Monitoraggio delle risorse con la soluzione Security and Audit di Operations Management SuiteMonitoring resources in Operations Management Suite Security and Audit Solution

Questo documento fornisce informazioni su come utilizzare le funzionalità della soluzione Security and Audit di OMS per monitorare le risorse e identificare i problemi di sicurezza.This document helps you use OMS Security and Audit capabilities to monitor your resources and identify security issues.

Cos'è OMS?What is OMS?

Microsoft Operations Management Suite (OMS) è la soluzione Microsoft per la gestione IT basata sul cloud che consente di gestire e proteggere l'infrastruttura locale e cloud.Microsoft Operations Management Suite (OMS) is Microsoft's cloud based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Per altre informazioni su OMS, leggere l'articolo Operations Management Suite.For more information about OMS, read the article Operations Management Suite.

Monitoraggio delle risorseMonitoring resources

Quando possibile, si desidera prevenire problemi di sicurezza fin dall’inizio.Whenever is possible, you will want to prevent security incidents from happening in the first place. Tuttavia, è impossibile impedire tutti i problemi di sicurezza.However, it is impossible to prevent all security incidents. Quando si verificano problemi relativi alla sicurezza, è necessario assicurarsi che l'impatto sia ridotto ai minimi termini.When a security incident does happen, you will need to ensure that its impact is minimized. Tre indicazioni importanti possono essere messe in atto per ridurre al minimo il numero e l'impatto dei problemi di sicurezza:There are three critical recommendations that can be used to minimize the number and the impact of security incidents:

  • Valutare periodicamente le vulnerabilità nel proprio ambiente.Routinely assess vulnerabilities in your environment.
  • Controllare periodicamente tutti i computer e i dispositivi di rete per assicurarsi che abbiano tutte le patch più recenti installate.Routinely check all computer systems and network devices to ensure that they have all of the latest patches installed.
  • Controllare periodicamente tutti i log e i meccanismi di registrazione, inclusi i log eventi del sistema operativo, i log specifici dell'applicazione e i log di sistema di rilevamento delle intrusioni.Routinely check all logs and logging mechanisms, including operating system event logs, application specific logs and intrusion detection system logs.

La soluzione Security and Audit di OMS consente all’IT di monitorare attivamente tutte le risorse, per ridurre l’impatto dei problemi di sicurezza.OMS Security and Audit solution enables IT to actively monitor all resources, which can help minimize the impact of security incidents. Security and Audit di OMS dispone dei domini di sicurezza che possono essere utilizzati per il monitoraggio delle risorse.OMS Security and Audit has security domains that can be used for monitoring resources. I domini di sicurezza consentono di accedere rapidamente alle opzioni per il monitoraggio della sicurezza. I seguenti domini verranno analizzati più da vicino:The security domains provides quick access to a options, for security monitoring the following domains will be covered in more details:

  • Valutazione di software dannosoMalware assessment
  • Valutazione degli aggiornamentiUpdate assessment
  • Identità e accessoIdentity and Access

Protezione del sistema di monitoraggioMonitoring system protection

Con un approccio di difesa avanzato, tutti i livelli di protezione sono importanti per lo stato di sicurezza generale dell'asset.In a defense in depth approach, every layer of protection is important for the overall security state of your asset. Computer con minacce rilevate e computer con una protezione insufficiente vengono visualizzati nel riquadro Malware Assessment in Security Domains.Computers with detected threats and computers with insufficient protection are shown in the Malware Assessment tile under Security Domains. Usando le informazioni in Malware Assessment, è possibile sviluppare un piano per applicare la protezione ai server per cui è necessaria.By using the information on the Malware Assessment, you can identify a plan to apply protection to the servers that need it. Per accedere a questa opzione, attenersi alla procedura seguente:To access this option follow the steps below:

  1. Nel dashboard principale Microsoft Operations Management Suite fare clic sul riquadro Security and Audit (Sicurezza e controllo).In the Microsoft Operations Management Suite main dashboard click Security and Audit tile.

    Security and Audit

  2. Nel dashboard Security and Audit fare clic su Antimalware Assessment in Security Domains.In the Security and Audit dashboard, click Antimalware Assessment under Security Domains. Viene visualizzato il dashboard Antimalware Assessment come illustrato di seguito:The Antimalware Assessment dashboard appears as shown below:

Valutazione di software dannoso

È possibile utilizzare il dashboard Malware Assessment per identificare i problemi di sicurezza seguenti:You can use the Malware Assessment dashboard to identify the following security issues:

  • Minacce attive: computer compromessi che presentano minacce attive nel sistema.Active threats: computers that were compromised and have active threats in the system.
  • Minacce risolte: computer compromessi con minacce risolte.Remediated threats: computers that were compromised but the threats were remediated.
  • Firma scaduta: computer in cui è abilitata la protezione da malware, ma la firma è scaduta.Signature out of date: computers that have malware protection enabled but the signature is out of date.
  • Nessuna protezione in tempo reale: computer che non dispongono di un antimalware installato.No real time protection: computers that don’t have antimalware installed.

Monitoraggio degli aggiornamentiMonitoring updates

L'applicazione degli aggiornamenti di sicurezza più recenti è una procedura consigliata relativa alla sicurezza da incorporare nella strategia di gestione degli aggiornamenti.Applying the most recent security updates is a security best practice and it should be incorporated in your update management strategy. Il servizio Microsoft Monitoring Agent (HealthService.exe) legge le informazioni di aggiornamento dai computer monitorati e invia quindi le informazioni aggiornate al servizio OMS nel cloud per l'elaborazione.Microsoft Monitoring Agent service (HealthService.exe) reads update information from monitored computers and then sends this updated information to the OMS service in the cloud for processing. Il servizio Microsoft Monitoring Agent è configurato come un servizio automatico e dovrebbe essere sempre in esecuzione nel computer di destinazione.The Microsoft Monitoring Agent service is configured as an automatic service and it should be always running in the target computer.

Monitoraggio degli aggiornamenti

Viene applicata la logica ai dati di aggiornamento, che vengono quindi registrati dal servizio cloud.Logic is applied to the update data and the cloud service records the data. Gli eventuali aggiornamenti mancanti rilevati vengono visualizzati nel dashboard Updates .If missing updates are found, they are shown on the Updates dashboard. È possibile usare il dashboard Updates per elaborare gli aggiornamenti mancanti e sviluppare un piano per applicarli ai server su cui sono necessari.You can use the Updates dashboard to work with missing updates and develop a plan to apply them to the servers that need them. Attenersi alla procedura seguente per accedere al dashboard Updates :Follow the steps below to access the Updates dashboard:

  1. Nel dashboard principale Microsoft Operations Management Suite fare clic sul riquadro Security and Audit (Sicurezza e controllo).In the Microsoft Operations Management Suite main dashboard click Security and Audit tile.
  2. Nel dashboard Security and Audit fare clic su Update Assessment in Security Domains.In the Security and Audit dashboard, click Update Assessment under Security Domains. Il dashboard Update viene visualizzato come illustrato di seguito:The Update dashboard appears as shown below:

Valutazione degli aggiornamenti

In questo dashboard è possibile eseguire una valutazione dell'aggiornamento per comprendere lo stato corrente dei computer e risolvere le minacce più critiche.In this dashboard you can perform an update assessment to understand the current state of your computers and address the most critical threats. Usando il riquadro Critical or Security Updates , gli amministratori IT saranno in grado di accedere a informazioni dettagliate sugli aggiornamenti mancanti come illustrato di seguito:By using the Critical or Security Updates tile, IT administrators will be able to access detailed information about the updates that are missing as shown below:

Risultato della ricerca

Questo report include informazioni critiche che possono essere utilizzate per identificare il tipo di minaccia a cui è vulnerabile questo sistema, inclusi gli articoli della Microsoft KB associati all'aggiornamento della sicurezza e il bollettino Microsoft che fornisce ulteriori dettagli sulla vulnerabilità.This report include critical information that can be used to identify the type of threat this system is vulnerable to, which includes the Microsoft KB articles associated with the security update and the MS Bulletin that has more details about the vulnerability.

Monitoraggio di identità e accessoMonitoring identity and access

Con gli utenti che lavorano ovunque, utilizzano diversi dispositivi e l'accedono a una grande quantità di app sul cloud e in locale, è fondamentale che le credenziali siano protette.With users working from anywhere, using different devices and accessing a vast amount of cloud and on-premises apps, it is imperative that their credentials are protected. Gli attacchi per il furto di credenziali sono quelli in cui un utente malintenzionato ottiene inizialmente l'accesso alle credenziali di un altro utente normale per accedere a un sistema all'interno della rete.Credential theft attacks are those in which an attacker initially gains access to a regular user’s credentials to access a system within the network. In molti casi, questo tipo di attacco iniziale è solo un modo per ottenere l'accesso alla rete, l'obiettivo finale consiste nell'individuare gli account con privilegi.Many times, this initial attack is only a way to get access to the network, the ultimate goal is to discover privilege accounts.

Gli utenti malintenzionati rimarranno nella rete, utilizzando liberamente gli strumenti disponibili per estrarre le credenziali dalle sessioni di altri account connessi.Attackers will stay in the network, using freely available tooling to extract credentials from the sessions of other logged-on accounts. A seconda della configurazione di sistema, queste credenziali possono essere estratte sotto forma di hash, ticket o password non crittografate.Depending on the system configuration, these credentials can be extracted in the form of hashes, tickets, or even plaintext passwords.

Nota

I computer esposti direttamente a Internet visualizzeranno molti tentativi di accesso falliti utilizzando tutti i tipi di nome utente noti (ad esempio, amministratore).machines that are directly exposed to the Internet will see many failed attempts that try to login using all kind of well-known usernames (e.g. Administrator). Nella maggior parte dei casi, va bene se non vengono utilizzati i nomi utente noti e la password è sufficientemente complessa.In most cases it is OK if the well-known usernames are not used and if the password is strong enough.

Questi intrusi possono essere identificati prima che compromettano un account con privilegi.It is possible to identify these intruders before they compromise a privilege account. È possibile usufruire della soluzione Security and Audit di OMS per monitorare identità e accesso.You can leverage OMS Security and Audit Solution to monitor identity and access. Attenersi alla procedura seguente per accedere al dashboard Identity and Access :Follow the steps below to access the Identity and Access dashboard:

  1. Nel dashboard principale di Microsoft Operations Management Suite fare clic sul riquadro Security and Audit.In the Microsoft Operations Management Suite main dashboard click Security and Audit tile.
  2. Nel dashboard Security and Audit fare clic su Identity and Access in Security Domains.In the Security and Audit dashboard, click Identity and Access under Security Domains. Viene visualizzato il dashboard Identity and Access come illustrato di seguito:The Identity and Access dashboard appears as shown below:

Identità e accesso

Come parte della strategia di monitoraggio regolare, è necessario includere il monitoraggio dell’identità.As part of your regular monitoring strategy, you must include identity monitoring. L’amministratore IT dovrebbe verificare se è presente un nome utente valido specifico con un elevato numero di tentativi di accesso.IT Admin should look if there is a specific valid username that has many attempts. Ciò potrebbe indicare l'autore dell'attacco che ha acquisito il nome utente reale e ha tentato un attacco di forza bruta o uno strumento automatico che utilizza una password hardcoded scaduta.This might indicate either attacker that acquired the real username and try to brute force or an automatic tool that uses hard-coded password that expired.

Questo dashboard consente all’IT di identificare rapidamente potenziali minacce correlate all'identità e all’accesso alle risorse della società.This dashboard enable IT to quickly identify potential threats related to identity and access to company’s resources. Inoltre, è particolare importante identificare tendenze potenziali. Nel riquadro Logons Over Time, ad esempio, è possibile verificare quante volte è stato effettuato un tentativo di accesso non riuscito in un determinato intervallo di tempo.It is particular important to also identify potential trends, for example in the Logons Over Time tile, you can see over period of time how many times a failed logon attempt was performed. In questo caso sul computer FileServer sono stati effettuati 35 tentativi di accesso.In this case the computer FileServer received 35 logon attempts. È possibile scoprire ulteriori dettagli su questo computer facendo clic su di esso.You can explore more details about this computer by clicking on it.

Altre informazioni

Il report generato per questo computer fornisce importanti informazioni su questo modello.The report generated for this computer brings valuable details about this pattern. Nella colonna ACCOUNT viene indicato l'account utente utilizzato per tentare di accedere al sistema, nella colonna TIMEGENERATED viene indicato l'intervallo di tempo in cui è stato effettuato il tentativo e nella colonna LOGONTYPENAME viene indicata la posizione in cui è stato effettuato il tentativo.Noticed that the ACCOUNT column gives you the user account that was used to try to access the system, the TIMEGENERATED column gives you the time interval in which the attempt was done and the LOGONTYPENAME column gives you the location where this attempt was done. Se questi tentativi sono stati eseguiti localmente nel sistema da un programma, nella colonna PROCESS viene indicato il nome del processo.If these attempts were performed locally in the system by a program, the PROCESS column would be showing the process’s name. In scenari in cui il tentativo di accesso proviene da un programma, si dispone già del nome del processo ed è dunque possibile effettuare ulteriori indagini nel sistema di destinazione.In scenarios where the logon attempt is coming from a program, you already have the process name available and now you can perform further investigation in the target system.

Vedere ancheSee also

In questo documento è stato illustrato come utilizzare la soluzione Security and Audit di OMS per monitorare le risorse.In this document, you learned how to use OMS Security and Audit solution to monitor your resources. Per altre informazioni sulle funzionalità di OMS per la sicurezza, vedere gli articoli seguenti:To learn more about OMS Security, see the following articles: