Guida alla pianificazione e alla gestione del Centro sicurezza di AzureAzure Security Center planning and operations guide

Questa guida è destinata a professionisti IT, architetti IT, analisti della sicurezza delle informazioni e amministratori cloud le cui organizzazioni intendano usare il Centro sicurezza di Azure.This guide is for information technology (IT) professionals, IT architects, information security analysts, and cloud administrators whose organizations are planning to use Azure Security Center.

Guida alla pianificazionePlanning guide

Questa guida illustra una serie di passaggi e attività che è possibile eseguire per ottimizzare l'uso del Centro sicurezza in base ai requisiti di sicurezza e al modello di gestione cloud dell'organizzazione.This guide covers a set of steps and tasks that you can follow to optimize your use of Security Center based on your organization’s security requirements and cloud management model. Per sfruttare tutti i vantaggi del Centro sicurezza, è importante sapere come i vari utenti o team dell'organizzazione usano il servizio per soddisfare le esigenze di gestione e sviluppo, monitoraggio, governance e risposta agli eventi imprevisti in modo sicuro.To take full advantage of Security Center, it is important to understand how different individuals or teams in your organization use the service to meet secure development and operations, monitoring, governance, and incident response needs. Le aree principali da considerare quando si intende usare il Centro sicurezza sono:The key areas to consider when planning to use Security Center are:

  • Ruoli di sicurezza e controlli di accessoSecurity Roles and Access Controls
  • Criteri di sicurezza e raccomandazioniSecurity Policies and Recommendations
  • Raccolta dati e archiviazioneData Collection and Storage
  • Risorse non Azure in corsoOngoing non-Azure resources
  • Monitoraggio continuo della sicurezzaOngoing Security Monitoring
  • Risposta agli eventi imprevistiIncident Response

Nella sezione successiva si apprenderà come pianificare ogni singola area e applicare le raccomandazioni in base alle esigenze.In the next section, you will learn how to plan for each one of those areas and apply those recommendations based on your requirements.

Nota

Per un elenco delle domande comuni che possono risultare utili anche durante la fase di progettazione e di pianificazione, vedere Domande frequenti sul Centro sicurezza di Azure .Read Azure Security Center frequently asked questions (FAQ) for a list of common questions that can also be useful during the designing and planning phase.

Ruoli di sicurezza e controlli di accessoSecurity roles and access controls

A seconda delle dimensioni e della struttura dell'organizzazione, il Centro sicurezza di Azure potrebbe essere usato da più utenti e team per l'esecuzione di diverse attività correlate alla sicurezza.Depending on the size and structure of your organization, multiple individuals and teams may use Security Center to perform different security-related tasks. Nel diagramma seguente è riportato un esempio di utenti fittizi e dei rispettivi ruoli e responsabilità in materia di sicurezza:In the following diagram, you have an example of fictitious personas and their respective roles and security responsibilities:

Ruoli

Il Centro sicurezza consente a questi utenti di svolgere i relativi ruoli,Security Center enables these individuals to meet these various responsibilities. Ad esempio: For example:

Jeff (proprietario del carico di lavoro)Jeff (Workload Owner)

  • Gestisce un carico di lavoro cloud e le risorse correlate.Manage a cloud workload and its related resources
  • È responsabile delle attività di implementazione e gestione della protezione secondo i criteri di sicurezza aziendale.Responsible for implementing and maintaining protections in accordance with company security policy

Ellen (CISO/CIO)Ellen (CISO/CIO)

  • È responsabile di tutti gli aspetti della sicurezza aziendale.Responsible for all aspects of security for the company
  • Deve conoscere i comportamenti di sicurezza aziendale per i carichi di lavoro cloud.Wants to understand the company's security posture across cloud workloads
  • Ha l'esigenza di ricevere informazioni sui rischi e sugli attacchi principali.Needs to be informed of major attacks and risks

David (sicurezza IT)David (IT Security)

  • Imposta i criteri di sicurezza aziendali per garantire l'applicazione della protezione appropriata.Sets company security policies to ensure the appropriate protections are in place
  • Monitora la conformità ai criteri.Monitors compliance with policies
  • Genera report per la direzione o i revisori.Generates reports for leadership or auditors

Judy (attività di sicurezza)Judy (Security Operations)

  • Monitora e risponde agli avvisi di sicurezza 24x7.Monitors and responds to security alerts 24/7
  • Si occupa dell'escalation al proprietario del carico di lavoro cloud o all'analista della sicurezza IT.Escalates to Cloud Workload Owner or IT Security Analyst

Sam (analista della sicurezza)Sam (Security Analyst)

  • Analizza gli attacchiInvestigate attacks
  • Collabora con il proprietario del carico di lavoro cloud per applicare la correzione.Work with Cloud Workload Owner to apply remediation

Il Centro sicurezza usa il controllo degli accessi in base al ruolo (RBAC)o, che fornisce ruoli predefiniti assegnabili a utenti, gruppi e servizi in Azure.Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. Quando un utente apre il Centro sicurezza, visualizza solo informazioni correlate alle risorse a cui ha accesso.When a user opens Security Center, they only see information related to resources they have access to. All'utente viene infatti assegnato il ruolo Proprietario, Collaboratore o Lettore per la sottoscrizione o il gruppo di risorse a cui appartiene la risorsa.Which means the user is assigned the role of Owner, Contributor, or Reader to the subscription or resource group that a resource belongs to. Oltre a questi ruoli, esistono due ruoli specifici del Centro sicurezza:In addition to these roles, there are two specific Security Center roles:

  • Ruolo con autorizzazioni di lettura per la sicurezza: un utente che appartiene a questo ruolo può visualizzare solo le configurazioni del Centro sicurezza, inclusi avvisi, criteri, raccomandazioni e integrità, ma non potrà apportare modifiche.Security reader: a user that belongs to this role is able to view only Security Center configurations, which include recommendations, alerts, policy, and health, but it won't be able to make changes.
  • Amministratore della protezione: come il ruolo con autorizzazioni di lettura per la sicurezza, ma è anche in grado di aggiornare i criteri di sicurezza e di ignorare raccomandazioni e avvisi.Security admin: same as security reader but it can also update the security policy, dismiss recommendations and alerts.

I ruoli del Centro sicurezza descritti in precedenza non hanno accesso ad altre aree del servizio di Azure come Archiviazione, Web e dispositivi mobili o Internet delle cose.The Security Center roles described above do not have access to other service areas of Azure such as Storage, Web & Mobile, or Internet of Things.

Nota

Un utente deve essere almeno proprietario di una sottoscrizione o di un gruppo di risorse oppure un collaboratore per poter visualizzare il Centro sicurezza di Azure.A user needs to be at least a subscription, resource group owner, or contributor to be able to see Security Center in Azure.

Con gli utenti tipo descritti nel diagramma precedente sarebbe necessario il controllo degli accessi in base al ruolo seguente:Using the personas explained in the previous diagram, the following RBAC would be needed:

Jeff (proprietario del carico di lavoro)Jeff (Workload Owner)

  • Proprietario del gruppo di risorse/Collaboratore.Resource Group Owner/Collaborator

David (sicurezza IT)David (IT Security)

  • Proprietario della sottoscrizione/Collaboratore o Amministratore della protezioneSubscription Owner/Collaborator or Security Admin

Judy (attività di sicurezza)Judy (Security Operations)

  • Ruolo con autorizzazioni di lettura per la sottoscrizione o per la sicurezza per visualizzare gli avvisiSubscription Reader or Security Reader to view Alerts
  • Proprietario della sottoscrizione/Collaboratore o Amministratore della protezione per ignorare gli avvisiSubscription Owner/Collaborator or Security Admin required to dismiss Alerts

Sam (analista della sicurezza)Sam (Security Analyst)

  • Ruolo con autorizzazioni di lettura per la sottoscrizione per visualizzare gli avvisiSubscription Reader to view Alerts
  • Proprietario della sottoscrizione/Collaboratore per ignorare gli avvisiSubscription Owner/Collaborator required to dismiss Alerts
  • Potrebbe essere richiesto l'accesso all'area di lavoroAccess to the workspace may be required

Altre informazioni importanti da considerare:Some other important information to consider:

  • Solto i ruoli Proprietario/Collaboratore della sottoscrizione e Amministratore della protezione possono modificare i criteri di sicurezza.Only subscription Owners/Contributors and Security Admins can edit a security policy.
  • Solo i ruoli Proprietario e Collaboratore della sottoscrizione e del gruppo di risorse possono applicare le raccomandazioni relative alla sicurezza per una risorsa.Only subscription and resource group Owners and Contributors can apply security recommendations for a resource.

Quando si pianifica il controllo di accesso con il Controllo degli accessi in base al ruolo per il Centro sicurezza, è necessario sapere chi userà il Centro sicurezza nell'organizzazione.When planning access control using RBAC for Security Center, be sure to understand who in your organization will be using Security Center. Si dovrà sapere anche quali tipi di attività eseguiranno e configurare di conseguenza il Controllo degli accessi in base al ruolo.Also, what types of tasks they will be performing and then configure RBAC accordingly.

Nota

È consigliabile assegnare il ruolo con il minor numero di autorizzazioni che permetta agli utenti di completare le attività.We recommend that you assign the least permissive role needed for users to complete their tasks. Ad esempio, agli utenti che hanno solo necessità di visualizzare le informazioni sullo stato di sicurezza delle risorse senza intervenire, per applicare le raccomandazioni o modificare i criteri, deve essere assegnato il ruolo Lettore.For example, users who only need to view information about the security state of resources but not take action, such as applying recommendations or editing policies, should be assigned the Reader role.

Criteri di sicurezza e raccomandazioniSecurity policies and recommendations

Un criterio di sicurezza definisce la configurazione specifica dei carichi di lavoro e contribuisce ad assicurare la conformità ai requisiti aziendali o normativi per la sicurezza.A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. Nel Centro sicurezza è possibile definire criteri per le sottoscrizioni di Azure, che possono essere adattati al tipo di carico di lavoro o alla riservatezza dei dati.In Security Center, you can define policies for your Azure subscriptions, which can be tailored to the type of workload or the sensitivity of data.

I criteri del Centro sicurezza includono i componenti seguenti:Security Center policies contain the following components:

  • Raccolta di dati: provisioning dell'agente e impostazioni della raccolta di dati.Data collection: agent provisioning and data collection settings.
  • Criteri di sicurezza: un criterio di Azure che determina quali controlli vengono monitorati e consigliati dal Centro sicurezza. In alternativa, è possibile usare i criteri di Azure per creare nuove definizioni, definire criteri aggiuntivi e assegnare criteri nei gruppi di gestione.Security policy: an Azure Policy that determines which controls are monitored and recommended by Security Center, or use Azure Policy to create new definitions, define additional policies, and assign policies across Management Groups.
  • Notifiche tramite posta elettronica: contatti e impostazioni di notifica relativi alla sicurezza.Email notifications: security contacts and notification settings.
  • Piano tariffario: sono disponibili le opzioni Gratuito o Standard, che determinano le funzionalità del Centro sicurezza disponibili per le risorse nell'ambito. Questo criterio può essere specificato per sottoscrizioni, gruppi di risorse e aree di lavoro.Pricing tier: free or standard pricing selection, which determine which Security Center features are available for resources in scope (can be specified for subscriptions, resource groups and workspaces).

Nota

Specificando un contatto di sicurezza, Azure potrà raggiungere la persona corretta dell'organizzazione in caso di evento imprevisto relativo alla sicurezza.Specifying a security contact will ensure that Azure can reach the right person in your organization if a security incident occurs. Per altre informazioni su come abilitare questa raccomandazione, vedere Specificare i dettagli dei contatti di sicurezza nel Centro sicurezza di Azure .Read Provide security contact details in Azure Security Center for more information on how to enable this recommendation.

Definizioni dei criteri di sicurezza e raccomandazioniSecurity policies definitions and recommendations

Il Centro sicurezza crea automaticamente un criterio di sicurezza predefinito per ogni sottoscrizione di Azure.Security Center automatically creates a default security policy for each of your Azure subscriptions. È possibile modificare il criterio nel Centro sicurezza o usare i criteri di Azure per creare nuove definizioni, definire criteri aggiuntivi e assegnare criteri a gruppi di gestione, che possono rappresentare l'intera organizzazione, una business unit specifica e così via, e infine monitorare la conformità a tali criteri negli ambiti.You can edit the policy in Security Center or use Azure Policy to create new definitions, define additional policies, and assign policies across Management Groups (which can represent the entire organization, a business unit in it etc.), and monitor compliance to these policies across these scopes.

Prima di configurare i criteri di sicurezza, è consigliabile esaminare tutte le raccomandazioni sulla sicurezzae determinare se sono appropriate per le varie sottoscrizioni e i vari gruppi di risorse usati.Before configuring security policies, review each of the security recommendations, and determine whether these policies are appropriate for your various subscriptions and resource groups. È importante sapere anche quali azioni devono essere eseguite in relazione alle raccomandazioni sulla sicurezza e quali utenti dell'organizzazione sono responsabili del monitoraggio per le nuove raccomandazioni e dell'adozione delle misure necessarie.It is also important to understand what action should be taken to address Security Recommendations and who in your organization will be responsible for monitoring for new recommendations and taking the needed steps.

Raccolta dati e archiviazioneData collection and storage

Il Centro sicurezza di Azure usa Microsoft Monitoring Agent, lo stesso agente usato da Operations Management Suite e dal servizio Log Analytics, per raccogliere dati di protezione dalle macchine virtuali.Azure Security Center uses the Microsoft Monitoring Agent – this is the same agent used by the Operations Management Suite and Log Analytics service – to collect security data from your virtual machines. I dati raccolti dall'agente verranno archiviati nelle aree di lavoro di Log Analytics.Data collected from this agent will be stored in your Log Analytics workspace(s).

AgenteAgent

Dopo l'abilitazione del provisioning automatico nei criteri di sicurezza, Microsoft Monitoring Agent (per Windows o Linux) viene installato in tutte le macchine virtuali di Azure supportate e in quelle nuove che vengono create.When automatic provisioning is enabled in the security policy, the Microsoft Monitoring Agent (for Windows or Linux) is installed on all supported Azure VMs, and any new ones that are created. Se Microsoft Monitoring Agent è già installato nella macchina virtuale o nel computer, il Centro sicurezza di Azure userà l'agente installato corrente.If the VM or computer already has the Microsoft Monitoring Agent installed, Azure Security Center will leverage the current installed agent. Il processo dell'agente è progettato per non essere invasivo e ridurre al minimo l'impatto sulle prestazioni delle VM.The agent’s process is designed to be non-invasive and have very minimal impact on VM performance.

Microsoft Monitoring Agent per Windows richiede l'uso della porta TCP 443.The Microsoft Monitoring Agent for Windows requires use TCP port 443. Vedere l'articolo sulla risoluzione dei problemi per altri dettagli.See the Troubleshooting article for additional details.

Per disabilitare successivamente la raccolta dati, è possibile usare i criteri di sicurezza.If at some point you want to disable Data Collection, you can turn it off in the security policy. Tuttavia, poiché Microsoft Monitoring Agent può essere usato da altri servizi di gestione e monitoraggio di Azure, l'agente non sarà disinstallato automaticamente quando si disattiva la raccolta dati nel Centro sicurezza.However, because the Microsoft Monitoring Agent may be used by other Azure management and monitoring services, the agent will not be uninstalled automatically when you turn off data collection in Security Center. È possibile disinstallare manualmente l'agente se necessario.You can manually uninstall the agent if needed.

Nota

Per un elenco delle macchine virtuali supportate, vedere Domande frequenti sul Centro sicurezza di Azure.To find a list of supported VMs, read the Azure Security Center frequently asked questions (FAQ).

Area di lavoroWorkspace

Un'area di lavoro di Azure è una risorsa usata come contenitore per i dati.A workspace is an Azure resource that serves as a container for data. Nell'organizzazione è possibile usare più aree di lavoro per gestire diversi set di dati raccolti dall'intera infrastruttura IT o da una parte di essa.You or other members of your organization might use multiple workspaces to manage different sets of data that is collected from all or portions of your IT infrastructure.

I dati raccolti da Microsoft Monitoring Agent (per conto del Centro sicurezza di Azure) verranno archiviati in una o più aree di lavoro di Log Analytics esistenti associate alla sottoscrizione di Azure o in una o più aree di lavoro nuove, a seconda dell'area geografica della macchina virtuale.Data collected from the Microsoft Monitoring Agent (on behalf of Azure Security Center) will be stored in either an existing Log Analytics workspace(s) associated with your Azure subscription or a new workspace(s), taking into account the Geo of the VM.

Nel portale di Azure è possibile visualizzare un elenco delle aree di lavoro di Log Analytics, incluse quelle create dal Centro sicurezza di Azure.In the Azure portal, you can browse to see a list of your Log Analytics workspaces, including any created by Azure Security Center. Per le nuove aree di lavoro verrà creato un gruppo di risorse correlato.A related resource group will be created for new workspaces. Entrambi seguiranno questa convenzione di denominazione:Both will follow this naming convention:

  • Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]Workspace: DefaultWorkspace-[subscription-ID]-[geo]
  • Gruppo di risorse: DefaultResouceGroup-[geo]Resource Group: DefaultResouceGroup-[geo]

Per le aree di lavoro create dal Centro sicurezza di Azure, i dati vengono conservati per 30 giorni.For workspaces created by Azure Security Center, data is retained for 30 days. Per le aree di lavoro esistenti, il periodo di memorizzazione dipende dal piano tariffario dell'area di lavoro.For existing workspaces, retention is based on the workspace pricing tier. Se si preferisce, è anche possibile usare un'area di lavoro esistente.If you want, you can also use an existing workspace.

Nota

Microsoft è fortemente impegnata nella protezione della privacy e della sicurezza dei dati.Microsoft makes strong commitment to protect the privacy and security of this data. Microsoft è conforme alle più rigorose linee guida sulla sicurezza e sulla conformità in tutte le fasi, dalla codifica all'esecuzione di un servizio.Microsoft adheres to strict compliance and security guidelines—from coding to operating a service. Per altre informazioni sulla privacy e sulla gestione dei dati, leggere Sicurezza dei dati nel Centro sicurezza di Azure.For more information about data handling and privacy, read Azure Security Center Data Security.

Onboarding delle risorse non AzureOnboarding non-Azure resources

Il Centro di sicurezza di Azure consente di monitorare le condizioni di sicurezza dei computer non Azure, ma è necessario prima caricare queste risorse.Security Center can monitor the security posture of your non-Azure computers but you need to first onboard these resources. Per altre informazioni su come eseguire l'onboarding di risorse non Azure, vedere Onboarding nel livello Standard del Centro sicurezza di Azure per una sicurezza avanzata.Read Onboarding to Azure Security Center Standard for enhanced security for more information on how to onboarding non-Azure resources.

Monitoraggio continuo della sicurezzaOngoing security monitoring

Dopo la configurazione iniziale e l'applicazione delle raccomandazioni del Centro sicurezza, il passaggio successivo consiste nel valutare i processi operativi del Centro sicurezza.After initial configuration and application of Security Center recommendations, the next step is considering Security Center operational processes.

La panoramica del Centro sicurezza fornisce una visualizzazione unificata della sicurezza per tutte le risorse di Azure ed eventuali risorse non Azure connesse.The Security Center Overview provides a unified view of security across all your Azure resources and any non-Azure resources you have connected. L'esempio seguente mostra un ambiente con molti problemi da risolvere:The example below shows an environment with many issues to be addressed:

dashboard

Nota

Il Centro sicurezza non interferisce con le normali procedure operative, esegue un monitoraggio passivo delle distribuzioni e fornisce raccomandazioni in base ai criteri di sicurezza abilitati.Security Center will not interfere with your normal operational procedures, it will passively monitor your deployments and provide recommendations based on the security policies you enabled.

Quando si acconsente esplicitamente per la prima volta all'uso del Centro sicurezza per l'ambiente Azure corrente, assicurarsi di esaminare tutte le raccomandazioni nel riquadro Raccomandazioni o nelle singole risorse (Calcolo, Rete, Archiviazione e dati e Applicazione).When you first opt in to use Security Center for your current Azure environment, make sure that you review all recommendations, which can be done in the Recommendations tile or per resource (Compute, Networking, Storage & data, Application).

Dopo avere applicato tutte le raccomandazioni, la sezione Prevenzione sarà verde per tutte le risorse che sono state corrette.Once you address all recommendations, the Prevention section should be green for all resources that were addressed. Il monitoraggio continuo a questo punto risulta più semplice perché le azioni da intraprendere dipendono unicamente dalle modifiche apportate nei riquadri Integrità sicurezza delle risorse e Raccomandazioni.Ongoing monitoring at this point becomes easier since you will only take actions based on changes in the resource security health and recommendations tiles.

La sezione Rilevamento è più reattiva e contiene avvisi relativi a problemi in corso o che si sono verificati in precedenza e sono stati rilevati dai controlli del Centro sicurezza e da sistemi di terze parti.The Detection section is more reactive, these are alerts regarding issues that are either taking place now, or occurred in the past and were detected by Security Center controls and 3rd party systems. Il riquadro Avvisi di sicurezza mostra grafici a barre che rappresentano il numero di avvisi di rilevamento delle minacce trovati ogni giorno e la relativa distribuzione per categorie basate sulla gravità, bassa, media o alta.The Security Alerts tile will show bar graphs that represent the number of threat detection alerts that were found in each day, and their distribution among the different severity categories (low, medium, high). Per altre informazioni sugli avvisi di sicurezza, vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure.For more information about Security Alerts, read Managing and responding to security alerts in Azure Security Center.

Pianificare una verifica dell'opzione Intelligence per le minacce come parte delle operazioni di sicurezza giornaliere.Plan to visit the threat intelligence option as part of your daily security operations. Questa opzione consente di identificare le minacce alla sicurezza per l'ambiente specifico, ad esempio determinare se un computer specifico fa parre di un botnet.There you can identify security threats against the environment, such as identify if a particular computer is part of a botnet.

Monitoraggio di risorse nuove o modificateMonitoring for new or changed resources

Gli ambienti Azure sono per la maggior parte dinamici, con nuove risorse che vengono attivate e disattivate a intervalli regolari, nuove configurazioni, modifiche e così via. Il Centro sicurezza contribuisce a garantire la visibilità dello stato di sicurezza delle nuove risorse.Most Azure environments are dynamic, with new resources being spun up and down on a regular basis, configurations or changes, etc. Security Center helps ensure that you have visibility into the security state of these new resources.

Quando si aggiungono nuove risorse all'ambiente Azure, come VM o database SQL, il Centro sicurezza le individua automaticamente e iniziare a monitorarne la sicurezza.When you add new resources (VMs, SQL DBs) to your Azure Environment, Security Center will automatically discover these resources and begin to monitor their security. Ciò include anche i ruoli di lavoro e i ruoli Web PaaS.This also includes PaaS web roles and worker roles. Se la raccolta dati è abilitata nei criteri di sicurezza, vengono abilitate automaticamente funzionalità di monitoraggio aggiuntive per le macchine virtuali.If Data Collection is enabled in the Security Policy, additional monitoring capabilities will be enabled automatically for your virtual machines.

Aree principali

  1. Per le macchine virtuali, fare clic su Calcolo nella sezione Prevenzione.For virtual machines, click Compute, under Prevention section. Gli eventuali problemi di abilitazione dei dati e le relative raccomandazioni verranno visualizzati nella scheda Panoramica, nella sezione Raccomandazioni sul monitoraggio.Any issues with enabling data or related recommendations will be surfaced in the Overview tab, and Monitoring Recommendations section.
  2. Per conoscere gli eventuali rischi di sicurezza identificati per la nuova risorsa, vedere Raccomandazioni .View the Recommendations to see what, if any, security risks were identified for the new resource.
  3. Accade spesso che nelle nuove macchine virtuali aggiunte all'ambiente inizialmente sia installato solo il sistema operativo.It is very common that when new VMs are added to your environment, only the operating system is initially installed. Il proprietario della risorsa potrebbe avere bisogno di tempo per distribuire altre app per l'uso da parte delle macchine virtuali.The resource owner might need some time to deploy other apps that will be used by these VMs. È preferibile conoscere la finalità del carico di lavoro,Ideally, you should know the final intent of this workload. ad esempio se verrà usato come server applicazioni.Is it going to be an Application Server? In base alla finalità del nuovo carico di lavoro, è possibile abilitare i Criteri di sicurezza appropriati, che rappresentano il terzo passaggio del flusso di lavoro.Based on what this new workload is going to be, you can enable the appropriate Security Policy, which is the third step in this workflow.
  4. Con l'aggiunta di nuove risorse all'ambiente Azure, potrebbero essere visualizzati nuovi avvisi nel riquadro Avvisi di sicurezza .As new resources are added to your Azure environment, it is possible that new alerts appear in the Security Alerts tile. Verificare sempre se sono presenti nuovi avvisi in questo riquadro e intraprendere le azioni necessarie in base alle raccomandazioni del Centro sicurezza.Always verify if there are new alerts in this tile and take actions according to Security Center recommendations.

È anche possibile monitorare regolarmente lo stato delle risorse esistenti per identificare le modifiche alla configurazione che hanno creato rischi di sicurezza, deviazioni dalle baseline consigliate e avvisi di sicurezza.You will also want to regularly monitor the state of existing resources to identify configuration changes that have created security risks, drift from recommended baselines, and security alerts. Avviare il dashboard del Centro sicurezza.Start at the Security Center dashboard. Qui sono presenti tre aree principali da esaminare in modo continuativo.From there you have three major areas to review on a consistent basis.

Operazioni

  1. La sezione Prevenzione consente di accedere rapidamente alle risorse chiave.The Prevention section panel provides you quick access to your key resources. Usare questa opzione per monitorare Calcolo, Rete, Archiviazione e dati e Applicazioni.Use this option to monitor Compute, Networking, Storage & data and Applications.
  2. Il pannello Raccomandazioni consente di esaminare le raccomandazioni del Centro sicurezza.The Recommendations panel enables you to review Security Center recommendations. Durante il monitoraggio continuo è normale non ricevere raccomandazioni ogni giorno, perché tutte le raccomandazioni sono state applicate durante la configurazione iniziale del Centro sicurezza.During your ongoing monitoring you may find that you don’t have recommendations on a daily basis, which is normal since you addressed all recommendations on the initial Security Center setup. Per questo motivo, in questa sezione potrebbero non essere presenti nuove informazioni ogni giorno e sarà sufficiente accedervi solo quando necessario.For this reason, you may not have new information in this section every day and will just need to access it as needed.
  3. La sezione Rilevamento potrebbe cambiare molto di frequente o solo saltuariamente.The Detection section might change on either a very frequent or very infrequent basis. Esaminare sempre gli avvisi di sicurezza e intraprendere le azioni necessarie in base alle raccomandazioni del Centro sicurezza.Always review your security alerts and take actions based on Security Center recommendations.

Applicare la protezione avanzata all'accesso e alle applicazioniHardening access and applications

Come parte delle operazioni di sicurezza è consigliabile adottare misure preventive per limitare l'accesso alle VM e controllare le applicazioni in esecuzioni sulle VM.As part of your security operations, you should also adopt preventative measures to restrict access to VMs, and control the applications that are running on VMs. Bloccando il traffico in ingresso nelle VM di Azure si riduce l'esposizione agli attacchi e si offre al tempo stesso un accesso facilitato per la connessione alle VM quando necessario.By locking down inbound traffic to your Azure VMs, you are reducing the exposure to attacks, and at the same time providing easy access to connect to VMs when needed. Usare la funzionalità Accesso Just-In-Time alla VM per applicare la protezione avanzata all'accesso alle VM.Use Just in Time VM access feature to hardening access to your VMs.

È possibile usare i controlli delle applicazioni adattivi per controllare quali applicazioni possono essere eseguite nelle macchine virtuali in Azure. Questo approccio consente anche di garantire la protezione avanzata delle macchine virtuali contro i malware.You can use Adaptive Application Controls to help control which applications can run on your VMs located in Azure, which among other benefits helps harden your VMs against malware. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nella macchina virtuale e, grazie a questa funzionalità intelligente, aiuta ad applicare regole di inserimento nell'elenco elementi consentiti.Security Center uses machine learning to analyze the processes running in the VM and helps you apply whitelisting rules using this intelligence.

Risposta agli eventi imprevistiIncident response

Il Centro sicurezza rileva le minacce appena si verificano e avvisa l'utente.Security Center detects and alerts you to threats as they occur. Le organizzazioni devono monitorare i nuovi avvisi di sicurezza e intraprendere le azioni necessarie per indagare più a fondo o correggere l'attacco.Organizations should monitor for new security alerts and take action as needed to investigate further or remediate the attack. Per altre informazioni sul funzionamento del rilevamento delle minacce nel Centro sicurezza, vedere Funzionalità di rilevamento del Centro sicurezza di Azure.For more information on how Security Center threat detection works, read Azure Security Center detection capabilities.

Per quanto offrire una guida alla creazione di un piano di risposta agli eventi imprevisti non rientri nelle finalità di questo articolo, il ciclo di vita della risposta del Centro sicurezza di Microsoft Azure nel cloud verrà usato come base per le fasi della risposta agli eventi imprevisti.While this article doesn’t have the intent to assist you creating your own Incident Response plan, we are going to use Microsoft Azure Security Response in the Cloud lifecycle as the foundation for incident response stages. Le fasi sono illustrate nel diagramma seguente:The stages are shown in the following diagram:

Attività sospetta

Nota

Per tale scopo è possibile usare la Computer Security Incident Handling Guide (Guida alla gestione degli eventi imprevisti della sicurezza nei computer) del National Institute of Standards and Technology (NIST).You can use the National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide as a reference to assist you building your own.

È possibile usare gli avvisi del Centro sicurezza durante le fasi seguenti.You can use Security Center Alerts during the following stages:

  • Rilevamento: identificazione di un'attività sospetta in una o più risorse.Detect: identify a suspicious activity in one or more resources.
  • Valutazione: esecuzione della valutazione iniziale per ottenere altre informazioni sull'attività sospetta.Assess: perform the initial assessment to obtain more information about the suspicious activity.
  • Diagnosi: uso dei passaggi di correzione per completare la procedura tecnica per risolvere il problema.Diagnose: use the remediation steps to conduct the technical procedure to address the issue.

Ogni avviso di sicurezza fornisce informazioni che possono essere usate per comprendere meglio la natura dell'attacco e trovare soluzioni di mitigazione.Each Security Alert provides information that can be used to better understand the nature of the attack and suggest possible mitigations. Alcuni avvisi forniscono anche collegamenti ad altre informazioni o fonti di informazioni all'interno di Azure.Some alerts also provide links to either more information or to other sources of information within Azure. È possibile usare le informazioni fornite per ulteriori ricerche e per avviare la mitigazione dei rischi. È inoltre possibile eseguire ricerche nei dati relativi alla sicurezza archiviati nell'area di lavoro.You can use the information provided for further research and to begin mitigation, and you can also search security-related data that is stored in your workspace.

L'esempio seguente mostra un'attività RDP sospetta in azione:The following example shows a suspicious RDP activity taking place:

Attività sospetta

Questa pagina include dettagli relativi al momento in cui si è verificato l'attacco, al nome host di origine, alla macchina virtuale di destinazione e ai passaggi necessari per applicare la raccomandazione.This page shows the details regarding the time that the attack took place, the source hostname, the target VM and also gives recommendation steps. In alcuni casi le informazioni sull'origine dell'attacco potrebbero non essere disponibili.In some circumstances the source information of the attack may be empty. Per altre informazioni su questo tipo di comportamento, vedere Missing Source Information in Azure Security Center Alerts (Informazioni sull'origine mancanti negli avvisi del Centro sicurezza di Azure).Read Missing Source Information in Azure Security Center Alerts for more information about this type of behavior.

Da questa pagina è anche possibile avviare un'indagine per ottenere una migliore comprensione della sequenza temporale dell'attacco, della modalità in cui è stato effettuato l'attacco, dei sistemi potenzialmente danneggiati e delle credenziali usate e infine per ottenere una rappresentazione grafica dell'intera catena di attacco.From this page, you can also start an investigation to better understand the timeline of the attack, how the attack took place, which systems were potentially compromised, which credentials were used, and see a graphical representation of the entire attack chain.

Dopo avere identificato il sistema danneggiato, è possibile eseguire i playbook di sicurezza creati in precedenza.Once you identify the compromised system, you can run security playbooks that were previously created. Il playbook di sicurezza è una raccolta di procedure che possono essere eseguite dal Centro sicurezza dopo l'attivazione di un determinato playbook da un avviso selezionato.Security playbook is a collection of procedures that can be executed from Security Center once a certain playbook is triggered from selected alert.

Nel video How to Leverage the Azure Security Center & Microsoft Operations Management Suite for an Incident Response (Come sfruttare il Centro sicurezza di Azure e Microsoft Operations Management Suite per la risposta a un evento imprevisto) è possibile vedere alcune demo che consentono di comprendere come usare il Centro sicurezza per ognuna di queste fasi.In the How to Leverage the Azure Security Center & Microsoft Operations Management Suite for an Incident Response video you can see some demonstrations that can help you to understand how Security Center can be used in each one of those stages.

Nota

Vedere Uso del Centro sicurezza di Azure per rispondere agli eventi imprevisti per altre informazioni sull'uso delle funzionalità del Centro sicurezza di Azure per rispondere agli eventi imprevisti.Read Leveraging Azure Security Center for Incident Response for more information on how to use Security Center capabilities to assist you during your Incident Response process.

Passaggi successiviNext steps

In questo documento è stato descritto come pianificare l'adozione del Centro sicurezza di Azure.In this document, you learned how to plan for Security Center adoption. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: