Comportamento di sicurezza per Microsoft Defender for Cloud

Introduzione al punteggio di sicurezza

Microsoft Defender for Cloud ha due obiettivi principali:

  • per comprendere la situazione di sicurezza corrente
  • per migliorare in modo efficiente ed efficace la sicurezza

La funzionalità centrale in Defender for Cloud che consente di raggiungere tali obiettivi è il punteggio sicuro.

Defender for Cloud valuta continuamente le risorse cross-cloud per i problemi di sicurezza. Aggrega quindi tutti i risultati in un singolo punteggio, in modo da poter indicare, a colpo d'occhio, lo stato di sicurezza attuale: maggiore è il punteggio, minore è il livello di rischio identificato.

  • Nelle pagine portale di Azure viene visualizzato il punteggio di sicurezza come valore percentuale e i valori sottostanti sono chiaramente presentati:

    Overall secure score as shown in the portal.

  • Nell'app per dispositivi mobili di Azure viene visualizzato il punteggio sicuro come valore percentuale e è possibile toccare il punteggio sicuro per visualizzare i dettagli che spiegano il punteggio:

    Overall secure score as shown in the Azure mobile app.

Per aumentare la sicurezza, esaminare la pagina dei consigli di Defender for Cloud e correggere la raccomandazione implementando le istruzioni di correzione per ogni problema. Consigli vengono raggruppati in controlli di sicurezza. Ogni controllo è un gruppo logico di raccomandazioni relative alla sicurezza e riflette le superfici di attacco vulnerabili. Il punteggio viene migliorato solo quando si correggono tutte le raccomandazioni relative a una singola risorsa all'interno di un controllo. Per vedere come l'organizzazione protegge ogni singola superficie di attacco, esaminare i punteggi per ogni controllo di sicurezza.

Per altre informazioni, vedere Come viene calcolato il punteggio sicuro di seguito.

Gestire il comportamento di sicurezza

Nella pagina Comportamento di sicurezza è possibile visualizzare il punteggio sicuro per l'intera sottoscrizione e ogni ambiente nella sottoscrizione. Per impostazione predefinita vengono visualizzati tutti gli ambienti.

Screenshot of the security posture page.

Sezione pagina Descrizione
Screenshot showing the different environment options. Selezionare l'ambiente per visualizzarne il punteggio sicuro e i dettagli. È possibile selezionare più ambienti contemporaneamente. La pagina cambierà in base alla selezione qui.
Screenshot of the environment section of the security posture page. Mostra il numero totale di sottoscrizioni, account e progetti che influiscono sul punteggio complessivo. Viene inoltre illustrato il numero di risorse non integre e il numero di raccomandazioni presenti negli ambienti.

La metà inferiore della pagina consente di visualizzare e gestire tutte le singole sottoscrizioni, gli account e i progetti, visualizzando i singoli punteggi sicuri, il numero di risorse non integre e anche visualizzare le raccomandazioni.

È possibile raggruppare questa sezione in base all'ambiente selezionando la casella di controllo Gruppo per ambiente.

Screenshot of the bottom half of the security posture page.

Come viene calcolato il punteggio sicuro

Il contributo di ogni controllo di sicurezza verso il punteggio di sicurezza complessivo viene visualizzato nella pagina raccomandazioni.

Microsoft Defender for Cloud's security controls and their impact on your secure score

Per ottenere tutti i possibili punti per un controllo di sicurezza, tutte le risorse devono rispettare tutte le raccomandazioni sulla sicurezza all'interno del controllo di sicurezza. Defender for Cloud, ad esempio, offre più raccomandazioni su come proteggere le porte di gestione. Sarà necessario correggerli tutti per fare la differenza con il punteggio sicuro.

Punteggi di esempio per un controllo

Screenshot showing how to apply system updates security control.

Esempio:

  • Correggere i controlli di sicurezza delle vulnerabilità : questo controllo raggruppa più raccomandazioni correlate all'individuazione e alla risoluzione delle vulnerabilità note.

  • Punteggio massimo -

Numero massimo di punti che è possibile ottenere completando tutte le raccomandazioni all'interno di un controllo. Il punteggio massimo per un controllo indica il significato relativo di tale controllo ed è fisso per ogni ambiente. Usare i valori del punteggio massimo per valutare i problemi da risolvere per primi.
Per un elenco di tutti i controlli e dei relativi punteggi massimi, vedere Controlli di sicurezza e raccomandazioni.

  • Punteggio corrente -

    Punteggio corrente per questo controllo.
    Punteggio corrente=[Punteggio per risorsa]*[Numero di risorse integre].

    Ogni controllo contribuisce a raggiungere il punteggio totale. In questo esempio, il controllo contribuisce a 2.00 punti al punteggio di sicurezza totale corrente.

  • Aumento del punteggio potenziale -

    I punti rimanenti disponibili per l'utente all'interno del controllo. Se si corregge tutte le raccomandazioni in questo controllo, il punteggio aumenterà del 9%.

    Ad esempio, potenziale aumento del punteggio=[Punteggio per risorsa]*[Numero di risorse non integre] o 0,1714 x 30 risorse non integre = 5,14.

  • Insights -

    Fornisce dettagli aggiuntivi per ogni raccomandazione. Che può essere:

    • Raccomandazione di anteprima: questa raccomandazione non influisce sul punteggio sicuro fino a quando non è disponibile.

    • Correzione: dall'interno della pagina dei dettagli della raccomandazione è possibile usare "Correzione" per risolvere questo problema.

    • Applica: dalla pagina dei dettagli della raccomandazione è possibile distribuire automaticamente un criterio per risolvere questo problema ogni volta che un utente crea una risorsa non conforme.

    • Nega: all'interno della pagina dei dettagli della raccomandazione è possibile impedire la creazione di nuove risorse con questo problema.

Calcoli: comprensione del punteggio

Metrica Formula ed esempio
Punteggio corrente del controllo di sicurezza
Equation for calculating a security control's score.

Ogni singolo controllo di sicurezza contribuisce a raggiungere il punteggio di sicurezza. Ogni risorsa interessata da una raccomandazione all'interno del controllo contribuisce al punteggio corrente del controllo. Il punteggio corrente per ogni controllo è una misura dello stato delle risorse all'interno del controllo.
Tooltips showing the values used when calculating the security control's current score
In questo esempio, il punteggio massimo di 6 viene diviso per 78 perché questa è la somma delle risorse integre e non integre.
6 / 78 = 0,0769
Moltiplicando questo valore per il numero di risorse integre (4) si ottiene il punteggio corrente:
0,0769 * 4 = 0,31

Punteggio di sicurezza
Sottoscrizione singola o connettore

Equation for calculating a subscription's secure score

Single subscription secure score with all controls enabled
In questo esempio è disponibile una singola sottoscrizione o un connettore con tutti i controlli di sicurezza disponibili (un punteggio massimo potenziale di 60 punti). Il punteggio mostra 28 punti su 60 possibili e i restanti 32 punti vengono riflessi nei valori di "Incremento potenziale del punteggio" dei controlli di sicurezza.
List of controls and the potential score increase
Questa equazione è la stessa equazione per un connettore con solo la sottoscrizione di parole sostituita dal connettore word.
Punteggio di sicurezza
Più sottoscrizioni e connettori

Equation for calculating the secure score for multiple subscriptions.

Quando si calcola il punteggio combinato per più sottoscrizioni e connettori, Defender for Cloud include un peso per ogni sottoscrizione e connettore. I pesi relativi per le sottoscrizioni e i connettori sono determinati da Defender for Cloud in base a fattori quali il numero di risorse.
Il punteggio corrente per ogni sottoscrizione, un connettore dn viene calcolato nello stesso modo di una singola sottoscrizione o connettore, ma il peso viene applicato come illustrato nell'equazione.
Quando si visualizzano più sottoscrizioni e connettori, il punteggio di sicurezza valuta tutte le risorse all'interno di tutti i criteri e i gruppi abilitati l'impatto combinato sul punteggio massimo di ogni controllo di sicurezza.
Secure score for multiple subscriptions with all controls enabled
Il punteggio combinato non è una media; è invece il comportamento valutato dello stato di tutte le risorse in tutte le sottoscrizioni e connettori.

Anche qui, se si passa alla pagina dei consigli e si aggiungono i punti potenziali disponibili, si scoprirà che è la differenza tra il punteggio corrente (22) e il punteggio massimo disponibile (58).

Quali raccomandazioni sono incluse nei calcoli dei punteggi sicuri?

Solo le raccomandazioni predefinite hanno effetto sul punteggio di sicurezza.

Consigli contrassegnato come anteprima non sono inclusi nei calcoli del punteggio sicuro. È comunque necessario correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima.

Esempio di una raccomandazione in anteprima:

Recommendation with the preview flag.

Migliorare il punteggio di sicurezza

Per migliorare il punteggio di sicurezza, correggere le raccomandazioni sulla sicurezza presenti nell'elenco delle raccomandazioni. È possibile correggere manualmente ogni raccomandazione per ogni risorsa oppure usare l'opzione Correzione (quando disponibile) per risolvere rapidamente un problema su più risorse. Per altre informazioni, vedere Correggere le raccomandazioni.

È anche possibile configurare le opzioni Applica e Nega nei consigli pertinenti per migliorare il punteggio e assicurarsi che gli utenti non creino risorse che influiscono negativamente sul punteggio. Per altre informazioni, vedere Impedire gli errori di configurazione con le raccomandazioni di tipo Imponi/Nega.

Controlli di sicurezza e relative raccomandazioni

La tabella seguente elenca i controlli di sicurezza in Microsoft Defender for Cloud. Per ogni controllo è possibile visualizzare il numero massimo di punti da aggiungere al punteggio di sicurezza, se si correggono tutte le raccomandazioni elencate nel controllo per tutte le risorse.

Il set di raccomandazioni di sicurezza fornite con Defender for Cloud è personalizzato per le risorse disponibili nell'ambiente di ogni organizzazione. È possibile disabilitare i criteri ed esentare risorse specifiche da una raccomandazione per personalizzare ulteriormente le raccomandazioni.

È consigliabile che ogni organizzazione riveda attentamente le iniziative Criteri di Azure assegnate.

Suggerimento

Per informazioni dettagliate sulla revisione e la modifica delle iniziative, vedere Uso dei criteri di sicurezza.

Anche se l'iniziativa di sicurezza predefinita di Defender for Cloud si basa su procedure consigliate e standard del settore, esistono scenari in cui le raccomandazioni predefinite elencate di seguito potrebbero non adattarsi completamente all'organizzazione. A volte è necessario modificare l'iniziativa predefinita, senza compromettere la sicurezza, per assicurarsi che sia allineata ai propri criteri, agli standard del settore, agli standard normativi e ai benchmark dell'organizzazione.

