Integrazione di partner e soluzioni nel Centro sicurezza di Azure

Questo articolo descrive l'integrazione del Centro sicurezza di Azure con i partner per una migliore sicurezza complessiva. Il Centro sicurezza di Azure offre un'esperienza integrata in Azure e sfrutta Azure Marketplace per la fatturazione e la certificazione dei partner.

Distribuire soluzioni partner dal Centro sicurezza

Esistono quattro motivi principali per sfruttare l'integrazione dei partner nel Centro sicurezza:

  • Facilità di distribuzione. Distribuire una soluzione partner seguendo le raccomandazioni del Centro sicurezza è molto più semplice. Il processo di distribuzione può essere completamente automatizzato usando una configurazione e una topologia di rete predefinite. In alternativa, i clienti possono scegliere un'opzione semi-automatizzata per ottenere un livello superiore di flessibilità e personalizzazione.
  • Rilevamenti integrati. Gli eventi di sicurezza delle soluzioni partner vengono raccolti, aggregati e visualizzati automaticamente nell'ambito degli avvisi e degli eventi imprevisti del Centro sicurezza. Questi eventi vengono anche combinati con i rilevamenti di altre origini per offrire funzionalità avanzate di rilevamento delle minacce.
  • Gestione e monitoraggio dell'integrità unificati. I clienti possono usare gli eventi di integrità integrati per monitorare in modo immediato tutte le soluzioni partner. Sono disponibili funzionalità di gestione di base, con un facile accesso alla configurazione avanzata con la soluzione partner.
  • Esportazione in SIEM. I clienti possono esportare tutti gli avvisi in formato CEF (Common Event Format) del Centro sicurezza e dei partner in sistemi SIEM (Security Information and Event Management) locali usando l'integrazione dei log di Azure (anteprima).

Partner integrati con il Centro sicurezza

Le integrazioni native di soluzioni dei partner disponibili in Azure Marketplace con il Centro sicurezza sono attualmente le seguenti.

Nel corso del tempo, il Centro sicurezza estenderà il numero di partner all'interno di queste categorie e aggiungerà nuove categorie.

Distribuire una soluzione partner

In base alla configurazione dell'ambiente Azure e ai criteri di sicurezza definiti, il Centro sicurezza potrebbe raccomandare la distribuzione di una soluzione partner. La raccomandazione del Centro sicurezza descrive il processo di selezione e installazione di una soluzione partner. L'esperienza complessiva di distribuzione può variare a seconda del tipo di partner e di soluzione in uso. Per altre informazioni, vedere gli articoli seguenti:

Gestire le soluzioni partner

Dopo la distribuzione, per visualizzare informazioni sull'integrità della soluzione ed eseguire attività di gestione di base, selezionare Soluzioni partner nel dashboard Centro sicurezza.

Integrazione di soluzioni di partner

Il contenuto visualizzato quando si apre Soluzioni di sicurezza potrebbe variare in base all'infrastruttura. Usando l'immagine precedente come esempio, questa pagina include tre sezioni.

  • Soluzioni connesse: visualizza le soluzioni connesse al Centro sicurezza.
  • Soluzioni individuate: visualizza le soluzioni non connesse al Centro sicurezza. È possibile connettere queste soluzioni, che verranno quindi visualizzate in Soluzioni connesse. Se il Centro sicurezza non rileva soluzioni non connesse, questa sezione è nascosta.
  • Aggiungi origini dati: visualizza origini dati Azure e non Azure che possono essere aggiunte al Centro sicurezza.

Soluzioni connesse

La sezione Soluzioni connesse visualizza tutte le soluzioni di sicurezza attualmente connesse con il Centro sicurezza.

Soluzioni connesse

Le informazioni visualizzate potrebbero variare in base alla soluzione. Alcune informazioni disponibili in ogni riquadro possono includere:

  • Icona aziendale del partner. Se nel Centro sicurezza non è disponibile l'icona aziendale, vengono visualizzati i primi caratteri del nome del partner.
  • Tipo di soluzione. Viene visualizzato il tipo di soluzione.
  • Nome computer. Viene visualizzato il nome del computer.
  • Stato di integrità. Se non viene inviato un indicatore di integrità, il Centro sicurezza visualizza la data e l'ora dell'ultimo evento ricevuto per indicare se l'appliance invia report o meno. Se il Centro sicurezza non riceve l'indicatore di integrità da una particolare soluzione, il riquadro della soluzione non viene visualizzato in questa sezione.

Nota

Il Centro sicurezza visualizza la data e l'ora dell'ultimo evento ricevuto per indicare se l'appliance invia report o meno. Le soluzioni che non inviano indicatori di integrità vengono visualizzate come connesse se sono presenti avvisi o sono stati inviati eventi negli ultimi 14 giorni.

Alcune di queste soluzioni possono essere completamente integrate in Azure, altre possono essere locali. Dato che il Centro sicurezza supporta il formato CEF, può connettersi a soluzioni che usano tale formato, ad esempio un firewall che supporta CEF. Dopo l'aggiunta della soluzione al Centro sicurezza, il firewall invia log in formato CEF al Centro sicurezza, che li inoltra ad Azure Log Analytics. Il firewall è una risorsa non Azure che invia eventi, ma non indicatori di integrità. L'unica informazione che il Centro sicurezza ha sull'integrità è l'ultima volta che questa appliance ha inviato un evento. Per tutte le risorse non Azure, il Centro sicurezza visualizza nell'area del riquadro relativa all'integrità la data e l'ora dell'ultimo evento ricevuto. Queste informazioni indicano che la risorsa non Azure invia ancora report.

Soluzioni individuate

La sezione Soluzioni individuate mostra tutte le soluzioni aggiunte tramite Azure, nonché tutte le soluzioni consigliate dal Centro sicurezza per la connessione.

Soluzioni individuate

Il Centro sicurezza può essere integrato con soluzioni di Azure predefinite, ad esempio Azure Active Directory (Azure AD) Identity Protection. Se si ha una licenza per Azure AD Identity Protection ma la soluzione non è connessa al Centro sicurezza, Azure AD Identity Protection viene elencata in Soluzioni individuate. Per integrare questa soluzione con il Centro sicurezza, nel riquadro Azure AD Identity Protection selezionare CONNETTI. Verrà visualizzata la pagina seguente:

Azure AD Identity Protection

Per completare la connessione di Azure AD Identity Protection, selezionare un'area di lavoro in cui salvare i dati. Tutti i dati di Azure AD Identity Protection verranno trasmessi dall'area dell'area di lavoro selezionata in questo passaggio. Usare il selettore delle aree di lavoro per selezionare l'area di lavoro e avviare il flusso dei dati.

Per connettersi al Centro sicurezza è necessario essere un amministratore globale o un amministratore della sicurezza. Se non si hanno le autorizzazioni, il pulsante Connetti è disabilitato. Verrà visualizzato un messaggio che ne spiega il motivo.

Gli avvisi di Azure AD Identity Protection attraversano la pipe di rilevamento del Centro sicurezza. Si ricevono quindi avvisi sia dal Centro sicurezza che da Azure AD Identity Protection. Il Centro sicurezza unisce tutti gli avvisi che sembrano pertinenti per creare un evento imprevisto della sicurezza. La descrizione dell'evento imprevisto della sicurezza offre maggiori informazioni sull'attività sospetta.

Aggiungere origini dati

È possibile aggiungere computer Azure e non Azure per l'integrazione con il Centro sicurezza. L'aggiunta di computer non Azure consente di aggiungere computer locali o un'appliance che supporta il formato CEF.

Origini dati

Vedere anche

In questo articolo è stato illustrato come integrare soluzioni partner nel Centro sicurezza. Per altre informazioni sul Centro sicurezza, vedere gli articoli seguenti: