Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di AzureManaging and responding to security alerts in Azure Security Center

Questo documento illustra come usare il Centro sicurezza di Azure per gestire e rispondere agli avvisi di sicurezza.This document helps you use Azure Security Center to manage and respond to security alerts.

Nota

Per abilitare le funzionalità di rilevamento avanzato, eseguire l'aggiornamento al livello Standard del Centro sicurezza di Azure.To enable advanced detections, upgrade to Azure Security Center Standard. È disponibile una versione di valutazione gratuita di 60 giorni.A free 60-day trial is available. Per eseguire l'aggiornamento, selezionare il piano tariffario nei criteri di sicurezza.To upgrade, select Pricing Tier in the Security Policy. Per altre informazioni, vedere Prezzi del Centro sicurezza di Azure.See Azure Security Center pricing to learn more.

Informazioni sugli avvisi di sicurezzaWhat are security alerts?

Il Centro sicurezza raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure, della rete e delle soluzioni dei partner connesse, come soluzioni di protezione endpoint e firewall, per rilevare le minacce reali e ridurre i falsi positivi.Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and connected partner solutions, like firewall and endpoint protection solutions, to detect real threats and reduce false positives. Il Centro sicurezza visualizza un elenco degli avvisi di sicurezza in ordine di priorità, nonché le informazioni necessarie per analizzare rapidamente il problema e indicazioni per risolvere un attacco.A list of prioritized security alerts is shown in Security Center along with the information you need to quickly investigate the problem and recommendations for how to remediate an attack.

Nota

Per altre informazioni sulle funzionalità di rilevamento del Centro sicurezza, vedere Funzionalità di rilevamento del Centro sicurezza di Azure.For more information about how Security Center detection capabilities work, read Azure Security Center Detection Capabilities.

Gestire gli avvisi di sicurezzaManaging security alerts

È possibile esaminare gli avvisi correnti visualizzando il riquadro Avvisi di sicurezza .You can review your current alerts by looking at the Security alerts tile. Seguire questa procedura per visualizzare altri dettagli su ogni avviso:Follow the steps below to see more details about each alert:

  1. Nel dashboard del Centro sicurezza è disponibile il riquadro Avvisi di sicurezza.On the Security Center dashboard, you see the Security alerts tile.

    Riquadro Avvisi di sicurezza nel Centro sicurezza di Azure

  2. Fare clic sul riquadro per aprire Avvisi di sicurezza e visualizzare altri dettagli sugli avvisi.Click the tile to open the Security alerts to see more details about the alerts.

    Avvisi di sicurezza nel Centro sicurezza

Nella parte inferiore della pagina sono riportati i dettagli relativi a ogni avviso.In the bottom part of this page are the details for each alert. Per ordinarli, fare clic sulla colonna in base alle quale si vuole ordinare.To sort, click the column that you want to sort by. Di seguito è riportata una definizione per ogni colonna:The definition for each column is given below:

  • Descrizione: breve spiegazione dell'avviso.Description: A brief explanation of the alert.
  • Conteggio: elenco di tutti gli avvisi di questo tipo rilevati in un giorno specifico.Count: A list of all alerts of this specific type that were detected on a specific day.
  • Rilevato da: servizio responsabile dell'attivazione dell'avviso.Detected by: The service that was responsible for triggering the alert.
  • Data: data in cui si è verificato l'evento.Date: The date that the event occurred.
  • Stato: stato corrente dell'avviso.State: The current state for that alert. Esistono due tipi di stato:There are two types of states:
    • Attivo: l'avviso di sicurezza è stato rilevato.Active: The security alert has been detected.
  • Gravità: livello di gravità, che può essere alto, medio o basso.Severity: The severity level, which can be high, medium or low.

Nota

Gli avvisi di sicurezza generati dal Centro sicurezza verranno visualizzati anche in Log attività di Azure.Security alerts generated by Security Center will also appear under Azure Activity Log. Per altre informazioni su come accedere a Log attività di Azure, vedere Visualizzare i log attività per controllare le azioni sulle risorse.For more information about how to access Azure Activity Log, read View activity logs to audit actions on resources.

Filtro degli avvisiFiltering alerts

È possibile filtrare gli avvisi in base a data, stato e gravità.You can filter alerts based on date, state, and severity. Il filtro degli avvisi può risultare utile per scenari in cui è necessario limitare l'ambito degli avvisi di sicurezza da visualizzare.Filtering alerts can be useful for scenarios where you need to narrow the scope of security alerts show. Ad esempio, potrebbe essere necessario gestire gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore, perché si sta esaminando una potenziale violazione del sistema.For example, you might you want to address security alerts that occurred in the last 24 hours because you are investigating a potential breach in the system.

  1. Fare clic su Filtro in Avvisi di sicurezza.Click Filter on the Security Alerts. Verrà visualizzato il Filtro in cui è possibile selezionare i valori di data, stato e gravità da visualizzare.The Filter opens and you select the date, state, and severity values you wish to see.

    Filtro degli avvisi nel Centro sicurezza

Rispondere agli avvisi di sicurezzaRespond to security alerts

Selezionare un avviso di sicurezza per altre informazioni sugli eventi che hanno attivato l'avviso e, se presenti, i passaggi da eseguire per correggere un attacco.Select a security alert to learn more about the event(s) that triggered the alert and what, if any, steps you need to take to remediate an attack. Gli avvisi di sicurezza sono raggruppati per tipo e data.Security alerts are grouped by type and date. Se si fa clic su un avviso di sicurezza, viene aperta una pagina contenente un elenco degli avvisi raggruppati.Clicking a security alert opens a page containing a list of the grouped alerts.

Rispondere agli avvisi di sicurezza nel Centro sicurezza di Azure

In questo caso, gli avvisi attivati fanno riferimento a un'attività RDP (Remote Desktop Protocol) sospetta.In this case, the alerts that were triggered refer to suspicious Remote Desktop Protocol (RDP) activity. La prima colonna indica le risorse che sono state attaccate, la seconda quante volte la risorsa è stata attaccata, la terza l'ora dell'attacco, la quarta lo stato dell'avviso e la quinta il livello di gravità dell'attacco.The first column shows which resources were attacked; the second shows how many times the resource was attacked; the third shows the time of the attack; the fourth shows state of the alert; and the fifth shows the severity of the attack. Dopo aver esaminato queste informazioni, fare clic sulla risorsa che ha subito attacchi.After reviewing this information, click the resource that was attacked.

Suggerimenti sulle operazioni da eseguire in presenza di avvisi di sicurezza nel Centro sicurezza di Azure

Nel campo Descrizione sono disponibili altri dettagli sull'evento.In the Description field you find more details about this event. Tali dettagli aggiuntivi forniscono informazioni sull'azione che ha attivato l'avviso di sicurezza, la risorsa di destinazione, l'indirizzo IP di origine quando applicabile e raccomandazioni su come risolvere.These additional details offer insight into what triggered the security alert, the target resource, when applicable the source IP address, and recommendations about how to remediate. In alcuni casi, l'indirizzo IP di origine è vuoto (non disponibile), perché non tutti i registri eventi di sicurezza di Windows includono l'indirizzo IP.In some instances, the source IP address is empty (not available) because not all Windows security events logs include the IP address.

Le correzioni suggerite dal Centro sicurezza variano in base all'avviso di sicurezza.The remediation suggested by Security Center vary according to the security alert. In alcuni casi, può essere necessario usare altre funzionalità di Azure per implementare la correzione consigliata.In some cases, you may have to use other Azure capabilities to implement the recommended remediation. La correzione consigliata per questo tipo di attacco, ad esempio, consiste nell'aggiungere alla blacklist l'indirizzo IP che genera l'attacco usando un ACL di rete o una regola del gruppo di sicurezza di rete.For example, the remediation for this attack is to blacklist the IP address that is generating this attack by using a network ACL or a network security group rule. Per altre informazioni sui diversi tipi di avvisi, vedere Avvisi di sicurezza per tipo nel Centro sicurezza di Azure.For more information on the different types of alerts, read Security Alerts by Type in Azure Security Center.

Nota

Il Centro sicurezza ha rilasciato un'anteprima limitata di un nuovo set di strumenti di rilevamento, che sfruttano i record di controllo, un framework di controllo comune, per rilevare comportamenti dannosi nei computer Linux.Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. Inviare un messaggio di posta elettronica con l'ID sottoscrizione a Microsoft per accedere all'anteprima.Please send an email with your subscription IDs to us to join the preview.

Vedere ancheSee also

In questo documento si è appreso come configurare i criteri di sicurezza nel Centro sicurezza.In this document, you learned how to configure security policies in Security Center. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: