Uso del Centro sicurezza di Azure per rispondere a un evento imprevistoUsing Azure Security Center for an incident response

Molte organizzazioni imparano a rispondere agli eventi imprevisti della sicurezza solo dopo aver subito un attacco.Many organizations learn how to respond to security incidents only after suffering an attack. Per ridurre i costi e i danni è importante implementare un piano di risposta agli eventi imprevisti prima di un attacco.To reduce costs and damage, it’s important to have an incident response plan in place before an attack takes place. Centro sicurezza di Azure può essere usato nelle diverse fasi della risposta agli eventi imprevisti.You can use Azure Security Center in different stages of an incident response.

Pianificazione della risposta agli eventi imprevistiIncident response planning

Un piano efficace dipende da tre capacità principali: proteggere, rilevare e rispondere alle minacce.An effective plan depends on three core capabilities: being able to protect, detect, and respond to threats. La protezione consiste nella prevenzione degli eventi imprevisti, il rilevamento nella tempestiva identificazione delle minacce e la risposta nella neutralizzazione di un utente malintenzionato con il conseguente ripristino dei sistemi per ridurre gli effetti della violazione.Protection is about preventing incidents, detection is about identifying threats early, and response is about evicting the attacker and restoring systems to mitigate the impacts of a breach.

Questo articolo usa le fasi di risposta agli eventi imprevisti della sicurezza illustrate nell'articolo Microsoft Azure Security Response in the Cloud (Centro sicurezza di Microsoft Azure nel cloud) e indicate nel diagramma seguente:This article will use the security incident response stages from the Microsoft Azure Security Response in the Cloud article, as shown in the following diagram:

Ciclo di vita della risposta agli eventi imprevisti

Il Centro sicurezza può essere usato nelle fasi di rilevamento, valutazione e diagnosi.You can use Security Center during the Detect, Assess, and Diagnose stages. Di seguito sono descritti esempi dell'utilità del Centro sicurezza nelle tre fasi di risposta iniziali agli eventi imprevisti della sicurezza:Here are examples of how Security Center can be useful during the three initial incident response stages:

  • Rilevamento: esame della prima indicazione di un'analisi per un evento.Detect: review the first indication of an event investigation.
    • Esempio: esame della verifica iniziale dell'attivazione di un avviso di sicurezza ad alta priorità nel dashboard del Centro sicurezza.Example: review the initial verification that a high-priority security alert was raised in the Security Center dashboard.
  • Valutazione: esecuzione della valutazione iniziale per ottenere altre informazioni sull'attività sospetta.Assess: perform the initial assessment to obtain more information about the suspicious activity.
    • Esempio: recupero di altre informazioni sull'avviso di sicurezza.Example: obtain more information about the security alert.
  • Diagnosi: conduzione di un'analisi tecnica, identificazione di strategie di contenimento, mitigazione e di soluzioni alternative.Diagnose: conduct a technical investigation and identify containment, mitigation, and workaround strategies.
    • Esempio: seguire la procedura correttiva descritta dal Centro sicurezza nell'avviso di sicurezza specifico.Example: follow the remediation steps described by Security Center in that particular security alert.

Lo scenario che segue illustra come usare il Centro sicurezza durante le fasi di rilevamento, valutazione e diagnosi/risposta di un evento imprevisto della sicurezza.The scenario that follows shows you how to leverage Security Center during the Detect, Assess, and Diagnose/Respond stages of a security incident. Nel Centro sicurezza, un evento imprevisto della sicurezza è un'aggregazione di tutti gli avvisi relativi a una risorsa, in linea con i modelli delle catene di attacco.In Security Center, a security incident is an aggregation of all alerts for a resource that align with kill chain patterns. Gli eventi imprevisti vengono visualizzati nel riquadro e nel pannello Avvisi di sicurezza.Incidents appear in the Security alerts tile and blade. Un evento imprevisto riporta un elenco degli avvisi correlati, che consente di ottenere altre informazioni su ogni occorrenza.An incident reveals the list of related alerts, which enables you to obtain more information about each occurrence. Centro sicurezza presenta anche avvisi di sicurezza autonomi che possono essere usati per rilevare un'attività sospetta.Security Center also presents standalone security alerts that can also be used to track down a suspicious activity.

ScenarioScenario

Contoso ha recentemente eseguito la migrazione di alcune delle risorse locali in Azure, inclusi alcuni carichi di lavoro e database SQL di linea di business basati sulle macchine virtuali.Contoso recently migrated some of their on-premises resources to Azure, including some virtual machine-based line-of-business workloads and SQL databases. Il team di risposta agli eventi imprevisti della sicurezza di Contoso ha attualmente difficoltà nell'analisi dei problemi di sicurezza, data la mancanza di una intelligence di sicurezza integrata con gli attuali strumenti di risposta agli eventi imprevisti.Currently, Contoso's Core Computer Security Incident Response Team (CSIRT) has a problem investigating security issues because of security intelligence not being integrated with their current incident response tools. Questa mancata integrazione costituisce un problema durante la fase di rilevamento (troppi falsi positivi) e durante le fasi di valutazione e diagnosi.This lack of integration introduces a problem during the Detect stage (too many false positives), as well as during the Assess and Diagnose stages. Nell'ambito di questa migrazione, il team ha deciso di ricorrere al Centro sicurezza per risolvere questo problema.As part of this migration, they decided to opt in for Security Center to help them address this problem.

La prima fase della migrazione è stata completata dopo l'onboarding di tutte le risorse e l'adozione di tutte le raccomandazioni del Centro sicurezza.The first phase of this migration finished after they onboarded all resources and addressed all of the security recommendations from Security Center. Il team di risposta agli eventi imprevisti della sicurezza di Contoso è il punto focale per la gestione degli eventi imprevisti della sicurezza relativi ai computer.Contoso CSIRT is the focal point for dealing with computer security incidents. Il team è costituito da un gruppo di persone responsabili della gestione di eventuali eventi imprevisti della sicurezza.The team consists of a group of people with responsibilities for dealing with any security incident. I membri del team hanno mansioni chiaramente definite per garantire che vengano coperte tutte le aree della risposta.The team members have clearly defined duties to ensure that no area of response is left uncovered.

Ai fini di questo scenario verranno presi in esame i ruoli degli utenti seguenti che appartengono al team di risposta agli eventi imprevisti della sicurezza di Contoso:For the purpose of this scenario, we're going to focus on the roles of the following personas that are part of Contoso CSIRT:

Ciclo di vita della risposta agli eventi imprevisti

Alice si occupa delle attività di sicurezza.Judy is in security operations. Le sue responsabilità includono:Her responsibilities include:

  • Monitoraggio e risposta alle minacce per la sicurezza 24 ore su 24.Monitoring and responding to security threats around the clock.
  • Escalation al proprietario dei carichi di lavoro nel cloud o all'analista della sicurezza in base alle esigenze.Escalating to the cloud workload owner or security analyst as needed.

Guido è un analista della sicurezza e le sue responsabilità includono:Sam is a security analyst and his responsibilities include:

  • Analisi degli attacchi.Investigating attacks.
  • Risoluzione degli avvisi.Remediating alerts.
  • Collaborazione con i proprietari dei carichi di lavoro per determinare e applicare soluzioni di mitigazione.Working with workload owners to determine and apply mitigations.

Come si può notare, Alice e Guido hanno responsabilità diverse e devono interagire tra loro per condividere le informazioni del Centro sicurezza.As you can see, Judy and Sam have different responsibilities, and they must work together to share Security Center information.

Avendo ruoli diversi, Alice e Guido useranno aree diverse del Centro sicurezza per ottenere informazioni attinenti alle proprie attività quotidiane.Since Judy and Sam have different roles, they'll be using different areas of Security Center to obtain relevant information for their daily activities. Alice userà gli avvisi di sicurezza nell'ambito delle attività di monitoraggio giornaliere.Judy will use Security alerts as part of her daily monitoring.

Avvisi di sicurezza

Alice userà gli avvisi di sicurezza durante le fasi di rilevamento e valutazione.Judy will use Security alerts during the Detect and Assess stages. Quando avrà terminato la valutazione iniziale, Alice potrà inoltrare il problema a Guido, se sono necessarie altre analisi.After Judy finishes the initial assessment, she might escalate the issue to Sam if additional investigation is required. Guido userà a questo punto le informazioni messe a disposizione dal Centro sicurezza, a volte in combinazione con altre fonti di dati, per passare alla fase di diagnosi.At this point, Sam will use the information that was provided by Security Center, sometimes in conjunction with other data sources, to move to the Diagnose stage.

Come implementare questa soluzioneHow to implement this solution

Per vedere come usare il Centro sicurezza di Azure in uno scenario di risposta agli eventi imprevisti della sicurezza, verranno seguite le attività di Alice nelle fasi di rilevamento e valutazione, quindi le attività svolte da Guido per la diagnosi del problema.To see how you would use Azure Security Center in an incident response scenario, we’ll follow Judy’s steps in the Detect and Assess stages, and then see what Sam does to diagnose the issue.

Fasi di rilevamento e valutazione nella risposta agli eventi imprevisti della sicurezzaDetect and Assess incident response stages

Alice ha effettuato l'accesso al portale di Azure e si trova nella console del Centro sicurezza.Judy signed in to the Azure portal and is working in the Security Center console. Nell'ambito delle proprie attività di monitoraggio giornaliere, ha iniziato a esaminare avvisi di sicurezza ad alta priorità seguendo questa procedura:As part of her daily monitoring activities, she started reviewing high-priority security alerts by performing the following steps:

  1. Fare clic sul riquadro Avvisi di sicurezza e accedere al pannello Avvisi di sicurezza.Click the Security alerts tile and access the Security alerts blade. Pannello Avvisi di sicurezzaSecurity alert blade

    Nota

    Ai fini di questo scenario, Alice eseguirà la valutazione dell'avviso riguardante attività SQL dannose, come illustrato nella figura precedente.For the purpose of this scenario, Judy is going to perform an assessment on the Malicious SQL activity alert, as seen in the preceding figure.

  2. Fare clic sull'avviso Malicious SQL Activity (Attività SQL dannosa) ed esaminare le risorse che hanno subito l'attacco nel pannello Malicious SQL Activity (Attività SQL dannosa): Dettagli dell'evento imprevistoClick the Malicious SQL activity alert and review the attacked resources in the Malicious SQL activity blade: Incident details

    In questo pannello Alice può vedere le risorse che hanno subito l'attacco, quante volte si è verificato l'attacco e quando è stato rilevato.In this blade, Judy can take notes regarding the attacked resources, how many times this attack happened, and when it was detected.

  3. Fare clic sulla risorsa che ha subito l'attacco per ottenere altre informazioni sull'attacco.Click the attacked resource to obtain more information about this attack.

Dopo aver letto la descrizione, Alice è convinta che non si tratti di un falso positivo e che è necessario inoltrare questo caso a Guido.After reading the description, Judy is convinced that this is not a false positive and that she should escalate this case to Sam.

Fase di diagnosi nella risposta agli eventi imprevisti della sicurezzaDiagnose incident response stage

Guido riceve il caso da Alice e inizia a esaminare la procedura correttiva consigliata dal Centro sicurezza.Sam receives the case from Judy and starts reviewing the remediation steps that Security Center suggested.

Ciclo di vita della risposta agli eventi imprevisti

Risorse aggiuntiveAdditional resources

Le aziende che usano la propria soluzione SIEM (Security Information and Event Management, Sistema di gestione delle informazioni e degli eventi di sicurezza) durante il processo di analisi possono anche integrare il Centro sicurezza con la propria soluzione.For companies that use their security information and event management (SIEM) solution during the investigation process, they can also integrate Security Center with their solution. È anche possibile integrare i log di controllo di Azure e gli eventi di sicurezza delle macchine virtuali con lo strumento di integrazione dei log di Azure.You can also integrate Azure audit logs and virtual machine (VM) security events by using the Azure log integration tool. Queste informazioni possono essere usate insieme a quelle messe a disposizione dal Centro sicurezza per analizzare un attacco.To investigate an attack, you can use this information in conjunction with the information that Security Center provides. È anche possibile usare la funzionalità di indagine nel Centro sicurezza per determinare la causa radice di un incidente.You can also use the investigation feature in Security Center, to help you determine the root cause of an incident.

ConclusioniConclusion

La creazione di un team prima che si verifichi un evento imprevisto è molto importante per l'organizzazione e avrà effetti positivi sulla gestione degli eventi imprevisti.Assembling a team before an incident occurs is very important to your organization and will positively influence how incidents are handled. Con gli strumenti giusti per monitorare le risorse, questo team potrà prendere provvedimenti mirati per la risoluzione di un evento imprevisto della sicurezza.Having the right tools to monitor resources can help this team to take accurate steps to remediate a security incident. Le funzionalità di rilevamento del Centro sicurezza consentono all'IT di rispondere rapidamente agli eventi imprevisti della sicurezza e di attuare interventi correttivi per i problemi di sicurezza.Security Center detection capabilities can assist IT to quickly respond to security incidents and remediate security issues.