Punteggio di sicurezza Controllo e descrizione della sicurezza Indicazioni
10 Abilitare MFA - Defender for Cloud inserisce un valore elevato nell'autenticazione a più fattori ( MFA). Usare questi consigli per proteggere gli utenti delle sottoscrizioni.
Esistono tre modi per abilitare l'autenticazione a più fattori e essere conformi alle raccomandazioni: impostazioni predefinite per la sicurezza, assegnazione per utente, criteri di accesso condizionale. Altre informazioni su queste opzioni in Gestire l'applicazione MFA nelle sottoscrizioni.
- L'autenticazione a più fattori deve essere abilitata sugli account con autorizzazioni di proprietario per le sottoscrizioni
- L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per la sottoscrizione
- L'autenticazione a più fattori deve essere abilitata sugli account con autorizzazioni di scrittura per le sottoscrizioni
- L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di scrittura per la sottoscrizione
8 Porte di gestione sicure : gli attacchi di forza bruta spesso puntano alle porte di gestione. Usare questi consigli per ridurre l'esposizione con strumenti come l'accesso alle macchine virtuali just-in-time e i gruppi di sicurezza di rete. - Le macchine virtuali con connessione Internet devono essere protette con gruppi di sicurezza di rete
- Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete just-in-time
- Le porte di gestione devono essere chiuse nelle macchine virtuali
6 Applica gli aggiornamenti di sistema : non applicando gli aggiornamenti lascia vulnerabilità non autenticate e genera ambienti soggetti a attacchi. Usare questi consigli per mantenere l'efficienza operativa, ridurre le vulnerabilità di sicurezza e fornire un ambiente più stabile per gli utenti finali. Per distribuire gli aggiornamenti di sistema, è possibile usare la soluzione Gestione aggiornamenti per gestire le patch e gli aggiornamenti per i computer. - L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basato su Linux
- L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali
- L'agente di Log Analytics deve essere installato nelle macchine virtuali
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basati su Windows
- Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati
- Gli aggiornamenti di sistema devono essere installati nei computer
- Gli aggiornamenti del sistema devono essere installati nei computer (basati su Update Center)
6 Correzione delle vulnerabilità : Defender for Cloud include più scanner di valutazione delle vulnerabilità per controllare i computer, i database e i registri contenitori per debolezze che gli attori delle minacce potrebbero sfruttare. Usare questi consigli per abilitare questi scanner e esaminare i risultati.
Altre informazioni sull'analisi di computer, server SQL e registri contenitori.
- [Anteprima] I cluster Kubernetes devono controllare la distribuzione di immagini vulnerabili
- I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Criteri di Azure installata
- servizio Azure Kubernetes cluster devono avere il componente aggiuntivo Criteri di Azure per Kubernetes installato
- Le immagini del contenitore devono essere distribuite solo dai registri attendibili
- Le immagini del Registro contenitori devono avere risultati di vulnerabilità risolti
- I computer devono avere una soluzione di valutazione della vulnerabilità
- I computer devono avere risultati di vulnerabilità risolti
- Le vulnerabilità nelle immagini del contenitore in esecuzione devono essere risolte (basate su Qualys)
4 Crittografare i dati in transito : usare questi consigli per proteggere i dati che si spostano tra componenti, posizioni o programmi. Tali dati sono soggetti a attacchi man-in-the-middle, eavesdropping e di hijack di sessione. - L'app per le API deve essere accessibile solo tramite HTTPS
- Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL
- Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL
- FTPS deve essere richiesto nelle app per le API
- FTPS deve essere richiesto nelle app per le funzioni
- FTPS deve essere richiesto nelle app Web
- L'app per le funzioni deve essere accessibile solo tramite HTTPS
- Cache Redis deve consentire l'accesso solo tramite SSL
- Il trasferimento sicuro agli account di archiviazione deve essere abilitato
- TLS deve essere aggiornato alla versione più recente per le app per le API
- TLS deve essere aggiornato alla versione più recente per le app per le funzioni
- TLS deve essere aggiornato alla versione più recente per le app Web
- L'applicazione Web deve essere accessibile solo tramite HTTPS
4 Limitare l'accesso alla rete non autorizzato : Azure offre una suite di strumenti progettati per garantire l'accesso in tutta la rete soddisfare i più elevati standard di sicurezza.
Usare questi consigli per gestire le impostazioni di protezione avanzata della rete adattiva di Defender for Cloud, assicurarsi di aver configurato collegamento privato di Azure per tutti i servizi PaaS pertinenti, abilitare Firewall di Azure nelle reti virtuali e altro ancora.
- Le raccomandazioni di protezione avanzata della rete adattiva devono essere applicate alle macchine virtuali con connessione Internet
- Tutte le porte di rete devono essere limitate ai gruppi di sicurezza di rete associati alla macchina virtuale
- Configurazione app deve usare collegamenti privati
- I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Criteri di Azure installata
- La cache di Azure per Redis deve risiedere all'interno di una rete virtuale
- I domini di Griglia di eventi di Azure devono usare collegamenti privati
- Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati
- servizio Azure Kubernetes cluster devono avere il componente aggiuntivo Criteri di Azure per Kubernetes installato
- Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati
- Il servizio Azure SignalR deve usare collegamenti privati
- Azure Spring Cloud deve usare l'aggiunta alla rete
- I registri contenitori non devono consentire l'accesso alla rete senza restrizioni
- I registri contenitori devono usare collegamenti privati
- I contenitori devono essere in ascolto solo sulle porte consentite
- CORS non deve consentire a ogni risorsa di accedere alle app per le API
- CORS non deve consentire a ogni risorsa di accedere alle app per le funzioni
- CORS non deve consentire a ogni risorsa di accedere alle applicazioni Web
- Il firewall deve essere abilitato in Key Vault
- Le macchine virtuali con connessione Internet devono essere protette con gruppi di sicurezza di rete
- L'inoltro IP nella macchina virtuale deve essere disabilitato
- Il server API Kubernetes deve essere configurato con accesso limitato
- L'endpoint privato deve essere configurato per Key Vault
- L'endpoint privato deve essere abilitato per i server MariaDB
- L'endpoint privato deve essere abilitato per i server MySQL
- L'endpoint privato deve essere abilitato per i server PostgreSQL
- L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB
- L'accesso alla rete pubblica deve essere disabilitato per i server MySQL
- L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL
- I servizi devono essere in ascolto solo sulle porte consentite
- L'account di archiviazione deve usare una connessione collegamento privato
- Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale
- L'utilizzo della rete host e delle porte deve essere limitato
- Le reti virtuali devono essere protette da Firewall di Azure
- I modelli di Image Builder per macchine virtuali devono usare un collegamento privato
4 Abilitare la crittografia inattivi : usare questi consigli per assicurarsi di attenuare le configurazioni non configurate in base alla protezione dei dati archiviati. - Service Fabric cluster devono avere la proprietà ClusterProtectionLevel impostata su EncryptAndSign
- Transparent Data Encryption nei database di SQL deve essere abilitato
- Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra calcolo e Archiviazione risorse
4 Gestire l'accesso e le autorizzazioni : una parte principale di un programma di sicurezza garantisce agli utenti l'accesso necessario per eseguire i propri processi, ma non più di questo: il modello di accesso con privilegi minimi. Usare questi consigli per gestire i requisiti di identità e accesso. - L'autenticazione nei computer Linux deve richiedere chiavi SSH
- I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Criteri di Azure installata
- servizio Azure Kubernetes cluster devono avere il componente aggiuntivo Criteri di Azure per Kubernetes installato
- È consigliabile evitare l'escalation dei contenitori con privilegi
- I contenitori che condividono spazi dei nomi host sensibili devono essere evitati
- Gli account deprecati devono essere rimossi dalle sottoscrizioni
- Gli account deprecati devono essere rimossi dalla sottoscrizione
- Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni
- Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione
- Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni
- Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione
- Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalle sottoscrizioni
- Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalla sottoscrizione
- Le app per le funzioni devono avere certificati client (certificati client in ingresso) abilitati
- L'estensione configurazione guest deve essere installata nei computer
- Il file system radice non modificabile (di sola lettura) deve essere applicato per i contenitori
- Le funzionalità Linux con privilegi minimi devono essere applicate per i contenitori
- L'identità gestita deve essere usata nelle app per le API
- L'identità gestita deve essere usata nelle app per le funzioni
- L'identità gestita deve essere usata nelle app Web
- I contenitori con privilegi devono essere evitati
- Role-Based Controllo di accesso deve essere usato nei servizi Kubernetes
- L'esecuzione di contenitori come utente radice deve essere evitata
- I cluster Service Fabric devono usare solo Azure Active Directory per l'autenticazione client
- Le entità servizio devono essere usate per proteggere le sottoscrizioni anziché i certificati di gestione
- l'accesso pubblico dell'account Archiviazione deve essere non consentito
- L'utilizzo dei montaggi del volume hostPath pod deve essere limitato a un elenco noto per limitare l'accesso al nodo dai contenitori compromessi
- L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema
4 Correzione delle configurazioni di sicurezza: gli asset IT configurati in modo errato hanno un rischio maggiore di essere attaccati. Usare questi consigli per proteggere le configurazioni non configurate identificate nell'infrastruttura. - I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Criteri di Azure installata
- servizio Azure Kubernetes cluster devono avere il componente aggiuntivo Criteri di Azure per Kubernetes installato
- Gli host contenitore devono essere configurati in modo sicuro
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basato su Linux
- L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali
- L'agente di Log Analytics deve essere installato nelle macchine virtuali
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basati su Windows
- I computer devono essere configurati in modo sicuro
- L'override o la disabilitazione del profilo AppArmor dei contenitori devono essere limitati
- I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes (deprecato)
- i database SQL devono avere risultati di vulnerabilità risolti
- SQL istanze gestite devono avere la valutazione della vulnerabilità configurata
- SQL server nei computer devono avere risultati di vulnerabilità risolti
- I server SQL devono avere una valutazione della vulnerabilità configurata
- I set di scalabilità di macchine virtuali devono essere configurati in modo sicuro
- Le vulnerabilità nella configurazione della sicurezza nei computer Linux devono essere risolte (basate su Configurazione guest)
- Le vulnerabilità nella configurazione della sicurezza nei computer Windows devono essere risolte (basate sulla configurazione guest)
3 Applicare il controllo applicazione adattivo: il controllo dell'applicazione adattivo è una soluzione intelligente, automatizzata e end-to-end per controllare quali applicazioni possono essere eseguite nei computer. Consente anche di proteggere i computer dai malware. - I controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer
- Le regole allowlist nei criteri di controllo delle applicazioni adattive devono essere aggiornate
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basato su Linux
- L'agente di Log Analytics deve essere installato nelle macchine virtuali
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basati su Windows
2 Proteggere le applicazioni con soluzioni di rete avanzate di Azure - - I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Criteri di Azure installata
- Azure DDoS Protection Standard deve essere abilitato
- servizio Azure Kubernetes cluster devono avere il componente aggiuntivo Criteri di Azure per Kubernetes installato
- I limiti di CPU e memoria del contenitore devono essere applicati
- Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione
- Web application firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure
2 Abilitare la protezione degli endpoint: Defender for Cloud controlla gli endpoint dell'organizzazione per il rilevamento delle minacce e le soluzioni di risposta attive, ad esempio Microsoft Defender per endpoint o una delle principali soluzioni visualizzate in questo elenco.
Quando non viene trovata una soluzione di rilevamento degli endpoint e risposta (EDR), è possibile usare queste raccomandazioni per distribuire Microsoft Defender per endpoint (incluso come parte di Microsoft Defender per i server).
Altre raccomandazioni in questo controllo consentono di distribuire l'agente di Log Analytics e configurare il monitoraggio dell'integrità dei file.
- I problemi di integrità di Endpoint Protection nei computer devono essere risolti
- I problemi di integrità di Endpoint Protection nei computer devono essere risolti
- Problemi di integrità di Endpoint Protection nei set di scalabilità di macchine virtuali devono essere risolti
- Endpoint Protection deve essere installato nei computer
- Endpoint Protection deve essere installato nei computer
- Endpoint Protection deve essere installato nei set di scalabilità di macchine virtuali
- Il monitoraggio dell'integrità dei file deve essere abilitato nei server
- Installare la soluzione di endpoint protection nelle macchine virtuali
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basato su Linux
- L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali
- L'agente di Log Analytics deve essere installato nelle macchine virtuali
- L'agente di Log Analytics deve essere installato nei computer abilitati per Azure Arc basati su Windows
1 Abilitare il controllo e la registrazione : i log dettagliati sono una parte fondamentale delle indagini sugli eventi imprevisti e molte altre operazioni di risoluzione dei problemi. I consigli di questo controllo si concentrano sulla garanzia di aver abilitato i log di diagnostica ovunque pertinenti. - Il controllo sul server SQL deve essere abilitato
- I log di diagnostica in servizio app devono essere abilitati
- I log di diagnostica in Azure Data Lake Store devono essere abilitati
- I log di diagnostica in Analisi di flusso di Azure devono essere abilitati
- I log di diagnostica negli account Batch devono essere abilitati
- I log di diagnostica in Data Lake Analytics devono essere abilitati
- I log di diagnostica in Hub eventi devono essere abilitati
- I log di diagnostica in Key Vault devono essere abilitati
- I log di diagnostica nei servizi Kubernetes devono essere abilitati
- I log di diagnostica nelle app per la logica devono essere abilitati
- I log di diagnostica nei servizi di ricerca devono essere abilitati
- I log di diagnostica in bus di servizio devono essere abilitati
- I log di diagnostica in set di scalabilità di macchine virtuali devono essere abilitati
0 Implementare le procedure consigliate per la sicurezza: questo controllo non ha alcun impatto sul punteggio sicuro. Per questo motivo, è una raccolta di raccomandazioni che sono importanti per soddisfare per il bene della sicurezza dell'organizzazione, ma che si ritiene non dovrebbe essere parte di come si valuta il punteggio complessivo. - [Abilita se necessario] Gli account database di Azure Cosmos devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- [Abilita se necessario] le aree di lavoro Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente (CMK)
- [Abilita se necessario] Gli account servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente (CMK)
- [Abilita se necessario] I registri contenitori devono essere crittografati con una chiave gestita dal cliente (CMK)
- [Abilita se necessario] I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- [Abilita se necessario] I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- [Abilita se necessario] SQL istanze gestite devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- [Abilita se necessario] SQL server devono usare chiavi gestite dal cliente per crittografare i dati inattivi
- [Abilita se necessario] gli account Archiviazione devono usare la chiave gestita dal cliente (CMK) per la crittografia
- Un massimo di 3 proprietari deve essere designato per le sottoscrizioni
- L'accesso agli account di archiviazione con firewall e configurazioni di rete virtuale deve essere limitato
- Tutti i tipi di protezione dalle minacce avanzate devono essere abilitati in SQL impostazioni avanzate di sicurezza dei dati
- Tutti i tipi di protezione dalle minacce avanzate devono essere abilitati nelle impostazioni di sicurezza avanzata del server SQL
- Gestione API servizi devono usare una rete virtuale
- La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni
- Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nelle sottoscrizioni
- Le variabili dell'account di automazione devono essere crittografate
- La soluzione Backup di Azure deve essere abilitata per le macchine virtuali
- Gli account di database di Azure Cosmos devono avere regole del firewall
- Gli account di Servizi cognitivi devono abilitare la crittografia dei dati
- Gli account di Servizi cognitivi devono limitare l'accesso alla rete
- Gli account di Servizi cognitivi devono usare l'archiviazione di proprietà del cliente o abilitare la crittografia dei dati
- I criteri di filtro IP predefiniti devono essere Negati
- I log di diagnostica in hub IoT devono essere abilitati
- Le notifiche di posta elettronica devono essere abilitate per gli avvisi con gravità alta
- Le notifiche di posta elettronica al proprietario della sottoscrizione devono essere abilitate per gli avvisi con gravità alta
- Verificare che l'app per le API disponga di certificati client in ingresso certificati client impostata su On
- Gli account esterni con autorizzazioni di lettura devono essere rimossi dalle sottoscrizioni
- Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione
- Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB
- Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL
- Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL
- L'estensione di attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati
- L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate
- L'estensione di attestazione guest deve essere installata in set di scalabilità di macchine virtuali supportate Windows
- L'estensione di attestazione guest deve essere installata nelle macchine virtuali supportate Windows
- L'estensione configurazione guest deve essere installata nei computer
- Credenziali di autenticazione identiche
- Dispositivi IoT - Agente che invia messaggi sottoutilizzati
- Dispositivi IoT - Processo controllato interrotto l'invio di eventi
- Dispositivi IoT - Porte aperte nel dispositivo
- Dispositivi IoT - Errore di convalida della baseline del sistema operativo
- Dispositivi IoT - Criteri firewall permissive in una delle catene sono stati trovati
- Dispositivi IoT - Regola del firewall permissiva nella catena di input è stata trovata
- Dispositivi IoT - Regola del firewall permissiva nella catena di output è stata trovata
- Dispositivi IoT - Aggiornamento della suite di crittografia TLS necessario
- Regola di filtro IP di grandi dimensioni
- Java deve essere aggiornato alla versione più recente per le app per le API
- Java deve essere aggiornato alla versione più recente per le app per le funzioni
- Java deve essere aggiornato alla versione più recente per le app Web
- le chiavi Key Vault devono avere una data di scadenza
- Key Vault segreti devono avere una data di scadenza
- Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva
- Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea
- I cluster Kubernetes devono essere accessibili solo tramite HTTPS
- I cluster Kubernetes devono disabilitare le credenziali dell'API di montaggio automatico
- I cluster Kubernetes non devono concedere funzionalità di sicurezza CAPSYSADMIN
- I cluster Kubernetes non devono usare lo spazio dei nomi predefinito
- Le macchine virtuali Linux devono applicare la convalida della firma del modulo del kernel
- Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili
- Le macchine virtuali Linux devono usare l'avvio sicuro
- I computer devono essere riavviati per applicare gli aggiornamenti della configurazione della sicurezza
- L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per le sottoscrizioni
- L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per la sottoscrizione
- Microsoft Defender per SQL deve essere abilitato per i server di Azure SQL non protetti
- Microsoft Defender per SQL deve essere abilitato per istanze gestite SQL non protette
- L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux
- L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows
- Network Watcher deve essere abilitato
- Le macchine virtuali non con connessione Internet devono essere protette con gruppi di sicurezza di rete
- PHP deve essere aggiornato alla versione più recente per le app per le API
- PHP deve essere aggiornato alla versione più recente per le app Web
- Le connessioni endpoint private in database SQL di Azure devono essere abilitate
- L'accesso alla rete pubblica in database SQL di Azure deve essere disabilitato
- L'accesso alla rete pubblica deve essere disabilitato per gli account di Servizi cognitivi
- Python deve essere aggiornato alla versione più recente per le app per le API
- Python deve essere aggiornato alla versione più recente per le app per le funzioni
- Python deve essere aggiornato alla versione più recente per le app Web
- Il debug remoto deve essere disattivato per l'app per le API
- Il debug remoto deve essere disattivato per l'app per le funzioni
- Il debug remoto deve essere disattivato per le applicazioni Web
- L'avvio sicuro deve essere abilitato nelle macchine virtuali supportate Windows
- I server SQL devono avere un amministratore Azure Active Directory effettuato il provisioning
- gli account Archiviazione devono essere migrati in nuove risorse di Resource Manager di Azure
- Le subnet devono essere associate a un gruppo di sicurezza di rete
- Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza
- Deve essere assegnato più di un proprietario alle sottoscrizioni
- Periodo di validità dei certificati archiviati in Azure Key Vault non devono superare i 12 mesi
- Lo stato dell'attestazione guest delle macchine virtuali deve essere integro
- Le macchine virtuali devono essere migrate in nuove risorse di Resource Manager di Azure
- L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema
- vTPM deve essere abilitato nelle macchine virtuali supportate
- Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso
- Windows Defender Exploit Guard deve essere abilitato nei computer
- Windows server Web deve essere configurato per l'uso di protocolli di comunicazione sicuri
0 Abilitare le funzionalità di sicurezza avanzate : usare questi consigli per abilitare uno dei piani di sicurezza avanzati. - I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Defender installata
- i cluster servizio Azure Kubernetes devono avere il profilo Defender abilitato
- Microsoft Defender per servizio app deve essere abilitato
- Microsoft Defender per i server di database SQL di Azure deve essere abilitato
- Microsoft Defender per contenitori deve essere abilitato
- Microsoft Defender per DNS deve essere abilitato
- Microsoft Defender per Key Vault deve essere abilitato
- Microsoft Defender per i database relazionali open source deve essere abilitato
- Microsoft Defender per Resource Manager deve essere abilitato
- Microsoft Defender per i server deve essere abilitato
- Microsoft Defender per i server deve essere abilitato nelle aree di lavoro
- Microsoft Defender per SQL nei computer deve essere abilitato nelle aree di lavoro
- Microsoft Defender per i server di SQL nei computer deve essere abilitato
- Microsoft Defender per Archiviazione deve essere abilitato

Domande frequenti - Punteggio sicuro

Se si correggono solo tre su quattro raccomandazioni in un controllo di sicurezza, il punteggio di sicurezza cambierà?

No. Non verrà modificato fino a quando non si correggeranno tutte le raccomandazioni relative una singola risorsa. Per ottenere il punteggio massimo per un controllo, è necessario correggere tutte le raccomandazioni per tutte le risorse.

Se una raccomandazione non è applicabile all'utente e viene disabilitata nei criteri, il controllo di sicurezza sarà soddisfatto e il punteggio di sicurezza sarà aggiornato?

Sì. Si consiglia di disabilitare le raccomandazioni quando non sono applicabili all'ambiente in uso. Per istruzioni su come disabilitare una raccomandazione specifica, vedere Disabilitare i criteri di sicurezza.

Se un controllo di sicurezza offre zero punti per il punteggio di sicurezza, è consigliabile ignorarlo?

In alcuni casi, si noterà un punteggio massimo del controllo maggiore di zero, ma l'effetto sarà lo stesso di un punteggio pari a zero. Quando il punteggio incrementale per la correzione delle risorse è trascurabile, viene arrotondato a zero. Non ignorare queste raccomandazioni perché apportano ancora miglioramenti alla sicurezza. L'unica eccezione è il controllo "Procedura consigliata aggiuntiva". La correzione di queste raccomandazioni non aumenterà il punteggio, ma migliorerà la sicurezza complessiva.

Passaggi successivi

Questo articolo descrive il punteggio di sicurezza e i controlli di sicurezza inclusi.

Per i materiali correlati, vedere gli articoli seguenti: