in ordine di priorità ed eseguire passaggi di correzione attuabili per ridurre al minimo il rischio di spostamento laterale, senza influire sulle prestazioni del computer.

Per altre informazioni su come proteggere i segreti con l'analisi dei segreti, vedere Gestire i segreti con l'analisi dei segreti senza agente.

Nuovo avviso di sicurezza in Defender per server piano 2: rilevamento di potenziali attacchi sfruttando le estensioni del driver GPU della macchina virtuale di Azure

12 luglio 2023

Questo avviso è incentrato sull'identificazione di attività sospette che sfruttano le estensioni del driver GPU della macchina virtuale di Azure e fornisce informazioni dettagliate sui tentativi degli utenti malintenzionati di compromettere le macchine virtuali. L'avviso è destinato a distribuzioni sospette di estensioni del driver GPU; tali estensioni sono spesso abusate da attori di minacce per usare la potenza completa della scheda GPU ed eseguire il cryptojacking.

Nome visualizzato avviso
(Tipo di avviso)		 Descrizione Gravità Tattiche MITRE
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)		 È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Basso Impatto

Per un elenco completo degli avvisi, vedere la tabella di riferimento per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.

Supporto per la disabilitazione di specifici risultati della vulnerabilità

9 luglio 2023

Rilascio del supporto per la disabilitazione dei risultati della vulnerabilità per le immagini del registro contenitori o l'esecuzione di immagini come parte del comportamento del contenitore senza agente. Se un'organizzazione deve ignorare una ricerca di vulnerabilità nell'immagine del registro contenitori, anziché correggerla, è possibile disabilitarla facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza o generano rumore indesiderato.

Informazioni su come disabilitare i risultati della valutazione della vulnerabilità nelle immagini del Registro Container.

Il comportamento di sicurezza con riconoscimento dei dati è ora disponibile a livello generale

1° luglio 2023

Il comportamento di sicurezza con riconoscimento dei dati in Microsoft Defender per il cloud è ora disponibile a livello generale. Aiuta i clienti a ridurre il rischio di dati e a rispondere alle violazioni dei dati. Usando il comportamento di sicurezza basato sui dati è possibile:

  • Individuare automaticamente le risorse di dati sensibili in Azure e AWS.
  • Valutare la riservatezza dei dati, l'esposizione dei dati e il modo in cui i dati passano attraverso l'organizzazione.
  • In modo proattivo e continuo si individuano rischi che potrebbero causare violazioni dei dati.
  • Rilevare attività sospette che potrebbero indicare minacce continue alle risorse dei dati sensibili

Per altre informazioni, vedere Comportamento di sicurezza compatibile con i dati in Microsoft Defender per il cloud.

Giugno 2023

Gli aggiornamenti del mese di giugno includono quanto segue:

Data Aggiornamento
26 giugno Onboarding semplificato degli account multicloud con impostazioni avanzate
25 giugno Supporto dell'endpoint privato per l'analisi di malware in Defender per Archiviazione
15 giugno Gli aggiornamenti dei controlli sono stati apportati agli standard NIST 800-53 in conformità alle normative
11 giugno La pianificazione della migrazione cloud con un caso aziendale di Azure Migrate include ora Defender per il cloud
7 giugno La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale
6 giugno Altri ambiti aggiunti ai Connessione ors di Azure DevOps esistenti
4 giugno Sostituzione dell'individuazione basata su agenti con l'individuazione senza agente per le funzionalità dei contenitori in Defender CSPM

Onboarding semplificato degli account multicloud con impostazioni avanzate

26 giugno 2023

Defender per il cloud ha migliorato l'esperienza di onboarding per includere una nuova interfaccia utente semplificata e istruzioni oltre alle nuove funzionalità che consentono di eseguire l'onboarding degli ambienti AWS e GCP, fornendo al tempo stesso l'accesso alle funzionalità avanzate di onboarding.

Per le organizzazioni che hanno adottato Hashicorp Terraform per l'automazione, Defender per il cloud ora include la possibilità di usare Terraform come metodo di distribuzione insieme a AWS CloudFormation o GCP Cloud Shell. È ora possibile personalizzare i nomi dei ruoli necessari durante la creazione dell'integrazione. È anche possibile selezionare tra:

  • Accesso predefinito: consente Defender per il cloud di analizzare le risorse e includere automaticamente funzionalità future.

  • Accesso con privilegi minimi : concede Defender per il cloud l'accesso solo alle autorizzazioni correnti necessarie per i piani selezionati.

Se si selezionano le autorizzazioni con privilegi minimi, si riceveranno notifiche solo per i nuovi ruoli e le autorizzazioni necessari per ottenere la funzionalità completa sull'integrità del connettore.

Defender per il cloud consente di distinguere tra gli account cloud in base ai nomi nativi dei fornitori di servizi cloud. Ad esempio, alias dell'account AWS e nomi di progetto GCP.

Supporto dell'endpoint privato per l'analisi di malware in Defender per Archiviazione

25 giugno 2023

Il supporto dell'endpoint privato è ora disponibile come parte dell'anteprima pubblica di Analisi malware in Defender per Archiviazione. Questa funzionalità consente di abilitare l'analisi malware sugli account di archiviazione che usano endpoint privati. Non sono necessarie altre configurazioni.

L'analisi malware (anteprima) in Defender per Archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi eseguendo un'analisi completa del malware sui contenuti caricati quasi in tempo reale, usando Antivirus Microsoft Defender funzionalità. È progettato per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili. Si tratta di una soluzione SaaS senza agente che consente una configurazione semplice su larga scala, con zero manutenzione e supporta l'automazione della risposta su larga scala.

Gli endpoint privati forniscono connettività sicura ai servizi di Archiviazione di Azure, eliminando in modo efficace l'esposizione a Internet pubblico e sono considerati una procedura consigliata per la sicurezza.

Per gli account di archiviazione con endpoint privati in cui è già abilitata l'analisi malware, è necessario disabilitare e abilitare il piano con Analisi malware per il funzionamento.

Altre informazioni sull'uso di endpoint privati in Defender per Archiviazione e su come proteggere ulteriormente i servizi di archiviazione.

Raccomandazione rilasciata per l'anteprima: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)

21 giugno 2023

Per l'anteprima viene rilasciata una nuova raccomandazione del contenitore in Defender CSPM con tecnologia MDVM:

Suggerimento Descrizione Chiave di valutazione
L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)(Anteprima) La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Questa nuova raccomandazione sostituisce la raccomandazione corrente con lo stesso nome, basata su Qualys, solo in Defender CSPM (sostituendo la chiave di valutazione 41503391-efa5-47ee-9282-4eff6131462c).

Gli aggiornamenti dei controlli sono stati apportati agli standard NIST 800-53 in conformità alle normative

15 giugno 2023

Gli standard NIST 800-53 (R4 e R5) sono stati recentemente aggiornati con modifiche al controllo nella conformità alle normative Microsoft Defender per il cloud. I controlli gestiti da Microsoft sono stati rimossi dallo standard e le informazioni sull'implementazione della responsabilità Microsoft (come parte del modello di responsabilità condivisa cloud) sono ora disponibili solo nel riquadro dei dettagli del controllo in Azioni Microsoft.

Questi controlli sono stati calcolati in precedenza come controlli passati, pertanto è possibile che si verifichi un calo significativo nel punteggio di conformità per gli standard NIST tra aprile 2023 e maggio 2023.

Per altre informazioni sui controlli di conformità, vedere Esercitazione: Controlli di conformità alle normative - Microsoft Defender per il cloud.

La pianificazione della migrazione cloud con un caso aziendale di Azure Migrate include ora Defender per il cloud

11 giugno 2023

È ora possibile individuare potenziali risparmi sui costi in termini di sicurezza applicando Defender per il cloud nel contesto di un caso aziendale di Azure Migrate.

La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale

7 giugno 2023

La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale. La configurazione rapida offre un'esperienza di onboarding semplificata per le valutazioni delle vulnerabilità di SQL usando una configurazione con un clic (o una chiamata API). Non sono necessarie impostazioni o dipendenze aggiuntive per gli account di archiviazione gestiti.

Per altre informazioni sulla configurazione rapida, vedere questo blog .

È possibile apprendere le differenze tra la configurazione rapida e quella classica.

Altri ambiti aggiunti ai Connessione ors di Azure DevOps esistenti

6 giugno 2023

Defender per DevOps ha aggiunto gli ambiti aggiuntivi seguenti all'applicazione Azure DevOps (ADO):

  • Gestione avanzata della sicurezza: vso.advsec_manage. Ciò è necessario per consentire l'abilitazione, la disabilitazione e la gestione di GitHub Advanced Security per ADO.

  • Mapping dei contenitori: vso.extension_manage, vso.gallery_manager; Ciò è necessario per consentire di condividere l'estensione decorator con l'organizzazione ADO.

Solo i nuovi clienti di Defender per DevOps che tentano di eseguire l'onboarding delle risorse ADO per Microsoft Defender per il cloud sono interessati da questa modifica.

L'onboarding diretto (senza Azure Arc) in Defender per server è ora disponibile a livello generale

5 giugno 2023

In precedenza, Azure Arc era necessario per eseguire l'onboarding di server non Azure in Defender per server. Tuttavia, con la versione più recente è anche possibile eseguire l'onboarding dei server locali in Defender per server usando solo l'agente Microsoft Defender per endpoint.

Questo nuovo metodo semplifica il processo di onboarding per i clienti incentrati sulla protezione degli endpoint di base e consente di sfruttare la fatturazione basata sul consumo di Defender per server per asset cloud e non cloud. L'opzione di onboarding diretto tramite Defender per endpoint è ora disponibile, con la fatturazione per i computer di cui è stato eseguito l'onboarding a partire dal 1° luglio.

Per altre informazioni, vedere Connessione i computer non Azure da Microsoft Defender per il cloud con Defender per endpoint.

Sostituzione dell'individuazione basata su agenti con l'individuazione senza agente per le funzionalità dei contenitori in Defender CSPM

4 giugno 2023

Con le funzionalità Di comportamento dei contenitori senza agente disponibili in Defender CSPM, le funzionalità di individuazione basate su agente vengono ora ritirate. Se attualmente si usano le funzionalità dei contenitori in Defender CSPM, assicurarsi che le estensioni pertinenti siano abilitate per continuare a ricevere il valore correlato al contenitore delle nuove funzionalità senza agente, ad esempio percorsi di attacco correlati ai contenitori , informazioni dettagliate e inventario. Possono essere necessarie fino a 24 ore per vedere gli effetti dell'abilitazione delle estensioni.

Altre informazioni sul comportamento del contenitore senza agente.

Maggio 2023

Aggiornamenti in può includere:

Nuovo avviso in Defender per Key Vault

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno)
(KV_UnusualAccessSuspiciousIP)		 Un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Medio

Per tutti gli avvisi disponibili, vedere Avvisi per Azure Key Vault.

L'analisi senza agente supporta ora dischi crittografati in AWS

L'analisi senza agente per le macchine virtuali supporta ora l'elaborazione di istanze con dischi crittografati in AWS, usando cmk e PMK.

Questo supporto esteso aumenta la copertura e la visibilità sul cloud senza influire sui carichi di lavoro in esecuzione. Il supporto per i dischi crittografati mantiene lo stesso metodo di impatto zero sulle istanze in esecuzione.

  • Per i nuovi clienti che abilitano l'analisi senza agente in AWS, la copertura dei dischi crittografati è incorporata e supportata per impostazione predefinita.
  • Per i clienti esistenti che hanno già un connettore AWS con analisi senza agente abilitato, è necessario riapplicare lo stack CloudFormation agli account AWS di cui è stato eseguito l'onboarding per aggiornare e aggiungere le nuove autorizzazioni necessarie per elaborare i dischi crittografati. Il modello CloudFormation aggiornato include nuove assegnazioni che consentono Defender per il cloud di elaborare i dischi crittografati.

Altre informazioni sulle autorizzazioni usate per analizzare le istanze di AWS.

Per riapplicare lo stack CloudFormation:

  1. Passare a Defender per il cloud impostazioni dell'ambiente e aprire il connettore AWS.
  2. Passare alla scheda Configura accesso .
  3. Selezionare Fare clic per scaricare il modello CloudFormation.
  4. Passare all'ambiente AWS e applicare il modello aggiornato.

Altre informazioni sull'analisi senza agente e sull'abilitazione dell'analisi senza agente in AWS.

Convenzioni di denominazione delle regole JIT (JUST-In-Time) modificate in Defender per il cloud

Sono state modificate le regole JIT (Just-In-Time) per allinearsi al marchio Microsoft Defender per il cloud. Sono state modificate le convenzioni di denominazione per le regole Firewall di Azure e NSG (Gruppo di sicurezza di rete).

Le modifiche sono elencate di seguito:

Descrizione Nome precedente Nuovo nome
Nomi di regole JIT (consenti e nega) nel gruppo di sicurezza di rete (gruppo di sicurezza di rete) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
Descrizioni delle regole JIT nel gruppo di sicurezza di rete Regola di accesso alla rete JIT del Centro sicurezza di Azure Regola di accesso alla rete JIT MDC
Nomi di raccolta regole del firewall JIT ASC-JIT MDC-JIT
Nomi delle regole del firewall JIT ASC-JIT MDC-JIT

Informazioni su come proteggere le porte di gestione con l'accesso JUST-In-Time.

Eseguire l'onboarding delle aree AWS selezionate

Per gestire i costi e le esigenze di conformità di AWS CloudTrail, è ora possibile selezionare le aree AWS da analizzare quando si aggiunge o si modifica un connettore cloud. È ora possibile analizzare aree AWS specifiche o tutte le aree disponibili (impostazione predefinita), quando si esegue l'onboarding degli account AWS per Defender per il cloud. Per altre informazioni, vedere Connessione l'account AWS per Microsoft Defender per il cloud.

Modifiche multiple alle raccomandazioni relative all'identità

Le raccomandazioni seguenti vengono ora rilasciate come disponibilità generale (GA) e sostituiscono le raccomandazioni V1 ora deprecate.

Versione disponibile a livello generale delle raccomandazioni sulle identità V2

La versione V2 delle raccomandazioni per l'identità introduce i miglioramenti seguenti:

  • L'ambito dell'analisi è stato esteso per includere tutte le risorse di Azure, non solo le sottoscrizioni. In questo modo gli amministratori della sicurezza possono visualizzare le assegnazioni di ruolo per ogni account.
  • È ora possibile esentare account specifici dalla valutazione. Gli account come break glass o account di servizio possono essere esclusi dagli amministratori della sicurezza.
  • La frequenza di analisi è stata aumentata da 24 ore a 12 ore, assicurando così che le raccomandazioni sull'identità siano più aggiornate e accurate.

Le raccomandazioni sulla sicurezza seguenti sono disponibili in disponibilità generale e sostituiscono le raccomandazioni V1:

Elemento consigliato Chiave di valutazione
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori 6240402e-f77c-46fa-9060-a7ce53997754
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi 20606e75-05c4-48c0-9d97-add6daa2109a
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi 050ac097-3dda-4d24-ab6d-82568e7a50cf
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Deprecazione delle raccomandazioni sulle identità V1

Le raccomandazioni di sicurezza seguenti sono ora deprecate:

Elemento consigliato Chiave di valutazione
L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per le sottoscrizioni 94290b00-4d0c-d7b4-7cea-064a9554e681
L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di scrittura per le sottoscrizioni 57e98606-6b1e-6193-0e3d-fe621387c16b
L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per le sottoscrizioni 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalle sottoscrizioni 04e7147b-0deb-9796-2e5c-0336343ceb3d
Gli account esterni con autorizzazioni di lettura devono essere rimossi dalle sottoscrizioni a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni e52064aa-6853-e252-a11e-dffc675689c2
Gli account deprecati devono essere rimossi dalle sottoscrizioni 00c6d40b-e990-6acf-d4f3-471e747a27c4

È consigliabile aggiornare gli script, i flussi di lavoro e le regole di governance personalizzati in modo che corrispondano alle raccomandazioni V2.

Deprecazione degli standard legacy nel dashboard di conformità

I TSP PCI DSS v3.2.1 legacy e PCI DSS sono stati completamente deprecati nel dashboard di conformità Defender per il cloud e sostituiti dall'iniziativa SOC 2 Type 2 e dagli standard di conformità basati sull'iniziativa PCI DSS v4. È stato completamente deprecato il supporto dello standard/iniziativa PCI DSS in Microsoft Azure gestito da 21Vianet.

Informazioni su come personalizzare il set di standard nel dashboard di conformità alle normative.

Due raccomandazioni di Defender per DevOps includono ora i risultati dell'analisi di Azure DevOps

Defender per DevOps Code e IaC ha ampliato la copertura delle raccomandazioni in Microsoft Defender per il cloud per includere i risultati della sicurezza di Azure DevOps per le due raccomandazioni seguenti:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

In precedenza, la copertura per l'analisi della sicurezza di Azure DevOps includeva solo la raccomandazione relativa ai segreti.

Altre informazioni su Defender per DevOps.

Nuova impostazione predefinita per la soluzione di valutazione della vulnerabilità di Defender per server

Le soluzioni di valutazione della vulnerabilità (VA) sono essenziali per proteggere i computer da attacchi informatici e violazioni dei dati.

Gestione delle vulnerabilità di Microsoft Defender (MDVM) è ora abilitata come soluzione predefinita predefinita per tutte le sottoscrizioni protette da Defender per server che non dispongono già di una soluzione va selezionata.

Se in una sottoscrizione è abilitata una soluzione di valutazione delle istanze virtuali, non vengono apportate modifiche e MDVM non verrà abilitato per impostazione predefinita nelle macchine virtuali rimanenti in tale sottoscrizione. È possibile scegliere di abilitare una soluzione di valutazione delle istanze virtuali rimanenti nelle sottoscrizioni.

Informazioni su come trovare le vulnerabilità e raccogliere l'inventario software con l'analisi senza agente (anteprima).

Scaricare un report CSV dei risultati delle query di Cloud Security Explorer (anteprima)

Defender per il cloud ha aggiunto la possibilità di scaricare un report CSV dei risultati delle query di Cloud Security Explorer.

Dopo aver eseguito una ricerca di una query, è possibile selezionare il pulsante Scarica report CSV (anteprima) dalla pagina Cloud Security Explorer in Defender per il cloud.

Informazioni su come creare query con Cloud Security Explorer

Versione dei contenitori Valutazione della vulnerabilità basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender CSPM

È in corso l'annuncio del rilascio di Valutazione della vulnerabilità per le immagini Linux nei registri contenitori di Azure basati su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender CSPM. Questa versione include l'analisi giornaliera delle immagini. I risultati usati in Esplora sicurezza e i percorsi di attacco si basano su MDVM Vulnerability Assessment anziché sullo scanner Qualys.

La raccomandazione Container registry images should have vulnerability findings resolved esistente viene sostituita da una nuova raccomandazione basata su MDVM:

Suggerimento Descrizione Chiave di valutazione
Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. dbd0cb49-b563-45e7-9724-889e799fa648
viene sostituito da c0b7cfc6-3172-465a-b378-53c7ff2cc0d5

Altre informazioni sul comportamento dei contenitori senza agente in Defender CSPM.

Altre informazioni su Gestione delle vulnerabilità di Microsoft Defender (MDVM).

Ridenominazione delle raccomandazioni dei contenitori basate su Qualys

Le raccomandazioni sui contenitori correnti in Defender per contenitori verranno rinominate nel modo seguente:

Suggerimento Descrizione Chiave di valutazione
Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Qualys) La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. dbd0cb49-b563-45e7-9724-889e799fa648
L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Qualys) La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. 41503391-efa5-47ee-9282-4eff6131462c

Aggiornamento dell'applicazione GitHub defender per DevOps

Microsoft Defender per DevOps apporta costantemente modifiche e aggiornamenti che richiedono ai clienti di Defender per DevOps che hanno eseguito l'onboarding degli ambienti GitHub in Defender per il cloud per fornire le autorizzazioni nell'ambito dell'applicazione distribuita nell'organizzazione GitHub. Queste autorizzazioni sono necessarie per garantire che tutte le funzionalità di sicurezza di Defender per DevOps funzionino normalmente e senza problemi.

È consigliabile aggiornare le autorizzazioni il prima possibile per garantire l'accesso continuo a tutte le funzionalità disponibili di Defender per DevOps.

Le autorizzazioni possono essere concesse in due modi diversi:

  • Nell'organizzazione selezionare GitHub Apps (App GitHub). Individuare L'organizzazione e selezionare Rivedi richiesta.

  • Si riceverà un messaggio di posta elettronica automatizzato dal supporto GitHub. Nel messaggio di posta elettronica selezionare Rivedi richiesta di autorizzazione per accettare o rifiutare questa modifica.

Dopo aver seguito una di queste opzioni, si passerà alla schermata di revisione in cui è necessario esaminare la richiesta. Selezionare Accetta nuove autorizzazioni per approvare la richiesta.

Se è necessaria un'assistenza per l'aggiornamento delle autorizzazioni, è possibile creare una richiesta di supporto tecnico di Azure.

È anche possibile ottenere altre informazioni su Defender per DevOps. Se in una sottoscrizione è abilitata una soluzione di valutazione delle istanze virtuali, non vengono apportate modifiche e MDVM non verrà abilitato per impostazione predefinita nelle macchine virtuali rimanenti in tale sottoscrizione. È possibile scegliere di abilitare una soluzione di valutazione delle istanze virtuali rimanenti nelle sottoscrizioni.

Informazioni su come trovare le vulnerabilità e raccogliere l'inventario software con l'analisi senza agente (anteprima).

Le annotazioni della richiesta pull di Defender per DevOps nei repository di Azure DevOps ora includono infrastruttura come configurazioni errate del codice

Defender per DevOps ha ampliato la copertura delle annotazioni pull request (PR) in Azure DevOps per includere errori di configurazione dell'infrastruttura come codice (IaC) rilevati nei modelli di Azure Resource Manager e Bicep.

Gli sviluppatori possono ora visualizzare le annotazioni per errori di configurazione IaC direttamente nelle richieste pull. Gli sviluppatori possono anche correggere i problemi di sicurezza critici prima del provisioning dell'infrastruttura nei carichi di lavoro cloud. Per semplificare la correzione, gli sviluppatori vengono forniti con un livello di gravità, una descrizione errata della configurazione e istruzioni di correzione all'interno di ogni annotazione.

In precedenza, la copertura per le annotazioni pr di Defender per DevOps in Azure DevOps includeva solo segreti.

Altre informazioni sulle annotazioni di Defender per DevOps e richiesta pull.

Aprile 2023

Gli aggiornamenti del mese di aprile includono quanto segue:

Comportamento del contenitore senza agente in Defender CSPM (anteprima)

Le nuove funzionalità di Postura contenitore senza agente (anteprima) sono disponibili come parte del piano Defender CSPM (Cloud Security Posture Management).

Il comportamento del contenitore senza agente consente ai team di sicurezza di identificare i rischi per la sicurezza nei contenitori e nelle aree di autenticazione kubernetes. Un approccio senza agente consente ai team di sicurezza di ottenere visibilità sui registri Kubernetes e contenitori in SDLC e runtime, rimuovendo l'attrito e il footprint dai carichi di lavoro.

Il comportamento del contenitore senza agente offre valutazioni delle vulnerabilità dei contenitori che, combinate con l'analisi del percorso di attacco, consentono ai team di sicurezza di assegnare priorità e ingrandire specifiche vulnerabilità dei contenitori. È anche possibile usare Cloud Security Explorer per individuare i rischi e cercare informazioni dettagliate sul comportamento dei contenitori, ad esempio l'individuazione di applicazioni che eseguono immagini vulnerabili o esposte a Internet.

Per altre informazioni, vedere Comportamento contenitore senza agente (anteprima).

Raccomandazione di Crittografia dischi unificata (anteprima)

È stata introdotta una raccomandazione unificata per la crittografia dei dischi nell'anteprima Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost pubblica e Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Queste raccomandazioni sostituiscono Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, che ha rilevato Crittografia dischi di Azure e il criterio Virtual machines and virtual machine scale sets should have encryption at host enabled, che ha rilevato EncryptionAtHost. ADE e EncryptionAtHost forniscono una crittografia paragonabile alla copertura dei dati inattivi ed è consigliabile abilitare una di esse in ogni macchina virtuale. Le nuove raccomandazioni rilevano se ADE o EncryptionAtHost sono abilitati e avvisano solo se nessuno dei due elementi è abilitato. Viene anche visualizzato un avviso se AdE è abilitato in alcuni dischi, ma non tutti i dischi di una macchina virtuale (questa condizione non è applicabile a EncryptionAtHost).

Le nuove raccomandazioni richiedono la configurazione del computer di gestione automatica di Azure.

Queste raccomandazioni sono basate sui criteri seguenti:

Altre informazioni su ADE e EncryptionAtHost e su come abilitare una di esse.

Le modifiche apportate ai computer consigliati devono essere configurate in modo sicuro

La raccomandazione Machines should be configured securely è stata aggiornata. L'aggiornamento migliora le prestazioni e la stabilità della raccomandazione e ne allinea l'esperienza con il comportamento generico delle raccomandazioni di Defender per il cloud.

Nell'ambito di questo aggiornamento, l'ID della raccomandazione è stato modificato da 181ac480-f7c4-544b-9865-11b8ffe87f47 a c476dc48-8110-4139-91af-c8d940896b98.

Non è necessaria alcuna azione sul lato cliente e non è previsto alcun effetto sul punteggio di sicurezza.

Deprecazione dei criteri di monitoraggio del linguaggio di servizio app

I seguenti servizio app criteri di monitoraggio del linguaggio sono stati deprecati a causa della loro capacità di generare falsi negativi e perché non offrono una maggiore sicurezza. È sempre necessario assicurarsi di usare una versione del linguaggio senza vulnerabilità note.

Nome del criterio ID criterio
servizio app app che usano Java devono usare la versione più recente di Java 496223c3-ad65-4ecd-878a-bae78737e9ed
servizio app app che usano Python devono usare la versione più recente di Python 7008174a-fd10-4ef0-817e-fc820a951d73
Le app per le funzioni che usano Java devono usare la versione più recente di Java 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Le app per le funzioni che usano Python devono usare la versione più recente di Python 7238174a-fd10-4ef0-817e-fc820a951d73
servizio app app che usano PHP devono usare la versione più recente di PHP 7261b898-8a84-4db8-9e04-18527132abb3

I clienti possono usare criteri predefiniti alternativi per monitorare qualsiasi versione della lingua specificata per le servizio app.

Questi criteri non sono più disponibili nelle raccomandazioni predefinite di Defender per il cloud. È possibile aggiungerli come raccomandazioni personalizzate per monitorarle Defender per il cloud.

Nuovo avviso in Defender per Resource Manager

Defender per Resource Manager ha il nuovo avviso seguente:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo
(ARM_SuspiciousComputeCreation)		 Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe utilizzare tali operazioni per eseguire il crypto mining.
L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione.
Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose.		 Impatto Medio

È possibile visualizzare un elenco di tutti gli avvisi disponibili per Resource Manager.

Sono stati deprecati tre avvisi nel piano defender per Resource Manager

I tre avvisi seguenti per il piano di Defender per Resource Manager sono stati deprecati:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

In uno scenario in cui viene rilevata l'attività da un indirizzo IP sospetto, uno degli avvisi Azure Resource Manager operation from suspicious IP address del piano di Defender per Resource Manager seguenti o Azure Resource Manager operation from suspicious proxy IP address sarà presente.

Gli avvisi di esportazione automatica nell'area di lavoro Log Analytics sono stati deprecati

Gli avvisi di sicurezza di Defender per cloud vengono esportati automaticamente in un'area di lavoro Log Analytics predefinita a livello di risorsa. Ciò causa un comportamento indeterminato e pertanto questa funzionalità è deprecata.

È invece possibile esportare gli avvisi di sicurezza in un'area di lavoro Log Analytics dedicata con l'esportazione continua.

Se l'esportazione continua degli avvisi è già stata configurata in un'area di lavoro Log Analytics, non sono necessarie altre azioni.

Deprecazione e miglioramento degli avvisi selezionati per i server Windows e Linux

Il processo di miglioramento della qualità degli avvisi di sicurezza per Defender per server include la deprecazione di alcuni avvisi per i server Windows e Linux. Gli avvisi deprecati sono ora originati da e coperti dagli avvisi sulle minacce di Defender per endpoint.

Se l'integrazione di Defender per endpoint è già abilitata, non sono necessarie altre azioni. È possibile che si verifichi una diminuzione del volume degli avvisi nell'aprile 2023.

Se l'integrazione di Defender per endpoint non è abilitata in Defender per server, sarà necessario abilitare l'integrazione di Defender per endpoint per mantenere e migliorare la copertura degli avvisi.

Tutti i clienti di Defender per server hanno accesso completo all'integrazione di Defender per endpoint come parte del piano Defender per server.

Altre informazioni sulle opzioni di onboarding di Microsoft Defender per endpoint.

È anche possibile visualizzare l'elenco completo degli avvisi impostati per essere deprecati.

Leggere il blog Microsoft Defender per il cloud.

Sono state aggiunte quattro nuove raccomandazioni per l'autenticazione di Azure Active Directory per Azure Data Services.

Nome raccomandazione Descrizione raccomandazione Criteri
Istanza gestita di SQL di Azure modalità di autenticazione deve essere solo Azure Active Directory La disabilitazione dei metodi di autenticazione locale e la possibilità di consentire solo l'autenticazione di Azure Active Directory migliora la sicurezza assicurando che le Istanza gestita di SQL di Azure possano accedere esclusivamente alle identità di Azure Active Directory. Istanza gestita di SQL di Azure deve avere l'autenticazione esclusiva di Azure Active Directory abilitata
La modalità di autenticazione dell'area di lavoro di Azure Synapse deve essere solo Azure Active Directory Solo i metodi di autenticazione di Azure Active Directory migliorano la sicurezza assicurando che le aree di lavoro di Synapse richiedano esclusivamente identità di Azure AD per l'autenticazione. Altre informazioni. Le aree di lavoro di Synapse devono usare solo le identità di Azure Active Directory per l'autenticazione
Database di Azure per MySQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning Effettuare il provisioning di un amministratore di Azure AD per il Database di Azure per MySQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server MySQL
Database di Azure per PostgreSQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning Effettuare il provisioning di un amministratore di Azure AD per il Database di Azure per PostgreSQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server PostgreSQL

Le raccomandazioni System updates should be installed on your machines (powered by Azure Update Manager) e Machines should be configured to periodically check for missing system updates sono state rilasciate per la disponibilità generale.

Per usare la nuova raccomandazione, è necessario:

  • Connessione computer non Azure ad Arc.
  • Abilitare la proprietà di valutazione periodica. È possibile usare il pulsante Correggi. nella nuova raccomandazione per Machines should be configured to periodically check for missing system updates correggere la raccomandazione.

Dopo aver completato questi passaggi, è possibile rimuovere la raccomandazione System updates should be installed on your machinesprecedente disabilitandola dall'iniziativa predefinita di Defender per il cloud in Criteri di Azure.

Le due versioni delle raccomandazioni:

saranno entrambi disponibili fino a quando l'agente di Log Analytics non sarà deprecato il 31 agosto 2024, ovvero quando verrà deprecata anche la versione precedente (System updates should be installed on your machines) della raccomandazione. Entrambe le raccomandazioni restituiscono gli stessi risultati e sono disponibili nello stesso controllo Apply system updates.

La nuova raccomandazione System updates should be installed on your machines (powered by Azure Update Manager) include un flusso di correzione disponibile tramite il pulsante Correzione, che può essere usato per correggere i risultati tramite Gestione aggiornamenti (anteprima). Questo processo di correzione è ancora in anteprima.

La nuova raccomandazione System updates should be installed on your machines (powered by Azure Update Manager) non dovrebbe influire sul punteggio di sicurezza, perché ha gli stessi risultati della raccomandazione System updates should be installed on your machinesprecedente.

La raccomandazione dei prerequisiti (Abilita la proprietà di valutazione periodica) ha un effetto negativo sul punteggio di sicurezza. È possibile correggere l'effetto negativo con il pulsante Correzione disponibile.

Defender per LE API (anteprima)

L'Defender per il cloud microsoft sta annunciando che le nuove API di Defender per sono disponibili in anteprima.

Defender per LE API offre protezione completa del ciclo di vita, rilevamento e copertura delle risposte per le API.

Defender per LE API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare il comportamento di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.

Altre informazioni su Defender per le API.

Marzo 2023

Aggiornamenti nel mese di marzo includono:

È disponibile un nuovo piano di Defender per Archiviazione, tra cui l'analisi di malware quasi in tempo reale e il rilevamento delle minacce ai dati sensibili

L'archiviazione cloud svolge un ruolo fondamentale nell'organizzazione e archivia grandi volumi di dati importanti e sensibili. Oggi annunciamo un nuovo piano di Defender per Archiviazione. Se si usa il piano precedente (ora rinominato in "Defender per Archiviazione (versione classica)"), è necessario eseguire la migrazione proattiva al nuovo piano per usare le nuove funzionalità e i vantaggi.

Il nuovo piano include funzionalità di sicurezza avanzate che consentono di proteggersi da caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Fornisce inoltre una struttura dei prezzi più prevedibile e flessibile per un migliore controllo sulla copertura e sui costi.

Il nuovo piano include nuove funzionalità ora in anteprima pubblica:

  • Rilevamento di eventi di esposizione ed esfiltrazione di dati sensibili

  • Analisi malware quasi in tempo reale su tutti i tipi di file

  • Rilevamento di entità senza identità tramite token di firma di accesso condiviso

Queste funzionalità migliorano la funzionalità di monitoraggio delle attività esistente, in base all'analisi dei log del piano dati e alla modellazione comportamentale del piano dati per identificare i primi segni di violazione.

Tutte queste funzionalità sono disponibili in un nuovo piano tariffario prevedibile e flessibile che offre un controllo granulare sulla protezione dei dati sia a livello di sottoscrizione che di risorse.

Per altre informazioni, vedere Panoramica di Microsoft Defender per Archiviazione.

Comportamento di sicurezza compatibile con i dati (anteprima)

Microsoft Defender per il cloud consente ai team di sicurezza di essere più produttivi per ridurre i rischi e rispondere alle violazioni dei dati nel cloud. Consente loro di tagliare il rumore con il contesto dei dati e classificare in ordine di priorità i rischi di sicurezza più critici, impedendo una violazione costosa dei dati.

  • Individuare automaticamente le risorse dei dati nel cloud e valutarne l'accessibilità, la riservatezza dei dati e i flussi di dati configurati. -Scoprire continuamente i rischi per le violazioni dei dati delle risorse dati sensibili, dell'esposizione o dei percorsi di attacco che potrebbero portare a una risorsa dati usando una tecnica di spostamento laterale.
  • Rilevare attività sospette che potrebbero indicare una minaccia continua alle risorse di dati sensibili.

Altre informazioni sul comportamento di sicurezza compatibile con i dati.

Esperienza migliorata per la gestione dei criteri di sicurezza di Azure predefiniti

Viene introdotta un'esperienza migliorata di gestione dei criteri di sicurezza di Azure per le raccomandazioni predefinite che semplificano il modo in cui i clienti Defender per il cloud ottimizzare i requisiti di sicurezza. La nuova esperienza include le nuove funzionalità seguenti:

  • Un'interfaccia semplice consente prestazioni e esperienza migliori quando si gestiscono i criteri di sicurezza predefiniti all'interno di Defender per il cloud.
  • Una singola visualizzazione di tutte le raccomandazioni di sicurezza predefinite offerte dal benchmark di sicurezza cloud Microsoft (in precedenza il benchmark della sicurezza di Azure). Consigli sono organizzati in gruppi logici, semplificando la comprensione dei tipi di risorse trattati e della relazione tra parametri e raccomandazioni.
  • Sono state aggiunte nuove funzionalità, ad esempio filtri e ricerca.

Informazioni su come gestire i criteri di sicurezza.

Leggere il blog Microsoft Defender per il cloud.

Defender CSPM (Cloud Security Posture Management) è ora disponibile a livello generale

Microsoft annuncia che Defender CSPM è ora disponibile a livello generale. Defender CSPM offre tutti i servizi disponibili nelle funzionalità di Foundational CSPM e offre i vantaggi seguenti:

  • Analisi del percorso di attacco e API ARG: l'analisi del percorso di attacco usa un algoritmo basato su grafo che analizza il grafico della sicurezza cloud per esporre i percorsi di attacco e suggerisce raccomandazioni su come risolvere al meglio i problemi che interrompono il percorso di attacco e impediscono la riuscita della violazione. È anche possibile usare i percorsi di attacco a livello di codice eseguendo query nell'API Azure Resource Graph (ARG). Informazioni su come usare l'analisi del percorso di attacco
  • Cloud Security Explorer : usare Cloud Security Explorer per eseguire query basate su grafo nel grafico della sicurezza cloud per identificare in modo proattivo i rischi per la sicurezza negli ambienti multicloud. Altre informazioni su Cloud Security Explorer.

Altre informazioni su Defender CSPM.

Opzione per creare raccomandazioni personalizzate e standard di sicurezza in Microsoft Defender per il cloud

Microsoft Defender per il cloud offre la possibilità di creare raccomandazioni e standard personalizzati per AWS e GCP usando query KQL. È possibile usare un editor di query per compilare e testare query sui dati. Questa funzionalità fa parte del piano CsPM (Cloud Security Posture Management) di Defender. Informazioni su come creare raccomandazioni e standard personalizzati.

Microsoft Cloud Security Benchmark (MCSB) versione 1.0 è ora disponibile a livello generale

Microsoft Defender per il cloud annuncia che Microsoft Cloud Security Benchmark (MCSB) versione 1.0 è ora disponibile a livello generale.

MCSB versione 1.0 sostituisce Azure Security Benchmark (ASB) versione 3 come criterio di sicurezza predefinito di Defender per il cloud. MCSB versione 1.0 viene visualizzato come standard di conformità predefinito nel dashboard di conformità ed è abilitato per impostazione predefinita per tutti i clienti Defender per il cloud.

È anche possibile scoprire in che modo Microsoft Cloud Security Benchmark (MCSB) consente di raggiungere il successo nel percorso di sicurezza del cloud.

Altre informazioni su MCSB.

Alcuni standard di conformità alle normative sono ora disponibili nei cloud per enti pubblici

Questi standard vengono aggiornati per i clienti in Azure per enti pubblici e Microsoft Azure gestito da 21Vianet.

Azure per enti pubblici:

Microsoft Azure gestito da 21Vianet:

Informazioni su come personalizzare il set di standard nel dashboard di conformità alle normative.

Nuova raccomandazione di anteprima per i server SQL di Azure

È stata aggiunta una nuova raccomandazione per i server SQL di Azure, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).

La raccomandazione si basa sui criteri esistenti Azure SQL Database should have Azure Active Directory Only Authentication enabled

Questa raccomandazione disabilita i metodi di autenticazione locale e consente solo l'autenticazione di Azure Active Directory, migliorando la sicurezza assicurando che i database SQL di Azure possano accedere esclusivamente alle identità di Azure Active Directory.

Informazioni su come creare server con l'autenticazione solo azure AD abilitata in Azure SQL.

Nuovo avviso in Defender per Key Vault

Defender per Key Vault presenta il nuovo avviso seguente:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccessDenied)		 Un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini. Accesso tramite credenziali Basso

È possibile visualizzare un elenco di tutti gli avvisi disponibili per Key Vault.

2023 febbraio

Aggiornamenti nel mese di febbraio includono:

Cloud Security Explorer avanzato

Una versione migliorata di Cloud Security Explorer include un'esperienza utente aggiornata che rimuove notevolmente l'attrito delle query, ha aggiunto la possibilità di eseguire query multicloud e multi-risorse e la documentazione incorporata per ogni opzione di query.

Cloud Security Explorer consente ora di eseguire query astratte sul cloud tra le risorse. È possibile usare i modelli di query predefiniti o usare la ricerca personalizzata per applicare filtri per compilare la query. Informazioni su come gestire Cloud Security Explorer.

Analisi delle vulnerabilità di Defender per contenitori per l'esecuzione di immagini Linux ora disponibili a livello generale

Defender per contenitori rileva le vulnerabilità nei contenitori in esecuzione. Sono supportati sia contenitori Windows che contenitori Linux.

Nell'agosto 2022 questa funzionalità è stata rilasciata in anteprima per Windows e Linux. Il rilascio viene ora rilasciato per la disponibilità generale (GA) per Linux.

Quando vengono rilevate vulnerabilità, Defender per il cloud genera la raccomandazione di sicurezza seguente che elenca i risultati dell'analisi: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti.

Altre informazioni sulla visualizzazione delle vulnerabilità per l'esecuzione di immagini.

Annuncio del supporto per lo standard di conformità AWS CIS 1.5.0

Defender per il cloud ora supporta lo standard di conformità CIS Amazon Web Services Foundations v1.5.0. Lo standard può essere aggiunto al dashboard conformità alle normative e si basa sulle offerte esistenti di MDC per raccomandazioni e standard multicloud.

Questo nuovo standard include sia raccomandazioni esistenti che nuove che estendono la copertura di Defender per il cloud a nuovi servizi e risorse AWS.

Informazioni su come gestire valutazioni e standard AWS.

Microsoft Defender per DevOps (anteprima) è ora disponibile in altre aree

Microsoft Defender per DevOps ha ampliato l'anteprima ed è ora disponibile nelle aree Europa occidentale e Australia orientale quando si esegue l'onboarding delle risorse di Azure DevOps e GitHub.

Altre informazioni su Microsoft Defender per DevOps.

Criteri predefiniti [Anteprima]: l'endpoint privato deve essere configurato per Key Vault è deprecato

I criteri [Preview]: Private endpoint should be configured for Key Vault predefiniti sono deprecati e sostituiti con i [Preview]: Azure Key Vaults should use private link criteri.

Altre informazioni sull'integrazione di Azure Key Vault con Criteri di Azure.

Gennaio 2023

Aggiornamenti a gennaio includono:

L'accesso al componente Endpoint Protection (Microsoft Defender per endpoint) è ora disponibile nella pagina di monitoraggio e Impostazioni

Per accedere a Endpoint Protection, passare a Impostazioni>dell'ambiente Piani> di Defender Impostazioni e monitoraggio. Da qui è possibile impostare Endpoint Protection su . È anche possibile visualizzare gli altri componenti gestiti.

Altre informazioni sull'abilitazione di Microsoft Defender per endpoint nei server con Defender per server.

Nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti (anteprima)

Non è più necessario un agente nelle macchine virtuali di Azure e nei computer Azure Arc per assicurarsi che i computer dispongano di tutti gli aggiornamenti di sistema critici o della sicurezza più recenti.

Il nuovo consiglio per gli aggiornamenti del Apply system updates sistema, System updates should be installed on your machines (powered by Azure Update Manager) nel controllo, è basato su Gestione aggiornamenti (anteprima). La raccomandazione si basa su un agente nativo incorporato in ogni macchina virtuale di Azure e nei computer Azure Arc anziché in un agente installato. La correzione rapida nella nuova raccomandazione consente di eseguire una sola volta l'installazione degli aggiornamenti mancanti nel portale di Gestione aggiornamenti.

Per usare la nuova raccomandazione, è necessario:

  • Connessione computer non Azure ad Arc
  • Attivare la proprietà di valutazione periodica. È possibile usare la correzione rapida nella nuova raccomandazione per Machines should be configured to periodically check for missing system updates correggere la raccomandazione.

La raccomandazione "Gli aggiornamenti di sistema esistenti devono essere installati nei computer", che si basa sull'agente di Log Analytics, sono ancora disponibili con lo stesso controllo.

Pulizia dei computer Azure Arc eliminati negli account AWS e GCP connessi

Un computer connesso a un account AWS e GCP coperto da Defender per server o Defender per SQL nei computer è rappresentato in Defender per il cloud come computer Azure Arc. Fino ad ora, il computer non è stato eliminato dall'inventario quando il computer è stato eliminato dall'account AWS o GCP. Con conseguente assenza di risorse di Azure Arc non necessarie in Defender per il cloud che rappresenta i computer eliminati.

Defender per il cloud eliminerà automaticamente i computer Azure Arc quando tali computer vengono eliminati nell'account AWS o GCP connesso.

Consentire l'esportazione continua in Hub eventi dietro un firewall

È ora possibile abilitare l'esportazione continua di avvisi e raccomandazioni, come servizio attendibile in Hub eventi protetti da un firewall di Azure.

È possibile abilitare l'esportazione continua quando vengono generati avvisi o raccomandazioni. È anche possibile definire una pianificazione per inviare snapshot periodici di tutti i nuovi dati.

Informazioni su come abilitare l'esportazione continua in un hub eventi dietro un firewall di Azure.

Il nome del controllo Secure Score Proteggere le applicazioni con soluzioni di rete avanzate di Azure viene modificato

Il controllo Protect your applications with Azure advanced networking solutions del punteggio di sicurezza viene modificato in Protect applications against DDoS attacks.

Il nome aggiornato si riflette su Azure Resource Graph (ARG), l'API Secure Score Controls e .Download CSV report

Le impostazioni di valutazione della vulnerabilità dei criteri per SQL Server devono contenere un indirizzo di posta elettronica per ricevere i report di analisi è deprecato

Il criterio Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports è deprecato.

Il report di posta elettronica sulla valutazione della vulnerabilità di Defender per SQL è ancora disponibile e le configurazioni di posta elettronica esistenti non sono state modificate.

Raccomandazione per abilitare i log di diagnostica per set di scalabilità di macchine virtuali è deprecato

La raccomandazione Diagnostic logs in Virtual Machine Scale Sets should be enabled è deprecata.

La definizione dei criteri correlata è stata deprecata anche da tutti gli standard visualizzati nel dashboard di conformità alle normative.

Suggerimento Descrizione Gravità
È consigliabile abilitare i log di diagnostica nei set di scalabilità di macchine virtuali Abilitare i log e conservarli per un massimo di un anno, consentendo di ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa. Basso

Dicembre 2022

Gli aggiornamenti di dicembre includono:

Annuncio della configurazione rapida per la valutazione della vulnerabilità in Defender per SQL

La configurazione rapida per la valutazione delle vulnerabilità in Microsoft Defender per SQL offre ai team di sicurezza un'esperienza di configurazione semplificata su database SQL di Azure e pool SQL dedicati all'esterno delle aree di lavoro di Synapse.

Con l'esperienza di configurazione rapida per le valutazioni delle vulnerabilità, i team di sicurezza possono:

  • Completare la configurazione della valutazione della vulnerabilità nella configurazione di sicurezza della risorsa SQL, senza altre impostazioni o dipendenze dagli account di archiviazione gestiti dal cliente.
  • Aggiungere immediatamente i risultati dell'analisi alle linee di base in modo che lo stato della ricerca delle modifiche da Non integro a Integro senza eseguire nuovamente il ridimensionamento di un database.
  • Aggiungere più regole alle baseline contemporaneamente e usare i risultati dell'analisi più recenti.
  • Abilitare la valutazione delle vulnerabilità per tutti i server SQL di Azure quando si attiva Microsoft Defender per i database a livello di sottoscrizione.

Altre informazioni sulla valutazione della vulnerabilità di Defender per SQL.

novembre 2022

Gli aggiornamenti del mese di novembre includono quanto segue:

Proteggere i contenitori nell'organizzazione GCP con Defender per contenitori

È ora possibile abilitare Defender per contenitori per l'ambiente GCP per proteggere i cluster GKE standard in un'intera organizzazione GCP. È sufficiente creare un nuovo connettore GCP con Defender per contenitori abilitato o abilitare Defender per contenitori in un connettore GCP a livello di organizzazione esistente.

Altre informazioni sulla connessione di progetti e organizzazioni GCP alle Defender per il cloud.

Convalidare le protezioni di Defender per contenitori con avvisi di esempio

È ora possibile creare avvisi di esempio anche per il piano Defender per contenitori. I nuovi avvisi di esempio vengono presentati come provenienti da servizio Azure Kubernetes, cluster connessi ad Arc, servizio Azure Kubernetes e risorse GKE con gravità diverse e tattiche MITRE. È possibile usare gli avvisi di esempio per convalidare le configurazioni degli avvisi di sicurezza, ad esempio integrazioni SIEM, automazione del flusso di lavoro e notifiche tramite posta elettronica.

Altre informazioni sulla convalida degli avvisi.

Regole di governance su larga scala (anteprima)

Siamo lieti di annunciare la nuova possibilità di applicare regole di governance su larga scala (anteprima) in Defender per il cloud.

Con questa nuova esperienza, i team di sicurezza sono in grado di definire regole di governance in blocco per vari ambiti (sottoscrizioni e connettori). I team di sicurezza possono eseguire questa attività usando ambiti di gestione come gruppi di gestione di Azure, account di primo livello AWS o organizzazioni GCP.

Inoltre, la pagina Regole di governance (anteprima) presenta tutte le regole di governance disponibili valide negli ambienti dell'organizzazione.

Altre informazioni sulle nuove regole di governance su larga scala.

Nota

A partire dal 1° gennaio 2023, per sperimentare le funzionalità offerte dalla governance, è necessario che il piano CSPM di Defender sia abilitato nella sottoscrizione o nel connettore.

La possibilità di creare valutazioni personalizzate in AWS e GCP (anteprima) è deprecata

La possibilità di creare valutazioni personalizzate per gli account AWS e i progetti GCP, una funzionalità di anteprima, è deprecata.

La raccomandazione di configurare code di messaggi non recapitabili per le funzioni Lambda è deprecata

La raccomandazione Lambda functions should have a dead-letter queue configured è deprecata.

Suggerimento Descrizione Gravità
Le funzioni lambda devono avere una coda di messaggi non recapitabili configurata Questo controllo controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. Il controllo ha esito negativo se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. In alternativa a una destinazione di errore, è possibile configurare la funzione con una coda di messaggi non recapitabili per salvare gli eventi rimossi per un'ulteriore elaborazione. Una coda di messaggi non recapitabili funge da destinazione non riuscita. Viene usato quando un evento non riesce tutti i tentativi di elaborazione o scade senza essere elaborati. Una coda di messaggi non recapitabili consente di esaminare gli errori o le richieste non riuscite alla funzione Lambda per eseguire il debug o identificare comportamenti insoliti. Dal punto di vista della sicurezza, è importante comprendere il motivo per cui la funzione non è riuscita e assicurarsi che la funzione non rilasci dati o compromettere la sicurezza dei dati di conseguenza. Ad esempio, se la funzione non riesce a comunicare con una risorsa sottostante che potrebbe essere un sintomo di un attacco Denial of Service (DoS) altrove nella rete. Medio

Ottobre 2022

Gli aggiornamenti del mese di ottobre includono quanto segue:

Annuncio del benchmark di sicurezza del cloud Microsoft

Microsoft Cloud Security Benchmark (MCSB) è un nuovo framework che definisce principi fondamentali di sicurezza cloud basati su standard di settore e framework di conformità comuni. Insieme a indicazioni tecniche dettagliate per l'implementazione di queste procedure consigliate nelle piattaforme cloud. MCSB sostituisce Azure Security Benchmark. MCSB fornisce informazioni prescrittive su come implementare le raccomandazioni sulla sicurezza indipendente dal cloud su più piattaforme di servizi cloud, inizialmente relative ad Azure e AWS.

È ora possibile monitorare il comportamento di conformità della sicurezza cloud per ogni cloud in un unico dashboard integrato. È possibile visualizzare MCSB come standard di conformità predefinito quando si passa al dashboard di conformità alle normative di Defender per il cloud.

Il benchmark della sicurezza cloud Microsoft viene assegnato automaticamente alle sottoscrizioni di Azure e agli account AWS quando si esegue l'onboarding Defender per il cloud.

Altre informazioni sul benchmark della sicurezza del cloud Microsoft.

Analisi del percorso di attacco e funzionalità di sicurezza contestuali in Defender per il cloud (anteprima)

Il nuovo grafico della sicurezza cloud, l'analisi del percorso di attacco e le funzionalità di sicurezza del cloud contestuali sono ora disponibili in Defender per il cloud in anteprima.

Una delle principali sfide che i team di sicurezza affrontano oggi è il numero di problemi di sicurezza che affrontano quotidianamente. Esistono numerosi problemi di sicurezza che devono essere risolti e che non sono mai sufficienti risorse per risolverli tutti.

le nuove funzionalità di analisi dei percorsi di attacco e del grafico della sicurezza cloud di Defender per il cloud offrono ai team di sicurezza la possibilità di valutare il rischio dietro ogni problema di sicurezza. I team di sicurezza possono anche identificare i problemi di rischio più elevati che devono essere risolti al più presto. Defender per il cloud collabora con i team di sicurezza per ridurre il rischio di una violazione influente nel proprio ambiente nel modo più efficace.

Altre informazioni sul nuovo grafo della sicurezza cloud, sull'analisi del percorso di attacco e su Cloud Security Explorer.

Analisi senza agente per computer Azure e AWS (anteprima)

Fino ad ora, Defender per il cloud basato sulle valutazioni del comportamento per le macchine virtuali su soluzioni basate su agenti. Per aiutare i clienti a ottimizzare la copertura e ridurre l'attrito di onboarding e gestione, viene rilasciata l'analisi senza agente per le macchine virtuali in anteprima.

Con l'analisi senza agente per le macchine virtuali, si ottiene un'ampia visibilità sui CVE software e software installati. Si ottiene la visibilità senza problemi di installazione e manutenzione dell'agente, requisiti di connettività di rete e impatto sulle prestazioni sui carichi di lavoro. L'analisi è basata su Gestione delle vulnerabilità di Microsoft Defender.

L'analisi delle vulnerabilità senza agente è disponibile sia in Defender Cloud Security Posture Management (CSPM) che in Defender per server P2, con supporto nativo per AWS e macchine virtuali di Azure.

  • Altre informazioni sull'analisi senza agente.
  • Informazioni su come abilitare la valutazione della vulnerabilità senza agente.

Defender per DevOps (anteprima)

Microsoft Defender per il cloud offre visibilità completa, gestione del comportamento e protezione dalle minacce in ambienti ibridi e multicloud, tra cui Azure, AWS, Google e risorse locali.

Il nuovo piano defender per DevOps integra ora i sistemi di gestione del codice sorgente, ad esempio GitHub e Azure DevOps, in Defender per il cloud. Con questa nuova integrazione, i team di sicurezza possono proteggere le risorse dal codice al cloud.

Defender per DevOps consente di ottenere visibilità e gestire gli ambienti di sviluppo connessi e le risorse di codice. Attualmente, è possibile connettere i sistemi Azure DevOps e GitHub a Defender per il cloud ed eseguire l'onboarding dei repository DevOps nell'inventario e nella nuova pagina DevOps Security. Fornisce ai team di sicurezza una panoramica generale dei problemi di sicurezza individuati presenti all'interno di essi in una pagina unificata di DevOps Security.

È possibile configurare annotazioni sulle richieste pull per aiutare gli sviluppatori a risolvere i risultati dell'analisi dei segreti in Azure DevOps direttamente nelle richieste pull.

È possibile configurare gli strumenti di Microsoft Security DevOps nei flussi di lavoro di Azure Pipelines e GitHub per abilitare le analisi di sicurezza seguenti:

Nome Lingua Licenza
Bandito Python Licenza Apache 2.0
BinSkim Binario - Windows, ELF Licenza MIT
ESlint JavaScript Licenza MIT
CredScan (solo Azure DevOps) Credential Scanner (noto anche come CredScan) è uno strumento sviluppato e gestito da Microsoft per identificare le perdite di credenziali, ad esempio quelle nei tipi comuni di codice sorgente e file di configurazione: password predefinite, stringa di connessione SQL, Certificati con chiavi private Non open source
Analisi modelli Modello di Resource Manager, file Bicep Licenza MIT
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation Licenza Apache 2.0
Trivy Immagini del contenitore, file system, repository Git Licenza Apache 2.0

Le nuove raccomandazioni seguenti sono ora disponibili per DevOps:

Suggerimento Descrizione Gravità
(Anteprima) I repository di codice devono avere i risultati di analisi del codice risolti Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato) Medio
(Anteprima) I repository di codice devono avere i risultati dell'analisi dei segreti risolti Defender per DevOps ha trovato un segreto nei repository di codice.  Questa operazione deve essere risolta immediatamente per evitare una violazione della sicurezza.  I segreti trovati nei repository possono essere persi o individuati da avversari, causando la compromissione di un'applicazione o di un servizio. Per Azure DevOps, lo strumento Microsoft Security DevOps CredScan analizza solo le build su cui è configurato per l'esecuzione. Pertanto, i risultati potrebbero non riflettere lo stato completo dei segreti nei repository. (Nessun criterio correlato) Alto
(Anteprima) I repository di codice devono avere i risultati di analisi Dependabot risolti Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato) Medio
(Anteprima) I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti (Anteprima) I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti Medio
(Anteprima) Nei repository GitHub deve essere abilitata l'analisi del codice GitHub usa l'analisi del codice per analizzare il codice per trovare vulnerabilità ed errori di sicurezza nel codice. L'analisi del codice può essere usata per trovare, valutare e classificare in ordine di priorità le correzioni per i problemi esistenti nel codice. L'analisi del codice può anche impedire agli sviluppatori di introdurre nuovi problemi. Le analisi possono essere pianificate per giorni e ore specifiche oppure le analisi possono essere attivate quando si verifica un evento specifico nel repository, ad esempio un push. Se l'analisi del codice rileva una potenziale vulnerabilità o un errore nel codice, GitHub visualizza un avviso nel repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto. (Nessun criterio correlato) Medio
(Anteprima) Nei repository GitHub deve essere abilitata l'analisi dei segreti GitHub analizza i repository per i tipi noti di segreti, per evitare l'uso fraudolento dei segreti di cui è stato accidentalmente eseguito il commit nei repository. L'analisi dei segreti analizzerà l'intera cronologia Git in tutti i rami presenti nel repository GitHub per individuare eventuali segreti. Esempi di segreti sono token e chiavi private che un provider di servizi può emettere per l'autenticazione. Se un segreto viene archiviato in un repository, chiunque abbia accesso in lettura al repository può usare il segreto per accedere al servizio esterno con tali privilegi. I segreti devono essere archiviati in una posizione sicura dedicata all'esterno del repository per il progetto. (Nessun criterio correlato) Alto
(Anteprima) Per i repository GitHub deve essere abilitata l'analisi Dependabot GitHub invia avvisi Dependabot quando rileva le vulnerabilità nelle dipendenze del codice che influiscono sui repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto o di altri progetti che usano il codice. Le vulnerabilità variano in base al tipo, alla gravità e al metodo di attacco. Quando il codice dipende da un pacchetto che presenta una vulnerabilità di sicurezza, questa dipendenza vulnerabile può causare una serie di problemi. (Nessun criterio correlato) Medio

Le raccomandazioni di Defender per DevOps hanno sostituito lo scanner di vulnerabilità deprecato per i flussi di lavoro CI/CD inclusi in Defender per contenitori.

Altre informazioni su Defender per DevOps

Il dashboard conformità alle normative supporta ora la gestione manuale del controllo e informazioni dettagliate sullo stato di conformità di Microsoft

Il dashboard di conformità in Defender per il cloud è uno strumento chiave per aiutare i clienti a comprendere e tenere traccia del loro stato di conformità. I clienti possono monitorare continuamente gli ambienti in conformità ai requisiti di molti standard e normative diversi.

È ora possibile gestire completamente il comportamento di conformità attestando manualmente i controlli operativi e altri controlli. È possibile fornire prove di conformità per i controlli che non sono automatizzati. Insieme alle valutazioni automatizzate, è ora possibile generare un report completo di conformità all'interno di un ambito selezionato, gestendo l'intero set di controlli per un determinato standard.

Inoltre, con informazioni più complete sui controlli, oltre a dettagli approfonditi e prove dello stato di conformità di Microsoft, è ora possibile avere a disposizione tutte le informazioni richieste per i controlli.

I vantaggi includono:

  • Le azioni manuali dei clienti forniscono un meccanismo per attestare manualmente la conformità ai controlli non automatizzati. Inclusa la possibilità di collegare l'evidenza, impostare una data di conformità e una data di scadenza.

  • Dettagli di controllo più avanzati per gli standard supportati che illustrano le azioni microsoft e le azioni manuali dei clienti oltre alle azioni dei clienti automatizzate già esistenti.

  • Le azioni di Microsoft forniscono trasparenza sullo stato di conformità di Microsoft, con procedure di valutazione di controllo, risultati dei test e risposte di Microsoft alle deviazioni.

  • Le offerte di conformità offrono una posizione centrale per controllare i prodotti Azure, Dynamics 365 e Power Platform e le rispettive certificazioni di conformità alle normative.

Vedere altre informazioni su come migliorare la conformità alle normative con Defender per il cloud.

Il provisioning automatico viene rinominato in Impostazioni e monitoraggio e ha un'esperienza aggiornata

La pagina di provisioning automatico è stata rinominata in Impostazioni e monitoraggio.

Il provisioning automatico è stato progettato per consentire l'abilitazione su larga scala dei prerequisiti, necessari per le funzionalità e le funzionalità avanzate di Defender per il cloud. Per supportare meglio le funzionalità espanse, viene avviata una nuova esperienza con le modifiche seguenti:

La pagina dei piani di Defender per il cloud include ora:

  • Quando si abilita un piano di Defender che richiede componenti di monitoraggio, tali componenti sono abilitati per il provisioning automatico con le impostazioni predefinite. Queste impostazioni possono essere modificate facoltativamente in qualsiasi momento.
  • È possibile accedere alle impostazioni dei componenti di monitoraggio per ogni piano di Defender dalla pagina del piano di Defender.
  • La pagina Piani di Defender indica chiaramente se tutti i componenti di monitoraggio sono attivi per ogni piano di Defender o se la copertura del monitoraggio è incompleta.

Pagina Impostazioni e monitoraggio:

  • Ogni componente di monitoraggio indica i piani di Defender a cui è correlato.

Altre informazioni sulla gestione delle impostazioni di monitoraggio.

Cloud Security Posture Management (CSPM) di Defender

Uno dei principali pilastri di Microsoft Defender per il cloud è Cloud Security Posture Management (CSPM). CSPM offre indicazioni sulla protezione avanzata che consentono di migliorare in modo efficiente ed efficace la sicurezza. CSPM offre anche visibilità sulla situazione di sicurezza corrente.

Stiamo annunciando un nuovo piano defender: Defender CSPM. Questo piano migliora le funzionalità di sicurezza di Defender per il cloud e include le funzionalità nuove ed espanse seguenti:

  • Valutazione continua della configurazione di sicurezza delle risorse cloud
  • Consigli di sicurezza per correggere errori di configurazione e punti deboli
  • Punteggio di sicurezza
  • Governance
  • Conformità alle normative
  • Grafo della sicurezza cloud
  • Analisi del percorso di attacco
  • Analisi senza agente per computer

Altre informazioni sul piano CSPM di Defender.

Il mapping del framework MITRE ATT&CK è ora disponibile anche per le raccomandazioni sulla sicurezza di AWS e GCP

Per gli analisti della sicurezza, è essenziale identificare i potenziali rischi associati alle raccomandazioni sulla sicurezza e comprendere i vettori di attacco, in modo che possano classificare in ordine di priorità le attività in modo efficiente.

Defender per il cloud semplifica la definizione delle priorità eseguendo il mapping delle raccomandazioni sulla sicurezza di Azure, AWS e GCP rispetto al framework MITRE ATT&CK. Il framework MITRE ATT&CK è una knowledge base accessibile a livello globale di tattiche e tecniche antagoniste basate su osservazioni reali, consentendo ai clienti di rafforzare la configurazione sicura dei propri ambienti.

Il framework MITRE ATT&CK è integrato in tre modi:

  • Consigli mappa alle tattiche e alle tecniche MITRE ATT&CK.
  • Eseguire query su tattiche e tecniche MITRE ATT&CK sulle raccomandazioni usando Azure Resource Graph.

Screenshot che mostra dove esiste l'attacco MITRE nella portale di Azure.

Defender per contenitori supporta ora la valutazione della vulnerabilità per il Registro Contenitori elastici (anteprima)

Microsoft Defender per contenitori offre ora l'analisi della valutazione delle vulnerabilità senza agente per Elastic Container Registry (ECR) in Amazon AWS. Espansione della copertura per gli ambienti multicloud, basata sulla versione precedente di quest'anno della protezione avanzata dalle minacce e della protezione avanzata dell'ambiente Kubernetes per AWS e Google GCP. Il modello senza agente crea risorse AWS negli account per analizzare le immagini senza estrarre immagini dagli account AWS e senza footprint sul carico di lavoro.

L'analisi della valutazione delle vulnerabilità senza agente per le immagini nei repository ECR consente di ridurre la superficie di attacco dell'ambiente in contenitori analizzando continuamente le immagini per identificare e gestire le vulnerabilità dei contenitori. Con questa nuova versione, Defender per il cloud analizza le immagini del contenitore dopo il push nel repository e rivaluta continuamente le immagini del contenitore ECR nel registro. I risultati sono disponibili in Microsoft Defender per il cloud come raccomandazioni ed è possibile usare i flussi di lavoro automatizzati predefiniti di Defender per il cloud per intervenire sui risultati, ad esempio l'apertura di un ticket per la correzione di una vulnerabilità con gravità elevata in un'immagine.

Altre informazioni sulla valutazione delle vulnerabilità per le immagini amazon ECR.

Settembre 2022

Gli aggiornamenti del mese di settembre includono quanto segue:

Eliminare gli avvisi in base alle entità Contenitore e Kubernetes

  • Spazio dei nomi Kubernetes
  • Kubernetes Pod
  • Segreto Kubernetes
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Oggetto StatefulSet di Kubernetes
  • Kubernetes DaemonSet
  • Processo Kubernetes
  • Kubernetes CronJob

Altre informazioni sulle regole di eliminazione degli avvisi.

Defender per server supporta il monitoraggio dell'integrità dei file con l'agente di Monitoraggio di Azure

Il monitoraggio dell'integrità dei file esamina i file del sistema operativo e i registri per individuare le modifiche che potrebbero indicare un attacco.

FIM è ora disponibile in una nuova versione basata sull'agente di Monitoraggio di Azure (AMA), che è possibile distribuire tramite Defender per il cloud.

Altre informazioni sul monitoraggio dell'integrità dei file con l'agente di Monitoraggio di Azure.

Api di valutazione legacy deprecate

Le API seguenti sono deprecate:

  • Attività relative alla sicurezza
  • stati di sicurezza
  • Riepiloghi della sicurezza

Queste tre API hanno esposto i vecchi formati di valutazione e sono sostituite dalle API Valutazioni e dalle API Di valutazione. Tutti i dati esposti da queste API legacy sono disponibili anche nelle nuove API.

Raccomandazioni aggiuntive aggiunte all'identità

Defender per il cloud raccomandazioni per migliorare la gestione di utenti e account.

Nuove raccomandazioni

La nuova versione contiene le funzionalità seguenti:

  • Ambito di valutazione esteso: la copertura è migliorata per gli account di identità senza MFA e account esterni nelle risorse di Azure (anziché solo sottoscrizioni) che consente agli amministratori della sicurezza di visualizzare le assegnazioni di ruolo per ogni account.

  • Intervallo di aggiornamento migliorato: le raccomandazioni sull'identità hanno ora un intervallo di aggiornamento di 12 ore.

  • Funzionalità di esenzione dell'account: Defender per il cloud offre molte funzionalità che è possibile usare per personalizzare l'esperienza e assicurarsi che il punteggio di sicurezza rifletta le priorità di sicurezza dell'organizzazione. Ad esempio, è possibile esentare risorse e raccomandazioni dal punteggio di sicurezza.

    Questo aggiornamento consente di esentare account specifici dalla valutazione con le sei raccomandazioni elencate nella tabella seguente.

    In genere, si esentano gli account "break glass" di emergenza dalle raccomandazioni MFA, perché tali account vengono spesso deliberatamente esclusi dai requisiti di autenticazione a più fattori di un'organizzazione. In alternativa, potrebbero essere presenti account esterni a cui si vuole consentire l'accesso, a cui non è abilitata l'autenticazione a più fattori.

    Suggerimento

    Quando si esenta un account, non verrà visualizzato come non integro e non causerà la visualizzazione di una sottoscrizione non integra.

    Elemento consigliato Chiave di valutazione
    Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori 6240402e-f77c-46fa-9060-a7ce53997754
    Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi 20606e75-05c4-48c0-9d97-add6daa2109a
    Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Le raccomandazioni, anche se in anteprima, verranno visualizzate accanto alle raccomandazioni attualmente disponibili a livello generale.

Rimozione degli avvisi di sicurezza per i computer che segnalano alle aree di lavoro Log Analytics tra tenant

In passato, Defender per il cloud consentire di scegliere l'area di lavoro a cui gli agenti di Log Analytics segnalano. Quando un computer appartiene a un tenant ("Tenant A") ma l'agente di Log Analytics ha segnalato a un'area di lavoro in un tenant diverso ("Tenant B"), gli avvisi di sicurezza relativi al computer sono stati segnalati al primo tenant ("Tenant A").

Con questa modifica, gli avvisi sui computer connessi all'area di lavoro Log Analytics in un tenant diverso non vengono più visualizzati in Defender per il cloud.

Per continuare a ricevere gli avvisi in Defender per il cloud, connettere l'agente di Log Analytics dei computer pertinenti all'area di lavoro nello stesso tenant del computer.

Altre informazioni sugli avvisi di sicurezza.

Agosto 2022

Gli aggiornamenti del mese di agosto includono quanto segue:

Le vulnerabilità per l'esecuzione delle immagini sono ora visibili con Defender per contenitori nei contenitori di Windows

Defender per contenitori mostra ora le vulnerabilità per l'esecuzione di contenitori Windows.

Quando vengono rilevate vulnerabilità, Defender per il cloud genera la raccomandazione di sicurezza seguente che elenca i problemi rilevati: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti.

Altre informazioni sulla visualizzazione delle vulnerabilità per l'esecuzione di immagini.

Integrazione dell'agente di Monitoraggio di Azure ora in anteprima

Defender per il cloud ora include il supporto dell'anteprima perAgente di Monitoraggio di Azure (AMA). AMA è progettato per sostituire l'agente di Log Analytics legacy (noto anche come Microsoft Monitoring Agent (MMA), che si trova in un percorso di deprecazione. Ama offre molti vantaggi rispetto agli agenti legacy.

In Defender per il cloud, quando si abilita il provisioning automatico per AMA, l'agente viene distribuito in macchine virtuali esistenti e nuove e abilitate per Azure Arc rilevate nelle sottoscrizioni. Se i piani defender per cloud sono abilitati, AMA raccoglie informazioni di configurazione e registri eventi dalle macchine virtuali di Azure e dai computer Azure Arc. L'integrazione ama è in anteprima, quindi è consigliabile usarla in ambienti di test, anziché in ambienti di produzione.

La tabella seguente elenca gli avvisi deprecati:

Nome avviso Descrizione Tattiche Gravità
Operazione di compilazione Docker rilevata in un nodo Kubernetes
(VM_ImageBuildOnNode)		 I log del computer indicano un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento. Evasione delle difese Basso
Richiesta sospetta all'API Kubernetes
(VM_KubernetesAPI)		 I log del computer indicano che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso. Spostamento laterale Medio
Il server SSH è in esecuzione all'interno di un contenitore
(VM_ContainerSSH)		 I log del computer indicano che un server SSH è in esecuzione all'interno di un contenitore Docker. Benché questo comportamento possa essere intenzionale, spesso indica che un contenitore non è configurato correttamente o è stato violato. Esecuzione Medio

Questi avvisi vengono usati per notificare a un utente l'attività sospetta connessa a un cluster Kubernetes. Gli avvisi verranno sostituiti con gli avvisi corrispondenti che fanno parte degli avvisi del contenitore Microsoft Defender per il cloud (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIe K8S.NODE_ ContainerSSH) che offriranno una migliore fedeltà e contesto completo per analizzare e agire sugli avvisi. Altre informazioni sugli avvisi per i cluster Kubernetes.

Le vulnerabilità dei contenitori includono ora informazioni dettagliate sui pacchetti

Defender per la valutazione della vulnerabilità del contenitore include ora informazioni dettagliate sui pacchetti per ogni ricerca, tra cui: nome del pacchetto, tipo di pacchetto, percorso, versione installata e versione fissa. Le informazioni sul pacchetto consentono di trovare pacchetti vulnerabili in modo da poter correggere la vulnerabilità o rimuovere il pacchetto.

Queste informazioni dettagliate sul pacchetto sono disponibili per le nuove analisi delle immagini.

Screenshot delle informazioni sul pacchetto per le vulnerabilità del contenitore.

Luglio 2022

Gli aggiornamenti del mese di luglio includono quanto segue:

Disponibilità generale (GA) dell'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes

Microsoft è lieta di condividere che l'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes è ora disponibile a livello generale.

Le distribuzioni di produzione dei cluster Kubernetes continuano a crescere man mano che i clienti continuano a inserire in contenitori le applicazioni. Per facilitare questa crescita, il team di Defender per contenitori ha sviluppato un agente di sicurezza orientato a Kubernetes nativo del cloud.

Il nuovo agente di sicurezza è un DaemonSet kubernetes, basato sulla tecnologia eBPF ed è completamente integrato nei cluster del servizio Azure Kubernetes come parte del profilo di sicurezza del servizio Azure Kubernetes.

L'abilitazione dell'agente di sicurezza è disponibile tramite il provisioning automatico, il flusso di raccomandazioni, il punto di ripristino del servizio Azure Kubernetes o su larga scala usando Criteri di Azure.

È possibile distribuire l'agente Defender oggi nei cluster del servizio Azure Kubernetes.

Con questo annuncio, la protezione di runtime - rilevamento delle minacce (carico di lavoro) è ora disponibile anche a livello generale.

Altre informazioni sulla disponibilità delle funzionalità di Defender per contenitore.

È anche possibile esaminare tutti gli avvisi disponibili.

Si noti che se si usa la versione di anteprima, il AKS-AzureDefender flag di funzionalità non è più necessario.

Defender for Container aggiunge il supporto per il rilevamento di pacchetti specifici della lingua (anteprima)

La valutazione della vulnerabilità di Defender per container è in grado di rilevare le vulnerabilità nei pacchetti del sistema operativo distribuiti tramite gestione pacchetti del sistema operativo. Sono state ora estese le capacità dell'autorità di valutazione per rilevare le vulnerabilità incluse nei pacchetti specifici del linguaggio.

Questa funzionalità è in anteprima ed è disponibile solo per le immagini Linux.

Per visualizzare tutti i pacchetti specifici della lingua inclusi che sono stati aggiunti, vedere l'elenco completo delle funzionalità di Defender for Container e la relativa disponibilità.

Proteggere dalla vulnerabilità dell'infrastruttura di gestione delle operazioni CVE-2022-29149

Operations Management Infrastructure (OMI) è una raccolta di servizi basati sul cloud per la gestione di ambienti locali e cloud da un'unica posizione. Invece di distribuire e gestire le risorse locali, i componenti OMI sono interamente ospitati in Azure.

Log Analytics integrato con Azure HDInsight che esegue OMI versione 13 richiede una patch per correggere CVE-2022-29149. Esaminare il report su questa vulnerabilità nella Guida di Microsoft Security Update per informazioni su come identificare le risorse interessate da questa vulnerabilità e i passaggi di correzione.

Se Defender per server è abilitato con Valutazione della vulnerabilità, è possibile usare questa cartella di lavoro per identificare le risorse interessate.

Integrazione con Entra Permissions Management

Defender per il cloud è integrato con Gestione delle autorizzazioni di Microsoft Entra, una soluzione CIEM (Cloud Infrastructure Entitlement Management) che offre visibilità completa e controllo sulle autorizzazioni per qualsiasi identità e risorsa in Azure, AWS e GCP.

Ogni sottoscrizione di Azure, l'account AWS e il progetto GCP di cui si esegue l'onboarding mostrerà ora una visualizzazione dell'indice di tipo Permission Creep Index (PCI).Each Azure subscription, AWS account, and GCP project that you onboard, will now show you a view of your Permission Creep Index (PCI).

Altre informazioni su Entra Permission Management (in precedenza Cloudknox)

Raccomandazioni di Key Vault modificate in "audit"

L'effetto per le raccomandazioni di Key Vault elencate di seguito è stato modificato in "audit":

Nome raccomandazione ID raccomandazione
È consigliabile che il periodo di validità dei certificati archiviati in Azure Key Vault non sia superiore a 12 mesi fc84abc0-eee6-4758-8372-a7681965ca44
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza 14257785-9437-97fa-11ae-898cfb24302b
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

Deprecare i criteri delle app per le API per servizio app

Sono stati deprecati i criteri seguenti ai criteri corrispondenti già esistenti per includere le app per le API:

Per essere deprecato Modifica di in
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Giugno 2022

Gli aggiornamenti del mese di giugno includono quanto segue:

Disponibilità generale (GA) per Microsoft Defender per Azure Cosmos DB

Microsoft Defender per Azure Cosmos DB è ora disponibile a livello generale e supporta i tipi di account API SQL (core).

Questa nuova versione a livello generale fa parte della suite di protezione del database Microsoft Defender per il cloud, che include diversi tipi di database SQL e MariaDB. Microsoft Defender per Azure Cosmos DB è un livello nativo di sicurezza di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB.

Abilitando questo piano, si riceverà un avviso per potenziali attacchi SQL injection, attori malintenzionati noti, modelli di accesso sospetti e potenziali esplorazioni del database tramite identità compromesse o utenti malintenzionati.

Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi forniscono informazioni dettagliate sulle attività sospette insieme ai passaggi di indagine pertinenti, alle azioni correttive e alle raccomandazioni sulla sicurezza.

Microsoft Defender per Azure Cosmos DB analizza continuamente il flusso di telemetria generato dai servizi Azure Cosmos DB e li interseca con Microsoft Threat Intelligence e i modelli comportamentali per rilevare eventuali attività sospette. Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB e non ha alcun effetto sulle prestazioni del database.

Altre informazioni su Microsoft Defender per Azure Cosmos DB.

Con l'aggiunta del supporto per Azure Cosmos DB, Defender per il cloud offre ora una delle offerte di protezione dei carichi di lavoro più complete per i database basati sul cloud. I team di sicurezza e i proprietari di database possono ora avere un'esperienza centralizzata per gestire la sicurezza del database degli ambienti.

Informazioni su come abilitare le protezioni per i database.

Disponibilità generale (GA) di Defender per SQL nei computer per ambienti AWS e GCP

Le funzionalità di protezione del database fornite da Microsoft Defender per il cloud, hanno aggiunto il supporto per i server SQL ospitati in ambienti AWS o GCP.

Defender per SQL, le aziende possono ora proteggere l'intero patrimonio di database, ospitato in Azure, AWS, GCP e computer locali.

Microsoft Defender per SQL offre un'esperienza multicloud unificata per visualizzare le raccomandazioni sulla sicurezza, gli avvisi di sicurezza e i risultati della valutazione delle vulnerabilità sia per SQL Server che per il sistema operativo Windows.

Usando l'esperienza di onboarding multicloud, è possibile abilitare e applicare la protezione dei database per i server SQL in esecuzione in AWS EC2, RDS Custom per SQL Server e il motore di calcolo GCP. Dopo aver abilitato uno di questi piani, tutte le risorse supportate presenti nella sottoscrizione sono protette. Verranno protette anche le risorse future create nella stessa sottoscrizione.

Informazioni su come proteggere e connettere l'ambiente AWS e l'organizzazioneGCP con Microsoft Defender per il cloud.

Promuovere l'implementazione delle raccomandazioni di sicurezza per migliorare il comportamento di sicurezza

Oggi le minacce crescenti alle organizzazioni estendono i limiti del personale di sicurezza per proteggere i carichi di lavoro in espansione. I team di sicurezza devono implementare le protezioni definite nei criteri di sicurezza.

Ora con l'esperienza di governance in anteprima, i team di sicurezza possono assegnare correzioni delle raccomandazioni di sicurezza ai proprietari delle risorse e richiedere una pianificazione di correzione. Possono avere piena trasparenza nello stato di avanzamento della correzione e ricevere una notifica quando le attività sono scadute.

Altre informazioni sull'esperienza di governance in Guida all'organizzazione per correggere i problemi di sicurezza con la governance delle raccomandazioni.

Filtrare gli avvisi di sicurezza in base all'indirizzo IP

In molti casi di attacchi, è necessario tenere traccia degli avvisi in base all'indirizzo IP dell'entità coinvolta nell'attacco. Fino ad ora, l'INDIRIZZO IP è apparso solo nella sezione "Entità correlate" nel riquadro singolo avviso. È ora possibile filtrare gli avvisi nella pagina degli avvisi di sicurezza per visualizzare gli avvisi correlati all'indirizzo IP ed è possibile cercare un indirizzo IP specifico.

Screenshot del filtro per l'indirizzo I P negli avvisi di Defender per il cloud.

Avvisi per gruppo di risorse

La possibilità di filtrare, ordinare e raggruppare per gruppo di risorse viene aggiunta alla pagina Avvisi di sicurezza.

Alla griglia degli avvisi viene aggiunta una colonna del gruppo di risorse.

Screenshot della colonna del gruppo di risorse appena aggiunta.

Viene aggiunto un nuovo filtro che consente di visualizzare tutti gli avvisi per gruppi di risorse specifici.

Screenshot che mostra il nuovo filtro del gruppo di risorse.

È ora anche possibile raggruppare gli avvisi in base al gruppo di risorse per visualizzare tutti gli avvisi per ognuno dei gruppi di risorse.

Screenshot che mostra come visualizzare gli avvisi quando vengono raggruppati per gruppo di risorse.

Provisioning automatico di Microsoft Defender per endpoint soluzione unificata

Fino ad ora, l'integrazione con Microsoft Defender per endpoint (MDE) includeva l'installazione automatica della nuova soluzione unificata MDE per computer (sottoscrizioni di Azure e connettori multicloud) con Defender for Servers Piano 1 abilitato e per i connettori multicloud con Defender for Servers Piano 2 abilitato. Il piano 2 per le sottoscrizioni di Azure ha abilitato solo la soluzione unificata per i computer Linux e i server Windows 2019 e 2022. I server Windows 2012R2 e 2016 usano la soluzione legacy MDE dipendente dall'agente di Log Analytics.

La nuova soluzione unificata è ora disponibile per tutti i computer in entrambi i piani, sia per le sottoscrizioni di Azure che per i connettori multicloud. Per le sottoscrizioni di Azure con server piano 2 che hanno abilitato l'integrazione MDE dopo il 20 giugno 2022, la soluzione unificata è abilitata per impostazione predefinita per tutte le sottoscrizioni di Azure con Defender for Servers Piano 2 abilitato con l'integrazione MDE prima del 20 giugno 2022 può ora abilitare l'installazione unificata della soluzione per i server Windows 2012R2 e 2016 tramite il pulsante dedicato nella pagina Integrazioni:

Altre informazioni sull'integrazione mde con Defender per server.

Deprecazione del criterio "L'app per le API deve essere accessibile solo tramite HTTPS"

Il criterio API App should only be accessible over HTTPS è deprecato. Questo criterio viene sostituito con il Web Application should only be accessible over HTTPS criterio, che viene rinominato in App Service apps should only be accessible over HTTPS.

Per altre informazioni sulle definizioni dei criteri per app Azure Servizio, vedere Criteri di Azure definizioni predefinite per app Azure Servizio.

Nuovi avvisi di Key Vault

Per espandere le protezioni dalle minacce fornite da Microsoft Defender per Key Vault, sono stati aggiunti due nuovi avvisi.

Questi avvisi informano l'utente di un'anomalia di accesso negato, viene rilevato per uno degli insiemi di credenziali delle chiavi.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato
(KV_DeniedAccountVolumeAnomaly)		 Un utente o un'entità servizio ha tentato di accedere a volumi anomali elevati di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. Individuazione Basso
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi
(KV_UserAccessDeniedAnomaly)		 Un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. Accesso iniziale, individuazione Basso

Maggio 2022

Gli aggiornamenti del mese di maggio includono quanto segue:

Le impostazioni multicloud del piano Server sono ora disponibili a livello di connettore

Sono ora disponibili impostazioni a livello di connettore per Defender per server in più cloud.

Le nuove impostazioni a livello di connettore offrono una granularità per i prezzi e la configurazione del provisioning automatico per connettore, indipendentemente dalla sottoscrizione.

Per impostazione predefinita, tutti i componenti di provisioning automatico disponibili nelle valutazioni del connettore (Azure Arc, MDE e vulnerabilità) sono abilitati per impostazione predefinita e la nuova configurazione supporta sia piani tariffari piano 1 che piano 2.

Aggiornamenti nell'interfaccia utente includono una reflection del piano tariffario selezionato e dei componenti necessari configurati.

Screenshot della pagina principale del piano con le impostazioni del piano server multicloud.

Screenshot della pagina di provisioning automatico con il connettore multicloud abilitato.

Modifiche alla valutazione della vulnerabilità

Defender per contenitori ora visualizza vulnerabilità con gravità media e bassa che non sono patchable.

Nell'ambito di questo aggiornamento, vengono ora visualizzate vulnerabilità con gravità media e bassa, indipendentemente dal fatto che siano disponibili o meno patch. Questo aggiornamento offre la massima visibilità, ma consente comunque di filtrare le vulnerabilità indesiderate usando la regola Disabilita fornita.

Screenshot della schermata di disabilitazione della regola.

Altre informazioni su gestione delle vulnerabilità

L'accesso JIT (JUST-in-time) per le macchine virtuali è ora disponibile per le istanze EC2 di AWS (anteprima)

Quando si connettono gli account AWS, JIT valuterà automaticamente la configurazione di rete dei gruppi di sicurezza dell'istanza e consiglierà quali istanze necessitano di protezione per le porte di gestione esposte. Questo è simile al funzionamento di JIT con Azure. Quando si esegue l'onboarding di istanze EC2 non protette, JIT blocca l'accesso pubblico alle porte di gestione e le apre solo con richieste autorizzate per un intervallo di tempo limitato.

Informazioni su come JIT protegge le istanze DI AWS EC2

Aggiungere e rimuovere il sensore defender per i cluster del servizio Azure Kubernetes usando l'interfaccia della riga di comando

L'agente di Defender è necessario affinché Defender per contenitori fornisca le protezioni di runtime e raccolga i segnali dai nodi. È ora possibile usare l'interfaccia della riga di comando di Azure per aggiungere e rimuovere l'agente di Defender per un cluster del servizio Azure Kubernetes.

Nota

Questa opzione è inclusa nell'interfaccia della riga di comando di Azure 3.7 e versioni successive.

Aprile 2022

Gli aggiornamenti del mese di aprile includono quanto segue:

Nuovi piani di Defender per server

Microsoft Defender per server è ora disponibile in due piani incrementali:

  • Defender per server piano 2, in precedenza Defender per server
  • Defender per server piano 1 offre supporto solo per Microsoft Defender per endpoint

Mentre Defender per server piano 2 continua a fornire protezioni da minacce e vulnerabilità ai carichi di lavoro cloud e locali, Defender per server piano 1 fornisce solo endpoint protection, con tecnologia nativa integrata Defender per endpoint. Altre informazioni sui piani di Defender per server.

Se si usa Defender per server fino ad ora non è necessaria alcuna azione.

Inoltre, Defender per il cloud inizia anche il supporto graduale per l'agente unificato defender per endpoint per Windows Server 2012 R2 e 2016. Defender per server piano 1 distribuisce il nuovo agente unificato nei carichi di lavoro di Windows Server 2012 R2 e 2016.

Rilocazione di raccomandazioni personalizzate

Le raccomandazioni personalizzate sono quelle create dagli utenti e non hanno alcun effetto sul punteggio di sicurezza. Le raccomandazioni personalizzate sono ora disponibili nella scheda Tutti i consigli.

Usare il nuovo filtro "tipo di raccomandazione" per individuare le raccomandazioni personalizzate.

Per altre informazioni, vedere Creare iniziative e criteri di sicurezza personalizzati.

Script di PowerShell per trasmettere avvisi a Splunk e IBM QRadar

È consigliabile usare Hub eventi e un connettore predefinito per esportare gli avvisi di sicurezza in Splunk e IBM QRadar. È ora possibile usare uno script di PowerShell per configurare le risorse di Azure necessarie per esportare gli avvisi di sicurezza per la sottoscrizione o il tenant.

È sufficiente scaricare ed eseguire lo script di PowerShell. Dopo aver specificato alcuni dettagli dell'ambiente, lo script configura automaticamente le risorse. Lo script genera quindi l'output usato nella piattaforma SIEM per completare l'integrazione.

Per altre informazioni, vedere Trasmettere avvisi a Splunk e QRadar.

Deprecato il consiglio di cache di Azure per Redis

La raccomandazione Azure Cache for Redis should reside within a virtual network (anteprima) è deprecata. Sono state modificate le linee guida per la protezione delle istanze di cache di Azure per Redis. È consigliabile usare un endpoint privato per limitare l'accesso all'istanza di cache di Azure per Redis anziché a una rete virtuale.

Nuova variante di avviso per Microsoft Defender per Archiviazione (anteprima) per rilevare l'esposizione dei dati sensibili

Gli avvisi di Microsoft Defender per Archiviazione segnalano quando gli attori delle minacce tentano di analizzare ed esporre, correttamente o meno, i contenitori di archiviazione aperti pubblicamente per tentare di esfiltrare le informazioni riservate.

Per consentire una valutazione e un tempo di risposta più rapidi, quando si è verificata l'esfiltrazione di dati potenzialmente sensibili, è stata rilasciata una nuova variante all'avviso esistente Publicly accessible storage containers have been exposed .

Il nuovo avviso, Publicly accessible storage containers with potentially sensitive data have been exposed, viene attivato con un High livello di gravità, dopo un'individuazione corretta di uno o più contenitori di archiviazione aperti pubblicamente con nomi che sono stati individuati statisticamente per essere esposti pubblicamente, suggerendo che potrebbero contenere informazioni riservate.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
ANTEPRIMA: sono stati esposti contenitori di archiviazione accessibili pubblicamente con dati potenzialmente sensibili
(Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 Qualcuno ha analizzato l'account Archiviazione di Azure e i contenitori esposti che consentono l'accesso pubblico. Uno o più contenitori esposti hanno nomi che indicano che possono contenere dati sensibili.

Ciò indica in genere la ricognizione da parte di un attore di minaccia che esegue l'analisi di contenitori di archiviazione accessibili pubblicamente non configurati correttamente che possono contenere dati sensibili.

Dopo che un attore di minacce individua correttamente un contenitore, può continuare esfiltrando i dati.
✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Archiviazione Gen2		 Raccolta Alto

Titolo dell'avviso di analisi del contenitore aumentato con la reputazione degli indirizzi IP

La reputazione di un indirizzo IP può indicare se l'attività di analisi ha origine da un attore di minaccia noto o da un attore che usa la rete Tor per nascondere la propria identità. Entrambi questi indicatori suggeriscono che ci sia un intento dannoso. La reputazione dell'indirizzo IP viene fornita da Microsoft Threat Intelligence.

L'aggiunta della reputazione dell'indirizzo IP al titolo dell'avviso consente di valutare rapidamente la finalità dell'attore e quindi la gravità della minaccia.

Gli avvisi seguenti includono queste informazioni:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Ad esempio, le informazioni aggiunte al titolo dell'avviso Publicly accessible storage containers have been exposed avranno un aspetto simile al seguente:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Tutti gli avvisi per Microsoft Defender per Archiviazione continueranno a includere informazioni sull'intelligence sulle minacce nell'entità IP nella sezione Entità correlate dell'avviso.

Visualizzare i log attività correlati a un avviso di sicurezza

Come parte delle azioni che è possibile eseguire per valutare un avviso di sicurezza, è possibile trovare i log della piattaforma correlati in Esaminare il contesto delle risorse per ottenere contesto sulla risorsa interessata. Microsoft Defender per il cloud identifica i log della piattaforma entro un giorno dall'avviso.

I log della piattaforma consentono di valutare la minaccia per la sicurezza e identificare i passaggi che è possibile eseguire per attenuare il rischio identificato.

Marzo 2022

Aggiornamenti nel mese di marzo includono:

Disponibilità globale di Secure Score per ambienti AWS e GCP

Le funzionalità di gestione del comportamento di sicurezza cloud fornite da Microsoft Defender per il cloud hanno ora aggiunto il supporto per gli ambienti AWS e GCP all'interno del punteggio di sicurezza.

Le aziende possono ora visualizzare il comportamento di sicurezza generale in diversi ambienti, ad esempio Azure, AWS e GCP.

La pagina Secure Score viene sostituita con il dashboard Comportamento di sicurezza. Il dashboard Comportamento di sicurezza consente di visualizzare un punteggio combinato complessivo per tutti gli ambienti o una suddivisione del comportamento di sicurezza in base a qualsiasi combinazione di ambienti scelti.

La pagina Consigli è stata riprogettata anche per offrire nuove funzionalità, ad esempio: selezione dell'ambiente cloud, filtri avanzati basati sul contenuto (gruppo di risorse, account AWS, progetto GCP e altro ancora), interfaccia utente migliorata a bassa risoluzione, supporto per le query aperte nel grafico delle risorse e altro ancora. È possibile ottenere altre informazioni sul comportamento di sicurezza complessivo e sulle raccomandazioni sulla sicurezza.

Deprecato i consigli per installare l'agente di raccolta dati del traffico di rete

Le modifiche apportate alla roadmap e alle priorità hanno rimosso la necessità dell'agente di raccolta dati del traffico di rete. Le due raccomandazioni seguenti e i relativi criteri sono stati deprecati.

Suggerimento Descrizione Gravità
L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux Defender per il cloud usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. Medio
L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Windows Defender per il cloud usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. Medio

Defender per contenitori può ora analizzare le vulnerabilità nelle immagini di Windows (anteprima)

L'analisi delle immagini di Defender per contenitore supporta ora immagini Windows ospitate in Registro Azure Container. Questa funzionalità è gratuita durante l'anteprima e comporta un costo quando diventa disponibile a livello generale.

Per altre informazioni, vedere Usare Microsoft Defender per contenitore per analizzare le immagini per individuare le vulnerabilità.

Nuovo avviso per Microsoft Defender per Archiviazione (anteprima)

Per espandere le protezioni dalle minacce fornite da Microsoft Defender per Archiviazione, è stato aggiunto un nuovo avviso di anteprima.

Gli attori delle minacce usano applicazioni e strumenti per individuare e accedere agli account di archiviazione. Microsoft Defender per Archiviazione rileva queste applicazioni e strumenti in modo da poterli bloccare e correggere il comportamento.

Questo avviso di anteprima è denominato Access from a suspicious application. L'avviso è rilevante solo per Archiviazione BLOB di Azure e ADLS Gen2.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
ANTEPRIMA - Accesso da un'applicazione sospetta
(Archiviazione. Blob_SuspiciousApp)		 Indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione.
Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione.
Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2		 Accesso iniziale Medio

Configurare le impostazioni delle notifiche tramite posta elettronica da un avviso

È stata aggiunta una nuova sezione all'interfaccia utente dell'avviso che consente di visualizzare e modificare chi riceverà notifiche tramite posta elettronica per gli avvisi attivati nella sottoscrizione corrente.

Screenshot della nuova interfaccia utente che mostra come configurare la notifica tramite posta elettronica.

Informazioni su come configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.

Avviso di anteprima deprecato: ARM. MCAS_ActivityFromAnonymousIPAddresses

L'avviso di anteprima seguente è deprecato:

Nome avviso Descrizione
ANTEPRIMA - Attività da un indirizzo IP a rischio
(ARM.MCAS_ActivityFromAnonymousIPAddresses)		 È stata rilevata un'attività utente da un indirizzo IP identificato come indirizzo IP proxy anonimo.
Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per attacchi dannosi. Questo rilevamento usa un algoritmo di Machine Learning che riduce i falsi positivi, ad esempio gli indirizzi IP contrassegnati in modo errato che vengono usati diffusamente dagli utenti dell'organizzazione.
Richiede una licenza attiva per le app di Microsoft Defender per il cloud.

È stato creato un nuovo avviso che fornisce queste informazioni e lo aggiunge. Inoltre, gli avvisi più recenti (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) non richiedono una licenza per Microsoft Defender per il cloud Apps (in precedenza noto come Microsoft Cloud App Security).

Vedere altri avvisi per Resource Manager.

Spostare le vulnerabilità delle raccomandazioni nelle configurazioni di sicurezza dei contenitori devono essere corrette dal punteggio di sicurezza alle procedure consigliate

La raccomandazione Vulnerabilities in container security configurations should be remediated è stata spostata dalla sezione Del punteggio di sicurezza alla sezione procedure consigliate.

L'esperienza utente corrente fornisce il punteggio solo quando sono stati superati tutti i controlli di conformità. La maggior parte dei clienti ha difficoltà a soddisfare tutti i controlli richiesti. Si sta lavorando a un'esperienza migliorata per questa raccomandazione e, una volta rilasciata, la raccomandazione verrà spostata di nuovo nel punteggio di sicurezza.

Deprecato il consiglio di usare le entità servizio per proteggere le sottoscrizioni

Man mano che le organizzazioni si allontanano dall'uso dei certificati di gestione per gestire le sottoscrizioni e il recente annuncio di ritiro del modello di distribuzione Servizi cloud (versione classica), sono stati deprecati i seguenti Defender per il cloud raccomandazione e i relativi criteri:

Suggerimento Descrizione Gravità
Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione I certificati di gestione consentono a chiunque esegua l'autenticazione con loro di gestire le sottoscrizioni a cui sono associati. Per gestire le sottoscrizioni in modo più sicuro, l'uso delle entità servizio con Resource Manager è consigliato per limitare l'impatto in caso di compromissione di un certificato. Consente inoltre di automatizzare la gestione delle risorse.
(Criterio correlato: Le entità servizio devono essere usate per proteggere le sottoscrizioni anziché i certificati di gestione)		 Medio

Altre informazioni:

Implementazione legacy di ISO 27001 sostituita con la nuova iniziativa ISO 27001:2013

L'implementazione legacy di ISO 27001 è stata rimossa dal dashboard di conformità alle normative di Defender per il cloud. Se si sta monitorando la conformità ISO 27001 con Defender per il cloud, eseguire l'onboarding del nuovo standard ISO 27001:2013 per tutti i gruppi di gestione o le sottoscrizioni pertinenti.

Defender per il cloud dashboard di conformità alle normative che mostra il messaggio relativo alla rimozione dell'implementazione legacy di ISO 27001.

Raccomandazioni deprecate per i dispositivi Microsoft Defender per IoT

Le raccomandazioni per i dispositivi Microsoft Defender per IoT non sono più visibili in Microsoft Defender per il cloud. Questi consigli sono ancora disponibili nella pagina Consigli di Microsoft Defender per IoT.

Le raccomandazioni seguenti sono deprecate:

Chiave di valutazione Consigli
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivi IoT Aprire porte nel dispositivo
ba975338-f956-41e7-a9f2-7614832d382d: Dispositivi IoT È stata trovata una regola del firewall permissiva nella catena di input
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivi IoT È stato trovato un criterio firewall permissivo in una delle catene
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivi IoT È stata trovata una regola del firewall permissiva nella catena di output
5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivi IoT Errore di convalida della baseline del sistema operativo
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivi IoT Agente che invia messaggi sottoutilizzati
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivi IoT Aggiornamento della suite di crittografia TLS necessario
d74d2738-2485-4103-9919-69c7e63776ec: Dispositivi IoT Processo controllato interrotto l'invio di eventi

Avvisi dei dispositivi Di Microsoft Defender per IoT deprecati

Tutti gli avvisi dei dispositivi Microsoft Defender per IoT non sono più visibili in Microsoft Defender per il cloud. Questi avvisi sono ancora disponibili nella pagina Degli avvisi di Microsoft Defender per IoT e in Microsoft Sentinel.

Gestione del comportamento e protezione dalle minacce per AWS e GCP rilasciati per la disponibilità generale

  • le funzionalità cspm di Defender per il cloud si estendono alle risorse AWS e GCP. Questo piano senza agente valuta le risorse multicloud in base alle raccomandazioni di sicurezza specifiche del cloud incluse nel punteggio di sicurezza. Le risorse vengono valutate per la conformità usando gli standard predefiniti. Defender per il cloud pagina di inventario degli asset è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.

  • Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate alle istanze di calcolo in AWS e GCP. Il piano Defender per server include una licenza integrata per Microsoft Defender per endpoint, l'analisi della valutazione delle vulnerabilità e altro ancora. Informazioni su tutte le funzionalità supportate per macchine virtuali e server. Le funzionalità di onboarding automatico consentono di connettere facilmente qualsiasi istanza di calcolo esistente o nuova individuata nell'ambiente.

Informazioni su come proteggere e connettere l'ambienteAWS e l'organizzazione GCP con Microsoft Defender per il cloud.

Analisi del Registro di sistema per le immagini di Windows in Registro Azure Container aggiunto il supporto per i cloud nazionali

L'analisi del Registro di sistema per le immagini di Windows è ora supportata in Azure per enti pubblici e Microsoft Azure gestito da 21Vianet. Questa aggiunta è attualmente in anteprima.

Altre informazioni sulla disponibilità della funzionalità.

Febbraio 2022

Aggiornamenti nel mese di febbraio includono:

Protezione del carico di lavoro Kubernetes per i cluster Kubernetes abilitati per Arc

Defender per contenitori in precedenza proteggeva solo i carichi di lavoro Kubernetes in esecuzione in servizio Azure Kubernetes. A questo punto è stata estesa la copertura protettiva per includere cluster Kubernetes abilitati per Azure Arc.

Informazioni su come configurare la protezione del carico di lavoro Kubernetes per il servizio Azure Kubernetes e i cluster Kubernetes abilitati per Azure Arc.

CSPM nativo per GCP e protezione dalle minacce per le istanze di calcolo GCP

Il nuovo onboarding automatizzato degli ambienti GCP consente di proteggere i carichi di lavoro GCP con Microsoft Defender per il cloud. Defender per il cloud protegge le risorse con i piani seguenti:

  • le funzionalità cspm di Defender per il cloud si estendono alle risorse GCP. Questo piano senza agente valuta le risorse GCP in base alle raccomandazioni di sicurezza specifiche di GCP, fornite con Defender per il cloud. Le raccomandazioni GCP sono incluse nel punteggio di sicurezza e le risorse verranno valutate per la conformità allo standard CIS GCP predefinito. Defender per il cloud pagina di inventario degli asset è una funzionalità abilitata per più cloud che consente di gestire le risorse in Azure, AWS e GCP.

  • Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate alle istanze di calcolo GCP. Questo piano include la licenza integrata per Microsoft Defender per endpoint, l'analisi della valutazione delle vulnerabilità e altro ancora.

    Per un elenco completo delle funzionalità disponibili, vedere Funzionalità supportate per macchine virtuali e server. Le funzionalità di onboarding automatico consentono di connettere facilmente eventuali istanze di calcolo esistenti e nuove individuate nell'ambiente.

Informazioni su come proteggere e connettere i progetti GCP con Microsoft Defender per il cloud.

Piano di Microsoft Defender per Azure Cosmos DB rilasciato per l'anteprima

La copertura del database di Microsoft Defender per il cloud è stata estesa. È ora possibile abilitare la protezione per i database di Azure Cosmos DB.

Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva qualsiasi tentativo di sfruttare i database negli account Azure Cosmos DB. Microsoft Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, utenti malintenzionati noti in base all'intelligence sulle minacce Microsoft, modelli di accesso sospetti e potenziale sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.

Analizza continuamente il flusso di dati dei clienti generato dai servizi Azure Cosmos DB.

Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Microsoft Defender per il cloud con i dettagli dell'attività sospetta, insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.

Non c'è alcun impatto sulle prestazioni del database quando si abilita il servizio, perché Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB.

Per altre informazioni, vedere Panoramica di Microsoft Defender per Azure Cosmos DB.

Verrà inoltre introdotta una nuova esperienza di abilitazione per la sicurezza del database. È ora possibile abilitare la protezione Microsoft Defender per il cloud nella sottoscrizione per proteggere tutti i tipi di database, ad esempio Azure Cosmos DB, database SQL di Azure, i server SQL di Azure nei computer e Microsoft Defender per database relazionali open source tramite un unico processo di abilitazione. È possibile includere o escludere tipi di risorse specifici configurando il piano.

Informazioni su come abilitare la sicurezza del database a livello di sottoscrizione.

Protezione dalle minacce per i cluster GKE (Google Kubernetes Engine)

Dopo l'annuncio recente Native CSPM per GCP e la protezione dalle minacce per le istanze di calcolo GCP, Microsoft Defender per contenitori ha esteso la protezione dalle minacce kubernetes, l'analisi comportamentale e i criteri di controllo di ammissione predefiniti ai cluster Kubernetes Engine (GKE) Standard di Google. È possibile eseguire facilmente l'onboarding di qualsiasi cluster GKE Standard esistente o nuovo nell'ambiente tramite le funzionalità di onboarding automatico. Per un elenco completo delle funzionalità disponibili, vedere Sicurezza dei contenitori con Microsoft Defender per il cloud.

2022 gennaio

Aggiornamenti a gennaio includono:

Microsoft Defender per Resource Manager aggiornato con nuovi avvisi e maggiore enfasi sulle operazioni ad alto rischio mappate alla matrice MITRE ATT&CK®

Il livello di gestione cloud è un servizio cruciale connesso a tutte le risorse cloud. Per questo motivo, è anche un potenziale bersaglio per gli utenti malintenzionati. È consigliabile che i team addetti alle operazioni di sicurezza monitorino attentamente il livello di gestione delle risorse.

Microsoft Defender per Resource Manager monitora automaticamente le operazioni di gestione risorse nell'organizzazione, indipendentemente dal fatto che vengano eseguite tramite il portale di Azure, le API REST di Azure, l'interfaccia della riga di comando di Azure o altri client di programmazione di Azure. Defender per il cloud esegue analisi avanzate della sicurezza per rilevare minacce e avvisi sull'attività sospetta.

Le protezioni del piano migliorano notevolmente la resilienza di un'organizzazione contro gli attacchi da parte degli attori delle minacce e aumentano significativamente il numero di risorse di Azure protette da Defender per il cloud.

Nel dicembre 2020 è stata introdotta l'anteprima di Defender per Resource Manager e nel maggio 2021 il piano è stato rilasciato per la disponibilità generale.

Con questo aggiornamento, abbiamo rivisto in modo completo l'attenzione del piano di Microsoft Defender per Resource Manager. Il piano aggiornato include molti nuovi avvisi incentrati sull'identificazione di chiamate sospette di operazioni ad alto rischio. Questi nuovi avvisi forniscono un monitoraggio completo per gli attacchi nella matrice MITRE ATT&CK® completaper le tecniche basate sul cloud.

Questa matrice illustra la gamma seguente di potenziali intenzioni di attori di minacce destinati alle risorse dell'organizzazione: accesso iniziale, esecuzione, persistenza, escalation dei privilegi, evasione della difesa, accesso alle credenziali, individuazione, spostamento laterale, raccolta, esfiltrazione e impatto.

I nuovi avvisi per questo piano di Defender riguardano queste intenzioni, come illustrato nella tabella seguente.

Suggerimento

Questi avvisi vengono visualizzati anche nella pagina di riferimento degli avvisi.

Avviso (tipo di avviso) Descrizione Tattiche MITRE (intenzioni) Gravità
Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.InitialAccess)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Accesso iniziale Medio
Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Execution)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer nella sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Esecuzione Medio
Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Persistence)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Persistenza Medio
Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.PrivilegeEscalation)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Escalation dei privilegi Medio
Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.DefenseEvasion)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Evasione delle difese Medio
Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.CredentialAccess)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Accesso tramite credenziali Medio
Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.LateralMovement)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere risorse aggiuntive nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Spostamento laterale Medio
Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Collection)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Raccolta Medio
Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima)
(ARM_AnomalousOperation.Impact)		 Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. Impatto Medio

Inoltre, questi due avvisi di questo piano sono usciti dall'anteprima:

Avviso (tipo di avviso) Descrizione Tattiche MITRE (intenzioni) Gravità
Operazione di Azure Resource Manager da un indirizzo IP sospetto
(ARM_OperationFromSuspiciousIP)		 Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence sulle minacce. Esecuzione Medio
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto
(ARM_OperationFromSuspiciousProxyIP)		 Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. Evasione delle difese Medio

Consigli abilitare i piani di Microsoft Defender nelle aree di lavoro (in anteprima)

Per trarre vantaggio da tutte le funzionalità di sicurezza disponibili da Microsoft Defender per server e Microsoft Defender per SQL nei computer, i piani devono essere abilitati sia nei livelli di sottoscrizione che di area di lavoro.

Quando un computer si trova in una sottoscrizione con uno di questi piani abilitati, verranno addebitate le protezioni complete. Tuttavia, se il computer segnala a un'area di lavoro senza il piano abilitato, questi vantaggi non verranno effettivamente ricevuti.

Sono state aggiunte due raccomandazioni che evidenziano le aree di lavoro senza questi piani abilitati, che tuttavia dispongono di computer che li segnalano dalle sottoscrizioni in cui è abilitato il piano.

Le due raccomandazioni, entrambe offerte da correzione automatica (l'azione "Correzione"), sono:

Suggerimento Descrizione Gravità
Microsoft Defender per server deve essere abilitato nelle aree di lavoro Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux.
Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per server, ma mancano alcuni dei vantaggi.
Quando si abilita Microsoft Defender per server in un'area di lavoro, tutti i computer che segnalano tale area di lavoro verranno fatturati per Microsoft Defender per server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per server nella sottoscrizione, tali computer non saranno in grado di sfruttare l'accesso JITE alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure.
Per altre informazioni, vedere Panoramica di Microsoft Defender per server.
(Nessun criterio correlato)		 Medio
Microsoft Defender per SQL nei computer deve essere abilitato nelle aree di lavoro Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux.
Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per server, ma mancano alcuni dei vantaggi.
Quando si abilita Microsoft Defender per server in un'area di lavoro, tutti i computer che segnalano tale area di lavoro verranno fatturati per Microsoft Defender per server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per server nella sottoscrizione, tali computer non saranno in grado di sfruttare l'accesso JITE alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure.
Per altre informazioni, vedere Panoramica di Microsoft Defender per server.
(Nessun criterio correlato)		 Medio

Effettuare il provisioning automatico dell'agente di Log Analytics nei computer abilitati per Azure Arc (anteprima)

Defender per il cloud usa l'agente di Log Analytics per raccogliere dati correlati alla sicurezza dai computer. L'agente legge varie configurazioni e registri eventi correlati alla sicurezza e copia i dati nell'area di lavoro per l'analisi.

Le impostazioni di provisioning automatico di Defender per il cloud hanno un interruttore per ogni tipo di estensione supportata, incluso l'agente di Log Analytics.

In un'ulteriore espansione delle funzionalità del cloud ibrido, è stata aggiunta un'opzione per il provisioning automatico dell'agente di Log Analytics ai computer connessi ad Azure Arc.

Come per le altre opzioni di provisioning automatico, questa opzione viene configurata a livello di sottoscrizione.

Quando si abilita questa opzione, verrà richiesto di specificare l'area di lavoro.

Nota

Per questa anteprima non è possibile selezionare le aree di lavoro predefinite create da Defender per il cloud. Per assicurarsi di ricevere il set completo di funzionalità di sicurezza disponibili per i server abilitati per Azure Arc, verificare di avere installato la soluzione di sicurezza pertinente nell'area di lavoro selezionata.

Screenshot di come effettuare il provisioning automatico dell'agente di Log Analytics nei computer abilitati per Azure Arc.

Deprecato il consiglio di classificare i dati sensibili nei database SQL

È stata rimossa la raccomandazione Dati sensibili nei database SQL come parte di una revisione del modo in cui Defender per il cloud identifica e protegge la data sensibile nelle risorse cloud.

L'avviso anticipato di questa modifica è apparso negli ultimi sei mesi nella pagina Importanti modifiche imminenti per Microsoft Defender per il cloud.

L'avviso seguente era precedentemente disponibile solo per le organizzazioni che avevano abilitato il piano Microsoft Defender per DNS .

Con questo aggiornamento, verrà visualizzato anche l'avviso per le sottoscrizioni con il piano Microsoft Defender per server o Defender per servizio app abilitato.

Inoltre, Microsoft Threat Intelligence ha ampliato l'elenco di domini dannosi noti per includere domini associati a sfruttare le vulnerabilità ampiamente pubbliche associate a Log4j.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)		 La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. Accesso iniziale/persistenza/esecuzione/comando e controllo/sfruttamento Medio

Pulsante 'Copy alert JSON' aggiunto al riquadro dei dettagli dell'avviso di sicurezza

Per aiutare gli utenti a condividere rapidamente i dettagli di un avviso con altri utenti (ad esempio, analisti SOC, proprietari di risorse e sviluppatori) è stata aggiunta la funzionalità per estrarre facilmente tutti i dettagli di un avviso specifico con un pulsante dal riquadro dei dettagli dell'avviso di sicurezza.

Il nuovo pulsante Copia codice JSON dell'avviso inserisce i dettagli dell'avviso, in formato JSON, negli Appunti dell'utente.

Screenshot del pulsante

Due raccomandazioni rinominate

Per coerenza con altri nomi di raccomandazione, sono stati rinominati i due consigli seguenti:

  • Raccomandazione per risolvere le vulnerabilità individuate nelle immagini del contenitore in esecuzione

    • Nome precedente: è necessario correggere le vulnerabilità nelle immagini del contenitore in esecuzione (con tecnologia Qualys)
    • Nuovo nome: l'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti

  • Raccomandazione per abilitare i log di diagnostica per il servizio app Azure

    • Nome precedente: I log di diagnostica devono essere abilitati in servizio app
    • Nuovo nome: i log di diagnostica in servizio app devono essere abilitati

Deprecare i contenitori del cluster Kubernetes deve essere in ascolto solo sui criteri relativi alle porte consentite

I contenitori del cluster Kubernetes sono deprecati devono essere in ascolto solo sulle porte consentite.

Nome criteri Descrizione Effetti Versione
I contenitori del cluster Kubernetes devono essere in ascolto solo sulle porte consentite Limitare i contenitori per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. Audit, Deny, Disabled 6.1.2

I servizi devono essere in ascolto solo sulle porte consentite devono essere usati per limitare le porte esposte da un'applicazione a Internet.

Aggiunta della cartella di lavoro "Avviso attivo"

Per aiutare gli utenti a comprendere le minacce attive agli ambienti e definire la priorità tra gli avvisi attivi durante il processo di correzione, è stata aggiunta la cartella di lavoro Avvisi attivi.

Screenshot che mostra l'aggiunta della cartella di lavoro Avvisi attivi.

La cartella di lavoro avvisi attivi consente agli utenti di visualizzare un dashboard unificato degli avvisi aggregati in base alla gravità, al tipo, al tag, alle tattiche MITRE ATT&CK e alla posizione. Per altre informazioni, vedere Usare la cartella di lavoro "Avvisi attivi".

Raccomandazione "Aggiornamento del sistema" aggiunta al cloud per enti pubblici

La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" è ora disponibile in tutti i cloud per enti pubblici.

È probabile che questa modifica influirà sul punteggio di sicurezza della sottoscrizione del cloud per enti pubblici. Si prevede che la modifica porti a un punteggio ridotto, ma è possibile che l'inclusione della raccomandazione possa comportare un aumento del punteggio in alcuni casi.

Dicembre 2021

Gli aggiornamenti di dicembre includono:

Piano microsoft Defender per contenitori rilasciato per la disponibilità generale (GA)

Oltre due anni fa, è stato introdotto Defender per Kubernetes e Defender per registri contenitori nell'ambito dell'offerta Azure Defender all'interno di Microsoft Defender per il cloud.

Con il rilascio di Microsoft Defender per contenitori, questi due piani di Defender esistenti sono stati uniti.

Il nuovo piano:

  • Combina le funzionalità dei due piani esistenti: rilevamento delle minacce per i cluster Kubernetes e valutazione della vulnerabilità per le immagini archiviate nei registri contenitori
  • Offre funzionalità nuove e migliorate, tra cui il supporto multicloud, il rilevamento delle minacce a livello di host con oltre sessanta nuove analisi in grado di supportare Kubernetes e la valutazione della vulnerabilità per l'esecuzione di immagini
  • Introduce l'onboarding nativo di Kubernetes su larga scala: per impostazione predefinita, quando si abilita il piano, tutti i componenti pertinenti vengono configurati per essere distribuiti automaticamente

Con questa versione, la disponibilità e la presentazione di Defender per Kubernetes e Defender per i registri contenitori sono state modificate nel modo seguente:

  • Nuove sottoscrizioni: i due piani contenitore precedenti non sono più disponibili
  • Sottoscrizioni esistenti: ovunque vengano visualizzate nella portale di Azure, i piani vengono visualizzati come deprecati con le istruzioni per l'aggiornamento al piano più recenteDefender per registri contenitori e piani di Defender per Kubernetes che mostrano le informazioni di aggiornamento e deprecate.

Il nuovo piano è gratuito per il mese di dicembre 2021. Per le potenziali modifiche alla fatturazione dai piani precedenti a Defender per contenitori e per altre informazioni sui vantaggi introdotti con questo piano, vedere Introduzione a Microsoft Defender per contenitori.

Per altre informazioni, vedi:

Nuovi avvisi per Microsoft Defender per Archiviazione rilasciati per la disponibilità generale

Gli attori delle minacce usano strumenti e script per cercare contenitori aperti pubblicamente nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili.

Microsoft Defender per Archiviazione rileva questi scanner in modo da poterli bloccare e correggere il comportamento.

L'avviso di anteprima che ha rilevato questo è stato denominato "Analisi anonima dei contenitori di archiviazione pubblici". Per fornire maggiore chiarezza sugli eventi sospetti individuati, questo è stato suddiviso in due nuovi avvisi. Questi avvisi sono rilevanti solo per Archiviazione BLOB di Azure.

È stata migliorata la logica di rilevamento, sono stati aggiornati i metadati dell'avviso e sono stati modificati il nome e il tipo di avviso.

Questi sono i nuovi avvisi:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Individuati correttamente i contenitori di archiviazione accessibili pubblicamente
(Archiviazione. Blob_OpenContainersScanning.SuccessfulDiscovery)		 Un'individuazione corretta dei contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Archiviazione Gen2		 Raccolta Medio
Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito
(Archiviazione. Blob_OpenContainersScanning.FailedAttempt)		 Nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente.

Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti.

L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente.

✔ Archiviazione BLOB di Azure
✖ File di Azure
✖ Azure Data Lake Archiviazione Gen2		 Raccolta Basso

Per altre informazioni, vedi:

Miglioramenti agli avvisi per Microsoft Defender per Archiviazione

Gli avvisi di accesso iniziali hanno ora una maggiore precisione e più dati per supportare l'analisi.

Gli attori delle minacce usano varie tecniche nell'accesso iniziale per ottenere un punto di accesso all'interno di una rete. Due degli avvisi di Microsoft Defender per Archiviazione che rilevano anomalie comportamentali in questa fase hanno ora una logica di rilevamento migliorata e dati aggiuntivi per supportare le indagini.

Se in passato sono state configurate le automazione o le regole di eliminazione degli avvisi definite per questi avvisi, aggiornarle in base a queste modifiche.

Rilevamento dell'accesso da un nodo di uscita tor

L'accesso da un nodo di uscita tor potrebbe indicare un attore di minaccia che tenta di nascondere la propria identità.

L'avviso è ora ottimizzato per generare solo per l'accesso autenticato, con una maggiore precisione e confidenza che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo non dannoso.

Un modello outlying avrà una gravità elevata, mentre i modelli meno anomali avranno una gravità media.

Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.

  • Nome avviso (precedente): accesso da un nodo di uscita tor a un account di archiviazione
  • Nome avviso (nuovo): accesso autenticato da un nodo di uscita tor
  • Tipi di avviso: Archiviazione. Blob_TorAnomaly/Archiviazione. Files_TorAnomaly
  • Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Archiviazione Gen2
  • Tattiche MITRE: Accesso iniziale
  • Gravità: alta/media

Accesso non autenticato insolito

Una modifica nei modelli di accesso può indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione, sfruttando un errore nelle configurazioni di accesso o modificando le autorizzazioni di accesso.

Questo avviso di gravità media è ora ottimizzato con una logica comportamentale migliorata, una maggiore accuratezza e la probabilità che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo non dannoso.

Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.

  • Nome avviso (precedente): accesso anonimo a un account di archiviazione
  • Nome avviso (nuovo): accesso non autenticato insolito a un contenitore di archiviazione
  • Tipi di avviso: Archiviazione. Blob_AnonymousAccessAnomaly
  • Descrizione: questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure
  • Tattiche MITRE: Raccolta
  • Gravità: media

Per altre informazioni, vedi:

Avviso 'PortSweeping' rimosso dagli avvisi del livello di rete

L'avviso seguente è stato rimosso dagli avvisi del livello di rete a causa di inefficienze:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Rilevata possibile attività di analisi delle porte in uscita
(PortSweeping)		 L'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso}. Questo traffico può essere il risultato di un'attività di analisi delle porte. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Se questo comportamento è intenzionale, tenere presente che l'esecuzione dell'analisi delle porte è contraria alle condizioni d'uso di Azure. Se questo comportamento non è intenzionale, potrebbe indicare che la risorsa è stata compromessa. Individuazione Medio

Novembre 2021

La versione di Ignite include:

Altre modifiche apportate a novembre includono:

Centro sicurezza di Azure e Azure Defender diventano Microsoft Defender per il cloud

Secondo il report State of the Cloud del 2021, il 92% delle organizzazioni ha ora una strategia multicloud. Microsoft ha l'obiettivo di centralizzare la sicurezza tra ambienti e aiutare i team di sicurezza a lavorare in modo più efficace.

Microsoft Defender per il cloud è una soluzione CWP (Cloud Security Posture Management) e cloud workload protection (CWP) che individua i punti deboli nella configurazione cloud, contribuisce a rafforzare il comportamento di sicurezza complessivo dell'ambiente e protegge i carichi di lavoro in ambienti multicloud e ibridi.

In Ignite 2019 abbiamo condiviso la nostra visione per creare l'approccio più completo per proteggere il digital estate e integrare le tecnologie XDR nel marchio Microsoft Defender. Unificare Centro sicurezza di Azure e Azure Defender con il nuovo nome Microsoft Defender per il cloud riflette le funzionalità integrate dell'offerta di sicurezza e la possibilità di supportare qualsiasi piattaforma cloud.

CSPM nativo per AWS e la protezione dalle minacce per Amazon EKS e AWS EC2

Una nuova pagina delle impostazioni dell'ambiente offre maggiore visibilità e controllo sui gruppi di gestione, le sottoscrizioni e gli account AWS. La pagina è progettata per eseguire l'onboarding degli account AWS su larga scala: connettere l'account di gestione AWS e si eseguirà automaticamente l'onboarding degli account esistenti e futuri.

Usare la pagina delle nuove impostazioni dell'ambiente per connettere gli account AWS.

Dopo aver aggiunto gli account AWS, Defender per il cloud protegge le risorse AWS con uno o tutti i piani seguenti:

  • Le funzionalità CSPM di Defender per il cloud si estendono alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste sono incluse nel punteggio di sicurezza. Verrà anche valutata la conformità delle risorse a standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). Defender per il cloud pagina di inventario delle risorse è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.
  • Microsoft Defender per Kubernetes estende il rilevamento delle minacce dei contenitori e le difese avanzate ai cluster Amazon EKS Linux.
  • Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate nelle istanze di Windows e Linux EC2. Questo piano include la licenza integrata per Microsoft Defender per endpoint, baseline di sicurezza e valutazioni a livello di sistema operativo, analisi della valutazione delle vulnerabilità, controlli applicazioni adattivi (AAC), monitoraggio dell'integrità dei file (FIM) e altro ancora.

Altre informazioni sulla connessione degli account AWS alle Microsoft Defender per il cloud.

Classificare in ordine di priorità le azioni di sicurezza in base alla riservatezza dei dati (basata su Microsoft Purview) (in anteprima)

Le risorse dati rimangono una destinazione comune per gli attori delle minacce. È quindi fondamentale per i team di sicurezza identificare, classificare in ordine di priorità e proteggere le risorse dei dati sensibili nei propri ambienti cloud.

Per risolvere questa sfida, Microsoft Defender per il cloud ora integra le informazioni di riservatezza di Microsoft Purview. Microsoft Purview è un servizio unificato di governance dei dati che fornisce informazioni dettagliate sulla riservatezza dei dati all'interno di carichi di lavoro multicloud e locali.

L'integrazione con Microsoft Purview estende la visibilità della sicurezza in Defender per il cloud dal livello di infrastruttura ai dati, consentendo un modo completamente nuovo per assegnare priorità alle risorse e alle attività di sicurezza per i team di sicurezza.

Per altre informazioni, vedere Definire la priorità delle azioni di sicurezza in base alla riservatezza dei dati.

Valutazioni del controllo di sicurezza espanse con Azure Security Benchmark v3

Le raccomandazioni sulla sicurezza in Defender per il cloud sono supportate da Azure Security Benchmark.

Azure Security Benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.

Da Ignite 2021, Azure Security Benchmark v3 è disponibile nel dashboard di conformità alle normative di Defender per il cloud e abilitato come nuova iniziativa predefinita per tutte le sottoscrizioni di Azure protette con Microsoft Defender per il cloud.

I miglioramenti per v3 includono:

  • Mapping aggiuntivi ai framework di settore PCI-DSS v3.2.1 e CIS Controls v8.

  • Linee guida più granulari e utilizzabili per i controlli con l'introduzione di:

    • Principi di sicurezza: fornisce informazioni dettagliate sugli obiettivi di sicurezza generali che creano le basi per le raccomandazioni.
    • Linee guida di Azure: procedure tecniche per soddisfare questi obiettivi.

  • I nuovi controlli includono la sicurezza devOps per problemi quali la modellazione delle minacce e la sicurezza della supply chain del software, nonché la gestione delle chiavi e dei certificati per le procedure consigliate in Azure.

Per altre informazioni, vedere Introduzione ad Azure Security Benchmark.

Sincronizzazione facoltativa degli avvisi bidirezionali rilasciata per la disponibilità generale (GA) del connettore Microsoft Sentinel

A luglio è stata annunciata una funzionalità di anteprima, la sincronizzazione degli avvisi bidirezionali, per il connettore predefinito in Microsoft Sentinel (soluzione SIEM e SOAR nativa del cloud di Microsoft). Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).

Quando ci si connette Microsoft Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso verrà visualizzato anche come chiuso in Microsoft Sentinel. La modifica dello stato di un avviso in Defender per il cloud non influirà sullo stato di eventuali eventi imprevisti di Microsoft Sentinel che contengono l'avviso sincronizzato di Microsoft Sentinel, solo quello dell'avviso sincronizzato stesso.

Quando si abilita la sincronizzazione degli avvisi bidirezionali, si sincronizzerà automaticamente lo stato degli avvisi Defender per il cloud originali con gli eventi imprevisti di Microsoft Sentinel che contengono le copie di tali avvisi. Ad esempio, quando un evento imprevisto di Microsoft Sentinel contenente un avviso di Defender per il cloud viene chiuso, Defender per il cloud chiuderà automaticamente l'avviso originale corrispondente.

Per altre informazioni, vedere Connessione avvisi di Azure Defender da Centro sicurezza di Azure e Trasmettere avvisi ad Azure Sentinel.

Nuova raccomandazione per il push dei log di servizio Azure Kubernetes (servizio Azure Kubernetes) in Sentinel

In un ulteriore miglioramento del valore combinato di Defender per il cloud e Microsoft Sentinel, verranno ora evidenziate servizio Azure Kubernetes istanze che non inviano dati di log a Microsoft Sentinel.

I team SecOps possono scegliere l'area di lavoro di Microsoft Sentinel pertinente direttamente dalla pagina dei dettagli della raccomandazione e abilitare immediatamente lo streaming dei log non elaborati. Questa facile connessione tra i due prodotti semplifica ai team di sicurezza di garantire la copertura completa della registrazione tra i carichi di lavoro per rimanere al di sopra dell'intero ambiente.

La nuova raccomandazione "I log di diagnostica nei servizi Kubernetes devono essere abilitati" include l'opzione "Correzione" per una correzione più rapida.

È stata migliorata anche la raccomandazione "Il controllo in SQL Server deve essere abilitato" con le stesse funzionalità di streaming di Sentinel.

Consigli mappato al framework MITRE ATT&CK® , rilasciato per la disponibilità generale

Sono stati migliorati i consigli di sicurezza di Defender per il cloud per mostrare la propria posizione nel framework MITRE ATT&CK®. Questa knowledge base accessibile a livello globale delle tattiche e delle tecniche degli attori delle minacce basate su osservazioni reali offre un contesto più ampio per comprendere i rischi associati delle raccomandazioni per l'ambiente.

Queste tattiche sono disponibili ovunque si accassi alle informazioni sulle raccomandazioni:

  • I risultati delle query di Azure Resource Graph per le raccomandazioni pertinenti includono tattiche e tecniche MITRE ATT&CK®.

  • Le pagine dei dettagli delle raccomandazioni mostrano il mapping per tutte le raccomandazioni pertinenti:

  • La pagina raccomandazioni in Defender per il cloud include un nuovo filtro per selezionare le raccomandazioni in base alla tattica associata:

Per altre informazioni, vedere Esaminare le raccomandazioni sulla sicurezza.

Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità - rilasciato per la disponibilità generale (GA)

In ottobre è stata annunciata un'estensione per l'integrazione tra Microsoft Defender per server e Microsoft Defender per endpoint, per supportare un nuovo provider di valutazione della vulnerabilità per i computer: Microsoft gestione di minacce e vulnerabilità. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).

Usare gestione di minacce e vulnerabilità per individuare vulnerabilità e errori di configurazione quasi in tempo reale con l'integrazione con Microsoft Defender per endpoint abilitata e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti nell'organizzazione.

Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.

Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).

Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.

Microsoft Defender per endpoint per Linux ora supportato da Microsoft Defender per server , rilasciato per la disponibilità generale

In agosto è stato annunciato il supporto per l'anteprima per la distribuzione del sensore Defender per endpoint per Linux nei computer Linux supportati. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).

Microsoft Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.

Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender for Cloud. In Defender per il cloud è anche possibile passare alla console di Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco.

Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.

Esportazione di snapshot per raccomandazioni e risultati della sicurezza (in anteprima)

Defender per il cloud genera avvisi di sicurezza dettagliati e raccomandazioni. È possibile visualizzarli nel portale o tramite strumenti programmatici. Potrebbe anche essere necessario esportare alcune o tutte queste informazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente.

la funzionalità di esportazione continua di Defender per il cloud consente di personalizzare completamente ciò che verrà esportato e dove verrà eseguita. Per altre informazioni, vedere Esportazione continua dei dati Microsoft Defender per il cloud.

Anche se la funzionalità è chiamata continua, è anche possibile esportare snapshot settimanali. Fino ad ora, questi snapshot settimanali erano limitati ai dati relativi al punteggio di sicurezza e alla conformità alle normative. È stata aggiunta la funzionalità per esportare raccomandazioni e risultati della sicurezza.

Provisioning automatico delle soluzioni di valutazione della vulnerabilità rilasciate per la disponibilità generale

In ottobre è stata annunciata l'aggiunta di soluzioni di valutazione della vulnerabilità alla pagina di provisioning automatico di Defender per il cloud. Questo è rilevante per le macchine virtuali di Azure e per le macchine virtuali di Azure Arc nelle sottoscrizioni protette da Azure Defender per server. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).

Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:

  • (NUOVO) Il modulo Microsoft gestione di minacce e vulnerabilità di Microsoft Defender per endpoint (vedere la nota sulla versione)
  • Agente Qualys integrato

La soluzione scelta verrà abilitata automaticamente nei computer supportati.

Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.

Filtri di inventario software nell'inventario degli asset rilasciati per la disponibilità generale

In ottobre sono stati annunciati nuovi filtri per la pagina inventario asset per selezionare i computer che eseguono software specifico e anche specificare le versioni di interesse. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).

È possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.

Per usare queste funzionalità, è necessario abilitare l'integrazione con Microsoft Defender per endpoint.

Per informazioni dettagliate, incluse le query Kusto di esempio per Azure Resource Graph, vedere Accedere a un inventario software.

Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa predefinita: per l'uso solo da parte dei clienti di anteprima privata

Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, Defender per il cloud include criteri a livello di Kubernetes e raccomandazioni per la protezione avanzata, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.

Come parte di questo progetto, sono stati aggiunti criteri e raccomandazioni (disabilitati per impostazione predefinita) per la distribuzione tramite gating nei cluster Kubernetes. Il criterio si trova nell'iniziativa predefinita, ma è rilevante solo per le organizzazioni che si registrano per l'anteprima privata correlata.

È possibile ignorare in modo sicuro i criteri e le raccomandazioni ("I cluster Kubernetes devono controllare la distribuzione di immagini vulnerabili") e non vi sarà alcun impatto sull'ambiente.

Se vuoi partecipare all'anteprima privata, dovrai essere un membro dell'anello di anteprima privata. Se non sei già membro, invia una richiesta qui. I membri riceveranno una notifica all'inizio dell'anteprima.

La visualizzazione dell'inventario dei computer locali applica un modello diverso per il nome della risorsa

Per migliorare la presentazione delle risorse nell'inventario asset, è stato rimosso l'elemento "source-computer-IP" dal modello per la denominazione dei computer locali.

  • Formato precedente:machine-name_source-computer-id_VMUUID
  • Da questo aggiornamento:machine-name_VMUUID

Ottobre 2021

Gli aggiornamenti del mese di ottobre includono quanto segue:

Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità (in anteprima)

L'integrazione tra Azure Defender per server e Microsoft Defender per endpoint è stata estesa per supportare un nuovo provider di valutazione delle vulnerabilità per i computer: Microsoft gestione di minacce e vulnerabilità.

Usare gestione di minacce e vulnerabilità per individuare vulnerabilità e errori di configurazione quasi in tempo reale con l'integrazione con Microsoft Defender per endpoint abilitata e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti nell'organizzazione.

Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.

Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).

Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.

Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima)

La pagina di provisioning automatico del Centro sicurezza include ora l'opzione per abilitare automaticamente una soluzione di valutazione delle vulnerabilità per le macchine virtuali di Azure e i computer Azure Arc nelle sottoscrizioni protette da Azure Defender per server.

Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:

  • (NUOVO) Il modulo Microsoft gestione di minacce e vulnerabilità di Microsoft Defender per endpoint (vedere la nota sulla versione)
  • Agente Qualys integrato

Configurare il provisioning automatico delle gestione di minacce e vulnerabilità di Microsoft da Centro sicurezza di Azure.

La soluzione scelta verrà abilitata automaticamente nei computer supportati.

Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.

Filtri di inventario software aggiunti all'inventario asset (in anteprima)

La pagina inventario asset include ora un filtro per selezionare i computer che eseguono software specifico e persino specificare le versioni di interesse.

È anche possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.

Per usare queste nuove funzionalità, è necessario abilitare l'integrazione con Microsoft Defender per endpoint.

Per informazioni dettagliate, incluse le query Kusto di esempio per Azure Resource Graph, vedere Accedere a un inventario software.

Se è stata abilitata la soluzione di minaccia e vulnerabilità, l'inventario delle risorse del Centro sicurezza offre un filtro per selezionare le risorse in base al software installato.

Prefisso modificato di alcuni tipi di avviso da "ARM_" a "VM_"

A luglio 2021 è stata annunciata una riorganizzazione logica degli avvisi di Azure Defender per Resource Manager

Durante la riorganizzazione dei piani di Defender, gli avvisi sono stati spostati da Azure Defender per Resource Manager ad Azure Defender per server.

Con questo aggiornamento sono stati modificati i prefissi di questi avvisi in modo che corrispondano a questa riassegnazione e sostituito "ARM_" con "VM_" come illustrato nella tabella seguente:

Nome originale Da questa modifica
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Altre informazioni sui piani di Azure Defender per Resource Manager e Azure Defender per server .

Modifiche alla logica di una raccomandazione di sicurezza per i cluster Kubernetes

La raccomandazione "I cluster Kubernetes non devono usare lo spazio dei nomi predefinito" impedisce l'utilizzo dello spazio dei nomi predefinito per un intervallo di tipi di risorse. Due dei tipi di risorse inclusi in questa raccomandazione sono stati rimossi: ConfigMap e Secret.

Altre informazioni su questa raccomandazione e sulla protezione avanzata dei cluster Kubernetes sono disponibili in Informazioni Criteri di Azure per i cluster Kubernetes.

Per chiarire le relazioni tra raccomandazioni diverse, è stata aggiunta un'area Raccomandazioni correlate alle pagine dei dettagli di molte raccomandazioni.

I tre tipi di relazione visualizzati in queste pagine sono:

  • Prerequisito : raccomandazione che deve essere completata prima della raccomandazione selezionata.
  • Alternativa: una raccomandazione diversa che offre un altro modo per raggiungere gli obiettivi della raccomandazione selezionata
  • Dipendente: raccomandazione per cui la raccomandazione selezionata costituisce un prerequisito

Per ogni raccomandazione correlata, il numero di risorse non integre è visualizzato nella colonna "Risorse interessate".

Suggerimento

Se una raccomandazione correlata è disattivata, la relativa dipendenza non è ancora stata completata e quindi non è disponibile.

Esempio di raccomandazioni correlate:

  1. Il Centro sicurezza controlla i computer per verificare la presenza di soluzioni di valutazione della vulnerabilità supportate:
    È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali

  2. Se ne viene trovata una, si riceverà una notifica sulle vulnerabilità individuate:
    È consigliabile correggere le vulnerabilità nelle macchine virtuali

Ovviamente, il Centro sicurezza non può notificare le vulnerabilità individuate a meno che non trovi una soluzione di valutazione della vulnerabilità supportata.

Di conseguenza:

  • Raccomandazione n. 1 è un prerequisito per la raccomandazione n. 2
  • La raccomandazione n. 2 dipende dalla raccomandazione n. 1

Screenshot della raccomandazione per distribuire la soluzione di valutazione della vulnerabilità.

Screenshot della raccomandazione per risolvere le vulnerabilità individuate.

Nuovi avvisi per Azure Defender per Kubernetes (in anteprima)

Per espandere le protezioni dalle minacce fornite da Azure Defender per Kubernetes, sono stati aggiunti due avvisi di anteprima.

Questi avvisi vengono generati in base a un nuovo modello di Machine Learning e all'analisi avanzata di Kubernetes, misurando più attributi di assegnazione di distribuzione e ruolo rispetto alle attività precedenti nel cluster e in tutti i cluster monitorati da Azure Defender.

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Distribuzione di pod anomali (anteprima)
(K8S_AnomalousPodDeployment)		 L'analisi dei log di controllo di Kubernetes ha rilevato la distribuzione dei pod anomala, in base all'attività di distribuzione dei pod precedente. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di distribuzione si trovano nelle relazioni tra loro. Le funzionalità monitorate da questa analisi includono il registro immagini del contenitore usato, l'account che esegue la distribuzione, il giorno della settimana, la frequenza con cui questo account esegue le distribuzioni dei pod, l'agente utente usato nell'operazione, è uno spazio dei nomi che si verifica spesso o un'altra funzionalità. I motivi principali che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. Esecuzione Medio
Autorizzazioni di ruolo eccessive assegnate nel cluster Kubernetes (anteprima)
(K8S_ServiceAcountPermissionAnomaly)		 L'analisi dei log di controllo di Kubernetes ha rilevato un'assegnazione di ruolo di autorizzazioni eccessiva al cluster. Esaminando le assegnazioni di ruolo, le autorizzazioni elencate non sono comuni all'account del servizio specifico. Questo rilevamento considera le assegnazioni di ruolo precedenti allo stesso account del servizio tra i cluster monitorati da Azure, dal volume per autorizzazione e dall'impatto dell'autorizzazione specifica. Il modello di rilevamento anomalie usato per questo avviso tiene conto del modo in cui questa autorizzazione viene usata in tutti i cluster monitorati da Azure Defender. Escalation dei privilegi Basso

Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.

Settembre 2021

A settembre è stato rilasciato l'aggiornamento seguente:

Due nuove raccomandazioni per controllare le configurazioni del sistema operativo per la conformità alla baseline di sicurezza di Azure (in anteprima)

Sono state rilasciate le due raccomandazioni seguenti per valutare la conformità dei computer alla baseline di sicurezza di Windows e alla baseline di sicurezza di Linux:

Queste raccomandazioni usano la funzionalità di configurazione guest di Criteri di Azure per confrontare la configurazione del sistema operativo di un computer con la baseline definita in Azure Security Benchmark.

Altre informazioni sull'uso di queste raccomandazioni sono disponibili in Protezione avanzata della configurazione del sistema operativo di un computer usando la configurazione guest.

Agosto 2021

Gli aggiornamenti del mese di agosto includono quanto segue:

Microsoft Defender per endpoint per Linux ora supportato da Azure Defender per server (in anteprima)

Azure Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.

Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene ora mostrato nel Centro sicurezza. Nel Centro sicurezza è anche possibile passare alla console di Microsoft Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco.

Durante il periodo di anteprima, il sensore Defender per endpoint per Linux verrà distribuito nei computer Linux supportati in due modi, a seconda che sia già stato distribuito nei computer Windows:

Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.

Due nuove raccomandazioni per la gestione delle soluzioni di Endpoint Protection (in anteprima)

Sono state aggiunte due raccomandazioni di anteprima per distribuire e gestire le soluzioni di Endpoint Protection nei computer. Entrambe le raccomandazioni includono il supporto per le macchine virtuali e le macchine virtuali di Azure connesse ai server abilitati per Azure Arc.

Suggerimento Descrizione Gravità
Endpoint Protection deve essere installato nei computer Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. Altre informazioni sulla valutazione di Endpoint Protection per i computer.
(Criterio correlato: Monitorare endpoint Protection mancante in Centro sicurezza di Azure)		 Alto
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate qui. La valutazione di Endpoint Protection è documentata qui.
(Criterio correlato: Monitorare endpoint Protection mancante in Centro sicurezza di Azure)		 Medio

Nota

Le raccomandazioni mostrano l'intervallo di aggiornamento come 8 ore, ma esistono alcuni scenari in cui questa operazione potrebbe richiedere molto più tempo. Ad esempio, quando un computer locale viene eliminato, sono necessarie 24 ore prima che il Centro sicurezza identifichi l'eliminazione. Successivamente, la valutazione richiederà fino a 8 ore per restituire le informazioni. In tale situazione specifica, pertanto, potrebbero essere necessarie 32 ore prima che il computer venga rimosso dall'elenco delle risorse interessate.

Indicatore dell'intervallo di aggiornamento per queste due nuove raccomandazioni del Centro sicurezza

Risoluzione dei problemi e linee guida predefinite per la risoluzione dei problemi comuni

Una nuova area dedicata delle pagine del Centro sicurezza nel portale di Azure offre un set di materiali self-help in continua crescita per risolvere le sfide comuni con il Centro sicurezza e Azure Defender.

Quando si verifica un problema o si cercano consigli dal team di supporto, diagnosticare e risolvere i problemi è un altro strumento per trovare la soluzione:

Pagina

Report di controllo di Azure rilasciati per la disponibilità generale (GA) del dashboard di conformità alle normative

La barra degli strumenti del dashboard di conformità alle normative offre report di certificazione di Azure e Dynamics per gli standard applicati alle sottoscrizioni.

Barra degli strumenti del dashboard conformità alle normative che mostra il pulsante per la generazione di report di controllo.

È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.

Per altre informazioni, vedere Generare report e certificati sullo stato di conformità.

Elenchi a schede dei report di Controllo di Azure disponibili. Vengono visualizzate le schede per report ISO, report SOC, PCI e altro ancora.

Raccomandazione deprecata "I problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer"

È stato rilevato che i problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer in modo che influiscano sui punteggi di sicurezza in modo incoerente con l'attenzione di Cloud Security Posture Management (CSPM) del Centro sicurezza.We've found that recommendation Log Analytics agent health issues should be resolved on your machines impacts secure score in ways that are inconsistent with Security Center's Cloud Security Posture Management (CSPM) focus. In genere, CSPM si riferisce all'identificazione di errori di configurazione della sicurezza. I problemi di integrità dell'agente non rientrano in questa categoria di problemi.

Inoltre, la raccomandazione è un'anomalia rispetto agli altri agenti correlati al Centro sicurezza: questo è l'unico agente con una raccomandazione relativa ai problemi di integrità.

La raccomandazione è stata deprecata.

In seguito a questa deprecazione, sono state apportate anche modifiche secondarie alle raccomandazioni per l'installazione dell'agente di Log Analytics (l'agente di Log Analytics deve essere installato in...).

È probabile che questa modifica influirà sul punteggio di sicurezza. Per la maggior parte delle sottoscrizioni, si prevede che la modifica porti a un punteggio maggiore, ma è possibile che gli aggiornamenti alla raccomandazione di installazione comportino una diminuzione dei punteggi in alcuni casi.

Suggerimento

La pagina inventario asset è stata influenzata anche da questa modifica, perché visualizza lo stato monitorato per i computer (monitorato, non monitorato o parzialmente monitorato, ovvero uno stato che fa riferimento a un agente con problemi di integrità).

Azure Defender per registri contenitori include uno scanner di vulnerabilità per analizzare le immagini nei registri Registro Azure Container. Informazioni su come analizzare i registri e correggere i risultati in Usare Azure Defender per i registri contenitori per analizzare le immagini per individuare le vulnerabilità.

Per limitare l'accesso a un registro ospitato in Registro Azure Container, assegnare indirizzi IP privati della rete virtuale agli endpoint del Registro di sistema e usare collegamento privato di Azure come illustrato in Connessione privatamente a un registro contenitori di Azure usando collegamento privato di Azure.

Nell'ambito dei nostri continui sforzi per supportare altri ambienti e casi d'uso, Azure Defender ora analizza anche i registri contenitori protetti con collegamento privato di Azure.

Il Centro sicurezza può ora effettuare il provisioning automatico dell'estensione Configurazione guest di Criteri di Azure (in anteprima)

Criteri di Azure possibile controllare le impostazioni all'interno di un computer, sia per i computer in esecuzione in Azure che nei computer connessi ad Arc. La convalida viene eseguita dall'estensione Configurazione guest e dal client. Per altre informazioni, vedere Informazioni sulla configurazione guest di Criteri di Azure.

Con questo aggiornamento, è ora possibile impostare il Centro sicurezza per effettuare automaticamente il provisioning di questa estensione in tutti i computer supportati.

Abilitare la distribuzione automatica dell'estensione Configurazione guest.

Altre informazioni sul funzionamento del provisioning automatico sono disponibili in Configurare il provisioning automatico per agenti ed estensioni.

Consigli abilitare i piani di Azure Defender ora supportano "Imponi"

Il Centro sicurezza include due funzionalità che consentono di garantire che il provisioning delle risorse appena create venga eseguito in modo sicuro: applicare e negare. Quando una raccomandazione offre queste opzioni, è possibile assicurarsi che i requisiti di sicurezza vengano soddisfatti ogni volta che un utente tenta di creare una risorsa:

  • Nega impedisce la creazione di risorse non integre
  • Applicare la correzione automatica delle risorse non conformi al momento della creazione

Con questo aggiornamento, l'opzione di imposizione è ora disponibile nelle raccomandazioni per abilitare i piani di Azure Defender(ad esempio Azure Defender per servizio app deve essere abilitata, è necessario abilitare Azure Defender per Key Vault, Azure Defender per Archiviazione deve essere abilitato).

Per altre informazioni su queste opzioni, vedere Impedire configurazioni errate con le raccomandazioni Imponi/Nega.

Esportazioni CSV dei dati delle raccomandazioni ora limitate a 20 MB

Durante l'esportazione dei dati delle raccomandazioni del Centro sicurezza viene previsto un limite di 20 MB.

Pulsante

Se è necessario esportare grandi quantità di dati, usare i filtri disponibili prima di selezionare o selezionare subset delle sottoscrizioni e scaricare i dati in batch.

Filtro delle sottoscrizioni nel portale di Azure.

Altre informazioni sull'esecuzione di un'esportazione CSV delle raccomandazioni sulla sicurezza.

Consigli pagina include ora più visualizzazioni

La pagina delle raccomandazioni include ora due schede per fornire modi alternativi per visualizzare le raccomandazioni rilevanti per le risorse:

  • Raccomandazioni per il punteggio di sicurezza : usare questa scheda per visualizzare l'elenco di raccomandazioni raggruppate in base al controllo di sicurezza. Altre informazioni su questi controlli sono disponibili in Controlli di sicurezza e i relativi consigli.
  • Tutti i consigli : usare questa scheda per visualizzare l'elenco di raccomandazioni come elenco semplice. Questa scheda è utile anche per comprendere quale iniziativa (inclusi gli standard di conformità alle normative) ha generato la raccomandazione. Altre informazioni sulle iniziative e sulla relazione con le raccomandazioni in Che cosa sono i criteri, le iniziative e le raccomandazioni per la sicurezza?

Schede per modificare la visualizzazione dell'elenco di raccomandazioni in Centro sicurezza di Azure.

Luglio 2021

Gli aggiornamenti del mese di luglio includono quanto segue:

Il connettore Azure Sentinel include ora la sincronizzazione degli avvisi bidirezionali facoltativa (in anteprima)

Il Centro sicurezza si integra in modo nativo con Azure Sentinel, la soluzione SIEM e SOAR nativa del cloud di Azure.

Azure Sentinel include connettori predefiniti per Centro sicurezza di Azure a livello di sottoscrizione e tenant. Per altre informazioni, vedere Trasmettere avvisi ad Azure Sentinel.

Quando si connette Azure Defender ad Azure Sentinel, lo stato degli avvisi di Azure Defender inseriti in Azure Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Azure Defender, tale avviso verrà visualizzato anche come chiuso in Azure Sentinel. La modifica dello stato di un avviso in Azure Defender "non"* influisce sullo stato di tutti gli eventi imprevisti di Azure Sentinel che contengono l'avviso di Azure Sentinel sincronizzato, solo quello dell'avviso sincronizzato stesso.

Quando si abilita la sincronizzazione degli avvisi bidirezionali della funzionalità di anteprima, sincronizza automaticamente lo stato degli avvisi originali di Azure Defender con gli eventi imprevisti di Azure Sentinel che contengono copie di tali avvisi di Azure Defender. Ad esempio, quando viene chiuso un evento imprevisto di Azure Sentinel contenente un avviso di Azure Defender, Azure Defender chiuderà automaticamente l'avviso originale corrispondente.

Per altre informazioni, vedere Connessione avvisi di Azure Defender da Centro sicurezza di Azure.

Riorganizzazione logica degli avvisi di Azure Defender per Resource Manager

Gli avvisi elencati di seguito sono stati forniti come parte del piano di Azure Defender per Resource Manager .

Come parte di una riorganizzazione logica di alcuni dei piani di Azure Defender, sono stati spostati alcuni avvisi da Azure Defender per Resource Manager ad Azure Defender per server.

Gli avvisi sono organizzati in base a due principi principali:

  • Gli avvisi che forniscono la protezione del piano di controllo, in molti tipi di risorse di Azure, fanno parte di Azure Defender per Resource Manager
  • Gli avvisi che proteggono carichi di lavoro specifici si trovano nel piano di Azure Defender correlato al carico di lavoro corrispondente

Questi sono gli avvisi che fanno parte di Azure Defender per Resource Manager e che, in seguito a questa modifica, fanno ora parte di Azure Defender per server:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Altre informazioni sui piani di Azure Defender per Resource Manager e Azure Defender per server .

Miglioramenti alla raccomandazione per abilitare Crittografia dischi di Azure (ADE)

Dopo il feedback degli utenti, è stata rinominata la raccomandazione Crittografia disco deve essere applicata alle macchine virtuali.

La nuova raccomandazione usa lo stesso ID di valutazione e viene chiamato Macchine virtuali deve crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione.

La descrizione è stata aggiornata anche per spiegare meglio lo scopo di questa raccomandazione di protezione avanzata:

Suggerimento Descrizione Gravità
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Per altre informazioni, vedere il confronto di diverse tecnologie di crittografia dei dischi in Azure.
Usare Crittografia dischi di Azure per crittografare tutti i dati. Ignorare questa raccomandazione se (1) si usa la funzionalità di crittografia at-host o (2) crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione.		 Alto

Esportazione continua dei dati relativi al punteggio di sicurezza e alla conformità alle normative rilasciati per la disponibilità generale

L'esportazione continua fornisce il meccanismo per esportare gli avvisi di sicurezza e le raccomandazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente in uso.

Quando si configura l'esportazione continua, si configurano gli elementi esportati e dove verrà eseguito. Altre informazioni sono disponibili nella panoramica dell'esportazione continua.

Questa funzionalità è stata migliorata ed espansa nel tempo:

Con questo aggiornamento, queste due opzioni vengono rilasciate per la disponibilità generale .With this update, these two options are released for general availability (GA).

Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (GA)

Nel mese di febbraio 2021 è stato aggiunto un terzo tipo di dati di anteprima alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative. Per altre informazioni, vedere Automazione del flusso di lavoro che può essere attivata dalle modifiche alle valutazioni di conformità alle normative.

Con questo aggiornamento, questa opzione di trigger viene rilasciata per la disponibilità generale .With this update, this trigger option is released for general availability (GA).

Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.

Uso delle modifiche alle valutazioni di conformità alle normative per attivare un'automazione del flusso di lavoro.

Il campo API Valutazioni 'FirstEvaluationDate' e 'StatusChangeDate' ora disponibile negli schemi dell'area di lavoro e nelle app per la logica

Nel maggio 2021 l'API di valutazione è stata aggiornata con due nuovi campi, FirstEvaluationDate e StatusChangeDate. Per informazioni dettagliate, vedere API Valutazioni espansa con due nuovi campi.

Questi campi sono stati accessibili tramite l'API REST, Azure Resource Graph, l'esportazione continua e le esportazioni CSV.

Con questa modifica, le informazioni sono disponibili nello schema dell'area di lavoro Log Analytics e dalle app per la logica.

A marzo è stata annunciata l'esperienza integrata cartelle di lavoro di Monitoraggio di Azure nel Centro sicurezza (vedere Cartelle di lavoro di Monitoraggio di Azure integrate nel Centro sicurezza e tre modelli forniti).

La versione iniziale include tre modelli per creare report dinamici e visivi sul comportamento di sicurezza dell'organizzazione.

È stata aggiunta una cartella di lavoro dedicata al monitoraggio della conformità di una sottoscrizione agli standard normativi o di settore applicati.

Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report interattivi avanzati dei dati del Centro sicurezza.

conformità di Centro sicurezza di Azure nel tempo della cartella di lavoro

Giugno 2021

Gli aggiornamenti del mese di giugno includono quanto segue:

Nuovo avviso per Azure Defender per Key Vault

Per espandere le protezioni dalle minacce fornite da Azure Defender per Key Vault, è stato aggiunto l'avviso seguente:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi
(KV_SuspiciousIPAccess)		 Un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò può indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. Per altre informazioni, vedere Funzionalità dell'intelligence sulle minacce di Microsoft. Accesso tramite credenziali Medio

Per altre informazioni, vedi:

Consigli per crittografare con chiavi gestite dal cliente (CMK) disabilitate per impostazione predefinita

Il Centro sicurezza include più raccomandazioni per crittografare i dati inattivi con chiavi gestite dal cliente, ad esempio:

  • I registri contenitori devono essere crittografati con una chiave gestita dal cliente
  • Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente

I dati in Azure vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso delle chiavi gestite dal cliente deve essere applicato solo quando necessario per la conformità a un criterio specifico che l'organizzazione sceglie di applicare.

Con questa modifica, le raccomandazioni per l'uso dei cmk sono ora disabilitate per impostazione predefinita. Quando pertinente per l'organizzazione, è possibile abilitarli modificando il parametro Effect per i criteri di sicurezza corrispondenti in AuditIfNotExists o Enforce. Per altre informazioni, vedere Abilitare una raccomandazione di sicurezza.

Questa modifica si riflette nei nomi della raccomandazione con un nuovo prefisso [ Abilita se necessario], come illustrato negli esempi seguenti:

  • [Abilita se necessario] Archiviazione account devono usare la chiave gestita dal cliente per crittografare i dati inattivi
  • [Abilita se necessario] I registri contenitori devono essere crittografati con una chiave gestita dal cliente
  • [Abilita se necessario] Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi

Le raccomandazioni cmk del Centro sicurezza verranno disabilitate per impostazione predefinita.

Il prefisso per gli avvisi kubernetes è stato modificato da "AKS_" a "K8S_"

Azure Defender per Kubernetes è stato recentemente espanso per proteggere i cluster Kubernetes ospitati in locale e in ambienti multicloud. Per altre informazioni, vedere Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima).

Per riflettere il fatto che gli avvisi di sicurezza forniti da Azure Defender per Kubernetes non sono più limitati ai cluster in servizio Azure Kubernetes, è stato modificato il prefisso per i tipi di avviso da "AKS_" a "K8S_". Se necessario, anche i nomi e le descrizioni sono stati aggiornati. Ad esempio, questo avviso:

Avviso (tipo di avviso) Descrizione
Rilevato lo strumento di test di penetrazione kubernetes
(servizio Azure Kubernetes_PenTestToolsKubeHunter)		 L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes . Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi.

è stato modificato in:

Avviso (tipo di avviso) Descrizione
Rilevato lo strumento di test di penetrazione kubernetes
(K8S_PenTestToolsKubeHunter)		 L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione Kubernetes nel cluster Kubernetes . Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi.

Tutte le regole di eliminazione che fanno riferimento agli avvisi che iniziano "AKS_" vengono convertite automaticamente. Se sono state configurate le esportazioni SIEM o script di automazione personalizzati che fanno riferimento agli avvisi kubernetes per tipo di avviso, sarà necessario aggiornarli con i nuovi tipi di avviso.

Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.

Due raccomandazioni deprecate dal controllo di sicurezza "Applica aggiornamenti di sistema"

Sono state deprecate le due raccomandazioni seguenti:

  • La versione del sistema operativo deve essere aggiornata per i ruoli del servizio cloud: per impostazione predefinita, Azure aggiorna periodicamente il sistema operativo guest all'immagine supportata più recente all'interno della famiglia di sistemi operativi specificata nella configurazione del servizio (.cscfg), ad esempio Windows Server 2016.
  • I servizi Kubernetes devono essere aggiornati a una versione Kubernetes non vulnerabile: le valutazioni di questa raccomandazione non sono così ampie come si vuole che siano disponibili. Si prevede di sostituire la raccomandazione con una versione avanzata più adatta alle esigenze di sicurezza.

Maggio 2021

Gli aggiornamenti del mese di maggio includono quanto segue:

Azure Defender per DNS e Azure Defender per Resource Manager rilasciato per la disponibilità generale

Questi due piani di protezione dalle minacce nativi del cloud sono ora disponibili a livello generale.

Queste due nuove funzionalità migliorano notevolmente la resilienza dell'ambiente contro attacchi e minacce, oltre ad aumentare sensibilmente il numero di risorse di Azure protette da Azure Defender.

Per semplificare il processo di abilitazione di questi piani, usare le raccomandazioni:

  • Azure Defender per Resource Manager deve essere abilitato
  • Azure Defender per DNS deve essere abilitato

Nota

L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.

Azure Defender per database relazionali open source rilasciati per la disponibilità generale

Centro sicurezza di Azure espande l'offerta per la protezione SQL con un nuovo bundle per coprire i database relazionali open source:

  • Azure Defender per i server di database SQL di Azure: protegge i sistemi SQL Server nativi di Azure
  • Azure Defender per i server SQL nei computer: estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali
  • Azure Defender per database relazionali open source: protegge i server singoli di Database di Azure per MySQL, PostgreSQL e MariaDB

Azure Defender per database relazionali open source monitora costantemente i server per individuare le minacce alla sicurezza e rileva attività anomale del database che indicano potenziali minacce per Database di Azure per MySQL, PostgreSQL e MariaDB. Alcuni esempi sono:

  • Rilevamento granulare degli attacchi di forza bruta: Azure Defender per database relazionali open source fornisce informazioni dettagliate sui tentativi e sugli attacchi di forza bruta riusciti. In questo modo è possibile analizzare e rispondere con una comprensione più completa della natura e dello stato dell'attacco nell'ambiente.
  • Rilevamento degli avvisi comportamentali: Azure Defender per i database relazionali open source segnala comportamenti sospetti e imprevisti nei server, ad esempio le modifiche nel modello di accesso al database.
  • Rilevamento basato sull'intelligence sulle minacce: Azure Defender applica l'intelligence sulle minacce di Microsoft e una vasta knowledge base per visualizzare gli avvisi sulle minacce in modo da poterli agire contro di essi.

Per altre informazioni, vedere Introduzione ad Azure Defender per database relazionali open source.

Nuovi avvisi per Azure Defender per Resource Manager

Per espandere le protezioni dalle minacce fornite da Azure Defender per Resource Manager, sono stati aggiunti gli avvisi seguenti:

Avviso (tipo di avviso) Descrizione Tattiche MITRE Gravità
Autorizzazioni concesse per un ruolo controllo degli accessi in base al ruolo in modo insolito per l'ambiente di Azure (anteprima)
(ARM_AnomalousRBACRoleAssignment)		 Azure Defender per Resource Manager ha rilevato un'assegnazione di ruolo controllo degli accessi in base al ruolo insolita rispetto ad altre assegnazioni eseguite dallo stesso assegnatare/eseguito per lo stesso assegnatario/nel tenant a causa delle anomalie seguenti: tempo di assegnazione, posizione dell'assegnatare, assegnazione, metodo di autenticazione, entità assegnate, software client usato, extent di assegnazione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore di minaccia sta tentando di concedere le autorizzazioni a un account utente aggiuntivo di cui è proprietario. Movimento laterale, evasione della difesa Medio
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima)
(ARM_PrivilegedRoleDefinitionCreation)		 Azure Defender per Resource Manager ha rilevato una creazione sospetta della definizione del ruolo personalizzato con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento. Movimento laterale, evasione della difesa Basso
Operazione di Azure Resource Manager da un indirizzo IP sospetto (anteprima)
(ARM_OperationFromSuspiciousIP)		 Azure Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce. Esecuzione Medio
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto (anteprima)
(ARM_OperationFromSuspiciousProxyIP)		 Azure Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. Evasione delle difese Medio

Per altre informazioni, vedi:

Analisi delle vulnerabilità CI/CD delle immagini del contenitore con flussi di lavoro GitHub e Azure Defender (anteprima)

Azure Defender per i registri contenitori offre ora ai team DevSecOps l'osservabilità nei flussi di lavoro di GitHub Actions.

La nuova funzionalità di analisi delle vulnerabilità per le immagini del contenitore, che usa Trivy, consente di analizzare le vulnerabilità comuni nelle immagini del contenitore prima di eseguire il push delle immagini nei registri contenitori.

I report di analisi dei contenitori sono riepilogati in Centro sicurezza di Azure, offrendo ai team di sicurezza informazioni e informazioni migliori sull'origine delle immagini dei contenitori vulnerabili e sui flussi di lavoro e i repository da cui provengono.

Per altre informazioni, vedere Identificare le immagini dei contenitori vulnerabili nei flussi di lavoro CI/CD.

Altre query di Resource Graph disponibili per alcune raccomandazioni

Tutte le raccomandazioni del Centro sicurezza hanno la possibilità di visualizzare le informazioni sullo stato delle risorse interessate usando Azure Resource Graph dalla query Apri. Per informazioni dettagliate su questa potente funzionalità, vedere Esaminare i dati delle raccomandazioni in Azure Resource Graph Explorer (ARG).

Il Centro sicurezza include scanner di vulnerabilità predefiniti per analizzare le macchine virtuali, i server SQL e i relativi host e i registri contenitori per individuare le vulnerabilità di sicurezza. I risultati vengono restituiti come raccomandazioni con tutti i singoli risultati per ogni tipo di risorsa raccolti in una singola visualizzazione. Le raccomandazioni sono:

  • È consigliabile correggere le vulnerabilità delle immagini del Registro Azure Container (con tecnologia Qualys)
  • È consigliabile correggere le vulnerabilità nelle macchine virtuali
  • I risultati delle vulnerabilità devono essere risolti nei database SQL
  • I risultati della vulnerabilità nei server SQL nei computer devono essere risolti

Con questa modifica, è possibile usare il pulsante Apri query per aprire anche la query che mostra i risultati della sicurezza.

Il pulsante Apri query offre ora opzioni per una query più approfondita che mostra i risultati della sicurezza per le raccomandazioni correlate allo scanner di vulnerabilità.

Il pulsante Apri query offre opzioni aggiuntive per altre raccomandazioni, se pertinenti.

Altre informazioni sugli scanner di vulnerabilità del Centro sicurezza:

Gravità della raccomandazione per la classificazione dei dati SQL modificata

La gravità della raccomandazione Dati sensibili nei database SQL deve essere classificata è stata modificata da Alta a Bassa.

Questa è una modifica continua a questa raccomandazione annunciata nella pagina delle modifiche imminenti.

Nuove raccomandazioni per abilitare le funzionalità di avvio attendibili (in anteprima)

Azure offre un avvio affidabile come un modo semplice per migliorare la sicurezza delle macchine virtuali di seconda generazione . L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure.

Importante

L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.

L'avvio attendibile è attualmente disponibile in anteprima pubblica. L'anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.

La raccomandazione del Centro sicurezza, vTPM deve essere abilitata nelle macchine virtuali supportate, garantisce che le macchine virtuali di Azure usino un vTPM. Questa versione virtualizzata di un modulo trusted platform hardware consente l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).

Con vTPM abilitato, l'estensione Attestazione guest può convalidare in remoto l'avvio protetto. Le raccomandazioni seguenti assicurano che questa estensione venga distribuita:

  • L'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate
  • L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate
  • L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali di Windows supportati
  • L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate
  • L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati

Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure.

Nuove raccomandazioni per la protezione avanzata dei cluster Kubernetes (in anteprima)

I consigli seguenti consentono di rafforzare ulteriormente i cluster Kubernetes

  • I cluster Kubernetes non devono usare lo spazio dei nomi predefinito: per evitare accessi non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount, impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes.
  • I cluster Kubernetes devono disabilitare le credenziali API di montaggio automatico: per evitare che una risorsa pod potenzialmente compromessa esegua comandi API nei cluster Kubernetes, disabilitare il montaggio automatico delle credenziali API.
  • I cluster Kubernetes non devono concedere funzionalità di sicurezza C piattaforma di strumenti analitici YSADMIN

Informazioni su come il Centro sicurezza può proteggere gli ambienti in contenitori nella sicurezza dei contenitori nel Centro sicurezza.

API Valutazioni espansa con due nuovi campi

All'API REST Valutazioni sono stati aggiunti i due campi seguenti:

  • FirstEvaluationDate : ora di creazione e valutazione della raccomandazione. Restituito come ora UTC in formato ISO 8601.
  • StatusChangeDate : ora dell'ultima modifica dello stato della raccomandazione. Restituito come ora UTC in formato ISO 8601.

Il valore predefinito iniziale per questi campi, per tutte le raccomandazioni, è 2021-03-14T00:00:00+0000000Z.

Per accedere a queste informazioni, è possibile usare uno dei metodi riportati nella tabella seguente.

Tool Dettagli
Chiamata API REST GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Esportazione continua I due campi dedicati saranno disponibili per i dati dell'area di lavoro Log Analytics
Esportazione CSV I due campi sono inclusi nei file CSV

Altre informazioni sull'API REST Valutazioni.

L'inventario degli asset ottiene un filtro dell'ambiente cloud

La pagina inventario asset del Centro sicurezza offre molti filtri per perfezionare rapidamente l'elenco delle risorse visualizzate. Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.

Un nuovo filtro offre la possibilità di perfezionare l'elenco in base agli account cloud connessi alle funzionalità multicloud del Centro sicurezza:

Filtro dell'ambiente dell'inventario

Altre informazioni sulle funzionalità multicloud:

Aprile 2021

Gli aggiornamenti del mese di aprile includono quanto segue:

Pagina Integrità risorse aggiornata (in anteprima)

Integrità risorse è stata espansa, migliorata e migliorata per offrire una visualizzazione snapshot dell'integrità complessiva di una singola risorsa.

È possibile esaminare informazioni dettagliate sulla risorsa e tutte le raccomandazioni applicabili a tale risorsa. Inoltre, se si usano i piani di protezione avanzata di Microsoft Defender, è possibile visualizzare anche gli avvisi di sicurezza in sospeso per tale risorsa specifica.

Per aprire la pagina integrità risorse per una risorsa, selezionare una risorsa nella pagina inventario asset.

Questa pagina di anteprima nelle pagine del portale del Centro sicurezza mostra:

  1. Informazioni sulle risorse: il gruppo di risorse e la sottoscrizione a cui è collegato, alla posizione geografica e altro ancora.
  2. Funzionalità di sicurezza applicata: indica se Azure Defender è abilitato per la risorsa.
  3. Conteggio di raccomandazioni e avvisi in sospeso: numero di raccomandazioni sulla sicurezza in sospeso e avvisi di Azure Defender.
  4. Raccomandazioni e avvisi interattivi: due schede elencano le raccomandazioni e gli avvisi che si applicano alla risorsa.

pagina di integrità delle risorse di Centro sicurezza di Azure che mostra le informazioni sull'integrità per una macchina virtuale

Per altre informazioni, vedere Esercitazione: Analizzare l'integrità delle risorse.

Le immagini del registro contenitori di cui è stato eseguito il pull di recente vengono ora riescante settimanalmente (rilasciate per la disponibilità generale))

Azure Defender per registri contenitori include uno scanner di vulnerabilità predefinito. Questo scanner analizza immediatamente tutte le immagini di cui esegui il push nel registro e qualsiasi immagine estratta negli ultimi 30 giorni.

Le nuove vulnerabilità vengono individuate ogni giorno. Con questo aggiornamento, le immagini del contenitore estratte dai registri negli ultimi 30 giorni verranno riescante ogni settimana. In questo modo si garantisce che le vulnerabilità appena individuate vengano identificate nelle immagini.

L'analisi viene addebitata per ogni immagine, quindi non sono previsti costi aggiuntivi per queste analisi.

Altre informazioni su questo scanner sono disponibili in Usare Azure Defender per i registri contenitori per analizzare le immagini per individuare le vulnerabilità.

Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima)

Azure Defender per Kubernetes espande le funzionalità di protezione dalle minacce per difendere i cluster ovunque vengano distribuiti. Questa funzionalità è stata abilitata tramite l'integrazione con Kubernetes abilitato per Azure Arc e le nuove funzionalità delle estensioni.

Dopo aver abilitato Azure Arc nei cluster non Azure Kubernetes, è disponibile una nuova raccomandazione di Centro sicurezza di Azure per distribuire l'agente di Azure Defender in questi cluster con pochi clic.

Usare la raccomandazione (i cluster Kubernetes abilitati per Azure Arc devono avere l'estensione di Azure Defender installata) e l'estensione per proteggere i cluster Kubernetes distribuiti in altri provider di servizi cloud, anche se non nei servizi Kubernetes gestiti.

Questa integrazione tra Centro sicurezza di Azure, Azure Defender e Kubernetes con abilitazione di Azure Arc offre:

  • Provisioning semplice dell'agente di Azure Defender in cluster Kubernetes abilitati per Azure Arc (manualmente e su larga scala)
  • Monitoraggio dell'agente di Azure Defender e del relativo stato di provisioning dal portale di Azure Arc
  • Le raccomandazioni sulla sicurezza del Centro sicurezza vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
  • Le minacce alla sicurezza identificate da Azure Defender vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
  • I cluster Kubernetes abilitati per Azure Arc sono integrati nella piattaforma e nell'esperienza di Centro sicurezza di Azure

Per altre informazioni, vedere Usare Azure Defender per Kubernetes con i cluster Kubernetes locali e multicloud.

Centro sicurezza di Azure consiglio di distribuire l'agente di Azure Defender per i cluster Kubernetes abilitati per Azure Arc.

Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Desktop virtuale Windows rilasciato per la disponibilità generale

Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Fornisce gestione delle vulnerabilità e valutazione basati sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.

Quando si abilita Azure Defender per server che esegue Windows Server, viene inclusa una licenza per Defender per endpoint con il piano. Se Azure Defender per server è già stato abilitato e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.

Il supporto è stato ampliato per includere Windows Server 2019 e Windows 10 in Desktop virtuale Windows.

Nota

Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Abilitare l'integrazione Microsoft Defender per endpoint.

Consigli abilitare Azure Defender per DNS e Resource Manager (in anteprima)

Sono state aggiunte due nuove raccomandazioni per semplificare il processo di abilitazione di Azure Defender per Resource Manager e Azure Defender per DNS:

  • Azure Defender per Resource Manager deve essere abilitato : Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette.
  • Azure Defender per DNS deve essere abilitato : Defender per DNS offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisa l'utente dell'attività sospetta a livello DNS.

L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.

Suggerimento

Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.

Sono stati aggiunti tre standard di conformità alle normative: Azure CIS 1.3.0, CMMC Livello 3 e ISM Nuova Zelanda con restrizioni

Sono stati aggiunti tre standard per l'uso con Centro sicurezza di Azure. Usando il dashboard di conformità alle normative, è ora possibile tenere traccia della conformità con:

È possibile assegnarli alle sottoscrizioni come descritto in Personalizzare il set di standard nel dashboard di conformità alle normative.

Tre standard aggiunti per l'uso con il dashboard di conformità alle normative di Centro sicurezza di Azure.

Altre informazioni sono disponibili in:

I report dell'estensione Configurazione guest di Azure al Centro sicurezza consentono di assicurarsi che le impostazioni guest delle macchine virtuali siano avanzate. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc. L'estensione richiede un'identità gestita dal sistema nel computer.

Sono state aggiunte quattro nuove raccomandazioni al Centro sicurezza per sfruttare al meglio questa estensione.

  • Due raccomandazioni richiedono di installare l'estensione e la relativa identità gestita dal sistema:

    • L'estensione configurazione guest deve essere installata nei computer
    • L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema

  • Quando l'estensione è installata e in esecuzione, inizierà a controllare i computer e verrà richiesto di applicare la protezione avanzata delle impostazioni, ad esempio la configurazione del sistema operativo e delle impostazioni dell'ambiente. Questi due consigli richiederanno di rafforzare la protezione avanzata dei computer Windows e Linux come descritto:

    • Windows Defender Exploit Guard deve essere abilitato nei computer
    • L'autenticazione nei computer Linux deve richiedere chiavi SSH

Per altre informazioni, vedere Informazioni sulla configurazione guest di Criteri di Azure.

Raccomandazioni cmk spostate nel controllo della sicurezza delle procedure consigliate

Il programma di sicurezza di ogni organizzazione include i requisiti di crittografia dei dati. Per impostazione predefinita, i dati dei clienti di Azure vengono crittografati inattivi con chiavi gestite dal servizio. Tuttavia, le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. I cmk consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. Ciò offre il controllo completo e la responsabilità per il ciclo di vita chiave, inclusa la rotazione e la gestione.

i controlli di sicurezza di Centro sicurezza di Azure sono gruppi logici di raccomandazioni sulla sicurezza correlate e riflettono le superfici di attacco vulnerabili. Ogni controllo ha un numero massimo di punti che è possibile aggiungere al punteggio di sicurezza se si corregge tutte le raccomandazioni elencate nel controllo, per tutte le risorse. Il controllo di sicurezza implementa le procedure consigliate per la sicurezza vale zero punti. Pertanto, le raccomandazioni in questo controllo non influiscono sul punteggio di sicurezza.

Le raccomandazioni elencate di seguito vengono spostate nel controllo implementa le procedure consigliate per la sicurezza per riflettere meglio la natura facoltativa. Questo spostamento garantisce che queste raccomandazioni siano nel controllo più appropriato per soddisfare l'obiettivo.

  • Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
  • Gli account dei servizi di intelligenza artificiale di Azure devono abilitare la crittografia dei dati con una chiave gestita dal cliente
  • I registri contenitori devono essere crittografati con una chiave gestita dal cliente
  • Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
  • Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia

Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.

11 Avvisi di Azure Defender deprecati

Gli undici avvisi di Azure Defender elencati di seguito sono stati deprecati.

  • I nuovi avvisi sostituiranno questi due avvisi e forniranno una migliore copertura:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo ANTEPRIMA - È stata rilevata l'esecuzione della funzione "Get-AzureDomainInfo" del toolkit MicroBurst
    ARM_MicroBurstRunbook ANTEPRIMA - È stata rilevata l'esecuzione della funzione "Get-AzurePasswords" del toolkit MicroBurst

  • Questi nove avvisi sono correlati a un connettore Azure Active Directory Identity Protection (IPC) già deprecato:

    AlertType AlertDisplayName
    Non familiareLocation Proprietà di accesso insolite
    AnonymousLogin Indirizzo IP anonimo
    InfectedDeviceLogin Indirizzo IP collegato a malware
    ImpossibleGuide Spostamento fisico atipico
    MaliciousIP Indirizzo IP dannoso
    LeakedCredentials Credenziali perse
    PasswordSpray Password Spraying
    LeakedCredentials Intelligence per le minacce di Azure AD
    AADAI Intelligenza artificiale di Azure AD

    Suggerimento

    Questi nove avvisi IPC non sono mai stati avvisi del Centro sicurezza. Fanno parte del connettore Azure Active Directory (AAD) Identity Protection (IPC) che li inviava al Centro sicurezza. Negli ultimi due anni, gli unici clienti che hanno visto tali avvisi sono le organizzazioni che hanno configurato l'esportazione (dal connettore al Centro sicurezza di Azure) nel 2019 o versioni precedenti. AAD IPC ha continuato a visualizzarli nei propri sistemi di avvisi e hanno continuato a essere disponibili in Azure Sentinel. L'unica modifica è che non vengono più visualizzate nel Centro sicurezza.

Due raccomandazioni del controllo di sicurezza "Applica aggiornamenti di sistema" sono state deprecate

Le due raccomandazioni seguenti sono state deprecate e le modifiche potrebbero comportare un lieve impatto sul punteggio di sicurezza:

  • È consigliabile riavviare i computer per applicare gli aggiornamenti del sistema
  • L'agente di monitoraggio deve essere installato nei computer. Questa raccomandazione riguarda solo i computer locali e alcune delle relative logiche verranno trasferite a un'altra raccomandazione. I problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer

È consigliabile controllare le configurazioni di automazione del flusso di lavoro ed esportazione continua per verificare se sono incluse in tali configurazioni. Inoltre, tutti i dashboard o altri strumenti di monitoraggio che potrebbero usarli devono essere aggiornati di conseguenza.

Altre informazioni su queste raccomandazioni sono disponibili nella pagina di riferimento per le raccomandazioni sulla sicurezza.

Riquadro di Azure Defender per SQL nel computer rimosso dal dashboard di Azure Defender

L'area di copertura del dashboard di Azure Defender include riquadri per i piani di Azure Defender pertinenti per l'ambiente. A causa di un problema con la segnalazione dei numeri di risorse protette e non protette, è stato deciso di rimuovere temporaneamente lo stato di copertura delle risorse per Azure Defender per SQL nei computer fino a quando il problema non viene risolto.

Ventidue raccomandazioni spostate tra i controlli di sicurezza

Le raccomandazioni seguenti sono state spostate in controlli di sicurezza diversi. I controlli di sicurezza sono gruppi logici di raccomandazioni sulla sicurezza correlate e riflettono le superfici di attacco vulnerabili. Questo spostamento garantisce che ognuna di queste raccomandazioni sia nel controllo più appropriato per soddisfare l'obiettivo.

Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.

Elemento consigliato Modifica e impatto
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL
È consigliabile abilitare la valutazione della vulnerabilità nelle istanze gestite di SQL
Le vulnerabilità nei database SQL devono essere risolte nuove
Le vulnerabilità nei database SQL delle macchine virtuali devono essere corrette		 Spostamento dalle vulnerabilità di correzione (vale 6 punti)
per correggere le configurazioni di sicurezza (vale quattro punti).
A seconda dell'ambiente, queste raccomandazioni avranno un impatto ridotto sul punteggio.
Alla sottoscrizione deve essere assegnato più di un proprietario
Le variabili dell'account di automazione devono essere crittografate
Dispositivi IoT - Processo controllato interrotto l'invio di eventi
Dispositivi IoT - Errore di convalida della baseline del sistema operativo
Dispositivi IoT - Aggiornamento della suite di crittografia TLS necessario
Dispositivi IoT - Porte aperte nel dispositivo
Dispositivi IoT: è stato trovato un criterio firewall permissivo in una delle catene
Dispositivi IoT : è stata trovata una regola del firewall permissiva nella catena di input
Dispositivi IoT : è stata trovata una regola del firewall permissiva nella catena di output
È consigliabile abilitare i log di diagnostica nell'hub IoT
Dispositivi IoT - Agente che invia messaggi sottoutilizzati
Dispositivi IoT: i criteri di filtro IP predefiniti devono essere Negati
Dispositivi IoT - Regola di filtro IP di grandi dimensioni
Dispositivi IoT : gli intervalli e le dimensioni dei messaggi dell'agente devono essere modificati
Dispositivi IoT - Credenziali di autenticazione identiche
Dispositivi IoT - Processo controllato interrotto l'invio di eventi
I dispositivi IoT : la configurazione di base del sistema operativo (OS) deve essere corretta		 Passaggio a Implementare le procedure consigliate per la sicurezza.
Quando una raccomandazione passa al controllo implementa le procedure consigliate per la sicurezza, che non vale alcun punto, la raccomandazione non influisce più sul punteggio di sicurezza.

Marzo 2021

Aggiornamenti nel mese di marzo includono:

Firewall di Azure gestione integrata nel Centro sicurezza

Quando si apre il Centro sicurezza di Azure, la prima pagina che viene visualizzata è quella di panoramica.

Questo dashboard interattivo offre una visualizzazione unificata del comportamento di sicurezza dei carichi di lavoro del cloud ibrido. Mostra inoltre avvisi di sicurezza, informazioni sulla copertura e altri dettagli.

Nell'ambito della visualizzazione dello stato di sicurezza da un'esperienza centrale, il Firewall di Azure Manager è stato integrato in questo dashboard. È ora possibile controllare lo stato di copertura del firewall in tutte le reti e gestire centralmente i criteri di Firewall di Azure a partire dal Centro sicurezza.

Altre informazioni su questo dashboard sono disponibili nella pagina di panoramica di Centro sicurezza di Azure.

Dashboard di panoramica del Centro sicurezza con un riquadro per Firewall di Azure

La valutazione della vulnerabilità di SQL include ora l'esperienza "Disabilita regola" (anteprima)

Il Centro sicurezza include uno scanner di vulnerabilità predefinito che consente di individuare, tenere traccia e correggere potenziali vulnerabilità del database. I risultati delle analisi di valutazione forniscono una panoramica dello stato di sicurezza dei computer SQL e dei dettagli dei risultati della sicurezza.

Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Per altre informazioni, vedere Disabilitare risultati specifici.

Cartelle di lavoro di Monitoraggio di Azure integrate nel Centro sicurezza e tre modelli forniti

Nell'ambito di Ignite Spring 2021, è stata annunciata un'esperienza integrata delle cartelle di lavoro di Monitoraggio di Azure nel Centro sicurezza.

È possibile usare la nuova integrazione per iniziare a usare i modelli predefiniti dalla raccolta del Centro sicurezza. Usando i modelli di cartella di lavoro, è possibile accedere ai report dinamici e visivi per tenere traccia del comportamento di sicurezza dell'organizzazione. È anche possibile creare nuove cartelle di lavoro in base ai dati del Centro sicurezza o a qualsiasi altro tipo di dati supportato e distribuire rapidamente cartelle di lavoro della community dal Centro sicurezza della community GitHub.

Vengono forniti tre report di modelli:

  • Punteggio di sicurezza nel tempo : tenere traccia dei punteggi e delle modifiche delle sottoscrizioni alle raccomandazioni per le risorse
  • Aggiornamenti di sistema : visualizzare gli aggiornamenti di sistema mancanti per risorse, sistema operativo, gravità e altro ancora
  • Risultati della valutazione della vulnerabilità: visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure

Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report interattivi avanzati dei dati del Centro sicurezza.

Report del punteggio di sicurezza nel tempo.

Il dashboard di conformità alle normative include ora i report di controllo di Azure (anteprima)

Dalla barra degli strumenti del dashboard di conformità alle normative è ora possibile scaricare i report di certificazione di Azure e Dynamics.

Barra degli strumenti del dashboard di conformità alle normative

È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.

Altre informazioni sulla gestione degli standard nel dashboard di conformità alle normative.

Filtro dell'elenco dei report di Controllo di Azure disponibili.

I dati delle raccomandazioni possono essere visualizzati in Azure Resource Graph con "Esplora in ARG"

Le pagine dei dettagli delle raccomandazioni includono ora il pulsante della barra degli strumenti "Esplora in ARG". Usare questo pulsante per aprire una query di Azure Resource Graph ed esplorare, esportare e condividere i dati della raccomandazione.

Azure Resource Graph (ARG) offre accesso immediato alle informazioni sulle risorse negli ambienti cloud con potenti funzionalità di filtro, raggruppamento e ordinamento. Si tratta di un modo rapido ed efficiente di eseguire query sulle informazioni nelle sottoscrizioni di Azure a livello di codice o dall'interno del portale di Azure.

Altre informazioni su Azure Resource Graph (ARG).

Esplorare i dati delle raccomandazioni in Azure Resource Graph.

Aggiornamenti ai criteri per la distribuzione dell'automazione del flusso di lavoro

L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.

Sono disponibili tre Criteri di Azure criteri "DeployIfNotExist" che creano e configurano le procedure di automazione del flusso di lavoro in modo da poter distribuire le automazione nell'organizzazione:

Obiettivo Criteri ID criterio
Automazione dei flussi di lavoro per gli avvisi di sicurezza Distribuisci automazione del flusso di lavoro per gli avvisi del Centro sicurezza di Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza Distribuisci automazione del flusso di lavoro per le raccomandazioni del Centro sicurezza di Azure 73d6ab6c-2475-4850-afd6-43795f3492ef
Automazione del flusso di lavoro per le modifiche alla conformità normativa Distribuire Automazione del flusso di lavoro per la conformità alle normative Centro sicurezza di Azure 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Sono disponibili due aggiornamenti per le funzionalità di questi criteri:

  • Se assegnato, rimarranno abilitati dall'imposizione.
  • È ora possibile personalizzare questi criteri e aggiornare uno dei parametri anche dopo che sono già stati distribuiti. Ad esempio, è possibile aggiungere o modificare una chiave di valutazione.

Introduzione ai modelli di automazione dei flussi di lavoro.

Altre informazioni su come automatizzare le risposte ai trigger del Centro sicurezza.

Due raccomandazioni legacy non scrivono più dati direttamente nel log attività di Azure

Il Centro sicurezza passa i dati per quasi tutte le raccomandazioni di sicurezza ad Azure Advisor, che a sua volta lo scrive nel log attività di Azure.

Per due raccomandazioni, i dati vengono scritti contemporaneamente direttamente nel log attività di Azure. Con questa modifica, il Centro sicurezza smette di scrivere i dati per queste raccomandazioni di sicurezza legacy direttamente nel log attività. Si esportano invece i dati in Azure Advisor, come si fa per tutte le altre raccomandazioni.

Le due raccomandazioni legacy sono:

  • È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer
  • Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte

Se si accede alle informazioni per queste due raccomandazioni nella categoria "Raccomandazione di tipo TaskDiscovery" del log attività, questa opzione non è più disponibile.

miglioramenti delle pagine Consigli

È stata rilasciata una versione migliorata dell'elenco di raccomandazioni per presentare altre informazioni a colpo d'occhio.

A questo punto, nella pagina verrà visualizzato quanto illustrato di seguito:

  1. Punteggio massimo e punteggio corrente per ogni controllo di sicurezza.
  2. Icone che sostituiscono tag come Correzione e Anteprima.
  3. Nuova colonna che mostra l'iniziativa Criteri correlata a ogni raccomandazione, visibile quando "Raggruppa per controlli" è disabilitata.

Miglioramenti alla pagina delle raccomandazioni di Centro sicurezza di Azure - Marzo 2021

Miglioramenti apportati all'elenco di raccomandazioni di Centro sicurezza di Azure 'flat' - Marzo 2021

Per altre informazioni, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.

Febbraio 2021

Aggiornamenti nel mese di febbraio includono:

Pagina Nuovi avvisi di sicurezza nella portale di Azure rilasciata per la disponibilità generale

La pagina degli avvisi di sicurezza di Centro sicurezza di Azure è stata riprogettata per fornire:

  • Migliore esperienza di valutazione per gli avvisi: consente di ridurre l'affaticamento degli avvisi e concentrarsi sulle minacce più rilevanti più facilmente, l'elenco include filtri personalizzabili e opzioni di raggruppamento.
  • Altre informazioni nell'elenco degli avvisi, ad esempio tattiche MITRE ATT&ACK.
  • Pulsante per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare gli avvisi. configurazione (per l'integrazione SIEM, le notifiche tramite posta elettronica e le automazione del flusso di lavoro), è possibile creare avvisi di esempio da tutti i piani di Azure Defender.
  • Allineamento con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, il passaggio da un prodotto all'altro è ora un'esperienza più semplice ed è facile imparare l'una dall'altra.
  • Prestazioni migliori per elenchi di avvisi di grandi dimensioni.
  • Spostamento tramite tastiera nell'elenco di avvisi.
  • Avvisi di Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API di tipo Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Vedere altre informazioni su Azure Resource Graph.
  • Creare una funzionalità di avvisi di esempio: per creare avvisi di esempio dalla nuova esperienza degli avvisi, vedere Generare avvisi di Azure Defender di esempio.

Raccomandazioni sulla protezione del carico di lavoro Kubernetes rilasciate per la disponibilità generale

Siamo lieti di annunciare la disponibilità generale del set di raccomandazioni per le protezioni dei carichi di lavoro Kubernetes.

Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza ha aggiunto raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.

Quando Criteri di Azure per Kubernetes viene installato nel cluster servizio Azure Kubernetes (AKS), ogni richiesta al server API Kubernetes verrà monitorata rispetto al set predefinito di procedure consigliate, visualizzate come 13 raccomandazioni sulla sicurezza, prima di essere salvate in modo permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.

È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.

Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.

Nota

Anche se le raccomandazioni erano in anteprima, non eseguivano il rendering di una risorsa cluster del servizio Azure Kubernetes non integre e non erano incluse nei calcoli del punteggio di sicurezza. con questo annuncio ga questi saranno inclusi nel calcolo del punteggio. Se non sono già stati corretti, questo potrebbe comportare un lieve impatto sul punteggio di sicurezza. Correggerli laddove possibile, come descritto in Correggere le raccomandazioni in Centro sicurezza di Azure.

Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Desktop virtuale Windows (in anteprima)

Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Fornisce gestione delle vulnerabilità e valutazione basati sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.

Quando si abilita Azure Defender per server che esegue Windows Server, viene inclusa una licenza per Defender per endpoint con il piano. Se Azure Defender per server è già stato abilitato e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.

Il supporto è stato ampliato per includere Windows Server 2019 e Windows 10 in Desktop virtuale Windows.

Nota

Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Abilitare l'integrazione Microsoft Defender per endpoint.

Collegamento diretto ai criteri dalla pagina dei dettagli delle raccomandazioni

Quando si esaminano i dettagli di una raccomandazione, spesso è utile visualizzare i criteri sottostanti. Per ogni raccomandazione supportata da un criterio, è disponibile un nuovo collegamento dalla pagina dei dettagli della raccomandazione:

Collegamento alla pagina Criteri di Azure per i criteri specifici che supportano una raccomandazione.

Usare questo collegamento per visualizzare la definizione dei criteri ed esaminare la logica di valutazione.

Se si esamina l'elenco di raccomandazioni nella guida di riferimento alle raccomandazioni sulla sicurezza, verranno visualizzati anche i collegamenti alle pagine di definizione dei criteri:

Accesso alla pagina Criteri di Azure per un criterio specifico direttamente dalla pagina di riferimento Centro sicurezza di Azure raccomandazioni.

La raccomandazione di classificazione dei dati SQL non influisce più sul punteggio di sicurezza

La raccomandazione Dati sensibili nei database SQL non deve più influire sul punteggio di sicurezza. Questa è l'unica raccomandazione nel controllo Applica la sicurezza della classificazione dei dati, in modo che il controllo abbia ora un valore di punteggio di sicurezza pari a 0.

Per un elenco completo di tutti i controlli di sicurezza nel Centro sicurezza, insieme ai relativi punteggi e a un elenco dei consigli in ognuno, vedere Controlli di sicurezza e le relative raccomandazioni.

Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (in anteprima)

È stato aggiunto un terzo tipo di dati alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative.

Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.

Uso delle modifiche alle valutazioni di conformità alle normative per attivare un'automazione del flusso di lavoro.

Miglioramenti della pagina inventario asset

La pagina inventario delle risorse del Centro sicurezza è stata migliorata:

  • I riepiloghi nella parte superiore della pagina includono ora sottoscrizioni non registrati, che mostrano il numero di sottoscrizioni senza il Centro sicurezza abilitato.

    Numero di sottoscrizioni non registrati nei riepiloghi nella parte superiore della pagina inventario asset.

  • I filtri sono stati espansi e migliorati per includere:

    • Conteggi: ogni filtro presenta il numero di risorse che soddisfano i criteri di ogni categoria

      Conteggi nei filtri nella pagina inventario asset di Centro sicurezza di Azure.

    • Contiene il filtro delle esenzioni (facoltativo): limitare i risultati alle risorse che non dispongono o non hanno esenzioni. Questo filtro non viene visualizzato per impostazione predefinita, ma è accessibile dal pulsante Aggiungi filtro .

      Aggiunta del filtro 'contains exemption' nella pagina di inventario delle risorse di Centro sicurezza di Azure

Altre informazioni su come esplorare e gestire le risorse con l'inventario degli asset.

Gennaio 2021

Aggiornamenti a gennaio includono:

Azure Security Benchmark è ora l'iniziativa predefinita per i criteri per il Centro sicurezza di Azure

Azure Security Benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.

Negli ultimi mesi, l'elenco delle raccomandazioni di sicurezza predefinite del Centro sicurezza è cresciuto in modo significativo per espandere la copertura di questo benchmark.

Da questa versione, il benchmark è la base per le raccomandazioni del Centro sicurezza e completamente integrato come iniziativa di criteri predefinita.

Tutti i servizi di Azure hanno una pagina della baseline di sicurezza nella relativa documentazione. Queste baseline sono basate su Azure Security Benchmark.

Se si usa il dashboard di conformità alle normative del Centro sicurezza, durante un periodo di transizione verranno visualizzate due istanze del benchmark:

dashboard di conformità alle normative di Centro sicurezza di Azure che mostra Azure Security Benchmark

Le raccomandazioni esistenti non sono interessate e, man mano che aumenta il benchmark, le modifiche verranno applicate automaticamente all'interno del Centro sicurezza.

Per altre informazioni, vedere le pagine seguenti:

La valutazione della vulnerabilità per i computer locali e multicloud viene rilasciata per la disponibilità generale

In ottobre è stata annunciata un'anteprima per l'analisi dei server abilitati per Azure Arc con lo scanner di valutazione integrata delle vulnerabilità di Azure Defender per server (con tecnologia Qualys).

Viene ora rilasciato per la disponibilità generale.

Quando Azure Arc viene abilitato in computer non di Azure, il Centro sicurezza offre la possibilità di distribuirvi lo strumento integrato di analisi delle vulnerabilità, manualmente e su larga scala.

Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma gestione delle vulnerabilità in tutti gli asset di Azure e non di Azure.

Funzionalità principali:

  • Monitoraggio dello stato di provisioning dello strumento di analisi per la valutazione delle vulnerabilità nei computer Azure Arc
  • Provisioning dell'agente di valutazione delle vulnerabilità nei computer Azure Arc Windows e Linux non protetti (manualmente e su larga scala)
  • Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
  • Esperienza unificata per macchine virtuali di Azure e computer Azure Arc

Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.

Altre informazioni sui server abilitati per Azure Arc.

Il punteggio di sicurezza per i gruppi di gestione è ora disponibile in anteprima

La pagina del punteggio di sicurezza mostra ora i punteggi di sicurezza aggregati per i gruppi di gestione oltre al livello di sottoscrizione. È ora possibile visualizzare l'elenco dei gruppi di gestione nell'organizzazione e il punteggio per ogni gruppo di gestione.

Visualizzazione dei punteggi sicuri per i gruppi di gestione.

Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.

L'API Secure Score viene rilasciata per la disponibilità generale (GA)

È ora possibile accedere al punteggio tramite l'API secure score. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. Ad esempio:

  • usare l'API Secure Scores per ottenere il punteggio per una sottoscrizione specifica
  • usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni

Informazioni sugli strumenti esterni resi possibili con l'API secure score nell'area del punteggio di sicurezza della community di GitHub.

Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.

Aggiunta di protezioni di record DNS in sospeso ad Azure Defender per il Servizio app

Le acquisizioni di sottodominio sono una minaccia comune e con gravità elevata per le organizzazioni. Un'acquisizione di sottodominio può verificarsi quando si dispone di un record DNS che punta a un sito Web deprovisioning. Tali record DNS sono noti anche come voci "DNS in sospeso". I record CNAME sono particolarmente vulnerabili a questa minaccia.

Le acquisizioni di sottodominio consentono agli attori delle minacce di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.

Azure Defender per servizio app ora rileva voci DNS incerte quando viene rimosso un sito Web servizio app. Questo è il momento in cui la voce DNS punta a una risorsa che non esiste e il sito Web è vulnerabile a un'acquisizione di sottodominio. Queste protezioni sono disponibili se i domini vengono gestiti con DNS di Azure o con un registrar di dominio esterno e si applicano sia a servizio app in Windows che servizio app in Linux.

Altre informazioni:

I connettori multicloud vengono rilasciati per la disponibilità generale (GA)

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.

Il Centro sicurezza di Azure protegge i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Connessione i progetti AWS o GCP integrano i propri strumenti di sicurezza nativi come AWS Security Hub e GCP Security Command Center in Centro sicurezza di Azure.

Questa funzionalità significa che il Centro sicurezza offre visibilità e protezione in tutti gli ambienti cloud principali. Alcuni dei vantaggi di questa integrazione:

  • Provisioning automatico dell'agente - Il Centro sicurezza usa Azure Arc per distribuire l'agente di Log Analytics nelle istanze di AWS
  • Gestione dei criteri
  • Gestione vulnerabilità
  • Rilevamento di endpoint e risposta incorporato
  • Rilevamento degli errori di configurazione per la sicurezza
  • Una singola visualizzazione che mostra le raccomandazioni sulla sicurezza di tutti i provider di servizi cloud
  • Incorporare tutte le risorse nei calcoli del punteggio di sicurezza del Centro sicurezza
  • Valutazioni della conformità alle normative delle risorse AWS e GCP

Dal menu di Defender per il cloud selezionare Connettori Multicloud e verranno visualizzate le opzioni per la creazione di nuovi connettori:

Pulsante Aggiungi account AWS nella pagina connettori multicloud del Centro sicurezza

Altre informazioni sono disponibili in:

Escludere intere raccomandazioni dal punteggio di sicurezza per le sottoscrizioni e i gruppi di gestione

Stiamo espandendo la funzionalità di esenzione per includere intere raccomandazioni. Offrendo altre opzioni per ottimizzare le raccomandazioni sulla sicurezza fornite dal Centro sicurezza per le sottoscrizioni, i gruppi di gestione o le risorse.

In alcuni casi, una risorsa verrà elencata come non integra quando si sa che il problema viene risolto da uno strumento di terze parti che il Centro sicurezza non ha rilevato. In alternativa, una raccomandazione verrà visualizzata in un ambito in cui si ritiene che non appartenga. La raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.

Con questa funzionalità di anteprima, è ora possibile creare un'esenzione per una raccomandazione per:

  • Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisca sul punteggio di sicurezza. La risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esente" con la giustificazione specifica selezionata.

  • Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio di sicurezza e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Ciò si riferisce alle risorse esistenti e a tutte le risorse create in futuro. La raccomandazione verrà contrassegnata con la giustificazione specifica selezionata per l'ambito selezionato.

Per altre informazioni, vedere esentare risorse e raccomandazioni dal punteggio di sicurezza.

Gli utenti possono ora richiedere visibilità a livello di tenant dall'amministratore globale

Se un utente non ha le autorizzazioni per visualizzare i dati del Centro sicurezza, verrà visualizzato un collegamento per richiedere le autorizzazioni all'amministratore globale dell'organizzazione. La richiesta include il ruolo desiderato e la giustificazione per il motivo per cui è necessario.

Banner che informa un utente che può richiedere autorizzazioni a livello di tenant.

Per altre informazioni, vedere Richiedere autorizzazioni a livello di tenant quando i dati non sono sufficienti.

Aggiunte 35 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark

Azure Security Benchmark è l'iniziativa di criteri predefinita in Centro sicurezza di Azure.

Per aumentare la copertura di questo benchmark, al Centro sicurezza sono state aggiunte le 35 raccomandazioni di anteprima seguenti.

Suggerimento

Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.

Controllo di sicurezza Nuove raccomandazioni
Abilita la crittografia dei dati inattivi - Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
- La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server MySQL
- La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server PostgreSQL
- Gli account dei servizi di intelligenza artificiale di Azure devono abilitare la crittografia dei dati con una chiave gestita dal cliente
- I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia
Implementa le procedure consigliate per la sicurezza - Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza
- Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nella sottoscrizione
- Le notifiche di posta elettronica devono essere abilitate per gli avvisi con gravità alta
- Le notifiche di posta elettronica al proprietario della sottoscrizione devono essere abilitate per gli avvisi con gravità alta
- Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva
- Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea
Gestire l'accesso e le autorizzazioni - Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)'
Proteggi le applicazioni da attacchi DDoS - Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione
- Web Application Firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure
Limita l'accesso non autorizzato alla rete - Il firewall deve essere abilitato in Key Vault
- L'endpoint privato deve essere configurato per Key Vault
- Configurazione app deve usare collegamenti privati
- La cache di Azure per Redis deve risiedere all'interno di una rete virtuale
- I domini di Griglia di eventi di Azure devono usare collegamenti privati
- Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati
- Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati
- Il servizio Azure SignalR deve usare collegamenti privati
- Azure Spring Cloud deve usare l'aggiunta alla rete
- I registri contenitori non devono consentire l'accesso alla rete senza restrizioni
- I registri contenitori devono usare collegamenti privati
- L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB
- L'accesso alla rete pubblica deve essere disabilitato per i server MySQL
- L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL
- L'account di archiviazione deve usare una connessione collegamento privato
- Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale
- I modelli di Image Builder per macchine virtuali devono usare un collegamento privato

Collegamenti correlati:

Esportazione in CSV dell'elenco filtrato di raccomandazioni

A novembre 2020 sono stati aggiunti i filtri alla pagina Raccomandazioni (vedere L'elenco di raccomandazioni ora include i filtri). A dicembre questi filtri sono stati ampliati (La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili).

Con questo annuncio, il comportamento del pulsante Scarica in CSV è stato cambiato in modo che l'esportazione in CSV includa solo le raccomandazioni attualmente visualizzate nell'elenco filtrato.

Ad esempio, nell'immagine seguente è possibile vedere che l'elenco viene filtrato in base a due raccomandazioni. Il file CSV generato include i dettagli sullo stato di ogni risorsa interessata da queste due raccomandazioni.

Esportazione di raccomandazioni filtrate in un file CSV.

Per altre informazioni, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.

Le risorse "non applicabili" sono ora segnalate come "conformi" nelle valutazioni di Criteri di Azure

In precedenza, le risorse valutate per una raccomandazione e risultavano non applicabili venivano visualizzate in Criteri di Azure come "Non conformi". Nessuna azione utente potrebbe modificare il proprio stato in "Conforme". Con questa modifica, vengono segnalate come "Conformi" per maggiore chiarezza.

L'unico effetto si vedrà in Criteri di Azure, dove il numero di risorse conformi aumenterà. Non ci sarà alcun impatto sul punteggio di sicurezza nel Centro sicurezza di Azure.

Esportazione di snapshot settimanali del punteggio di sicurezza e dei dati relativi alla conformità alle normative con l'esportazione continua (anteprima)

È stata aggiunta una nuova funzionalità di anteprima agli strumenti di esportazione continua per esportare snapshot settimanali di punteggio di sicurezza e dati di conformità alle normative.

Quando si definisce un'esportazione continua, impostare la frequenza di esportazione:

Scelta della frequenza dell'esportazione continua.

  • Streaming: le valutazioni verranno inviate quando viene aggiornato lo stato di integrità di una risorsa (se non si verificano aggiornamenti, non verranno inviati dati).
  • Snapshot: uno snapshot dello stato corrente di tutte le valutazioni di conformità alle normative verrà inviato ogni settimana (si tratta di una funzionalità di anteprima per gli snapshot settimanali dei punteggi sicuri e dei dati di conformità alle normative).

Altre informazioni sulle funzionalità complete di questa funzionalità sono disponibili in Esportazione continua dei dati del Centro sicurezza.

Dicembre 2020

Gli aggiornamenti di dicembre includono:

Azure Defender per server SQL nei computer è disponibile a livello generale

Il Centro sicurezza di Azure prevede due piani di Azure Defender per SQL Server:

  • Azure Defender per i server di database SQL di Azure: protegge i sistemi SQL Server nativi di Azure
  • Azure Defender per i server SQL nei computer: estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali

Con questo annuncio, Azure Defender per SQL ora protegge i database e i relativi dati ovunque siano collocati.

Azure Defender per SQL include funzionalità di valutazione delle vulnerabilità. Lo strumento di valutazione delle vulnerabilità offre le seguenti funzionalità avanzate:

  • Configurazione di base (novità) per affinare in modo intelligente i risultati delle analisi di vulnerabilità limitandoli a quelli che potrebbero rappresentare problemi concreti per la sicurezza. Dopo aver stabilito lo stato di sicurezza di base, lo strumento di valutazione delle vulnerabilità segnala solo le deviazioni da tale stato. I risultati corrispondenti alla base non vengono considerati problemi nelle analisi successive. In questo modo gli analisti possono dedicare la loro attenzione alle questioni importanti.
  • Informazioni di benchmark dettagliate per aiutare a interpretare i risultati individuati e al motivo per cui riguardano le risorse.
  • Script di correzione per mitigare i rischi identificati.

Vedere altre informazioni su Azure Defender per SQL.

Il supporto di Azure Defender per SQL per i pool SQL dedicati di Azure Synapse Analytics è disponibile a livello generale

Azure Synapse Analytics (in precedenza SQL Data Warehouse) è un servizio di analisi che riunisce funzionalità aziendali di data warehousing e analisi di Big Data. I pool SQL dedicati rappresentano le funzionalità di data warehousing aziendali di Azure Synapse. Per altre informazioni, vedere Che cos'è Azure Synapse Analytics (in precedenza SQL Data Warehouse)?

Azure Defender per SQL protegge i pool SQL dedicati con:

  • Advanced Threat Protection per rilevare minacce e attacchi
  • Funzionalità di valutazione delle vulnerabilità per identificare e correggere le configurazioni di sicurezza errate

Il supporto di Azure Defender per SQL per i pool SQL di Azure Synapse Analytics viene aggiunto automaticamente al bundle di database SQL di Azure nel Centro sicurezza di Azure. Nella pagina dell'area di lavoro di Synapse nel portale di Azure sarà disponibile una nuova scheda "Azure Defender per SQL".

Vedere altre informazioni su Azure Defender per SQL.

Gli amministratori globali ora possono concedere autorizzazioni a livello di tenant a se stessi

Un utente con il ruolo Amministratore globale di Azure Active Directory potrebbe avere responsabilità a livello di tenant ma non avere le autorizzazioni di Azure per visualizzare queste informazioni nell'intera organizzazione in Azure Active Directory.

Per assegnare a se stessi le autorizzazioni a livello di tenant, seguire le istruzioni riportate in Concedere autorizzazioni a livello di tenant a se stessi.

Due nuovi piani di Azure Defender: Azure Defender per DNS e Azure Defender per Resource Manager (in anteprima)

Sono state aggiunte due nuove funzionalità native del cloud per la protezione completa dell'ambiente di Azure dalle minacce.

Queste due nuove funzionalità migliorano notevolmente la resilienza dell'ambiente contro attacchi e minacce, oltre ad aumentare sensibilmente il numero di risorse di Azure protette da Azure Defender.

Pagina Nuovi avvisi di sicurezza nel portale di Azure (anteprima)

La pagina degli avvisi di sicurezza di Centro sicurezza di Azure è stata riprogettata per fornire:

  • Esperienza di valutazione migliorata per gli avvisi: per ridurre il sovraccarico di avvisi ed evidenziare più facilmente le minacce pertinenti, l'elenco include filtri personalizzabili e opzioni di raggruppamento
  • Più informazioni nell'elenco di avvisi, ad esempio tattiche MITRE ATT&ACK
  • Pulsante per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare la configurazione degli avvisi (per verificare l'integrazione di SIEM, le notifiche tramite posta elettronica e le automazioni del flusso di lavoro), è possibile creare avvisi di esempio in tutti i piani di Azure Defender
  • Allineamento con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, è ora più semplice passare da uno all'altro e combinare le informazioni che offrono
  • Prestazioni più elevate per elenchi di avvisi lunghi
  • Esplorazione tramite tastiera dell'elenco di avvisi
  • Avvisi di Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API di tipo Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Vedere altre informazioni su Azure Resource Graph.

Per accedere alla nuova esperienza, usare il collegamento 'Prova adesso' sul banner nella parte superiore della pagina Avvisi di sicurezza.

Banner con collegamento alla nuova esperienza degli avvisi di anteprima.

Per creare avvisi di esempio nella nuova esperienza, vedere Generare avvisi di esempio di Azure Defender.

Esperienza del Centro sicurezza ottimizzata per Database SQL di Azure e Istanza gestita di SQL

L'esperienza del Centro sicurezza in SQL consente di accedere alle funzionalità del Centro sicurezza e di Azure Defender per SQL descritte di seguito:

  • Raccomandazioni sulla sicurezza: il Centro sicurezza analizza periodicamente lo stato di sicurezza di tutte le risorse di Azure connesse per identificare possibili errori di configurazione della sicurezza. Fornisce quindi raccomandazioni su come correggere queste vulnerabilità e migliorare il comportamento di sicurezza delle organizzazioni.
  • Avvisi di sicurezza: servizio di rilevamento che monitora costantemente le attività di Azure SQL per individuare minacce come attacchi SQL injection, attacchi di forza bruta e abuso dei privilegi. Questo servizio attiva avvisi di sicurezza dettagliati e orientati all'azione nel Centro sicurezza e fornisce opzioni per continuare le analisi con Azure Sentinel, la soluzione SIEM nativa di Microsoft Azure.
  • Risultati: servizio di valutazione delle vulnerabilità che monitora continuamente le configurazioni di Azure SQL e aiuta a correggere le vulnerabilità. Le analisi di valutazione forniscono una panoramica degli stati di sicurezza di Azure SQL insieme a risultati dettagliati sulla sicurezza.

Le funzionalità di sicurezza del Centro sicurezza di Azure per SQL sono disponibili all'interno di Azure SQL

Strumenti e filtri dell'inventario degli asset aggiornati

La pagina di inventario in Centro sicurezza di Azure è stata aggiornata con le modifiche seguenti:

  • Guide e feedback aggiunti alla barra degli strumenti. Viene aperto un riquadro con collegamenti a informazioni e strumenti correlati.

  • Filtro per le sottoscrizioni aggiunto ai filtri predefiniti disponibili per le risorse.

  • Collegamento Apri query per aprire le opzioni di filtro correnti come query di Azure Resource Graph (in precedenza "Visualizza in Resource Graph Explorer").

  • Opzioni per gli operatori per ogni filtro. È ora possibile scegliere tra più operatori logici diversi da '='. Ad esempio, è possibile trovare tutte le risorse con raccomandazioni attive il cui titolo include la stringa "crittografare".

    Controlli dell'opzione Operatore nei filtri dell'inventario degli asset

Per altre informazioni sull'inventario, vedere Esplorare e gestire le risorse con l'inventario degli asset.

La raccomandazione relativa alla richiesta di certificati SSL da parte delle app Web non fa più parte del punteggio di sicurezza

La raccomandazione "Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso" sono state spostate dal controllo di sicurezza Gestire l'accesso e le autorizzazioni (vale un massimo di 4 punti) in Implementare le procedure consigliate per la sicurezza (che non vale alcun punto).

Garantire che un'app Web richieda un certificato lo rende certamente più sicuro. Questa impostazione è tuttavia irrilevante per le app Web pubbliche. se si accede al sito tramite HTTP e non HTTPS, non si riceveranno i certificati client. Pertanto, se l'applicazione richiede i certificati client, è consigliabile non consentire le richieste all'applicazione tramite HTTP. Per altre informazioni, vedere Configurare l'autenticazione reciproca TLS per Servizio app di Azure.

Con questa modifica, la raccomandazione è ora una procedura consigliata che non influisce sul punteggio.

Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.

La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili

Il Centro sicurezza di Azure monitora tutte le risorse connesse e genera raccomandazioni sulla sicurezza. Usare queste raccomandazioni per rafforzare il comportamento del cloud ibrido e tenere traccia della conformità ai criteri e agli standard pertinenti per l'organizzazione, il settore e il paese/area geografica.

L'elenco delle raccomandazioni sulla sicurezza cresce ogni mese, man mano che il Centro sicurezza continua a espandere la propria copertura e le funzionalità. Ad esempio, vedere Venti nove raccomandazioni di anteprima aggiunte per aumentare la copertura di Azure Security Benchmark.

Con l'elenco in crescita, è necessario filtrare le raccomandazioni per trovare quelle di maggiore interesse. Lo scorso novembre sono stati aggiunti i filtri alla pagina Raccomandazioni (vedere L'elenco di raccomandazioni ora include i filtri).

I filtri aggiunti questo mese forniscono le opzioni per affinare l'elenco delle raccomandazioni in base a:

  • Ambiente: visualizzare le raccomandazioni relative alle risorse di AWS, GCP o Azure (o qualsiasi combinazione)

  • Gravità: visualizzare le raccomandazioni in base alla classificazione di gravità impostata dal Centro sicurezza

  • Azioni di risposta: visualizzare le raccomandazioni in base alla disponibilità delle opzioni di risposta del Centro sicurezza: Correzione, Negazione e Imposizione

    Suggerimento

    Il filtro delle azioni di risposta sostituisce il filtro Correzione rapida disponibile (Sì/No).

    Per altre informazioni su ognuna di queste opzioni di risposta, vedere:

Consigli raggruppati in base al controllo di sicurezza.

L'esportazione continua ha nuovi tipi di dati e criteri DeployIfNotExists migliorati

Gli strumenti di esportazione continua del Centro sicurezza di Azure consentono di esportare le raccomandazioni e gli avvisi del Centro sicurezza per usarli con altri strumenti di monitoraggio nell'ambiente.

L'esportazione continua consente di personalizzare completamente gli elementi che verranno esportati e la posizione in cui verranno inseriti. Per informazioni complete, vedere Esportazione continua dei dati del Centro sicurezza.

Questi strumenti sono stati migliorati e ampliati nei modi seguenti:

  • I criteri DeployIfNotExists dell'esportazione continua sono stati migliorati. Ora consentono di:

    • Verificare se la configurazione è abilitata. Se non è abilitata, il criterio visualizza uno stato non conforme e crea una risorsa conforme. Altre informazioni sui modelli di Criteri di Azure forniti nella scheda "Distribuisci su larga scala con Criteri di Azure" in Configurare un'esportazione continua.

    • Supportare l'esportazione dei risultati di sicurezza. Usando i modelli di Criteri di Azure è possibile configurare l'esportazione continua in modo che includa i risultati. Questa configurazione è importante quando si esportano raccomandazioni che contengono "sottoraccomandazioni", ad esempio i risultati di analisi di valutazione delle vulnerabilità o aggiornamenti di sistema specifici per la raccomandazione "padre" "È consigliabile installare gli aggiornamenti del sistema nei computer".

    • Supportare l'esportazione dei dati dei punteggi di sicurezza.

  • Dati di valutazione della conformità con le normative aggiunti (in anteprima). È ora possibile esportare continuamente gli aggiornamenti alle valutazioni di conformità alle normative, incluse le iniziative personalizzate, in un'area di lavoro Log Analytics o in Hub eventi. Questa funzionalità non è disponibile nei cloud nazionali.

    Le opzioni per includere informazioni sulla valutazione della conformità alle normative con i dati di esportazione continua.

Novembre 2020

Gli aggiornamenti del mese di novembre includono quanto segue:

Aggiunte 29 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark

Azure Security Benchmark è il set di linee guida specifiche di Microsoft per la sicurezza e la conformità basate su framework di conformità comuni. Altre informazioni su Azure Security Benchmark.

Le seguenti 29 nuove raccomandazioni di anteprima verranno aggiunte al Centro sicurezza per aumentare la copertura del benchmark.

Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.

Controllo di sicurezza Nuove raccomandazioni
Crittografare i dati in movimento - Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL
- Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL
- TLS deve essere aggiornato all'ultima versione per l'app per le API
- TLS deve essere aggiornato all'ultima versione per l'app per le funzioni
- TLS deve essere aggiornato all'ultima versione per l'app Web
- L'app per le API deve usare FTPS
- L'app per le funzioni deve usare FTPS
- L'app Web deve usare FTPS
Gestire l'accesso e le autorizzazioni - Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso
- Nell'app per le API è necessario usare un'identità gestita
- Nell'app per le funzioni è necessario usare un'identità gestita
- Nell'app Web è necessario usare un'identità gestita
Limita l'accesso non autorizzato alla rete - L'endpoint privato deve essere abilitato per i server PostgreSQL
- L'endpoint privato deve essere abilitato per i server MariaDB
- L'endpoint privato deve essere abilitato per i server MySQL
Abilita il controllo e la registrazione - È necessario abilitare i log di diagnostica in Servizi app
Implementa le procedure consigliate per la sicurezza - La soluzione Backup di Azure deve essere abilitata per le macchine virtuali
- Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB
- Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL
- Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL
- PHP deve essere aggiornato all'ultima versione per l'app per le API
- PHP deve essere aggiornato all'ultima versione per l'app Web
- Java deve essere aggiornato all'ultima versione per l'app per le API
- Java deve essere aggiornato all'ultima versione per l'app per le funzioni
- Java deve essere aggiornato all'ultima versione per l'app Web
- Python deve essere aggiornato all'ultima versione per l'app per le API
- Python deve essere aggiornato all'ultima versione per l'app per le funzioni
- Python deve essere aggiornato all'ultima versione per l'app Web
- La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni

Collegamenti correlati:

Aggiunta di NIST SP 800 171 R2 al dashboard di conformità alle normative del Centro sicurezza

Lo standard NIST SP 800-171 R2 è ora disponibile come iniziativa predefinita per l'uso nel dashboard di conformità alle normative del Centro sicurezza di Azure. I mapping per i controlli sono descritti in Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2.

Per applicare lo standard alle sottoscrizioni e monitorare continuamente lo stato di conformità, usare le istruzioni in Personalizzare il set di standard nel dashboard di conformità alle normative.

Standard NIST SP 800 171 R2 nel dashboard di conformità alle normative del Centro sicurezza

Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.

L'elenco di raccomandazioni ora include i filtri

È ora possibile filtrare l'elenco di raccomandazioni di sicurezza in base a una serie di criteri. Nell'esempio seguente l'elenco delle raccomandazioni viene filtrato per mostrare le raccomandazioni che:

  • Sono disponibili a livello generale (ovvero, non in anteprima)
  • Riguardano gli account di archiviazione
  • Supportano la correzione rapida

Filtri per l'elenco di raccomandazioni.

Esperienza di provisioning automatico migliorata ed espansa

La funzionalità di provisioning automatico consente di ridurre il sovraccarico di gestione installando le estensioni necessarie in macchine virtuali nuove ed esistenti, in modo che possano trarre vantaggio dalle protezioni del Centro sicurezza.

Con la crescita del Centro sicurezza di Azure, sono state sviluppate più estensioni ed è ora possibile monitorare un elenco più lungo di tipi di risorsa. Gli strumenti di provisioning automatico sono ora stati espansi per supportare altre estensioni e tipi di risorse sfruttando le funzionalità di Criteri di Azure.

È ora possibile configurare il provisioning automatico di:

  • Agente di Log Analytics
  • (Nuovo) Criteri di Azure per Kubernetes
  • (Novità) Microsoft Dependency Agent

Per altre informazioni, vedere Agenti ed estensioni di provisioning automatico da Centro sicurezza di Azure.

Punteggio di sicurezza ora disponibile nell'esportazione continua (anteprima)

Con l'esportazione continua del punteggio di sicurezza, è possibile trasmettere le modifiche del punteggio in tempo reale a Hub eventi di Azure o a un'area di lavoro Log Analytics. Usare questa funzionalità per:

  • Tenere traccia del punteggio di sicurezza nel corso del tempo con report dinamici
  • Esportare i dati sul punteggio di sicurezza in Azure Sentinel (o qualsiasi altro strumento SIEM)
  • Integrare questi dati con qualsiasi processo che potrebbe già essere in uso per monitorare il punteggio di sicurezza nell'organizzazione

Per altre informazioni, vedere Esportazione continua dei dati del Centro sicurezza.

La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" ora includono sottocomendazioni

Gli aggiornamenti di sistema devono essere installati nei computer consigliati è stato migliorato. La nuova versione include sottocomendazioni per ogni aggiornamento mancante e apporta i miglioramenti seguenti:

  • Un'esperienza riprogettata nelle pagine del Centro sicurezza di Azure del portale di Azure. La pagina di dettagli della raccomandazione Gli aggiornamenti di sistema devono essere installati nelle macchine virtuali include l'elenco di risultati, come illustrato di seguito. Quando si seleziona un singolo risultato, viene visualizzato il riquadro dei dettagli con un collegamento alle informazioni sulla correzione e un elenco delle risorse interessate.

    Apertura di una delle sottocomendazioni nell'esperienza del portale per la raccomandazione aggiornata.

  • Dati della raccomandazione arricchiti da Azure Resource Graph. Azure Resource Graph è un servizio di Azure progettato per offrire un'esplorazione efficiente delle risorse. È possibile usare Azure Resource Graph per eseguire query su larga scala su un determinato set di sottoscrizioni, in modo da regolamentare efficacemente l'ambiente.

    Per il Centro sicurezza di Azure, è possibile usare Azure Resource Graph e il linguaggio di query Kusto per eseguire query su un'ampia gamma di dati relativi alla postura di sicurezza.

    In precedenza, se si eseguivano query su questa raccomandazione in Azure Resource Graph, le uniche informazioni disponibili erano che era necessario apportare la correzione raccomandata in un computer. La query seguente della versione ottimizzata restituirà tutti gli aggiornamenti di sistema mancanti raggruppati in base al computer.

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

La pagina di gestione dei criteri nel portale di Azure ora mostra lo stato delle assegnazioni di criteri predefiniti

È ora possibile verificare se alle sottoscrizioni sono assegnati o meno i criteri predefiniti del Centro sicurezza nella relativa pagina criteri di sicurezza del portale di Azure.

Pagina di gestione dei criteri di Centro sicurezza di Azure che mostra le assegnazioni di criteri predefinite.

Ottobre 2020

Gli aggiornamenti del mese di ottobre includono quanto segue:

Valutazione della vulnerabilità per computer locali e multicloud (anteprima)

Lo scanner di valutazione della vulnerabilità integrato di Azure Defender per server (basato su Qualys) analizza ora i server abilitati per Azure Arc.

Quando Azure Arc viene abilitato in computer non di Azure, il Centro sicurezza offre la possibilità di distribuirvi lo strumento integrato di analisi delle vulnerabilità, manualmente e su larga scala.

Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma gestione delle vulnerabilità in tutti gli asset di Azure e non di Azure.

Funzionalità principali:

  • Monitoraggio dello stato di provisioning dello strumento di analisi per la valutazione delle vulnerabilità nei computer Azure Arc
  • Provisioning dell'agente di valutazione delle vulnerabilità nei computer Azure Arc Windows e Linux non protetti (manualmente e su larga scala)
  • Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
  • Esperienza unificata per macchine virtuali di Azure e computer Azure Arc

Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.

Altre informazioni sui server abilitati per Azure Arc.

Aggiunta una raccomandazione per Firewall di Azure (anteprima)

È stata aggiunta una nuova raccomandazione per proteggere tutte le reti virtuali con Firewall di Azure.

La raccomandazione È consigliabile che le reti virtuali siano protette da Firewall di Azure consiglia di limitare l'accesso alle reti virtuali ed evitare potenziali minacce tramite Firewall di Azure.

Altre informazioni su Firewall di Azure.

Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes - Aggiornata la raccomandazione con una correzione rapida

La raccomandazione Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes include ora un'opzione per la correzione rapida.

Per altre informazioni su questa e su tutte le altre raccomandazioni del Centro sicurezza, vedere Raccomandazioni sulla sicurezza: una guida di riferimento.

Gli intervalli IP autorizzati devono essere definiti nella raccomandazione dei servizi Kubernetes con l'opzione di correzione rapida.

Il dashboard Conformità con le normative include ora un'opzione per rimuovere gli standard

Il dashboard Conformità con le normative del Centro sicurezza fornisce informazioni dettagliate sul comportamento di conformità in base a come vengono soddisfatti specifici controlli e requisiti.

Il dashboard include un set predefinito di standard normativi. Se uno degli standard forniti non è rilevante per l'organizzazione, è ora un processo semplice per rimuoverli dall'interfaccia utente per una sottoscrizione. Gli standard possono essere rimossi solo a livello della sottoscrizione, non nell'ambito del gruppo di gestione.

Per altre informazioni, vedere Rimuovere uno standard dal dashboard.

Rimossa la tabella Microsoft.Security/securityStatuses da Azure Resource Graph (ARG)

Azure Resource Graph è un servizio di Azure progettato per offrire un'esplorazione efficiente delle risorse con la possibilità di eseguire query su larga scala in un determinato set di sottoscrizioni in modo da poter controllare l'ambiente efficacemente.

Per il Centro sicurezza di Azure, è possibile usare Azure Resource Graph e il linguaggio di query Kusto per eseguire query su un'ampia gamma di dati relativi alla postura di sicurezza. Ad esempio:

All'interno di ARG sono disponibili tabelle di dati da usare nelle query.

Azure Resource Graph Explorer e le tabelle disponibili.

Suggerimento

La documentazione di Azure Resource Graph descrive tutte le tabelle disponibili nella sezione Tabella di Azure Resource Graph e riferimenti sui tipi di risorsa.

Da questo aggiornamento è stata rimossa la tabella Microsoft.Security/securityStatuses . L'API securityStatuses è ancora disponibile.

La sostituzione dei dati può essere eseguita tramite la tabella Microsoft.Security/Assessments.

La principale differenza tra Microsoft.Security/securityStatuses e Microsoft.Security/Assessments è che mentre la prima mostra l'aggregazione delle valutazioni, la seconda contiene un singolo record per ognuna.

Ad esempio, Microsoft.Security/securityStatuses restituisce un risultato con una matrice di due policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Mentre Microsoft.Security/Assessments mantiene un record per ogni valutazione dei criteri come indicato di seguito:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Esempio di conversione di una query di Azure Resource Graph esistente usando securityStatuses per usare la tabella Assessments:

Query che fa riferimento a SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Query di sostituzione per la tabella Assessments:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Per altre informazioni, vedere i collegamenti seguenti:

Settembre 2020

Gli aggiornamenti del mese di settembre includono quanto segue:

Il Centro sicurezza ottiene un nuovo aspetto

È stata rilasciata un'interfaccia utente aggiornata per le pagine del portale del Centro sicurezza. Le nuove pagine includono una nuova pagina di panoramica e dashboard per il punteggio di sicurezza, l'inventario degli asset e Azure Defender.

La pagina di panoramica riprogettata include ora un riquadro per l'accesso al punteggio di sicurezza, all'inventario delle risorse e ai dashboard di Azure Defender. Include anche un riquadro di collegamento al dashboard di conformità alle normative.

Altre informazioni sulla pagina di panoramica.

Rilascio di Azure Defender

Azure Defender è la soluzione CWPP (Cloud Workload Protection Platform) integrata nel Centro sicurezza per offrire una protezione avanzata e intelligente dei carichi di lavoro di Azure e ibridi. Sostituisce l'opzione Standard del piano tariffario del Centro sicurezza.

Quando si abilita Azure Defender dall'area Prezzi e impostazioni del Centro sicurezza di Azure, vengono abilitati contemporaneamente tutti i piani seguenti di Defender e vengono fornite difese complete per i livelli di calcolo, dati e servizio dell'ambiente:

Ogni piano è illustrato separatamente nella documentazione del Centro sicurezza.

Grazie al dashboard dedicato, Azure Defender offre avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora.

Altre informazioni su Azure Defender

Disponibilità generale di Azure Defender per Key Vault

Azure Key Vault è un servizio cloud che protegge le chiavi di crittografia e i segreti, come certificati, stringhe di connessione e password.

Azure Defender per Key Vault fornisce la protezione avanzata dalle minacce nativa di Azure per Azure Key Vault, offrendo un livello aggiuntivo di intelligence sulla sicurezza. Azure Defender per Key Vault protegge quindi molte delle risorse che dipendono dagli account di Key Vault.

Il piano facoltativo è ora disponibile a livello generale. Questa funzionalità era disponibile in anteprima come "advanced threat protection for Azure Key Vault".

Le pagine di Key Vault nel portale di Azure includono ora inoltre una pagina Sicurezza dedicata per le raccomandazioni e gli avvisi del Centro sicurezza.

Per altre informazioni, vedere Azure Defender per Key Vault.

Disponibilità generale della protezione di Azure Defender per Archiviazione per File e ADLS Gen2

Azure Defender per Archiviazione rileva le attività potenzialmente dannose negli account di archiviazione di Azure. I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.

È ora disponibile a livello generale il supporto per File di Azure e Azure Data Lake Storage Gen2.

Dal 1° ottobre 2020 inizieremo a pagare per proteggere le risorse in questi servizi.

Per altre informazioni, vedere Azure Defender per Archiviazione.

Disponibilità generale degli strumenti di inventario delle risorse

La pagina di inventario delle risorse del Centro sicurezza di Azure offre una pagina singola per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.

Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità.

Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.

Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.

Possibilità di disabilitare un risultato specifico della vulnerabilità per le analisi dei registri contenitori e delle macchine virtuali

Azure Defender include rilevatori di vulnerabilità per analizzare le immagini nel Registro Azure Container e nelle macchine virtuali.

Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati.

Questa opzione è disponibile nella pagina dei dettagli delle raccomandazioni per:

  • È consigliabile correggere le vulnerabilità nelle immagini del Registro Azure Container
  • È consigliabile correggere le vulnerabilità nelle macchine virtuali

Per altre informazioni, vedere Disabilitare risultati specifici per le immagini del contenitore e Disabilitare risultati specifici per le macchine virtuali.

Esentare una risorsa da una raccomandazione

Una risorsa verrà occasionalmente elencata come non integra rispetto a una raccomandazione specifica, con una conseguente riduzione del punteggio di sicurezza, anche se si ritiene che si tratti di un errore. È possibile che sia stata corretta da un processo non rilevato dal Centro sicurezza o che l'organizzazione abbia deciso di accettare il rischio per tale risorsa specifica.

In questi casi è possibile creare una regola di esenzione e assicurare che la risorsa non sia elencata in futuro tra le risorse non integre. Queste regole possono includere giustificazioni documentate, come illustrato di seguito.

Per altre informazioni, vedere Esentare una risorsa dalle raccomandazioni e dal punteggio di sicurezza.

I connettori AWS e GCP nel Centro sicurezza mettono a punto un'esperienza multicloud

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.

Il Centro sicurezza di Azure protegge ora i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Quando si esegue l'onboarding di progetti AWS e GCP nel Centro sicurezza, si integra AWS Security Hub, GCP Security Command e Centro sicurezza di Azure.

Per altre informazioni, vedere Connessione gli account AWS per Centro sicurezza di Azure e Connessione i progetti GCP da Centro sicurezza di Azure.

Aggregazione di raccomandazioni sulla protezione dei carichi di lavoro Kubernetes

Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di applicazione con il controllo ammissione di Kubernetes.

Dopo aver installato Criteri di Azure per Kubernetes nel cluster del servizio Azure Kubernetes, ogni richiesta al server API Kubernetes verrà monitorata rispetto al set predefinito di procedure consigliate prima di essere salvato in modo permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.

È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.

Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.

Possibilità di esportazione continua dei risultati delle valutazioni delle vulnerabilità

Usare l'esportazione continua per trasmettere gli avvisi e le raccomandazioni per Hub eventi di Azure, aree di lavoro Log Analytics o Monitoraggio di Azure. È quindi possibile integrare questi dati con soluzioni di informazioni di sicurezza e gestione degli eventi, tra cui Azure Sentinel, Power BI, Esplora dati di Azure e altre ancora.

Gli strumenti integrati di valutazione delle vulnerabilità del Centro sicurezza restituiscono risultati sulle risorse sotto forma di raccomandazioni di utilità pratica con una raccomandazione "padre", ad esempio "È consigliabile correggere le vulnerabilità nelle macchine virtuali".

I risultati di sicurezza sono ora disponibili per l'esportazione tramite l'esportazione continua quando si selezionano le raccomandazioni e si abilita l'opzione Includi i risultati per la sicurezza.

Includi i risultati della sicurezza attiva/disattiva nella configurazione di esportazione continua.

Pagine correlate:

Possibilità di impedire errori di configurazione della sicurezza tramite l'applicazione di raccomandazioni durante la creazione di nuove risorse

Gli errori di configurazione della sicurezza sono una delle cause principali degli eventi imprevisti di sicurezza. Il Centro sicurezza consente ora di contribuire a evitare gli errori di configurazione delle nuove risorse per quanto riguarda raccomandazioni specifiche.

Questa funzionalità può contribuire alla protezione dei carichi di lavoro e alla stabilizzazione del punteggio di sicurezza.

È possibile applicare una configurazione sicura, in base a una raccomandazione specifica, in due modalità:

  • L'effetto Deny di Criteri di Azure consente di interrompere la creazione di risorse non integre

  • Usando l'opzione Imponi è possibile sfruttare l'effetto DeployIfNotExist di Criteri di Azure e correggere automaticamente le risorse non conformi al momento della creazione

Questa opzione è disponibile per raccomandazioni di sicurezza selezionate e si trova nella parte superiore della pagina dei dettagli delle risorse.

Per altre informazioni, vedere Impedire gli errori di configurazione con le raccomandazioni di tipo Imponi/Nega.

Miglioramento alle raccomandazioni per i gruppi di sicurezza di rete

Le raccomandazioni di sicurezza seguenti correlate ai gruppi di sicurezza di rete sono state migliorate per ridurre alcune istanze di falsi positivi.

  • È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla VM
  • È consigliabile chiudere le porte di gestione nelle macchine virtuali
  • Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete
  • Le subnet devono essere associate a un gruppo di sicurezza di rete

Deprecazione della raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" del servizio Azure Kubernetes

La raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" verrà deprecata come illustrato nella documentazione del servizio Azure Kubernetes.

La funzionalità dei criteri di sicurezza dei pod (anteprima) è impostata per la deprecazione e non sarà più disponibile dopo il 15 ottobre 2020 a favore di Criteri di Azure per il servizio Azure Kubernetes.

Dopo la deprecazione di Criteri di sicurezza dei pod (anteprima), sarà necessario disabilitare la funzionalità in eventuali cluster esistenti che usano la funzionalità deprecata per eseguire aggiornamenti futuri del cluster e mantenere il supporto tecnico di Azure.

Miglioramento delle notifiche tramite posta elettronica dal Centro sicurezza di Azure

Le aree seguenti dei messaggi di posta elettronica correlati agli avvisi di sicurezza sono state migliorate:

  • Aggiunta della possibilità di inviare notifiche tramite posta elettronica sugli avvisi per tutti i livelli di gravità
  • Aggiunta la possibilità di inviare notifiche agli utenti con ruoli di Azure diversi nella sottoscrizione
  • Notifiche proattive per i proprietari delle sottoscrizioni per impostazione predefinita in caso di avvisi a gravità alta, con probabilità elevata di essere violazioni effettive
  • Rimozione del campo relativo al numero di telefono dalla pagina di configurazione delle notifiche tramite posta elettronica

Per altre informazioni, vedere Configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.

Raccomandazioni in anteprima non incluse nel punteggio di sicurezza

Il Centro sicurezza valuta continuamente risorse, sottoscrizioni e organizzazione per rilevare problemi di sicurezza. Tutti i risultati vengono quindi aggregati in un singolo punteggio, in modo da poter capire, a colpo d'occhio, lo stato di sicurezza corrente: maggiore è il punteggio, minore è il livello di rischio identificato.

Quando vengono individuate nuove minacce, vengono resi disponibili nuovi consigli sulla sicurezza nel Centro sicurezza tramite nuove raccomandazioni. Per evitare modifiche inaspettate al punteggio di sicurezza e per offrire un periodo di tolleranza in cui è possibile esplorare le nuove raccomandazioni prima che influiscano sui punteggi, le raccomandazioni contrassegnate come Anteprima non sono più incluse nei calcoli del punteggio di sicurezza. È comunque necessario correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima.

Le raccomandazioni di tipo Anteprima non contrassegnano inoltre una risorsa come "Non integra".

Esempio di una raccomandazione in anteprima:

Raccomandazione con il flag di anteprima.

Altre informazioni sul punteggio di sicurezza.

Indicatore di gravità e intervallo di aggiornamento ora inclusi nelle raccomandazioni

La pagina dei dettagli per le raccomandazioni include ora un indicatore dell'intervallo di aggiornamento, se rilevante, e un'indicazione chiara della gravità della raccomandazione.

Pagina di raccomandazione che mostra l'aggiornamento e la gravità.

Agosto 2020

Gli aggiornamenti del mese di agosto includono quanto segue:

Inventario delle risorse: nuova visualizzazione potente del comportamento di sicurezza delle risorse

L'inventario delle risorse del Centro sicurezza, attualmente disponibile in anteprima, offre una modalità per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.

Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità. Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.

È possibile usare la visualizzazione e i rispettivi filtri per esplorare i dati del comportamento di sicurezza ed eseguire altre azioni in base ai risultati.

Altre informazioni sull'inventario delle risorse.

Aggiunta del supporto per le impostazioni predefinite per la sicurezza di Azure Active Directory (per l'autenticazione a più fattori)

Il Centro sicurezza ha aggiunto il supporto completo per le impostazioni predefinite per la sicurezza, le protezioni di sicurezza delle identità gratuite di Microsoft.

Le impostazioni predefinite per la sicurezza offrono impostazioni preconfigurate per la sicurezza delle identità per proteggere l'organizzazione da attacchi comuni correlati alle identità. Le impostazioni predefinite per la sicurezza proteggono già più di 5 milioni di tenant complessivamente. 50.000 tenant sono protetti anche dal Centro sicurezza.

Il Centro sicurezza fornisce ora una raccomandazione sulla sicurezza ogni volta che identifica una sottoscrizione di Azure in cui non sono abilitate le impostazioni predefinite per la sicurezza. Fino ad ora, il Centro sicurezza ha consigliato di abilitare l'autenticazione a più fattori usando l'accesso condizionale, che fa parte della licenza Premium di Azure Active Directory (AD). Per i clienti che usano Azure AD Gratuito è ora consigliabile abilitare le impostazioni predefinite per la sicurezza.

L'obiettivo consiste nell'invitare più clienti a proteggere gli ambienti cloud tramite autenticazione a più fattori e attenuare uno dei rischi più elevati e con impatto più significativo sul punteggio di sicurezza.

Altre informazioni sulle impostazioni predefinite per la sicurezza.

Aggiunta di una raccomandazione per le entità servizio

È stata aggiunta una nuova raccomandazione per consigliare ai clienti del Centro sicurezza di usare i certificati di gestione per gestire le sottoscrizioni passando alle entità servizio.

La raccomandazione Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione consiglia di usare le entità servizio o Azure Resource Manager per migliorare la sicurezza della gestione delle sottoscrizioni.

Altre informazioni su Oggetti applicazione ed entità servizio in Azure Active Directory.

Valutazione delle vulnerabilità nelle VM: consolidamento di raccomandazioni e criteri

Il Centro sicurezza esamina le VM per rilevare se eseguono una soluzione di valutazione delle vulnerabilità. Se non viene trovata alcuna soluzione di valutazione delle vulnerabilità, il Centro sicurezza fornisce una raccomandazione per semplificare la distribuzione.

Quando vengono trovate vulnerabilità, il Centro sicurezza fornisce una raccomandazione che riepiloga i risultati per consentire l'indagine e la correzione, se necessario.

Per assicurare un'esperienza coerente per tutti gli utenti, indipendentemente dal tipo di rilevatore usato, quattro raccomandazioni sono state combinate nelle due raccomandazioni seguenti:

Raccomandazione unificata Descrizione delle modifiche
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Sostituisce le due raccomandazioni seguenti:
Abilitare la soluzione di valutazione della vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys (ora deprecata) (incluso con il livello standard)
La soluzione di valutazione della vulnerabilità deve essere installata nelle macchine virtuali (ora deprecate) (livelli Standard e gratuito)
È consigliabile correggere le vulnerabilità nelle macchine virtuali Sostituisce le due raccomandazioni seguenti:
Correggere le vulnerabilità rilevate nelle macchine virtuali (basate su Qualys) (ora deprecate)
Le vulnerabilità devono essere risolte da una soluzione di valutazione della vulnerabilità (ora deprecata)

A questo punto si userà la stessa raccomandazione per distribuire l'estensione di valutazione delle vulnerabilità del Centro sicurezza o una soluzione con licenza privata ("BYOL") da un partner, ad esempio Qualys o Rapid 7.

Quando le vulnerabilità vengono trovate e segnalate al Centro sicurezza, una singola raccomandazione informerà gli utenti in merito alla disponibilità dei risultati, indipendentemente dalla soluzione di valutazione delle vulnerabilità che le ha individuate.

Aggiornamento delle dipendenze

Se sono presenti script, query o automazioni che fanno riferimento a raccomandazioni o chiavi/nomi di criteri precedenti, usare la tabella seguente per aggiornare i riferimenti:

Prima del mese di agosto 2020
Elemento consigliato Ambito
Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys)
Chiave: 550e890b-e652-4d22-8274-60b3bdb24c63		 Predefinito
Correggere le vulnerabilità rilevate nelle macchine virtuali (con tecnologia Qualys)
Chiave: 1195afff-c881-495e-9bc5-1486211ae03f		 Predefinito
È consigliabile installare una soluzione di valutazione della vulnerabilità nelle macchine virtuali
Chiave: 01b1ed4c-b733-4fee-b145-f23236e70cf3		 BYOL
Le vulnerabilità devono essere risolte tramite una soluzione di valutazione della vulnerabilità
Chiave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb		 BYOL
Criteri Ambito
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali
ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Predefinito
È consigliabile correggere le vulnerabilità tramite una soluzione di valutazione della vulnerabilità
ID criterio: 760a85ff-6162-42b3-8d70-698e268f648c		 BYOL
Dal mese di agosto 2020
Elemento consigliato Ambito
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali
Chiave: ffff0522-1e88-47fc-8382-2a80ba848f5d		 Predefinito + BYOL
È consigliabile correggere le vulnerabilità nelle macchine virtuali
Chiave: 1195afff-c881-495e-9bc5-1486211ae03f		 Predefinito + BYOL
Criteri Ambito
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali
ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9		 Predefinito + BYOL

Aggiunta di nuovi criteri di sicurezza del servizio Azure Kubernetes all'iniziativa ASC_default per l'uso esclusivo da parte dei clienti dell'anteprima privata

Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge criteri e raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di imposizione con il controllo ammissione di Kubernetes.

La fase iniziale di questo progetto include un'anteprima privata e l'aggiunta di nuovi criteri, disabilitati per impostazione predefinita, all'iniziativa ASC_default.

È possibile ignorare questi criteri, senza impatto sull'ambiente. Se si vuole abilitarli, iscriversi all'anteprima tramite la community privata di Microsoft Cloud Security e selezionare tra le opzioni seguenti:

  1. Anteprima singola: per partecipare solo a questa anteprima privata. Indicare in modo esplicito "Analisi continua asc" come anteprima da aggiungere.
  2. Programma in corso: per partecipare a questa anteprima privata e alle anteprime private future. Dovrai completare un profilo e un contratto sulla privacy.

Luglio 2020

Gli aggiornamenti del mese di luglio includono quanto segue:

Disponibilità della valutazione delle vulnerabilità per macchine virtuali per immagini non del marketplace

Quando è stata distribuita una soluzione di valutazione della vulnerabilità, il Centro sicurezza ha eseguito in precedenza un controllo di convalida prima della distribuzione. Il controllo consentiva di confermare la disponibilità di uno SKU del marketplace della macchina virtuale di destinazione.

Da questo aggiornamento, il controllo viene rimosso ed è ora possibile distribuire gli strumenti di valutazione della vulnerabilità nei computer Windows e Linux "personalizzati". Le immagini personalizzate sono immagini modificate a partire da impostazioni predefinite del marketplace.

Anche se è ora possibile distribuire l'estensione di valutazione delle vulnerabilità integrata (con tecnologia Qualys) in molti altri computer, il supporto è disponibile solo se si usa un sistema operativo elencato in Distribuire il rilevatore di vulnerabilità integrato nelle macchine virtuali di livello Standard

Altre informazioni sul rilevatore di vulnerabilità integrato per macchine virtuali (richiede Azure Defender).

Altre informazioni sull'uso della propria soluzione di valutazione delle vulnerabilità con licenza privata da Qualys o Rapid7 in Distribuzione di una soluzione di analisi delle vulnerabilità dei partner.

Espansione della protezione dalle minacce per Archiviazione di Azure in modo da includere File di Azure e Azure Data Lake Storage Gen2 (anteprima)

Threat Protection per Archiviazione di Azure rileva le attività potenzialmente dannose negli account di archiviazione di Azure. Il Centro sicurezza mostra avvisi quando rileva tentativi di accesso o di exploit degli account di archiviazione.

I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.

Otto nuove raccomandazioni per abilitare le funzionalità di protezione dalle minacce

Sono state aggiunte otto nuove raccomandazioni per offrire un modo semplice per abilitare le funzionalità di protezione dalle minacce del Centro sicurezza di Azure per i tipi di risorse seguenti: macchine virtuali, piani di servizio app, server di database SQL di Azure, Server SQL nei computer, account di archiviazione di Azure, cluster del servizio Azure Kubernetes, registri del Registro Azure Container e insiemi di credenziali di Azure Key Vault.

Di seguito sono elencate le nuove raccomandazioni:

  • La soluzione Sicurezza dei dati avanzata deve essere abilitata nei server del database SQL di Azure
  • La soluzione Sicurezza dei dati avanzata deve essere abilitata in SQL Server in macchine virtuali
  • La soluzione Advanced Threat Protection deve essere abilitata nei piani di servizio app di Azure
  • La soluzione Advanced Threat Protection deve essere abilitata nei registri in Registro Azure Container
  • La soluzione Advanced Threat Protection deve essere abilitata negli insiemi di credenziali in Azure Key Vault
  • La soluzione Advanced Threat Protection deve essere abilitata nei cluster del servizio Azure Kubernetes
  • La soluzione Advanced Threat Protection deve essere abilitata negli account di archiviazione di Azure
  • È consigliabile abilitare Advanced Threat Protection nelle macchine virtuali

Queste nuove raccomandazioni appartengono al controllo di sicurezza Abilita Azure Defender.

Le raccomandazioni includono anche la capacità di correzione rapida.

Importante

La correzione in base a una di queste raccomandazioni comporterà addebiti per la protezione delle risorse rilevanti. L'applicazione degli addebiti inizierà immediatamente se sono presenti risorse correlate nella sottoscrizione corrente oppure inizierà in futuro se si aggiungono risorse in un momento successivo.

Se ad esempio non sono presenti cluster del servizio Azure Kubernetes nella sottoscrizione e si abilita la protezione dalle minacce, non verranno applicati addebiti. Se in futuro si aggiunge un cluster nella stessa sottoscrizione, il cluster verrà protetto automaticamente e l'applicazione degli addebiti avrà inizio in tale momento.

Per altre informazioni su ogni raccomandazione, vedere la pagina di riferimento delle raccomandazioni sulla sicurezza.

Altre informazioni sulla protezione dalle minacce nel Centro sicurezza di Azure.

Miglioramenti alla sicurezza dei contenitori: analisi più rapida dei registri e documentazione aggiornata

Come parte degli investimenti continui nel dominio della sicurezza dei contenitori, è ora disponibile nel Centro sicurezza un miglioramento significativo delle prestazioni per le analisi dinamiche di immagini dei contenitori archiviate nel Registro Azure Container. Le analisi vengono ora in genere completate in due minuti circa. In alcuni casi l'analisi potrebbe richiedere fino a 15 minuti.

Per migliorare la chiarezza e le indicazioni correlate alle funzionalità di sicurezza dei contenitori del Centro sicurezza di Azure, sono stati anche apportati aggiornamenti alle pagine della documentazione sulla sicurezza.

Per altre informazioni sulla sicurezza dei contenitori del Centro sicurezza, vedere gli articoli seguenti:

Aggiornamento dei controlli applicazioni adattivi con una nuova raccomandazione e supporto per caratteri jolly nelle regole di percorso

Sono stati apportati due aggiornamenti significativi alla funzionalità Controlli applicazioni adattivi:

  • Una nuova raccomandazione identifica un comportamento potenzialmente legittimo che non era consentito in precedenza. La nuova raccomandazione, Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate, richiede l'aggiunta di nuove regole al criterio esistente per ridurre il numero di falsi positivi negli avvisi di violazione dei controlli applicazioni adattivi.

  • Le regole di percorso supportano ora i caratteri jolly. A partire da questo aggiornamento, è possibile configurare le regole di percorso consentite usando i caratteri jolly. Sono supportati due scenari:

    • Utilizzando un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.

    • Uso di un carattere jolly al centro del percorso per consentire un nome di file eseguibile noto con un nome di cartella modificabile (ad esempio cartelle personali dell'utente con un file eseguibile noto, nomi di cartella generati automaticamente e così via)

Altre informazioni sull'applicazione di controlli applicazioni adattivi.

Sei criteri per la funzionalità deprecata Sicurezza dei dati avanzata SQL

Verranno deprecati sei criteri correlati alla sicurezza dei dati avanzata per i computer SQL:

  • I tipi di protezione di Advanced Threat Protection devono essere impostati su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
  • È necessario impostare i tipi di protezione di Advanced Threat Protection su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
  • Le impostazioni di Sicurezza dei dati avanzata per l'istanza gestita di SQL devono contenere un indirizzo di posta elettronica per ricevere gli avvisi di sicurezza
  • Le impostazioni di Sicurezza dei dati avanzata per SQL Server devono contenere un indirizzo di posta elettronica per ricevere gli avvisi di sicurezza
  • Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
  • Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata di SQL Server

Altre informazioni sui criteri predefiniti.

Giugno 2020

Gli aggiornamenti del mese di giugno includono quanto segue:

API Secure Score (anteprima)

È ora possibile accedere al punteggio tramite l'API Secure Score, attualmente disponibile in anteprima. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. È ad esempio possibile usare l'API Secure Score per ottenere il punteggio per una sottoscrizione specifica. È anche possibile usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni.

Per esempi di strumenti esterni consentiti dall'API Secure Score, vedere l'area relativa a Secure Score della community di GitHub.

Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.

Sicurezza dei dati avanzata per i computer SQL (Azure, altri cloud e locali) (anteprima)

La funzionalità Sicurezza dei dati avanzata per computer SQL del Centro sicurezza di Azure protegge ora i server SQL ospitati in Azure, in altri ambienti cloud e anche in computer locali. Le protezioni per i server SQL nativi di Azure vengono quindi estese in modo da supportare completamente gli ambienti ibridi.

Sicurezza dei dati avanzata offre la valutazione delle vulnerabilità e la protezione avanzata dalle minacce per i computer SQL, ovunque si trovino.

La configurazione comporta due passaggi:

  1. Distribuzione dell'agente di Log Analytics nel computer host di SQL Server per fornire la connessione all'account Azure.

  2. Abilitazione dell'aggregazione facoltativa della pagina dei prezzi e delle impostazioni del Centro sicurezza.

Altre informazioni sulla sicurezza dei dati avanzata per computer SQL.

Due nuove raccomandazioni per distribuire l'agente di Log Analytics in computer Azure Arc (anteprima)

Sono state aggiunte due nuove raccomandazioni per semplificare la distribuzione dell'Agente di Log Analytics nei computer Azure Arc e per assicurare che siano protetti dal Centro sicurezza di Azure:

  • L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Windows (anteprima)
  • L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Linux (anteprima)

Queste nuove raccomandazioni verranno visualizzate negli stessi quattro controlli di sicurezza che includono la raccomandazione esistente correlata, È consigliabile installare l'agente di monitoraggio nei computer: Correggi le configurazioni di sicurezza, Applica il controllo applicazioni adattivo, Applica gli aggiornamenti del sistema e Abilita Endpoint Protection.

Le raccomandazioni includono anche la funzionalità correzione rapida per accelerare il processo di distribuzione.

Per altre informazioni su queste due nuove raccomandazioni, vedere la tabella Raccomandazioni sulle risorse di calcolo e sulle app.

Per altre informazioni sul modo in cui il Centro sicurezza di Azure usa l'agente, vedere Che cos'è l'agente di Log Analytics?.

Altre informazioni sulle estensioni per i computer Azure Arc.

Nuovi criteri per creare configurazioni di esportazione continua e di automazione dei flussi di lavoro su larga scala

L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.

Per distribuire le configurazioni di automazione nell'organizzazione, usare questi criteri "DeployIfdNotExist" predefiniti di Azure per creare e configurare le procedure di esportazione continua e automazione dei flussi di lavoro:

Le definizioni dei criteri sono disponibili in Criteri di Azure:

Obiettivo Criteri ID criterio
Esportazione continua in Hub eventi Distribuire l'esportazione in Hub eventi per Centro sicurezza di Azure avvisi e raccomandazioni cdfcce10-4578-4ecd-9703-530938e4abcb
Esportazione continua nell'area di lavoro Log Analytics Distribuisci esportazione nell'area di lavoro Log Analytics per gli avvisi e le raccomandazioni del Centro sicurezza di Azure ffb6f416-7bd2-4488-8828-56585fef2be9
Automazione dei flussi di lavoro per gli avvisi di sicurezza Distribuisci automazione del flusso di lavoro per gli avvisi del Centro sicurezza di Azure f1525828-9a90-4fcf-be48-268cdd02361e
Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza Distribuisci automazione del flusso di lavoro per le raccomandazioni del Centro sicurezza di Azure 73d6ab6c-2475-4850-afd6-43795f3492ef

Introduzione ai modelli di automazione dei flussi di lavoro.

Per altre informazioni sull'uso dei due criteri di esportazione, vedere Configurare l'automazione del flusso di lavoro su larga scala usando i criteri forniti e Configurare un'esportazione continua.

Nuova raccomandazione per l'uso dei gruppi di sicurezza di rete per proteggere macchine virtuali non connesse a Internet

Il controllo di sicurezza "Implementa le procedure consigliate per la sicurezza" include ora la nuova raccomandazione seguente:

  • Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete

Una raccomandazione esistente, Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete, non distingueva tra le macchine virtuali connesse a Internet e non connesse a Internet. Veniva generata per entrambi i tipi di VM una raccomandazione con gravità alta se una VM non era assegnata a un gruppo di sicurezza di rete. Questa nuova raccomandazione separa le macchine virtuali non connesse a Internet per ridurre i falsi positivi ed evitare avvisi con gravità elevata non necessari.

Per altre informazioni, vedere la tabella Raccomandazioni sulla rete.

Nuovi criteri per l'abilitazione della protezione dalle minacce e della sicurezza dei dati avanzata

Le nuove definizioni di criteri seguenti sono state aggiunte all'iniziativa Predefinita del Centro sicurezza di Azure e sono progettate per facilitare l'abilitazione della protezione dalle minacce o della sicurezza dei dati avanzata per i tipi di risorse pertinenti.

Le definizioni dei criteri sono disponibili in Criteri di Azure:

Criteri ID criterio
La soluzione Sicurezza dei dati avanzata deve essere abilitata nei server del database SQL di Azure 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
La soluzione Sicurezza dei dati avanzata deve essere abilitata in SQL Server in macchine virtuali 6581d072-105e-4418-827f-bd446d56421b
La soluzione Advanced Threat Protection deve essere abilitata negli account di archiviazione di Azure 308fbb08-4ab8-4e67-9b29-592e93fb94fa
La soluzione Advanced Threat Protection deve essere abilitata negli insiemi di credenziali in Azure Key Vault 0e6763cc-5078-4e64-889d-ff4d9a839047
La soluzione Advanced Threat Protection deve essere abilitata nei piani di servizio app di Azure 2913021d-f2fd-4f3d-b958-22354e2bdbcb
La soluzione Advanced Threat Protection deve essere abilitata nei registri in Registro Azure Container c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
La soluzione Advanced Threat Protection deve essere abilitata nei cluster del servizio Azure Kubernetes 523b5cd1-3e23-492f-a539-13118b6d1e3a
La soluzione Advanced Threat Protection deve essere abilitata nelle macchine virtuali 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Altre informazioni sulla protezione dalle minacce nel Centro sicurezza di Azure.

Maggio 2020

Gli aggiornamenti del mese di maggio includono quanto segue:

Regole di eliminazione degli avvisi (anteprima)

Questa nuova funzionalità, attualmente in anteprima, semplifica le attività correlate agli avvisi. Usare regole per nascondere automaticamente gli avvisi noti come innocui o correlati alle normali attività dell'organizzazione. In questo modo è possibile concentrarsi sulle minacce più pertinenti.

Gli avvisi che corrispondono alle regole di eliminazione abilitate vengono comunque generati, ma il loro stato viene impostato su Ignorato. È possibile visualizzare lo stato nel portale di Azure o accedere agli avvisi di sicurezza del Centro sicurezza.

Le regole di eliminazione definiscono i criteri per cui gli avvisi devono essere automaticamente ignorati. In genere, si usa una regola di eliminazione per:

  • eliminare gli avvisi identificati come falsi positivi

  • eliminare gli avvisi che vengono attivati troppo spesso per essere utili

Sono disponibili altre informazioni sull'eliminazione degli avvisi dalla protezione dalle minacce del Centro sicurezza di Azure.

La valutazione delle vulnerabilità delle macchine virtuali è ora disponibile a livello generale

Il livello standard del Centro sicurezza include ora una valutazione integrata delle vulnerabilità per le macchine virtuali, senza costi aggiuntivi. Questa estensione è supportata da Qualys, ma segnala i risultati direttamente al Centro sicurezza. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza.

La nuova soluzione può analizzare continuamente le macchine virtuali per individuare le vulnerabilità e presentare i risultati nel Centro sicurezza.

Per distribuire la soluzione, usare la nuova raccomandazione per la sicurezza:

"Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys)"

Sono disponibili altre informazioni sulla valutazione delle vulnerabilità integrata del Centro sicurezza per le macchine virtuali.

Modifiche all'accesso JIT (just-in-time) alle macchine virtuali

Il Centro sicurezza include una funzionalità opzionale per proteggere le porte di gestione delle macchine virtuali. Questa funzionalità garantisce una difesa contro la forma più comune di attacchi di forza bruta.

Questo aggiornamento apporta le seguenti modifiche a questa funzionalità:

  • La raccomandazione che consiglia di abilitare JIT in una macchina virtuale è stata rinominata. In precedenza, "Il controllo di accesso alla rete JUST-in-time deve essere applicato alle macchine virtuali" è ora: "Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete JUST-in-time".

  • La raccomandazione viene attivata solo se sono presenti porte di gestione aperte.

Sono disponibili altre informazioni sulla funzionalità di accesso JIT.

Le raccomandazioni personalizzate sono state spostate in un controllo di sicurezza distinto

Un controllo di sicurezza introdotto con il punteggio di sicurezza avanzato è stato "Implementare le procedure consigliate per la sicurezza". Tutti i consigli personalizzati creati per le sottoscrizioni sono stati inseriti automaticamente in tale controllo.

Per semplificare l'individuazione delle raccomandazioni personalizzate, le abbiamo spostate in un controllo di sicurezza dedicato, "Raccomandazioni personalizzate". Questo controllo non ha alcun impatto sul punteggio di sicurezza.

Altre informazioni sui controlli di sicurezza sono disponibili in Enhanced secure score (preview) in Azure Security Center (Punteggio di sicurezza migliorato (anteprima) nel Centro sicurezza di Azure).

Interruttore aggiunto per visualizzare le raccomandazioni nei controlli o come elenco semplice

I controlli di sicurezza sono gruppi logici di raccomandazioni correlate alla sicurezza. Riflettono le superfici di attacco vulnerabili. Un controllo è un insieme di raccomandazioni per la sicurezza, con istruzioni che consentono di implementare tali raccomandazioni.

Per verificare immediatamente in che modo l'organizzazione protegge ogni singola superficie di attacco, esaminare i punteggi per ogni controllo di sicurezza.

Per impostazione predefinita, le raccomandazioni vengono visualizzate nei controlli di sicurezza. Da questo aggiornamento è inoltre possibile visualizzarle come elenco. Per visualizzarle come semplici elenchi ordinati in base allo stato di integrità delle risorse interessate, usare il nuovo interruttore di raggruppamento per controlli. L'interruttore è in cima all'elenco nel portale.

I controlli di sicurezza, e questo interruttore, fanno parte della nuova esperienza di assegnazione dei punteggi di sicurezza. Ricordarsi di inviare feedback dall'interno del portale.

Altre informazioni sui controlli di sicurezza sono disponibili in Enhanced secure score (preview) in Azure Security Center (Punteggio di sicurezza migliorato (anteprima) nel Centro sicurezza di Azure).

Raggruppa per controlli attiva/disattiva per le raccomandazioni.

Controllo di sicurezza espanso "Implement security best practices" (Implementa procedure consigliate per la sicurezza)

Un controllo di sicurezza introdotto con il punteggio di sicurezza avanzato è "Implementare le procedure consigliate per la sicurezza". Quando una raccomandazione è in questo controllo, non influisce sul punteggio di sicurezza.

Con questo aggiornamento, tre raccomandazioni sono state spostate dai controlli in cui erano originariamente posizionate e inserite in questo controllo di procedure consigliate. Ciò è dovuto al fatto che il rischio di queste tre raccomandazioni è risultato inferiore a quello inizialmente previsto.

Sono state introdotte due nuove raccomandazioni aggiunte a questo controllo.

Le tre raccomandazioni spostate sono:

  • La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di lettura per la sottoscrizione (in origine, il controllo "Abilita MFA")
  • Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)
  • Deve essere designato un massimo di 3 proprietari per la sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)

Le due nuove raccomandazioni aggiunte al controllo sono:

  • È consigliabile installare l'estensione Configurazione guest nelle macchine virtuali Windows (anteprima): l'uso di Configurazione guest di Criteri di Azure fornisce la visibilità all'interno delle macchine virtuali per le impostazioni di server e applicazioni (solo Windows).

  • È consigliabile abilitare Windows Defender Exploit Guard nei computer (anteprima) - Windows Defender Exploit Guard sfrutta i vantaggi di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows).

Per altre informazioni su Windows Defender Exploit Guard, vedere Creare e distribuire criteri di Exploit Guard.

Per altre informazioni sui controlli di sicurezza, vedere Punteggio di sicurezza migliorato (anteprima).

I criteri personalizzati con metadati personalizzati sono ora disponibili a livello generale

I criteri personalizzati fanno ora parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità alle normative. Questa funzionalità è ora disponibile a livello generale e consente di estendere la copertura della valutazione della sicurezza dell'organizzazione nel Centro sicurezza.

Creare un'iniziativa personalizzata in Criteri di Azure, aggiungervi criteri ed eseguirne l'onboarding per Centro sicurezza di Azure e visualizzarla come raccomandazioni.

È stata anche aggiunta la possibilità di modificare i metadati delle raccomandazioni personalizzate. Le opzioni dei metadati includono gravità, procedure di correzione, informazioni sulle minacce e altro ancora.

Sono disponibili altre informazioni sull'ottimizzazione delle raccomandazioni personalizzate con informazioni dettagliate.

Migrazione delle funzionalità di analisi dei dump di arresto anomalo al rilevamento di attacchi senza file

Le funzionalità di rilevamento delle analisi dei dump di arresto anomalo di Windows sono state integrate nel rilevamento degli attacchi senza file. L'analisi del rilevamento degli attacchi senza file offre versioni migliorate degli avvisi di sicurezza seguenti per i computer Windows: individuazione dell'inserimento del codice, rilevamento del modulo Windows mascheramento, individuazione del codice della shell e segmento di codice sospetto rilevato.

Alcuni vantaggi di questa transizione:

  • Rilevamento proattivo e tempestivo di malware: l'approccio di analisi dei dump di arresto anomalo prevedeva l'attesa che si verificasse un arresto anomalo e quindi l'esecuzione dell'analisi per individuare gli artefatti dannosi. L'uso del rilevamento di attacchi senza file consente di identificare in modo proattivo le minacce in memoria durante l'esecuzione.

  • Avvisi avanzati: gli avvisi di sicurezza dal rilevamento di attacchi senza file includono miglioramenti non disponibili con l'analisi dei dump di arresto anomalo, come le informazioni sulle connessioni di rete attive.

  • Aggregazione di avvisi: quando l'analisi dei dump di arresto anomalo rilevava più schemi di attacco in un singolo evento di arresto, attivava più avvisi di sicurezza. Il rilevamento di attacchi senza file combina tutti gli schemi di attacco identificati dallo stesso processo in un singolo avviso, eliminando la necessità di correlare più avvisi.

  • Riduzione dei requisiti nell'area di lavoro Log Analytics: i dump di arresto anomalo contenenti dati potenzialmente sensibili non verranno più caricati nell'area di lavoro Log Analytics.

Aprile 2020

Gli aggiornamenti del mese di aprile includono quanto segue:

I pacchetti di conformità dinamici sono ora disponibili a livello generale

Il dashboard di conformità alle normative del Centro sicurezza di Azure include ora pacchetti di conformità dinamici (ora disponibili a livello generale) per tenere traccia di altri standard di settore e normativi.

È possibile aggiungere pacchetti di conformità dinamici alla sottoscrizione o al gruppo di gestione dalla pagina dei criteri di sicurezza del Centro sicurezza. Quando viene caricato uno standard o un benchmark, viene visualizzato nel dashboard di conformità alle normative insieme ai dati di conformità associati mappati come valutazioni. È anche possibile scaricare un report di riepilogo per gli standard caricati.

Ora è possibile aggiungere standard come:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK Official e UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (novità) (una rappresentazione più completa di Azure CIS 1.1.0)

Inoltre, è stato aggiunto di recente Azure Security Benchmark, le linee guida specifiche di Azure, create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Nel dashboard verranno supportati altri standard non appena saranno disponibili.

Sono disponibili altre informazioni sulla personalizzazione del set di standard nel dashboard di conformità alle normative.

Raccomandazioni per l'identità ora incluse nel livello gratuito del Centro sicurezza di Azure

Sono ora disponibili a livello generale raccomandazioni di sicurezza relative a identità e accesso nel livello gratuito del Centro sicurezza di Azure. Questa operazione rientra nell'impegno volto a rendere gratuite le funzionalità CSPM (Cloud Security Posture Management). Fino ad ora, queste raccomandazioni erano disponibili solo nel piano tariffario standard.

Esempi di raccomandazioni relative a identità e accesso includono:

  • "La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di proprietario per la sottoscrizione".
  • "Deve essere designato un massimo di 3 proprietari per la sottoscrizione".
  • "Gli account deprecati devono essere rimossi dalla sottoscrizione".

Se si hanno sottoscrizioni nel piano tariffario gratuito, il punteggio di sicurezza corrispondente sarà influenzato da questa modifica, in quanto non sono state precedentemente valutate in termini di sicurezza dell'accesso e delle identità.

Sono disponibili altre informazioni sulle raccomandazioni relative a identità e accesso.

Altre informazioni sulla gestione dell'imposizione dell'autenticazione a più fattori nelle sottoscrizioni.

Marzo 2020

Aggiornamenti nel mese di marzo includono:

L'automazione del flusso di lavoro è ora disponibile a livello generale

La funzionalità di automazione del flusso di lavoro del Centro sicurezza di Azure è ora disponibile a livello generale. È possibile usarla per attivare automaticamente le app per la logica negli avvisi di sicurezza e nelle raccomandazioni. Sono inoltre disponibili trigger manuali per gli avvisi e tutte le raccomandazioni per le quali è disponibile l'opzione di correzione rapida.

Ogni programma di sicurezza include più flussi di lavoro per la risposta agli eventi imprevisti. Questi processi possono includere la notifica a stakeholder di rilievo, l'avvio di un processo di gestione delle modifiche e l'applicazione di procedure di correzione specifiche. Gli esperti di sicurezza raccomandano di automatizzare quante più procedure possibili. L'automazione riduce il sovraccarico e può migliorare la sicurezza garantendo che i passaggi del processo vengano eseguiti rapidamente, in modo coerente e in base ai requisiti predefiniti.

Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.

Sono disponibili altre informazioni sulla creazione di app per la logica.

Integrazione del Centro sicurezza di Azure con Windows Admin Center

È ora possibile spostare i server Windows locali da Windows Amministrazione Center direttamente al Centro sicurezza di Azure. Il Centro sicurezza diventa quindi il punto centrale in cui visualizzare le informazioni di sicurezza per tutte le risorse Windows Admin Center, inclusi i server locali, le macchine virtuali e carichi di lavoro PaaS aggiuntivi.

Dopo aver spostato un server da Windows Amministrazione Center a Centro sicurezza di Azure, sarà possibile:

  • Visualizzare gli avvisi di sicurezza e le raccomandazioni nell'estensione del Centro sicurezza di Windows Admin Center.
  • Visualizzare il comportamento di sicurezza e recuperare informazioni dettagliate aggiuntive dei server gestiti di Windows Admin Center nel Centro sicurezza all'interno del portale di Azure (o tramite un'API).

Sono disponibili altre informazioni su come integrare il Centro sicurezza di Azure con Windows Admin Center.

Protezione per il servizio Azure Kubernetes

Il Centro sicurezza di Azure espande le funzionalità di sicurezza dei contenitori per proteggere il servizio Azure Kubernetes.

Kubernetes è una piattaforma open source molto diffusa, che ora è uno standard di settore per l'orchestrazione dei contenitori. Nonostante questa implementazione diffusa, non è ancora possibile comprendere come proteggere un ambiente Kubernetes. Per difendere le aree di attacco di un'applicazione aggiunta a un contenitore, è necessario avere una certa esperienza per garantire che l'infrastruttura sia configurata in modo sicuro e costantemente monitorata per potenziali minacce.

La difesa del Centro sicurezza include:

  • Individuazione e visibilità: individuazione continua delle istanze gestite del servizio Azure Kubernetes all'interno delle sottoscrizioni registrate nel Centro sicurezza.
  • Raccomandazioni sulla sicurezza: raccomandazioni utili per la conformità alle procedure consigliate sulla sicurezza per il servizio Azure Kubernetes. Questi consigli sono inclusi nel punteggio di sicurezza per assicurarsi che siano considerati come parte del comportamento di sicurezza dell'organizzazione. Un esempio di raccomandazione correlata al servizio Azure Kubernetes potrebbe essere visualizzato è "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
  • Protezione dalle minacce: grazie all'analisi continua della distribuzione del servizio Azure Kubernetes, il Centro sicurezza avvisa l'utente in merito a minacce e attività dannose rilevate a livello di host e del cluster del servizio.

Sono disponibili altre informazioni sull'integrazione del servizio Azure Kubernetes con il Centro sicurezza.

Sono disponibili altre informazioni sulle funzionalità di sicurezza dei contenitori nel Centro sicurezza.

Esperienza JIT migliorata

Le funzionalità, l'operazione e l'interfaccia utente per gli strumenti JIT di Centro sicurezza di Azure che proteggono le porte di gestione sono state migliorate nel modo seguente:

  • Campo di giustificazione: quando si richiede l'accesso a una macchina virtuale tramite la pagina JIT del portale di Azure, è disponibile un nuovo campo facoltativo per immettere una giustificazione per la richiesta. Le informazioni immesse in questo campo possono essere rilevate nel log attività.
  • Pulizia automatica di regole JIT ridondanti: ogni volta che si aggiorna un criterio JIT, viene eseguito automaticamente uno strumento di pulizia per verificare la validità dell'intero set di regole. Lo strumento cerca eventuali mancate corrispondenze tra le regole nei criteri e le regole nel gruppo di sicurezza di rete. Se lo strumento di pulizia rileva una mancata corrispondenza, determina la cause e, se l'operazione è sicura, rimuove le regole incorporate che non sono più necessarie. Lo strumento di pulizia non elimina mai le regole create dall'utente.

Sono disponibili altre informazioni sulla funzionalità di accesso JIT.

Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora deprecate

Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora considerate deprecate:

  • È consigliabile applicare la protezione avanzata alle regole per le applicazioni Web nei gruppi di sicurezza di rete IaaS (Criterio correlato: le regole dei gruppi di sicurezza di rete per le applicazioni Web in IaaS devono essere rafforzate)

  • L'accesso ai Servizi app deve essere limitato (Criterio correlato: l'accesso alle servizio app deve essere limitato [anteprima])

Queste raccomandazioni non verranno più visualizzate nel relativo elenco del Centro sicurezza. I criteri correlati non verranno più inclusi nell'iniziativa denominata "Criteri predefiniti del Centro sicurezza".

Sono disponibili altre informazioni sulle raccomandazioni relative alla sicurezza.

Febbraio 2020

Rilevamento di attacchi senza file per Linux (anteprima)

Dal momento che gli utenti malintenzionati impiegano metodi sempre più sofisticati per evitare il rilevamento, il Centro sicurezza di Azure estende il rilevamento degli attacchi senza file a Linux, oltre che a Windows. Gli attacchi senza file sfruttano le vulnerabilità del software, introducono payload dannosi in processi di sistema benigni e si nascondono nella memoria. Queste tecniche:

  • riducono al minimo o eliminano del tutto le tracce di malware sul disco
  • riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi dei malware basate su disco

Per contrastare questa minaccia, il Centro sicurezza di Azure ha rilasciato il rilevamento degli attacchi senza file per Windows nell'ottobre 2018 e ora ha esteso questa funzionalità anche a Linux.

Gennaio 2020

Punteggio di sicurezza migliorato (anteprima)

Una versione migliorata della funzionalità di punteggio di sicurezza del Centro sicurezza di Azure è ora disponibile in anteprima. In questa versione, più raccomandazioni vengono raggruppate nei controlli di sicurezza che riflettono meglio le superfici di attacco vulnerabili, limitando ad esempio l'accesso alle porte di gestione.

Acquisire familiarità con le modifiche apportate al punteggio di sicurezza durante la fase di anteprima e determinare altre correzioni che consentiranno di proteggere ulteriormente l'ambiente.

Altre informazioni sul punteggio di sicurezza avanzato (anteprima).

Novembre 2019

Gli aggiornamenti del mese di novembre includono quanto segue:

Protezione dalle minacce per Azure Key Vault nelle aree America del Nord (anteprima)

Azure Key Vault è un servizio essenziale per la protezione dei dati e il miglioramento delle prestazioni delle applicazioni cloud che offre la possibilità di gestire in modo centralizzato chiavi, segreti, chiavi crittografiche e criteri nel cloud. Poiché Azure Key Vault archivia dati sensibili e aziendali critici, richiede la massima sicurezza per gli insiemi di credenziali delle chiavi e i dati archiviati.

il supporto di Centro sicurezza di Azure per La protezione dalle minacce per Azure Key Vault offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli insiemi di credenziali delle chiavi. Questo nuovo livello di protezione consente ai clienti di affrontare le minacce agli insiemi di credenziali delle chiavi senza dover essere esperti di sicurezza o dover gestire sistemi di monitoraggio della sicurezza. La funzionalità è in anteprima pubblica nelle aree dell'America del Nord.

La protezione dalle minacce per Archiviazione di Azure include lo screening della reputazione del malware

La protezione dalle minacce per Archiviazione di Azure offre nuovi rilevamenti basati su Microsoft Threat Intelligence per il rilevamento di caricamenti di malware in Archiviazione di Azure tramite l'analisi della reputazione hash e l'accesso sospetto da un nodo di uscita Tor attivo (anonimizzazione proxy). È ora possibile visualizzare i malware rilevati negli account di archiviazione usando il Centro sicurezza di Azure.

Automazione del flusso di lavoro con App per la logica (anteprima)

Le organizzazioni con sicurezza gestita a livello centralizzato e IT/operazioni implementano processi di flusso di lavoro interni per condurre le azioni necessarie all'interno dell'organizzazione quando le discrepanze vengono individuate nei propri ambienti. In molti casi, questi flussi di lavoro sono processi ripetibili e l'automazione può semplificare significativamente i processi all'interno dell'organizzazione.

Attualmente viene introdotta una nuova funzionalità del Centro sicurezza che consente ai clienti di creare configurazioni di automazione sfruttando App per la logica di Azure e di creare criteri che li attiveranno automaticamente in base a risultati del certificato del servizio app specifici, ad esempio raccomandazioni o avvisi. App per la logica di Azure può essere configurato in modo da eseguire qualsiasi azione personalizzata supportata dalla vasta community di connettori di App per la logica oppure da usare uno dei modelli forniti dal Centro sicurezza, ad esempio l'invio di un messaggio di posta elettronica o l'apertura di un ticket ServiceNow™.

Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.

Per informazioni sulla creazione di app per la logica, vedere App per la logica di Azure.

Correzione rapida per le risorse bulk disponibili a livello generale

Con le numerose attività fornite a un utente come parte del punteggio di sicurezza, può essere difficile correggere efficacemente i problemi in una flotta di grandi dimensioni.

Usare correzione rapida per correggere errori di configurazione della sicurezza, correggere le raccomandazioni su più risorse e migliorare il punteggio di sicurezza.

Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.

La correzione rapida è attualmente disponibile a livello generale come parte della pagina Consigli del Centro sicurezza.

Nella guida di riferimento alle raccomandazioni sulla sicurezza, vedere quali raccomandazioni sono abilitate per la correzione rapida.

Analizzare le immagini del contenitore per le vulnerabilità (anteprima)

Il Centro sicurezza di Azure può ora analizzare le immagini del contenitore in Registro Azure Container per individuare eventuali vulnerabilità.

L'analisi delle immagini funziona analizzando il file dell'immagine del contenitore e quindi controllando se sono presenti vulnerabilità note (con tecnologia Qualys).

L'analisi viene attivata automaticamente quando si effettua il push di nuove immagini del contenitore in Registro Azure Container. Le vulnerabilità rilevate verranno visualizzate come raccomandazioni del Centro sicurezza e incluse nel punteggio di sicurezza insieme alle informazioni su come applicare patch per ridurre la superficie di attacco consentita.

Standard aggiuntivi di conformità con le normative (anteprima)

Il dashboard per la conformità con le normative fornisce informazioni approfondite sul comportamento di conformità in base alle valutazioni del Centro sicurezza. Il dashboard mostra il modo in cui l'ambiente è conforme ai controlli e ai requisiti designati da standard normativi specifici e da benchmark di settore e fornisce consigli per la gestione di questi requisiti.

Il dashboard di conformità alle normative ha finora supportato quattro standard predefiniti: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Viene ora annunciata la versione di anteprima pubblica di standard supportati aggiuntivi: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official insieme al SERVIZIO sanitario nazionale britannico. Sta anche rilasciando una versione aggiornata di Azure CIS 1.1.0, che include più controlli dello standard e un miglioramento dell'estendibilità.

Sono disponibili altre informazioni sulla personalizzazione del set di standard nel dashboard di conformità con le normative.

Protezione dalle minacce per il servizio Azure Kubernetes (anteprima)

Kubernetes sta diventando rapidamente il nuovo standard per la distribuzione e la gestione del software nel cloud. Pochi utenti hanno un'esperienza completa con Kubernetes e molti si concentrano solo sulla progettazione e l'amministrazione generali e danno uno sguardo rapido all'aspetto della sicurezza. Per garantire la sicurezza, l'ambiente Kubernetes deve essere configurato con cura, assicurandosi che non siano aperte porte della superficie di attacco incentrate sul contenitore per gli utenti malintenzionati. Il Centro sicurezza sta espandendo il supporto nello spazio del contenitore a uno dei servizi dalla crescita più rapida in Azure: il servizio Azure Kubernetes.

Le nuove funzionalità di questa versione di anteprima pubblica includono:

  • Individuazione e visibilità : individuazione continua delle istanze del servizio Azure Kubernetes gestite nelle sottoscrizioni registrate del Centro sicurezza.
  • Raccomandazioni per il punteggio di sicurezza: elementi interattivi che consentono ai clienti di rispettare le procedure consigliate per la sicurezza per il servizio Azure Kubernetes e aumentare il punteggio di sicurezza. Consigli includere elementi come "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
  • Rilevamento delle minacce: analisi basata su host e cluster, ad esempio "Un contenitore con privilegi rilevato".

Valutazione della vulnerabilità della macchina virtuale (anteprima)

Le applicazioni installate in macchine virtuali possono spesso avere vulnerabilità che potrebbero causare una violazione della macchina virtuale. Si annuncia che il livello standard del Centro sicurezza include una valutazione della vulnerabilità predefinita per le macchine virtuali senza costi aggiuntivi. La valutazione della vulnerabilità, basata su Qualys nell'anteprima pubblica, consentirà di analizzare continuamente tutte le applicazioni installate in una macchina virtuale per trovare applicazioni vulnerabili e presentare i risultati nell'esperienza del portale del Centro sicurezza. Il Centro sicurezza si occupa di tutte le operazioni di distribuzione in modo che non sia necessario alcun lavoro aggiuntivo da parte dell'utente. In futuro si prevede di fornire opzioni di valutazione della vulnerabilità per supportare le esigenze aziendali specifiche dei clienti.

Altre informazioni sulle valutazioni della vulnerabilità per le macchine virtuali di Azure.

Sicurezza dei dati avanzata per i server SQL in macchine virtuali di Azure (anteprima)

il supporto di Centro sicurezza di Azure per la protezione dalle minacce e la valutazione delle vulnerabilità per i database SQL in esecuzione nelle macchine virtuali IaaS è ora disponibile in anteprima.

La valutazione della vulnerabilità è un servizio facile da configurare che consente di individuare, verificare e contribuire alla correzione di vulnerabilità potenziali dei database. Offre visibilità sul comportamento di sicurezza come parte del punteggio di sicurezza e include i passaggi per risolvere i problemi di sicurezza e migliorare le fortificazioni del database.

Advanced Threat Protection rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare il server SQL. Monitora in modo continuo il database in caso di attività sospette e fornisce avvisi di sicurezza orientati all'azione su modelli di accesso ai database anomali. Questi avvisi forniscono dettagli sulle attività sospette e azioni consigliate per l'analisi e la mitigazione della minaccia.

Supporto per criteri personalizzati (anteprima)

Il Centro sicurezza di Azure supporta ora criteri personalizzati (in anteprima).

I clienti Microsoft attendono da tempo la possibilità di estendere la copertura attuale della valutazione della sicurezza nel Centro sicurezza con le proprie valutazioni della sicurezza in base ai criteri creati in Criteri di Azure. Con il supporto per i criteri personalizzati, l'estensione della copertura è ora possibile.

Questi nuovi criteri faranno parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità con le normative. Con il supporto per i criteri personalizzati, è ora possibile creare un'iniziativa personalizzata in Criteri di Azure, quindi aggiungerla come criterio nel Centro sicurezza e visualizzarla come raccomandazione.

Estensione della copertura del Centro sicurezza di Azure con piattaforma per community e partner

Usare il Centro sicurezza per ricevere raccomandazioni non solo da Microsoft, ma anche da soluzioni esistenti di partner quali Check Point, Tenable e CyberArk con molte altre integrazioni in arrivo. Il semplice flusso di onboarding del Centro sicurezza può connettere le soluzioni esistenti al Centro sicurezza, consentendo di visualizzare le raccomandazioni relative al comportamento di sicurezza in un'unica posizione, eseguire report unificati e sfruttare tutte le funzionalità del Centro sicurezza in base alle raccomandazioni predefinite e dei partner. È anche possibile esportare le raccomandazioni del Centro sicurezza nei prodotti partner.

Altre informazioni su Microsoft Intelligent Security Association.

Integrazioni avanzate con l'esportazione di raccomandazioni e avvisi (anteprima)

Per abilitare gli scenari di livello aziendale al centro sicurezza, è ora possibile usare gli avvisi e le raccomandazioni del Centro sicurezza in posizioni aggiuntive, ad eccezione del portale di Azure o dell'API. Questi possono essere esportati direttamente in un hub eventi e nelle aree di lavoro Log Analytics. Ecco alcuni flussi di lavoro che è possibile creare con queste nuove funzionalità:

  • Con l'esportazione nell'area di lavoro Log Analytics è possibile creare dashboard personalizzati con Power BI.
  • Con l'esportazione in Hub eventi, sarà possibile esportare gli avvisi e le raccomandazioni del Centro sicurezza nei SIEM di terze parti, in una soluzione di terze parti o in Azure Esplora dati.

Eseguire l'onboarding di server locali nel Centro sicurezza da Windows Amministrazione Center (anteprima)

Windows Admin Center è un portale di gestione per i server Windows non distribuiti in Azure, che offre diverse funzionalità di gestione di Azure, ad esempio backup e aggiornamenti di sistema. Microsoft ha recentemente aggiunto la possibilità di eseguire l'onboarding di questi server non Azure, in modo che siano protetti dal certificato del servizio app direttamente dall'esperienza di Windows Admin Center.

Con questa nuova esperienza gli utenti possono eseguire l'onboarding di un server WAC per Centro sicurezza di Azure e abilitare la visualizzazione degli avvisi di sicurezza e delle raccomandazioni direttamente nell'esperienza windows Amministrazione Center.

Settembre 2019

Gli aggiornamenti del mese di settembre includono quanto segue:

Gestione delle regole con i miglioramenti apportati ai controlli applicazioni adattivi

L'esperienza di gestione delle regole per le macchine virtuali che usano i controlli applicazioni adattivi è stata migliorata. I controlli applicazioni adattivi del Centro sicurezza di Azure consentono di controllare quali applicazioni possono essere eseguite nelle macchine virtuali. Oltre a un miglioramento generale per la gestione delle regole, un nuovo vantaggio consiste nella possibilità di controllare quali tipi di file verranno protetti quando si aggiunge una nuova regola.

Altre informazioni sull'applicazione di controlli applicazioni adattivi.

Controllare la raccomandazione sulla sicurezza del contenitore usando Criteri di Azure

Centro sicurezza di Azure consiglio di correggere le vulnerabilità nella sicurezza dei contenitori può ora essere abilitato o disabilitato tramite Criteri di Azure.

Per visualizzare i criteri di sicurezza abilitati, dal Centro sicurezza aprire la pagina Criteri di sicurezza.

Agosto 2019

Gli aggiornamenti del mese di agosto includono quanto segue:

Accesso just-in-time (JIT) alla macchina virtuale per Firewall di Azure

L'accesso just-in-time alla macchina virtuale per Firewall di Azure è ora disponibile a livello generale. Usarlo per proteggere gli ambienti protetti da Firewall di Azure in aggiunta agli ambienti protetti con gruppo di sicurezza di rete.

L'accesso JIT alla macchina virtuale riduce l'esposizione agli attacchi volumetrici di rete, fornendo l'accesso controllato alle macchine virtuali solo quando necessario, usando le regole di Firewall di Azure e il gruppo di sicurezza di rete.

Quando si abilita JIT per le macchine virtuali, si crea un criterio che determina le porte da proteggere, per quanto tempo devono rimanere aperte e gli indirizzi IP approvati da cui è possibile accedere a queste porte. Questo criterio consente di mantenere il controllo sulle operazioni che gli utenti possono eseguire quando richiedono l'accesso.

Le richieste vengono registrate nel log attività di Azure, in modo che sia possibile monitorare e controllare facilmente l'accesso. La pagina JIT consente anche di identificare rapidamente le macchine virtuali esistenti in cui è abilitato JIT e le macchine virtuali in cui è consigliabile usare JIT.

Altre informazioni su Firewall di Azure.

Correzione con un solo clic per migliorare il comportamento di sicurezza (anteprima)

Il punteggio di sicurezza è uno strumento che consente di valutare le condizioni di sicurezza del carico di lavoro. Esamina i consigli sulla sicurezza e assegna a ciascuno un livello di priorità che indica quali consigli implementare per primi. Questo è utile per trovare le vulnerabilità della sicurezza più gravi e stabilire le priorità di indagine.

Per semplificare la correzione di errori di configurazione della sicurezza e contribuire a migliorare rapidamente il punteggio di sicurezza, è stata aggiunta una nuova funzionalità che consente di correggere una raccomandazione su una maggior parte delle risorse in un singolo clic.

Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.

Nella guida di riferimento alle raccomandazioni sulla sicurezza, vedere quali raccomandazioni sono abilitate per la correzione rapida.

Gestione tra tenant

Il Centro sicurezza supporta ora scenari di gestione tra tenant come parte di Azure Lighthouse. Questo consente di ottenere visibilità e gestire il comportamento di sicurezza di più tenant nel Centro sicurezza.

Informazioni sulle esperienze di gestione tra tenant.

Luglio 2019

Aggiornamenti alle raccomandazioni sulle risorse di rete

Il Centro sicurezza di Azure ha lanciato nuove raccomandazioni sulle risorse di rete e ne sono state migliorate alcune esistenti. Ora, l'uso del Centro sicurezza garantisce una maggiore protezione della rete per le risorse.

Altre informazioni sulle raccomandazioni sulle risorse di rete.

2019 giugno

Protezione avanzata adattiva della rete : disponibile a livello generale

Una delle maggiori superfici di attacco per i carichi di lavoro in esecuzione nel cloud pubblico sono le connessioni da e verso la rete Internet pubblica. I clienti Microsoft hanno difficoltà a capire quali regole del gruppo di sicurezza di rete (NSG) devono essere applicate per assicurarsi che i carichi di lavoro di Azure siano disponibili solo per gli intervalli di origine richiesti. Con questa funzionalità, il Centro sicurezza apprende i modelli del traffico di rete e di connettività dei carichi di lavoro di Azure e fornisce indicazioni sulle regole del gruppo di sicurezza di rete per le macchine virtuali con connessione Internet. Questo consente ai clienti di configurare meglio i criteri di accesso alla rete e di limitare l'esposizione agli attacchi.

Altre informazioni sulla protezione avanzata adattiva per la rete.