Sicurezza dei dati nel Centro sicurezza di AzureAzure Security Center Data Security

Per consentire ai clienti di impedire, rilevare e rispondere alle minacce, il Centro sicurezza di Azure raccoglie ed elabora dati correlati alla sicurezza, tra cui informazioni di configurazione, metadati, registri eventi, file di dump di arresto anomalo del sistema e altro.To help customers prevent, detect, and respond to threats, Azure Security Center collects and processes security-related data, including configuration information, metadata, event logs, crash dump files, and more. Microsoft è conforme alle più rigorose linee guida sulla sicurezza e sulla conformità in tutte le fasi, dalla codifica all'esecuzione di un servizio.Microsoft adheres to strict compliance and security guidelines—from coding to operating a service.

Questo articolo illustra come i dati vengono gestiti e protetti nel Centro sicurezza di Azure.This article explains how data is managed and safeguarded in Azure Security Center.

Origini datiData sources

Il Centro sicurezza di Azure analizza i dati provenienti dalle origini seguenti per offrire visibilità sullo stato della sicurezza, identificare le vulnerabilità e suggerire le mitigazioni e rilevare minacce attive:Azure Security Center analyzes data from the following sources to provide visibility into your security state, identify vulnerabilities and recommend mitigations, and detect active threats:

  • Servizi di Azure: usa le informazioni sulla configurazione dei servizi di Azure distribuiti comunicando con il provider di risorse del servizio.Azure Services: Uses information about the configuration of Azure services you have deployed by communicating with that service’s resource provider.
  • Traffico di rete: usa i metadati del traffico di rete campionati dall'infrastruttura di Microsoft, ad esempio l'IP/porta di origine/destinazione, le dimensioni del pacchetto e il protocollo di rete.Network Traffic: Uses sampled network traffic metadata from Microsoft’s infrastructure, such as source/destination IP/port, packet size, and network protocol.
  • Soluzioni partner: usa gli avvisi di sicurezza dalle soluzioni partner integrate, ad esempio firewall e soluzioni antimalware.Partner Solutions: Uses security alerts from integrated partner solutions, such as firewalls and antimalware solutions.
  • Macchine virtuali e server: usa informazioni sulla configurazione e sugli eventi di sicurezza, ad esempio log di controllo e log eventi di Windows, log di IIS, messaggi syslog e file di dump di arresto anomalo del sistema dalle macchine virtuali.Your Virtual Machines and Servers: Uses configuration information and information about security events, such as Windows event and audit logs, IIS logs, syslog messages, and crash dump files from your virtual machines. Quando viene creato un avviso, il Centro sicurezza di Azure può anche generare uno snapshot del disco della VM interessato ed estrarre gli elementi del computer relativi all'avviso dal disco della VM, ad esempio un file del Registro di sistema, a scopo di analisi.In addition, when an alert is created, Azure Security Center may generate a snapshot of the VM disk affected and extract machine artifacts related to the alert from the VM disk, such as a registry file, for forensics purposes.

Protezione datiData protection

Separazione dei dati:i dati vengono mantenuti separati logicamente in ogni componente del servizio.Data segregation: Data is kept logically separate on each component throughout the service. Tutti i dati vengono contrassegnati in base all'organizzazione.All data is tagged per organization. Tale contrassegno persiste per tutto il ciclo di vita dei dati e viene applicato a ogni livello del servizio.This tagging persists throughout the data lifecycle, and it is enforced at each layer of the service.

Accesso ai dati: per offrire raccomandazioni sulla sicurezza e analizzare le potenziali minacce alla sicurezza, il personale Microsoft può accedere alle informazioni raccolte o analizzate dai servizi di Azure, inclusi i file di dump di arresto anomalo del sistema, eventi di creazione di un processo, snapshot ed elementi del disco della VM, che potrebbero accidentalmente includere dati della società o dati personali provenienti dalle macchine virtuali.Data access: In order to provide security recommendations and investigate potential security threats, Microsoft personnel may access information collected or analyzed by Azure services, including crash dump files, process creation events, VM disk snapshots and artifacts, which may unintentionally include Customer Data or personal data from your virtual machines. Microsoft rispetta le condizioni di Microsoft Online Services e l'Informativa sulla privacy, in cui è specificato che Microsoft non userà i dati del cliente o ne ricaverà informazioni per scopi pubblicitari o commerciali simili.We adhere to the Microsoft Online Services Terms and Privacy Statement, which state that Microsoft will not use Customer Data or derive information from it for any advertising or similar commercial purposes. Microsoft userà i dati dei clienti solo se necessari per fornire i servizi di Azure, incluse le finalità compatibili con la fornitura di tali servizi.We only use Customer Data as needed to provide you with Azure services, including purposes compatible with providing those services. L'utente conserva tutti i diritti sui dati dei clienti.You retain all rights to Customer Data.

Uso dei dati: Microsoft usa modelli e intelligence per le minacce trovati in più tenant per migliorare le funzionalità di prevenzione e rilevamento, in base alle garanzie relative alla privacy descritte nell'Informativa sulla privacy.Data use: Microsoft uses patterns and threat intelligence seen across multiple tenants to enhance our prevention and detection capabilities; we do so in accordance with the privacy commitments described in our Privacy Statement.

Posizione dei datiData location

Aree di lavoro: per le seguenti aree geografiche è specificata un'area di lavoro e i dati raccolti dalle macchine virtuali di Azure, inclusi i dump di arresto anomalo del sistema e alcuni tipi di dati di avviso, vengono archiviati nell'area di lavoro più vicina.Your Workspace(s): A workspace is specified for the following Geos, and data collected from your Azure virtual machines, including crash dumps, and some types of alert data, are stored in the nearest workspace.

Area geografica VMVM Geo Area geografica area di lavoroWorkspace Geo
Stati Uniti, Brasile, CanadaUnited States, Brazil, Canada Stati UnitiUnited States
Europa, Regno UnitoEurope, United Kingdom EuropaEurope
Asia Pacifico, Giappone, IndiaAsia Pacific, Japan, India Asia/PacificoAsia Pacific
AustraliaAustralia AustraliaAustralia

Gli snapshot del disco della VM vengono archiviati nello stesso account di archiviazione del disco della VM.VM disk snapshots are stored in the same storage account as the VM disk.

Per le macchine virtuali e i server in esecuzione in altri ambienti, ad esempio in locale, è possibile specificare l'area di lavoro e l'area in cui vengono archiviati i dati raccolti.For virtual machines and servers running in other environments, e.g. on-premises, you can specify the workspace and region where collected data is stored.

Archiviazione in Centro sicurezza di Azure: le informazioni sugli avvisi di sicurezza, inclusi gli avvisi dei partner, vengono archiviate a livello regionale in base alla posizione della risorsa di Azure correlata, mentre le informazioni sullo stato di integrità della sicurezza e le raccomandazioni vengono archiviate a livello centrale negli Stati Uniti o in Europa in base alla posizione del cliente.Azure Security Center Storage: Information about security alerts, including partner alerts, is stored regionally according to the location of the related Azure resource, whereas Information about security health status and recommendation is stored centrally in either the United States or Europe according to customer’s location. Il Centro sicurezza di Azure raccoglie copie temporanee dei file di dump di arresto anomalo del sistema e le analizza per cercare le prove di tentativi di exploit e compromissioni riuscite.Azure Security Center collects ephemeral copies of your crash dump files and analyzes them for evidence of exploit attempts and successful compromises. Il Centro sicurezza di Azure esegue questa analisi nella stessa area geografica dell'area di lavoro ed elimina le copie temporanee al termine dell'analisi.Azure Security Center performs this analysis within the same Geo as the workspace, and deletes the ephemeral copies when analysis is complete.

Gli elementi del computer vengono archiviati centralmente nella stessa area della VM.Machine artifacts are stored centrally in the same region as the VM.

Gestione della raccolta dati da macchine virtualiManaging data collection from virtual machines

Quando si abilita il Centro sicurezza in Azure, viene attivata la raccolta dati per ogni sottoscrizione di Azure.When you enable Security Center in Azure, data collection is turned on for each of your Azure subscriptions. È anche possibile attivare la raccolta dati per le sottoscrizioni esistenti nella sezione Criteri di sicurezza del Centro sicurezza di Azure.You can also turn on data collection for your subscriptions in the Security Policy section of Azure Security Center. Quando la raccolta dati è attivata, il Centro sicurezza di Azure effettua il provisioning di Microsoft Monitoring Agent in tutte le macchine virtuali di Azure supportate esistenti e in quelle nuove che vengono create.When Data collection is turned on, Azure Security Center provisions the Microsoft Monitoring Agent on all existing supported Azure virtual machines and any new ones that are created. Microsoft Monitoring Agent esegue l'analisi delle varie configurazioni correlate alla sicurezza e ne genera gli eventi nelle tracce di Event Tracing for Windows (ETW).The Microsoft Monitoring agent scans for various security-related configurations and events it into Event Tracing for Windows (ETW) traces. Il sistema operativo genererà anche eventi del log eventi durante l'esecuzione del computer.In addition, the operating system will raise event log events during the course of running the machine. Esempi di tali dati sono: tipo e versione del sistema operativo, log del sistema operativo (registri eventi di Windows), processi in esecuzione, nome computer, indirizzi IP, utente connesso e ID tenant.Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, logged in user, and tenant ID. Microsoft Monitoring Agent legge le voci del log eventi ed ETW le traccia e le copia nelle aree di lavoro per l'analisi.The Microsoft Monitoring Agent reads event log entries and ETW traces and copies them to your workspace(s) for analysis. Microsoft Monitoring Agent copia anche i file di dump di arresto anomalo del sistema nelle aree di lavoro e abilita gli eventi di creazione di processi e il controllo della riga di comando.The Microsoft Monitoring Agent also copies crash dump files to your workspace(s), enable process creation events, and enable command line auditing.

Se si usa la versione gratuita del Centro sicurezza di Azure, è anche possibile disabilitare la raccolta dati dalle macchine virtuali nei criteri di sicurezza.If you are using Azure Security Center Free, you can also disable data collection from virtual machines in the Security Policy. La raccolta dati è richiesta per le sottoscrizioni a livello Standard.Data Collection is required for subscriptions on the Standard tier. Gli snapshot dei dischi delle VM e la raccolta di elementi resteranno abilitati anche se la raccolta dati è stata disabilitata.VM disk snapshots and artifact collection will still be enabled even if data collection has been disabled.

Vedere ancheSee also

Questo documento ha illustrato come i dati vengono gestiti e protetti nel Centro sicurezza di Azure.In this document, you learned how data is managed and safeguarded in Azure Security Center. Per altre informazioni sul Centro sicurezza di Azure, vedere:To learn more about Azure Security Center, see: