Domande frequenti sul Centro sicurezza di AzureAzure Security Center frequently asked questions (FAQ)

Queste FAQ rispondono alle domande sul Centro sicurezza di Azure, un servizio che consente di prevenire, rilevare e rispondere alle minacce con visibilità e controllo maggiori sulla sicurezza delle risorse di Microsoft Azure.This FAQ answers questions about Azure Security Center, a service that helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Microsoft Azure resources.

Nota

A partire dall'inizio di giugno 2017, il Centro sicurezza usa Microsoft Monitoring Agent per raccogliere e archiviare i dati.Beginning in early June 2017, Security Center will use the Microsoft Monitoring Agent to collect and store data. Per altre informazioni, vedere Migrazione della piattaforma del Centro sicurezza di Azure.To learn more, see Azure Security Center Platform Migration. Le informazioni contenute in questo articolo si riferiscono alle funzionalità del Centro sicurezza dopo la transizione a Microsoft Monitoring Agent.The information in this article represents Security Center functionality after transition to the Microsoft Monitoring Agent.

Domande generaliGeneral questions

Che cos'è il Centro sicurezza di Azure?What is Azure Security Center?

Il Centro sicurezza PC di Azure impedisce, rileva e risponde alle minacce mediante visibilità e controllo avanzati della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. Offre funzionalità integrate di monitoraggio della sicurezza e gestione dei criteri tra le sottoscrizioni, facilita il rilevamento delle minacce che altrimenti passerebbero inosservate e funziona con un ampio ecosistema di soluzioni di sicurezza.It provides integrated security monitoring and policy management across your subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

In che modo è possibile accedere al Centro sicurezza di Azure?How do I get Azure Security Center?

Il Centro sicurezza di Azure viene abilitato con la sottoscrizione di Microsoft Azure ed è accessibile dal portale di Azure.Azure Security Center is enabled with your Microsoft Azure subscription and accessed from the Azure portal. (accedere al portale, selezionare Sfoglia e scorrere fino a Centro sicurezza).(Sign in to the portal, select Browse, and scroll to Security Center).

FatturazioneBilling

Come funziona la fatturazione per il Centro sicurezza di Azure?How does billing work for Azure Security Center?

Il Centro sicurezza è disponibile in due livelli:Security Center is offered in two tiers:

Il livello gratuito permette di conoscere lo stato di protezione delle risorse di Azure, i criteri di sicurezza di base, i consigli sulla sicurezza e l'aspetto di integrazione con i prodotti e i servizi dei partner.The Free tier provides visibility into the security state of your Azure resources, basic security policy, security recommendations, and integration with security products and services from partners.

Il livello standard aggiunge funzionalità avanzate per il rilevamento delle minacce, tra cui intelligence per le minacce, analisi del comportamento, rilevamento delle anomalie, eventi imprevisti per la sicurezza e report di valutazione delle minacce.The Standard tier adds advanced threat detection capabilities, including threat intelligence, behavioral analysis, anomaly detection, security incidents, and threat attribution reports. Il livello Standard è gratuito per i primi 60 giorni.The Standard tier is free for the first 60 days. Se scegli di continuare a usare il servizio dopo questi 60 giorni, l'uso del servizio verrà addebitato automaticamente.Should you choose to continue to use the service beyond 60 days, we automatically start to charge for the service. Per eseguire l'aggiornamento, selezionare il piano tariffario nei criteri di sicurezza.To upgrade, select Pricing Tier in the security policy.

AutorizzazioniPermissions

Il Centro sicurezza di Azure usa il controllo degli accessi in base al ruolo, con ruoli predefiniti che possono essere assegnati a utenti, gruppi e servizi in Azure.Azure Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure.

Centro sicurezza consente di valutare la configurazione delle risorse per identificare problemi di sicurezza e vulnerabilità.Security Center assesses the configuration of your resources to identify security issues and vulnerabilities. In Centro sicurezza gli utenti possono visualizzare solo informazioni relative a una risorsa quando dispongono del ruolo di proprietario, collaboratore o lettore per la sottoscrizione o il gruppo di risorse cui tali risorse appartengono.In Security Center, you only see information related to a resource when you are assigned the role of Owner, Contributor, or Reader for the subscription or resource group that a resource belongs to.

Per altre informazioni sui ruoli e sulle azioni consentite in Centro sicurezza, vedere Permissions in Azure Security Center (Autorizzazioni in Centro sicurezza di Azure).See Permissions in Azure Security Center to learn more about roles and allowed actions in Security Center.

Raccolta dei datiData collection

Il Centro sicurezza raccoglie i dati dalle macchine virtuali per valutarne lo stato della sicurezza, indicare raccomandazioni sulla sicurezza e segnalare le minacce.Security Center collects data from your virtual machines to assess their security state, provide security recommendations, and alert you to threats. La prima volta che si accede al Centro sicurezza, la raccolta dati viene abilitata in tutte le macchine virtuali della sottoscrizione.When you first access Security Center, data collection is enabled on all virtual machines in your subscription. È inoltre possibile abilitare la raccolta dei dati nei criteri del Centro sicurezza.You can also enable data collection in the Security Center policy.

Come si disabilita la raccolta dati?How do I disable data collection?

Se si usa il livello gratuito del Centro sicurezza di Azure, è possibile disabilitare la raccolta dati dalle macchine virtuali in qualsiasi momento.If you are using the Azure Security Center Free tier, you can disable data collection from virtual machines at any time. La raccolta dati è richiesta per le sottoscrizioni a livello Standard.Data collection is required for subscriptions on the Standard tier. È possibile disabilitare la raccolta dei dati per una sottoscrizione in Criteri di sicurezza.You can disable data collection for a subscription in the Security policy. (accedere al portale di Azure, selezionare Sfoglia, quindi Centro sicurezza e infine Criteri). Quando si seleziona una sottoscrizione, si apre un nuovo pannello in cui è possibile disattivare la raccolta di dati.(Sign in to the Azure portal, select Browse, select Security Center, and select Policy.) When you select a subscription, a new blade opens and provides you the option to turn off Data collection.

Come si abilita la raccolta dati?How do I enable data collection?

È possibile abilitare la raccolta dei dati per la sottoscrizione nei criteri di sicurezza.You can enable data collection for your Azure subscription in the Security policy. Per abilitare la raccolta di dati.To enable data collection. Accedere al portale di Azure, selezionare Sfoglia, quindi Centro sicurezza e infine Criteri.Sign in to the Azure portal, select Browse, select Security Center, and select Policy. Impostare Raccolta dati su On (Attivo).Set Data collection to On.

Cosa accade quando si abilita la raccolta dati?What happens when data collection is enabled?

Dopo aver abilitato la raccolta dati nei criteri di sicurezza, si esegue il provisioning automatico di Microsoft Monitoring Agent in tutte le macchine virtuali supportate, nuove ed esistenti, distribuite nella sottoscrizione.When data collection is enabled, the Microsoft Monitoring Agent is automatically provisioned on all existing and any new supported virtual machines that are deployed in the subscription.

L'agente di monitoraggio compromettere le prestazioni dei server?Does the Monitoring Agent impact the performance of my servers?

L'agente e usa una quantità nominale delle risorse di sistema e dovrebbe avere un impatto minimo sulle prestazioni.The agent consumes a nominal amount of system resources and should have little impact on the performance. Per altre informazioni sull'agente, sull'estensione e sull'impatto sulle prestazioni, vedere la guida alla pianificazione e alla gestione.For more information on performance impact and the agent and extension, see the planning and operations guide.

Dove vengono archiviati i dati?Where is my data stored?

I dati raccolti dall'agente vengono archiviati in un'area di lavoro di Log Analytics esistente associata alla sottoscrizione o in una nuova area di lavoro.Data collected from this agent is stored in either an existing Log Analytics workspace associated with your subscription or a new workspace. Per altre informazioni, vedere Sicurezza dei dati.For more information, see Data Security.

Utilizzo del Centro sicurezza di AzureUsing Azure Security Center

Cosa sono i criteri di sicurezza?What is a security policy?

I criteri di sicurezza definiscono il set di controlli consigliati per le risorse all'interno della sottoscrizione specificata.A security policy defines the set of controls that are recommended for resources within the specified subscription. Nel Centro sicurezza di Azure è possibile definire i criteri per le sottoscrizioni di Azure in base ai requisiti di sicurezza della società e al tipo di applicazione o al livello di riservatezza dei dati in ciascuna sottoscrizione.In Azure Security Center, you define policies for your Azure subscriptions according to your company's security requirements and the type of applications or sensitivity of the data in each subscription.

I criteri di sicurezza abilitati nel Centro sicurezza di Azure determinano il monitoraggio e i suggerimenti per la sicurezza.The security policies enabled in Azure Security Center drive security recommendations and monitoring. Per ulteriori informazioni sui criteri di sicurezza, vedere Monitoraggio dello stato di sicurezza nel Centro sicurezza di Azure.To learn more about security policies, see Security health monitoring in Azure Security Center.

Chi può modificare i criteri di sicurezza?Who can modify a security policy?

Per modificare i criteri di sicurezza, è necessario essere Amministratore della protezione, proprietario o collaboratore di tale sottoscrizione.To modify a security policy, you must be a Security Administrator or an Owner or Contributor of that subscription.

Per informazioni su come configurare i criteri di sicurezza, vedere Impostazione dei criteri di sicurezza nel Centro sicurezza di Azure.To learn how to configure a security policy, see Setting security policies in Azure Security Center.

Che cos'è un suggerimento per la sicurezza?What is a security recommendation?

Il Centro sicurezza di Azure analizza lo stato di sicurezza delle risorse di Azure.Azure Security Center analyzes the security state of your Azure resources. Quando vengono identificate potenziali vulnerabilità di sicurezza, vengono creati i suggerimenti.When potential security vulnerabilities are identified, recommendations are created. Tali suggerimenti illustrano in dettaglio il processo di configurazione dei controlli necessari.The recommendations guide you through the process of configuring the needed control. Alcuni esempi:Examples are:

  • Provisioning di antimalware per identificare e rimuovere il software dannosoProvisioning of antimalware to help identify and remove malicious software
  • Configurazione dei gruppi di sicurezza di rete e delle regole per controllare il traffico verso le macchine virtualiConfiguring Network Security Groups and rules to control traffic to virtual machines
  • Provisioning di un Web application firewall per la difesa da attacchi diretti alle applicazioni WebProvisioning of a web application firewall to help defend against attacks targeting your web applications
  • Distribuzione degli aggiornamenti di sistema mancantiDeploying missing system updates
  • Risoluzione delle configurazioni del sistema operativo che non corrispondono alle baseline consigliateAddressing OS configurations that do not match the recommended baselines

Qui vengono visualizzati solo i suggerimenti abilitati in Criteri di sicurezza.Only recommendations that are enabled in Security Policies are shown here.

Come è possibile visualizzare lo stato di sicurezza corrente delle risorse Azure?How can I see the current security state of my Azure resources?

Il pannello Security Center Overview (Panoramica del Centro sicurezza) mostra la situazione generale relativamente alla sicurezza dell'ambiente ripartito per calcolo, rete, archiviazioni e dati e applicazioni.The Security Center Overview blade shows the overall security posture of your environment broken down by Compute, Networking, Storage & data, and Applications. Ciascun tipo di risorsa presenta un indicatore che visualizza l'eventuale rilevamento di potenziali vulnerabilità di sicurezza.Each resource type has an indicator showing if any potential security vulnerabilities have been identified. Facendo clic su ogni sezione viene visualizzato un elenco di problemi di sicurezza identificati dal Centro sicurezza, insieme a un inventario delle risorse nella sottoscrizione.Clicking each tile displays a list of security issues identified by Security Center, along with an inventory of the resources in your subscription.

Che cosa attiva un avviso di sicurezza?What triggers a security alert?

Il Centro sicurezza di Azure raccoglie, analizza e unisce automaticamente i dati di log dalle risorse di Azure, dalla rete e dalle soluzioni dei partner, ad esempio antimalware e firewall.Azure Security Center automatically collects, analyzes, and fuses log data from your Azure resources, the network, and partner solutions like antimalware and firewalls. Quando vengono rilevate minacce, viene creato un avviso di sicurezza.When threats are detected, a security alert is created. Ad esempio, è compreso il rilevamento di:Examples include detection of:

  • Macchine virtuali compromesse in comunicazione con indirizzi IP dannosi notiCompromised virtual machines communicating with known malicious IP addresses
  • Malware avanzato rilevato mediante i report degli errori di WindowsAdvanced malware detected using Windows error reporting
  • Attacchi di forza bruta contro le macchine virtualiBrute force attacks against virtual machines
  • Avvisi di sicurezza da soluzioni di sicurezza integrata dei partner, ad esempio antimalware o Web application firewallSecurity alerts from integrated partner security solutions such as Anti-Malware or Web Application Firewalls

Qual è la differenza tra le minacce rilevate e le minacce segnalate da Microsoft Security Response Center e dal Centro sicurezza di Azure?What's the difference between threats detected and alerted on by Microsoft Security Response Center versus Azure Security Center?

Microsoft Security Response Center (MSRC) esegue il monitoraggio selettivo della sicurezza della rete e dell'infrastruttura di Azure e riceve informazioni sulle minacce e segnalazioni di violazioni da terzi.The Microsoft Security Response Center (MSRC) performs select security monitoring of the Azure network and infrastructure and receives threat intelligence and abuse complaints from third parties. Se MSRC rileva che un'entità illegale o non autorizzata ha ottenuto l'accesso a dati del cliente o che l'uso di Azure da parte del cliente non è conforme ai criteri d'uso, un responsabile della sicurezza segnala il problema al cliente.When MSRC becomes aware that customer data has been accessed by an unlawful or unauthorized party or that the customer’s use of Azure does not comply with the terms for Acceptable Use, a security incident manager notifies the customer. Come notifica viene in genere inviato un messaggio di posta elettronica ai contatti per la sicurezza specificati nel Centro sicurezza di Azure oppure al proprietario della sottoscrizione di Azure se non è specificato nessun contatto per la sicurezza.Notification typically occurs by sending an email to the security contacts specified in Azure Security Center or the Azure subscription owner if a security contact is not specified.

Il Centro sicurezza PC è un servizio di Azure che esegue il monitoraggio continuo dell'ambiente Azure del cliente e applica metodi di analisi per rilevare un'ampia gamma di attività potenzialmente dannose.Security Center is an Azure service that continuously monitors the customer’s Azure environment and applies analytics to automatically detect a wide range of potentially malicious activity. I rilevamenti vengono visualizzati come di avvisi di sicurezza nel dashboard del Centro sicurezza PC.These detections are surfaced as security alerts in the Security Center dashboard.

Quali risorse di Azure vengono monitorate dal Centro sicurezza di Azure?Which Azure resources are monitored by Azure Security Center?

Il Centro sicurezza di Azure monitora le risorse di Azure seguenti:Azure Security Center monitors the following Azure resources:

  • Macchine virtuali (VM) (inclusi i Servizi cloud)Virtual machines (VMs) (including Cloud Services)
  • Reti virtuali di AzureAzure Virtual Networks
  • Servizio di SQL AzureAzure SQL service
  • Account di archiviazione di AzureAzure Storage account
  • App Web di Azure in un ambiente del servizio appAzure Web Apps (in App Service Environment)
  • Soluzioni partner integrate con la sottoscrizione di Azure, ad esempio un Web application firewall, nelle VM e nell'ambiente del servizio appPartner solutions integrated with your Azure subscription such as a web application firewall on VMs and on App Service Environment

Macchine virtualiVirtual Machines

Quali tipi di macchine virtuali sono supportati?What types of virtual machines are supported?

Il monitoraggio e le indicazioni sono disponibili per le macchine virtuali create usando i modelli di distribuzione classica e Resource Manager.Monitoring and recommendations are available for virtual machines (VMs) created using both the classic and Resource Manager deployment models.

Per l'elenco delle piattaforme supportate vedere Supported platforms in Azure Security Center (Piattaforme supportate nel Centro sicurezza di Azure).See Supported platforms in Azure Security Center for a list of supported platforms.

Perché il Centro sicurezza di Azure non riconosce la soluzione antimalware in esecuzione nella VM Azure?Why doesn't Azure Security Center recognize the antimalware solution running on my Azure VM?

Il Centro sicurezza di Azure dispone di visibilità sull'antimalware installato tramite le estensioni di Azure.Azure Security Center has visibility into antimalware installed through Azure extensions. Ad esempio, il Centro sicurezza non è in grado di rilevare l'antimalware che è stato preinstallato in un'immagine fornita dall'utente o è stato installato nelle macchine virtuali mediante processi dell'utente (ad esempio sistemi di gestione della configurazione).For example, Security Center is not able to detect antimalware that was pre-installed on an image you provided or if you installed antimalware on your virtual machines using your own processes (such as configuration management systems).

Perché viene visualizzato il messaggio "Dati di analisi mancanti" per la VM?Why do I get the message "Missing Scan Data" for my VM?

Questo messaggio viene visualizzato quando non sono presenti dati di analisi per una macchina virtuale.This message appears when there is no scan data for a VM. Dopo l'abilitazione della raccolta dei dati nel Centro sicurezza di Azure, l'analisi dei dati da popolare può richiedere tempo, in genere meno di un'ora.It can take some time (less than an hour) for scan data to populate after Data Collection is enabled in Azure Security Center. Dopo il popolamento iniziale dei dati di analisi, è possibile che si riceva questo messaggio perché non è presente alcun dato di analisi o non sono presenti dati di analisi recenti.After the initial population of scan data, you may receive this message because there is no scan data at all or there is no recent scan data. Le analisi non saranno popolate per le macchine virtuali con stato arrestato.Scans do not populate for a VM in a stopped state. Questo messaggio potrebbe essere visualizzato anche se i dati di analisi non sono stati inseriti di recente, in conformità ai criteri di conservazione per l'agente Windows, che ha un valore predefinito di 30 giorni.This message could also appear if scan data has not populated recently (in accordance with the retention policy for the Windows agent, which has a default value of 30 days).

Con quale frequenza il Centro sicurezza esegue l'analisi alla ricerca di vulnerabilità del sistema operativo, aggiornamenti del sistema e problemi di protezione degli endpoint?How often does Security Center scan for operating system vulnerabilities, system updates, and endpoint protection issues?

La latenza con cui il Centro sicurezza esegue l'analisi alla ricerca di vulnerabilità, aggiornamenti e problemi è riportata di seguito:The latency in Security Center scans for vulnerabilities, updates, and issues is:

  • Vulnerabilità del sistema operativo (da Microsoft): i dati vengono aggiornati entro 48 oreOperating system vulnerabilities (by Microsoft) – data is updated within 48 hours
  • Aggiornamenti di sistema: i dati vengono aggiornati entro 24 oreSystem updates – data is updated within 24 hours
  • Problemi di protezione degli endpoint: i dati vengono aggiornati entro 8 oreEndpoint Protection issues – data is updated within 8 hours

In genere il Centro sicurezza esegue l'analisi alla ricerca di nuovi dati ogni ora.Security Center typically scans for new data every hour. I valori di latenza sopra riportati fanno riferimento a uno scenario pessimistico, ovvero nel caso in cui non sia disponibile un'analisi recente o l'analisi abbia avuto esito negativo.The latency values above are a worst case scenario where there is not a recent scan or a scan failed.

Perché viene visualizzato il messaggio "L'agente di macchine virtuali non è presente?"Why do I get the message "VM Agent is Missing?"

Per abilitare la raccolta dei dati, l'agente di macchine virtuali deve essere installato nelle VM.The VM Agent must be installed on VMs to enable Data Collection. Per impostazione predefinita, l'agente di macchine virtuali è installato nelle macchine virtuali distribuite da Azure Marketplace.The VM Agent is installed by default for VMs that are deployed from the Azure Marketplace. Per altre informazioni su come installare l'agente di maccine virtuali in altre VM, vedere il post di blog Estensioni e agente di macchine virtuali.For information on how to install the VM Agent on other VMs, see the blog post VM Agent and Extensions.