Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure

Questo documento illustra come usare il Centro sicurezza di Azure per gestire e rispondere agli avvisi di sicurezza.

Nota

Per abilitare le funzionalità di rilevamento avanzato, eseguire l'aggiornamento al livello Standard del Centro sicurezza di Azure. È disponibile una versione di valutazione gratuita di 60 giorni. Per eseguire l'aggiornamento, selezionare il piano tariffario nei criteri di sicurezza. Per altre informazioni, vedere Prezzi del Centro sicurezza di Azure.

Informazioni sugli avvisi di sicurezza

Il Centro sicurezza raccoglie, analizza e integra automaticamente i dati di log delle risorse di Azure, della rete e delle soluzioni dei partner connesse, come soluzioni di protezione endpoint e firewall, per rilevare le minacce reali e ridurre i falsi positivi. Il Centro sicurezza visualizza un elenco degli avvisi di sicurezza in ordine di priorità, nonché le informazioni necessarie per analizzare rapidamente il problema e indicazioni per risolvere un attacco.

Nota

Per altre informazioni sulle funzionalità di rilevamento del Centro sicurezza, vedere Funzionalità di rilevamento del Centro sicurezza di Azure.

Gestire gli avvisi di sicurezza

È possibile esaminare gli avvisi correnti visualizzando il riquadro Avvisi di sicurezza . Seguire questa procedura per visualizzare altri dettagli su ogni avviso:

  1. Nel dashboard del Centro sicurezza è disponibile il riquadro Avvisi di sicurezza.

    Riquadro Avvisi di sicurezza nel Centro sicurezza di Azure

  2. Fare clic sul riquadro per aprire Avvisi di sicurezza e visualizzare altri dettagli sugli avvisi.

    Avvisi di sicurezza nel Centro sicurezza

Nella parte inferiore della pagina sono riportati i dettagli relativi a ogni avviso. Per ordinarli, fare clic sulla colonna in base alle quale si vuole ordinare. Di seguito è riportata una definizione per ogni colonna:

  • Descrizione: breve spiegazione dell'avviso.
  • Conteggio: elenco di tutti gli avvisi di questo tipo rilevati in un giorno specifico.
  • Rilevato da: servizio responsabile dell'attivazione dell'avviso.
  • Data: data in cui si è verificato l'evento.
  • Stato: stato corrente dell'avviso. Esistono due tipi di stato:
    • Attivo: l'avviso di sicurezza è stato rilevato.
  • Gravità: livello di gravità, che può essere alto, medio o basso.

Filtro degli avvisi

È possibile filtrare gli avvisi in base a data, stato e gravità. Il filtro degli avvisi può risultare utile per scenari in cui è necessario limitare l'ambito degli avvisi di sicurezza da visualizzare. Ad esempio, potrebbe essere necessario gestire gli avvisi di sicurezza che si sono verificati nelle ultime 24 ore, perché si sta esaminando una potenziale violazione del sistema.

  1. Fare clic su Filtro in Avvisi di sicurezza. Verrà visualizzato il Filtro in cui è possibile selezionare i valori di data, stato e gravità da visualizzare.

    Filtro degli avvisi nel Centro sicurezza

Rispondere agli avvisi di sicurezza

Selezionare un avviso di sicurezza per altre informazioni sugli eventi che hanno attivato l'avviso e, se presenti, i passaggi da eseguire per correggere un attacco. Gli avvisi di sicurezza sono raggruppati per tipo e data. Se si fa clic su un avviso di sicurezza, viene aperta una pagina contenente un elenco degli avvisi raggruppati.

Rispondere agli avvisi di sicurezza nel Centro sicurezza di Azure

In questo caso, gli avvisi attivati fanno riferimento a un'attività RDP (Remote Desktop Protocol) sospetta. La prima colonna indica le risorse che sono state attaccate, la seconda quante volte la risorsa è stata attaccata, la terza l'ora dell'attacco, la quarta lo stato dell'avviso e la quinta il livello di gravità dell'attacco. Dopo aver esaminato queste informazioni, fare clic sulla risorsa che ha subito attacchi.

Suggerimenti sulle operazioni da eseguire in presenza di avvisi di sicurezza nel Centro sicurezza di Azure

Nel campo Descrizione sono disponibili altri dettagli sull'evento. Tali dettagli aggiuntivi forniscono informazioni sull'azione che ha attivato l'avviso di sicurezza, la risorsa di destinazione, l'indirizzo IP di origine quando applicabile e raccomandazioni su come risolvere. In alcuni casi, l'indirizzo IP di origine è vuoto (non disponibile), perché non tutti i registri eventi di sicurezza di Windows includono l'indirizzo IP.

Le correzioni suggerite dal Centro sicurezza variano in base all'avviso di sicurezza. In alcuni casi, può essere necessario usare altre funzionalità di Azure per implementare la correzione consigliata. La correzione consigliata per questo tipo di attacco, ad esempio, consiste nell'aggiungere alla blacklist l'indirizzo IP che genera l'attacco usando un ACL di rete o una regola del gruppo di sicurezza di rete. Per altre informazioni sui diversi tipi di avvisi, vedere Avvisi di sicurezza per tipo nel Centro sicurezza di Azure.

Nota

Il Centro sicurezza ha rilasciato un'anteprima limitata di un nuovo set di strumenti di rilevamento, che sfruttano i record di controllo, un framework di controllo comune, per rilevare comportamenti dannosi nei computer Linux. Inviare un messaggio di posta elettronica con l'ID sottoscrizione a Microsoft per accedere all'anteprima.

Vedere anche

In questo documento si è appreso come configurare i criteri di sicurezza nel Centro sicurezza. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti: