Funzionalità di rilevamento del Centro sicurezza di AzureAzure Security Center detection capabilities

Questo documento illustra le funzionalità di rilevamento avanzate del Centro sicurezza di Azure, che consentono di identificare le minacce attive rivolte alle risorse di Microsoft Azure e fornisce le informazioni dettagliate necessarie per rispondere rapidamente a tali minacce.This document discusses Azure Security Center’s advanced detection capabilities, which helps identify active threats targeting your Microsoft Azure resources and provides you with the insights needed to respond quickly.

Il piano Standard del Centro sicurezza di Azure include funzionalità di rilevamento avanzate.Advanced detections are available in the Standard Tier of Azure Security Center. È disponibile una versione di valutazione gratuita di 60 giorni.A free 60-day trial is available. È possibile eseguire l'aggiornamento dal piano tariffario selezionato in Criteri di sicurezza.You can upgrade from the Pricing Tier selection in the Security Policy. Per altre informazioni sui prezzi, vedere la pagina del Centro sicurezza .Visit Security Center page to learn more about pricing.

Nota

Il Centro sicurezza ha rilasciato un'anteprima limitata di un nuovo set di strumenti di rilevamento, che sfruttano i record di controllo, un framework di controllo comune, per rilevare comportamenti dannosi nei computer Linux.Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. Inviare un messaggio di posta elettronica con l'ID sottoscrizione a Microsoft per accedere all'anteprima.Please send an email with your subscription IDs to us to join the preview.

Rispondere alle minacce attualiResponding to today’s threats

Negli ultimi 20 anni sono state introdotte modifiche significative nel panorama delle minacce .There have been significant changes in the threat landscape over the last 20 years. In passato, le aziende dovevano in genere preoccuparsi solo del danneggiamento del sito Web da parte di singoli utenti malintenzionati, interessati soprattutto a "provare cosa potevano fare".In the past, companies typically only had to worry about web site defacement by individual attackers who were mostly interested in seeing “what they could do". Oggi gli utenti malintenzionati sono molto più sofisticati e organizzati.Today’s attackers are much more sophisticated and organized. Hanno spesso obiettivi finanziari e strategici specifici,They often have specific financial and strategic goals. inoltre hanno a disposizione più risorse, perché possono essere finanziati da stati o da organizzazioni criminali.They also have more resources available to them, as they may be funded by nation states or organized crime.

Questo approccio ha portato a un livello di professionalità senza precedenti nelle schiere di utenti malintenzionati.This approach has led to an unprecedented level of professionalism in the attacker ranks. Non sono più interessati al danneggiamento del Web.No longer are they interested in web defacement. Ora sono interessati al furto di informazioni, conti finanziari e dati privati, che possono usare per generare liquidità nel mercato aperto o per sfruttare una particolare posizione aziendale, politica o militare.They are now interested in stealing information, financial accounts, and private data – all of which they can use to generate cash on the open market or to leverage a particular business, political or military position. Ancora più preoccupanti di quelli con un obiettivo finanziario sono gli utenti malintenzionati che violano le reti per danneggiare l'infrastruttura e le persone.Even more concerning than those attackers with a financial objective are the attackers who breach networks to do harm to infrastructure and people.

Per rispondere a questa situazione, le organizzazioni distribuiscono spesso varie soluzioni specifiche, concentrandosi sulla difesa del perimetro o degli endpoint dell'organizzazione attraverso la ricerca delle firme di attacchi noti.In response, organizations often deploy various point solutions, which focus on defending either the enterprise perimeter or endpoints by looking for known attack signatures. Queste soluzioni tendono a generare un numero elevato di avvisi con un basso livello di affidabilità, che richiedono l'intervento di un analista di sicurezza per la valutazione e l'analisi.These solutions tend to generate a high volume of low fidelity alerts, which require a security analyst to triage and investigate. La maggior parte delle organizzazioni non ha il tempo e le competenze che servono per rispondere a questi avvisi, quindi molti rimangono senza risposta.Most organizations lack the time and expertise required to respond to these alerts – so many go unaddressed. Nel frattempo, gli utenti malintenzionati hanno cambiato i metodi di attacco, per compromettere molte difese basate sulle firme e adattarsi agli ambienti cloud.Meanwhile, attackers have evolved their methods to subvert many signature-based defenses and adapt to cloud environments. Per identificare le minacce emergenti più rapidamente e accelerare le operazioni di rilevamento e risposta, sono quindi necessari nuovi approcci.New approaches are required to more quickly identify emerging threats and expedite detection and response.

Modalità di rilevamento e risposta alle minacce del Centro sicurezza di AzureHow Azure Security Center detects and responds to threats

I ricercatori Microsoft nell'ambito della sicurezza sono costantemente impegnati nella ricerca delle minacce.Microsoft security researchers are constantly on the lookout for threats. Hanno accesso a un ampio set di dati di telemetria acquisiti grazie alla presenza globale di Microsoft nel cloud e in locale.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. Questa raccolta di set di dati di vasta portata e diversificata consente a Microsoft di individuare nuovi modelli di attacco e tendenze nei propri prodotti consumer e aziendali locali, nonché nei servizi online.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services. Di conseguenza, il Centro sicurezza può aggiornare rapidamente gli algoritmi di rilevamento a fronte del rilascio di exploit nuovi e sofisticati da parte di utenti malintenzionati.As a result, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Questo approccio consente di tenere il passo con un ambiente caratterizzato da minacce in rapida evoluzione.This approach helps you keep pace with a fast moving threat environment.

Il sistema di rilevamento delle minacce del Centro sicurezza funziona mediante la raccolta automatica di informazioni sulla sicurezza dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connessi.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.It analyzes this information, often correlating information from multiple sources, to identify threats. Gli avvisi di sicurezza sono classificati in ordine di priorità nel Centro sicurezza insieme a indicazioni su come su correggere la minaccia.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Raccolta dati e presentazione del Centro sicurezza

Il Centro sicurezza si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme.Security Center employs advanced security analytics, which go far beyond signature-based approaches. I progressi tecnologici in ambito Big Data e Machine Learning vengono sfruttati per valutare gli eventi nell'intera l'infrastruttura cloud, rilevando minacce che sarebbe impossibile identificare con approcci manuali e stimando l'evoluzione degli attacchi.Breakthroughs in big data and machine learning technologies are leveraged to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. Queste analisi della sicurezza includono:These security analytics include:

  • Intelligence per le minacce integrata: cerca gli attori dannosi noti sfruttando le informazioni sulle minacce globali da prodotti e servizi Microsoft, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC), nonché da feed esterni.Integrated threat intelligence: looks for known bad actors by leveraging global threat intelligence from Microsoft products and services, the Microsoft Digital Crimes Unit (DCU), the Microsoft Security Response Center (MSRC), and external feeds.
  • Analisi del comportamento: applica i modelli noti per individuare comportamenti dannosi.Behavioral analytics: applies known patterns to discover malicious behavior.
  • Rilevamento anomalie: usa la tecnica di profilatura statistica per creare una baseline cronologica.Anomaly detection: uses statistical profiling to build a historical baseline. Genera avvisi sulle deviazioni dalle baseline stabilite che risultano conformi a un potenziale vettore di attacco .It alerts on deviations from established baselines that conform to a potential attack vector.

Intelligence per le minacceThreat intelligence

Microsoft vanta un'enorme quantità di dati di intelligence per le minacce globali.Microsoft has an immense amount of global threat intelligence. Il flusso di dati di telemetria proviene da più origini, ad esempio Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU) and Microsoft Security Response Center (MSRC). I ricercatori ricevono anche informazioni di intelligence per le minacce condivise tra i principali provider di servizi cloud e sottoscrivono i feed di terze parti di intelligence per le minacce.Researchers also receive threat intelligence information that is shared among major cloud service providers and subscribes to threat intelligence feeds from third parties. Il Centro sicurezza di Azure usa queste informazioni per avvisare gli utenti nel caso di minacce provenienti da attori dannosi noti.Azure Security Center can use this information to alert you to threats from known bad actors. Di seguito sono riportati alcuni esempi:Some examples include:

  • Comunicazioni in uscita a un indirizzo IP dannoso: il traffico in uscita a un botnet o una darknet nota indica probabilmente che la risorsa è stata compromessa e un utente malintenzionato tenta di eseguire comandi nel sistema o di sottrarre dati.Outbound communication to a malicious IP address: outbound traffic to a known botnet or darknet likely indicates that your resource has been compromised and an attacker it attempting to execute commands on that system or exfiltrate data. Il Centro sicurezza di Azure confronta il traffico di rete con il database Microsoft delle minacce globali e avvisa gli utenti se rileva una comunicazione verso un indirizzo IP dannoso.Azure Security Center compares network traffic to Microsoft’s global threat database and alerts you if it detects communication to a malicious IP address.

Analisi del comportamentoBehavioral analytics

L'analisi del comportamento è una tecnica che analizza e confronta i dati con una raccolta di modelli noti.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. Tuttavia, questi modelli non sono semplici firme.However, these patterns are not simple signatures. Sono determinati usando algoritmi di Machine Learning complessi applicati a set di dati di grandi dimensioni.They are determined through complex machine learning algorithms that are applied to massive datasets. Sono anche definiti tramite l'attento esame di comportamenti dannosi da parte di analisti esperti.They are also determined through careful analysis of malicious behaviors by expert analysts. Il Centro sicurezza di Azure può usare le analisi del comportamento per identificare le risorse compromesse in base all'analisi dei log delle macchine virtuali, dei dispositivi di rete virtuale, dell'infrastruttura, nonché dei dump di arresto anomalo del sistema e di altre origini.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps and other sources.

Esiste inoltre una correlazione con altri segnali per verificare la presenza di elementi a riprova di una campagna su larga scala.In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign. La correlazione consente di identificare gli eventi che risultano coerenti con gli indicatori di violazione stabiliti.This correlation helps to identify events that are consistent with established indicators of compromise. Di seguito sono riportati alcuni esempi:Some examples include:

  • Esecuzione di processi sospetti: gli utenti malintenzionati usano diverse tecniche per eseguire software dannoso senza che venga rilevato.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Ad esempio, un utente malintenzionato potrebbe assegnare al malware gli stessi nomi di file di sistema legittimi, inserendo però questi file in percorsi alternativi, usare un nome molto simile a un file innocuo o mascherare la vera estensione del file.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is very similar to a benign file, or mask the file’s true extension. I modelli del Centro sicurezza elaborano i comportamenti e monitorano l'esecuzione dei processi per rilevare outlier come questi.Security Center models processes behaviors and monitors process executions to detect outliers such as these.
  • Malware nascosto e tentativi di exploit: il malware sofisticato è in grado di eludere i prodotti antimalware tradizionali, non scrivendo mai su disco o crittografando i componenti software archiviati su disco.Hidden malware and exploitation attempts: Sophisticated malware is able to evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. Tuttavia, il malware può essere rilevato tramite l'analisi della memoria, perché per funzionare il malware deve lasciare tracce in memoria.However, such malware can be detected using memory analysis, as the malware must leave traces in memory in order to function. Quando il software si arresta in modo anomalo, un dump di arresto anomalo acquisisce una porzione della memoria al momento dell'arresto.When software crashes, a crash dump captures a portion of memory at the time of the crash. Analizzando la memoria nel dump di arresto anomalo, il Centro sicurezza di Azure può rilevare le tecniche usate per sfruttare le vulnerabilità del software, accedere ai dati riservati e rimanere permanentemente all'interno di un computer infetto in modo furtivo senza influire sulle relative prestazioni.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist with-in a compromised machine without impacting the performance of your machine.
  • Spostamento laterale e ricognizione interna: per rimanere permanentemente all'interno di una rete compromessa e individuare/raccogliere dati importanti, gli utenti malintenzionati provano spesso a muoversi lateralmente dal computer compromesso spostandosi in altri computer all'interno della stessa rete.Lateral movement and internal reconnaissance: To persist in a compromised network and locate/harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Il Centro sicurezza consente di monitorare le attività di elaborazione e accesso per individuare i tentativi di espansione del punto di appoggio di un utente malintenzionato all'interno della rete, ad esempio il probing della rete per individuare l'esecuzione di comandi remoti e l'enumerazione di account.Security Center monitors process and login activities in order to discover attempts to expand an attacker’s foothold within the network, such as remote command execution network probing, and account enumeration.
  • Script PowerShell dannosi: PowerShell viene usato da utenti malintenzionati per eseguire codice dannoso in macchine virtuali di destinazione per molteplici scopi.Malicious PowerShell Scripts: PowerShell is being used by attackers to execute malicious code on target virtual machines for a variety of purposes. Il Centro sicurezza ispeziona l'attività di PowerShell alla ricerca di prove di attività sospette.Security Center inspects PowerShell activity for evidence of suspicious activity.
  • Attacchi in uscita: gli utenti malintenzionati attaccano spesso le risorse cloud con l'obiettivo di usarle per organizzare altri attacchi.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Le macchine virtuali compromesse, ad esempio, possono essere usate per sferrare attacchi di forza bruta contro altre macchine virtuali, inviare posta indesiderata o analizzare le porte aperte e altri dispositivi su Internet.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send SPAM, or scan open ports and other devices on the internet. Applicando le tecniche di apprendimento automatico al traffico di rete, il Centro sicurezza può rilevare quando le comunicazioni di rete in uscita superano la norma.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. Nel caso di posta indesiderata, il Centro sicurezza correla anche il traffico di posta elettronica insolito con le informazioni di Office 365 per determinare se la posta elettronica è probabilmente dannosa o il risultato di una campagna di posta elettronica legittima.In the case of SPAM, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

Rilevamento anomalieAnomaly detection

Il Centro sicurezza di Azure usa inoltre il rilevamento anomalie per identificare le minacce.Azure Security Center also uses anomaly detection to identify threats. A differenza dell'analisi del comportamento, che dipende da modelli noti derivati da set di dati di grandi dimensioni, il rilevamento anomalie è più "personalizzato" e incentrato sulle baseline specifiche delle distribuzioni.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. Le tecniche di apprendimento automatico vengono applicate per determinare la normale attività per le distribuzioni dei clienti e quindi vengono generate regole per definire le condizioni degli outlier che possono rappresentare un evento di sicurezza.Machine learning is applied to determine normal activity for your deployments and then rules are generated to define outlier conditions that could represent a security event. Ecco un esempio:Here’s an example:

  • Attacchi di forza bruta RDP/SSH in ingresso: nelle distribuzioni dei clienti possono essere presenti macchine virtuali occupate da molti accessi ogni giorno e altre con pochi o nessun accesso.Inbound RDP/SSH brute force attacks: Your deployments may have busy virtual machines with a lot of logins each day and other virtual machines that have very few or any logins. Il Centro sicurezza di Azure può determinare l'attività di accesso di base per queste macchine virtuali e usare le tecniche di apprendimento automatico per definire gli eventi al di fuori della normale attività di accesso.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define what is outside of normal login activity. Se il numero di accessi o l'ora del giorno degli accessi oppure la località da cui provengono le richieste di accesso o altre funzionalità correlate all'accesso sono significativamente diverse dalla baseline, è possibile che venga generato un avviso.If the number of logins, or the time of day of the logins, or the location from which the logins are requested, or other login-related characteristics are significantly different from the baseline, then an alert may be generated. Anche in questo caso, le tecniche di apprendimento automatico determinano gli eventi significativi.Again, machine learning determines what is significant.

Monitoraggio continuo dell'intelligence per le minacceContinuous threat intelligence monitoring

Nel Centro sicurezza di Azure operano team dedicati alle ricerche sulla sicurezza e all'analisi scientifica dei dati che monitorano costantemente le modifiche che avvengono nel panorama delle minacce.Azure Security Center operates security research and data science teams that continuously monitor for changes in the threat landscape. Sono incluse le iniziative seguenti:This includes the following initiatives:

  • Monitoraggio dell'intelligence per le minacce: questo tipo di intelligence include meccanismi, indicatori, implicazioni e consigli utili sulle minacce esistenti o emergenti.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications and actionable advice about existing or emerging threats. Queste informazioni sono condivise nella community sulla sicurezza e Microsoft monitora costantemente i feed di intelligence per le minacce da origini interne ed esterne.This information is shared in the security community and Microsoft continuously monitors threat intelligence feeds from internal and external sources.
  • Condivisione dei segnali: le informazioni dettagliate dai team della sicurezza nell'ampio portfolio di servizi, server e dispositivi endpoint client locali e cloud di Microsoft vengono condivise e analizzate.Signal sharing: Insights from security teams across Microsoft’s broad portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.
  • Specialisti della sicurezza Microsoft: in contatto costante con i team Microsoft che operano in ambiti di sicurezza specializzati, ad esempio analisi scientifiche e rilevamento di attacchi Web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, like forensics and web attack detection.
  • Ottimizzazione del rilevamento: gli algoritmi vengono eseguiti su set di dati reali del cliente e ricercatori dedicati alla sicurezza collaborano con i clienti per convalidare i risultati.Detection tuning: Algorithms are run against real customer data sets and security researchers work with customers to validate the results. Per perfezionare gli algoritmi di Machine Learning vengono usati veri e falsi positivi.True and false positives are used to refine machine learning algorithms.

Questi sforzi combinati convergono in rilevamenti nuovi e migliorati, da cui è possibile trarre vantaggio immediatamente, senza che sia richiesta alcuna azione.These combined efforts culminate in new and improved detections, which you can benefit from instantly – there’s no action for you to take.

Vedere ancheSee also

In questo documento si è appreso come utilizzare le funzionalità di monitoraggio nel Centro sicurezza di Azure.In this document, you learned how to Azure Security Center detection capabilities work. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: