Raccolta dati nel Centro sicurezza di AzureData collection in Azure Security Center

Il Centro sicurezza raccoglie i dati delle macchine virtuali di Azure e dei computer che non hanno Azure per monitorare le minacce e le vulnerabilità della sicurezza.Security Center collects data from your Azure virtual machines (VMs) and non-Azure computers to monitor for security vulnerabilities and threats. I dati vengono raccolti tramite Microsoft Monitoring Agent, che legge diverse configurazioni correlate alla sicurezza oltre ai registri eventi del computer e copia i dati nell'area di lavoro per eseguire l'analisi.Data is collected using the Microsoft Monitoring Agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis. Esempi di tali dati sono: tipo e versione del sistema operativo, log del sistema operativo (registri eventi di Windows), processi in esecuzione, nome computer, indirizzi IP, utente connesso e ID tenant.Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, logged in user, and tenant ID. Microsoft Monitoring Agent copia anche i file di dump di arresto anomalo del sistema nelle aree di lavoro.The Microsoft Monitoring Agent also copies crash dump files to your workspace.

Abilitare il provisioning automatico di Microsoft Monitoring AgentEnable automatic provisioning of Microsoft Monitoring Agent

Dopo aver abilitato il provisioning automatico, il Centro sicurezza effettua il provisioning di Microsoft Monitoring Agent in tutte le macchine virtuali di Azure supportate e in quelle nuove che vengono create.When automatic provisioning is enabled, Security Center provisions the Microsoft Monitoring Agent on all supported Azure VMs and any new ones that are created. Il provisioning automatico è fortemente consigliato, ma è disponibile anche l'installazione manuale dell'agente.Automatic provisioning is strongly recommended but manual agent installation is also available. Informazioni sull'installazione dell'estensione Microsoft Monitoring Agent.Learn how to install the Microsoft Monitoring Agent extension.

Nota

La disabilitazione automatica del provisioning limita il monitoraggio delle risorse.Disabling automatic provisioning limits security monitoring for your resources. Per altre informazioni, vedere Disabilitare il provisioning automatico in questo articolo.To learn more, see disable automatic provisioning in this article. Gli snapshot del disco della macchina virtuale e la raccolta di elementi resteranno abilitati anche se il provisioning automatico viene disabilitato.VM disk snapshots and artifact collection are enabled even if automatic provisioning is disabled.

Per abilitare il provisioning automatico di Microsoft Monitoring Agent:To enable automatic provisioning of the Microsoft Monitoring Agent:

  1. selezionare Criteri di sicurezza nel menu principale Centro sicurezza.Under the Security Center main menu, select Security Policy.
  2. Selezionare la sottoscrizione.Select the subscription.
  3. In Criteri di sicurezza selezionare Raccolta dati.Under Security policy, select Data Collection.
  4. In Onboarding selezionare On (Abilita) per abilitare il provisioning automatico.Under Onboarding, select On to enable automatic provisioning.
  5. Selezionare Salva.Select Save.

Abilitare il provisioning automatico

Configurazione dell'area di lavoro predefinitaDefault workspace configuration

I dati raccolti dal Centro sicurezza vengono archiviati nell'area di lavoro di Log Analytics.Data collected by Security Center is stored in Log Analytics workspace(s). È possibile scegliere di archiviare i dati raccolti dalle macchine virtuali di Azure nelle aree di lavoro create dal Centro sicurezza o in un'area di lavoro esistente creata dall'utente.You can elect to have data collected from Azure VMs stored in workspaces created by Security Center or in an existing workspace you created.

Per usare l'area di lavoro di Log Analytics esistente:To use your existing Log Analytics workspace:

  • L'area di lavoro deve essere associata alla sottoscrizione di Azure selezionata.The workspace must be associated with your selected Azure subscription.
  • È necessario avere almeno le autorizzazioni di lettura per accedere all'area di lavoro.At a minimum, you must have read permissions to access the workspace.

Per selezionare l'area di lavoro di Log Analytics esistente:To select an existing Log Analytics workspace:

  1. In Security policy – Data Collection (Criteri di sicurezza - Raccolta dati) selezionare Use another workspace (Usare un'altra area di lavoro).Under Security policy – Data Collection, select Use another workspace.

    Selezionare un'area di lavoro esistente

  2. Nel menu a discesa selezionare un'area di lavoro dove archiviare i dati raccolti.From the pull-down menu, select a workspace to store collected data.

Nota

Nel menu a discesa vengono visualizzate solo le aree di lavoro a cui si ha accesso e che si trovano nella sottoscrizione di Azure.In the pull down menu, only workspaces that you have access to and are in your Azure subscription are shown.

  1. Selezionare Salva.Select Save.
  2. Dopo aver selezionato Salva, verrà richiesto se si desidera riconfigurare le macchine virtuali monitorate.After selecting Save, you will be asked if you would like to reconfigure monitored VMs.

    • Selezionare No se si desidera che le nuove impostazioni dell'area di lavoro si applichino solo alle nuove macchine virtuali.Select No if you want the new workspace settings to apply on new VMs only. Le nuove impostazioni dell'area di lavoro si applicano solo alle nuove installazioni dell'agente, ovvero alle macchine virtuali da poco rilevate che non hanno installato Microsoft Monitoring Agent.The new workspace settings only apply to new agent installations; newly discovered VMs that do not have the Microsoft Monitoring Agent installed.
    • Selezionare se si desidera che le nuove impostazioni dell'area di lavoro si applichino a tutte le macchine virtuali.Select Yes if you want the new workspace settings to apply on all VMs. In aggiunta, ogni macchina virtuale connessa a un'area di lavoro creata dal Centro sicurezza viene ricollegata alla nuova area di lavoro di destinazione.In addition, every VM connected to a Security Center created workspace is reconnected to the new target workspace.

    Nota

    Se si seleziona Sì, non è necessario eliminare le aree di lavoro create dal Centro sicurezza fino a quando tutte le macchine virtuali vengono ricollegate alla nuova area di lavoro di destinazione.If you select Yes, you must not delete the workspace(s) created by Security Center until all VMs have been reconnected to the new target workspace. Questa operazione non riesce se un'area di lavoro viene eliminata troppo presto.This operation fails if a workspace is deleted too early.

    • Selezionare Annulla per annullare l'operazione.Select Cancel to cancel the operation.

    Selezionare un'area di lavoro esistente

Livello della raccolta datiData collection tier

Il Centro sicurezza può ridurre il volume di eventi mantenendo un numero sufficiente di eventi per l'analisi, il controllo e il rilevamento delle minacce.Security Center can reduce the volume of events while maintaining enough events for investigation, auditing, and threat detection. È possibile scegliere i criteri di filtraggio corretti per le sottoscrizioni e le aree di lavoro da quattro insiemi di eventi raccolti dall'agente.You can choose the right filtering policy for your subscriptions and workspaces from four sets of events to be collected by the agent.

  • Tutti gli eventi: per i clienti che desiderano assicurarsi che tutti gli eventi vengano raccolti.All events – For customers who want to make sure all events are collected. Questa è la modalità predefinita.This is the default.
  • Comuni: si tratta di un insieme di eventi che soddisfa la maggior parte dei clienti e consente loro di avere un audit trail completo.Common – This is a set of events that satisfies most customers and allows them a full audit trail.
  • Minimi: un insieme più piccolo di eventi per i clienti che desiderano ridurre al minimo il volume di eventi.Minimal – A smaller set of events for customers who want to minimize the event volume.
  • Nessuno: per disabilitare la raccolta di eventi di sicurezza dai registri di sicurezza e di App Locker.None – Disable security event collection from security and App Locker logs. Per i clienti che scelgono questa opzione, i dashboard di sicurezza presentano solo i registri di Windows Firewall e le valutazioni proattive come antimalware, iniziali e di aggiornamento.For customers who choose this option, their security dashboards have only Windows Firewall logs and proactive assessments like antimalware, baseline, and update.

Nota

Questi insiemi sono stati progettati per soddisfare gli scenari tipici.These sets were designed to address typical scenarios. Assicurarsi di valutare quale di questi si adatti alle proprie esigenze prima di implementarlo.Make sure to evaluate which one fits your needs before implementing it.

Per determinare gli eventi che apparterranno all'insieme di eventi Comuni e Minimi abbiamo collaborato con i clienti e usato gli standard del settore per conoscere la frequenza non filtrata di ogni evento e il loro uso.To determine the events that will belong to the Common and Minimal event sets, we worked with customers and industry standards to learn about the unfiltered frequency of each event and their usage. In questo processo sono state usate le linee guida seguenti:We used the following guidelines in this process:

  • Minimi: assicurarsi che questo insieme includa solo gli eventi che potrebbero indicare una violazione riuscita ed eventi importanti con un volume molto basso.Minimal - Make sure that this set covers only events that might indicate a successful breach and important events that have a very low volume. Ad esempio, questo insieme può contenere accessi utente riusciti e non (ID evento 4624, 4625), però non contiene disconnessioni importanti per il controllo ma non per il rilevamento e ha un volume relativamente alto.For example, this set contains user successful and failed login (event IDs 4624, 4625), but it doesn’t contain logout which is important for auditing but not meaningful for detection and has relatively high volume. La maggior parte del volume di dati di questo insieme è composto da eventi di accesso e da eventi di creazione del processo (ID evento 4688).Most of the data volume of this set is the login events and process creation event (event ID 4688).
  • Comuni: fornire un audit trail completo degli utenti in questo insieme.Common - Provide a full user audit trail in this set. Ad esempio, questo insieme contiene sia gli accessi utente che le disconnessioni dell'utente (ID evento 4634).For example, this set contains both user logins and user logoff (event ID 4634). Sono incluse azioni di controllo quali modifiche al gruppo di sicurezza, operazioni Kerberos del controller del dominio principale e altri eventi consigliati dalle organizzazioni del settore.We include auditing actions like security group changes, key domain controller Kerberos operations, and other events that are recommended by industry organizations.

Gli eventi che hanno un volume molto basso sono stati inclusi nell'insieme Comuni. Questo insieme è stato scelto perché l'obiettivo è quello di ridurre il volume, non di filtrare eventi specifici.Events that have very low volume were included in the Common set as the main motivation to choose it over all the events is to reduce the volume and not to filter out specific events.

Di seguito è riportata una suddivisione completa degli ID di eventi di sicurezza e App Locker per ogni insieme:Here is a complete breakdown of the Security and App Locker event IDs for each set:

Livello datiData tier Indicatori di eventi raccoltiCollected event indicators
MinimeMinimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,82224756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
ComuneCommon 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,461,4622,1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,461,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,300046273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Nota

Se si usa l'oggetto Criteri di gruppo, è consigliabile abilitare i criteri di controllo della creazione del processo dell'evento 4688 e il campo CommandLine all'interno dell'evento 4688.If you are using Group Policy Object (GPO), it is recommended that you enable audit policies Process Creation Event 4688 and the CommandLine field inside event 4688. Per altre informazioni sulla creazione del processo dell'evento 4688, vedere le domande frequenti del Centro sicurezza.For more information about Process Creation Event 4688, see Security Center's FAQ. Per altre informazioni su questi criteri di controllo, vedere Suggerimenti per i criteri di controllo.For more information about these audit policies, see Audit Policy Recommendations.

Per scegliere i criteri di filtraggio:To choose your filtering policy:

  1. Nel pannello Security policy & settings (Criteri e impostazioni di sicurezza) selezionare i criteri di filtraggio in Eventi di sicurezza.On the Security policy & settings blade, select your filtering policy under Security Events.
  2. Selezionare Salva.Select Save.

    Scegliere i criteri di filtraggio

Disabilitare il provisioning automaticoDisable automatic provisioning

È possibile disabilitare il provisioning automatico nelle risorse in qualsiasi momento disattivando questa impostazione nei criteri di sicurezza.You can disable automatic provisioning from resources at any time by turning off this setting in the security policy. Il provisioning automatico è fortemente consigliato per ottenere gli avvisi di sicurezza e i suggerimenti sugli aggiornamenti del sistema, le vulnerabilità del sistema operativo e la protezione degli endpoint.Automatic provisioning is highly recommended in order to get security alerts and recommendations about system updates, OS vulnerabilities and endpoint protection.

Nota

La disabilitazione del provisioning automatico non rimuove Microsoft Monitoring Agent dalle macchine virtuali di Azure in cui è stato eseguito il provisioning dell'agente.Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned.

  1. Tornare al menu principale del Centro sicurezza e selezionare Criteri di sicurezza.Return to the Security Center main menu and select the Security policy.

    Disabilitare il provisioning automatico

  2. Selezionare la sottoscrizione per cui si desidera disabilitare il provisioning automatico.Select the subscription that you wish to disable automatic provisioning.

  3. Nel pannello Security policy – Data Collection (Criteri di sicurezza - Raccolta dati), in Onboarding selezionare Disattiva per disabilitare il provisioning automatico.On the Security policy – Data Collection blade, under Onboarding select Off to disable automatic provisioning.
  4. Selezionare Salva.Select Save.

Passaggi successiviNext steps

In questo articolo è stato illustrato il funzionamento della raccolta dati e del provisioning automatico nel Centro sicurezza.This article showed you how data collection and automatic provisioning in Security Center works. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: