Rilevamento delle minacce avanzato in AzureAzure Advanced Threat Detection

IntroduzioneIntroduction

PanoramicaOverview

Microsoft ha sviluppato una serie di white paper, panoramiche sulla sicurezza, procedure consigliate ed elenchi di controllo per assistere i clienti di Azure con le diverse funzionalità correlate alla sicurezza disponibili nel contesto della piattaforma Azure.Microsoft has developed a series of White Papers, Security Overviews, Best Practices, and Checklists to assist Azure customers about the various security-related capabilities available in and surrounding the Azure Platform. Gli argomenti variano per ampiezza e livello di approfondimento e vengono aggiornati periodicamente.The topics range in terms of breadth and depth and are updated periodically. Questo documento fa parte di tale serie come descritto nella sezione Sintesi di seguito.This document is part of that series as summarized in the following abstract section.

Piattaforma AzureAzure Platform

Azure è una piattaforma di servizi cloud pubblici che supporta la più grande selezione di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi.Azure is a public cloud service platform that supports the broadest selection of operating systems, programming languages, frameworks, tools, databases, and devices. Supporta i linguaggi di programmazione seguenti per:It supports the following programming languages:

  • Eseguire i contenitori Linux con l'integrazione Docker.Run Linux containers with Docker integration.
  • Compilare le app con JavaScript, Python, .NET, PHP, Java e Node.js.Build apps with JavaScript, Python, .NET, PHP, Java, and Node.js
  • Compilare back-end per dispositivi iOS, Android e Windows.Build back-ends for iOS, Android, and Windows devices.

I servizi cloud pubblici di Azure supportano le stesse tecnologie già considerate affidabili e usate da milioni di sviluppatori e professionisti IT.Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust.

Quando si esegue la migrazione a un cloud pubblico con un'organizzazione, quest'ultima è responsabile della protezione dei dati, della sicurezza e della governance di tutto il sistema.When you are migrating to a public cloud with an organization, that organization is responsible to protect your data and provide security and governance around the system.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e fornisce alle aziende una solida base per poter soddisfare le esigenze di sicurezza.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure offre una vasta gamma di opzioni per configurare e personalizzare la sicurezza e soddisfare i requisiti delle distribuzioni di app.Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. Questo documento consente di soddisfare questi requisiti.This document helps you meet these requirements.

SuntoAbstract

Microsoft Azure offre funzionalità predefinite di rilevamento delle minacce avanzato attraverso servizi quali Azure Active Directory, Azure Operations Management Suite (OMS) e Centro sicurezza di Azure.Microsoft Azure offers built in advanced threat detection functionality through services like Azure Active Directory, Azure Operations Management Suite (OMS), and Azure Security Center. Questa raccolta di servizi e funzionalità di sicurezza offre un modo semplice e veloce per comprendere ciò che accade all'interno delle distribuzioni di Azure.This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

Questo white paper illustra gli approcci di Microsoft Azure alla diagnostica della vulnerabilità alle minacce e all'analisi dei rischi associati alle attività dannose nei confronti di server e altre risorse di Azure.This white paper will guide you the “Microsoft Azure approaches” towards threat vulnerability diagnostic and analysing the risk associated with the malicious activities targeted against servers and other Azure resources. Questo permette di determinare i metodi di identificazione e gestione delle vulnerabilità con soluzioni ottimizzate tramite la piattaforma Azure e tecnologie e servizi di sicurezza per i clienti.This helps you to identify the methods of identification and vulnerability management with optimized solutions by the Azure platform and customer-facing security services and technologies.

Questo white paper è incentrato sulla tecnologia della piattaforma Azure e sui controlli per i clienti e non tratta contratti di servizio, modelli tariffari e attività DevOps.This white paper focuses on the technology of Azure platform and customer-facing controls, and does not attempt to address SLAs, pricing models, and DevOps practice considerations.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure Active Directory Identity Protection

Azure Active Directory Identity Protection è una funzionalità di Azure AD Premium P2 che offre una panoramica degli eventi di rischio e delle potenziali vulnerabilità che interessano le identità dell'organizzazione.Azure Active Directory Identity Protection is a feature of the Azure AD Premium P2 edition that provides you an overview of the risk events and potential vulnerabilities affecting your organization’s identities. Microsoft protegge le identità basate sul cloud da oltre dieci anni. Con Azure AD Identity Protection, questi stessi sistemi di protezione sono ora a disposizione dei clienti aziendali.Microsoft has been securing cloud-based identities for over a decade, and with Azure AD Identity Protection, Microsoft is making these same protection systems available to enterprise customers. Identity Protection si avvale delle funzionalità di rilevamento anomalie di Azure AD, disponibili tramite i report di Anomalie dell'attività di Azure AD, e introduce nuovi tipi di eventi di rischio che permettono di rilevare le anomalie in tempo reale.Identity Protection uses existing Azure AD’s anomaly detection capabilities available through Azure AD’s Anomalous Activity Reports, and introduces new risk event types that can detect real time anomalies.

Identity Protection usa l'euristica e algoritmi di apprendimento automatico adattivi per rilevare anomalie ed eventi di rischio che possono indicare la compromissione di un'identità.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Sulla base di tali dati, Identity Protection genera report e avvisi che consentono di analizzare gli eventi di rischio e adottare le azioni di correzione o mitigazione appropriate.Using this data, Identity Protection generates reports and alerts that enable you to investigate these risk events and take appropriate remediation or mitigation action.

Azure Active Directory Identity Protection è, del resto, ben più di un semplice strumento di monitoraggio e reporting.But Azure Active Directory Identity Protection is more than a monitoring and reporting tool. In base agli eventi di rischio, Identity Protection calcola un livello di rischio utente per ogni utente e permette di configurare criteri basati sul rischio per proteggere automaticamente le identità dell'organizzazione.Based on risk events, Identity Protection calculates a user risk level for each user, enabling you to configure risk-based policies to automatically protect the identities of your organization.

I criteri basati sul rischio, insieme ad altri controlli di accesso condizionale disponibili in Azure Active Directory ed EMS, possono eseguire il blocco automatico o proporre azioni di correzione adattive, incluse la reimpostazione della password e l'applicazione dell'autenticazione a più fattori.These risk-based policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Funzionalità di Identity ProtectionIdentity Protection's capabilities

Azure Active Directory Identity Protection è ben più di un semplice strumento di monitoraggio e reporting.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Per proteggere le identità dell'organizzazione, è possibile configurare criteri basati sul rischio che rispondano automaticamente ai problemi rilevati quando viene raggiunto un livello di rischio specificato.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Questi criteri, con altri controlli di accesso condizionale forniti da Azure Active Directory e da EMS, possono eseguire il blocco automatico o avviare azioni di correzione adattive, incluse la reimpostazione della password e l'applicazione dell'autenticazione a più fattori.These policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Di seguito sono riportati esempi di alcuni dei modi in cui Azure Identity Protection consente di proteggere gli account e le identità:Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

Rilevamento di eventi di rischio e account rischiosi:Detecting risk events and risky accounts:

  • Rilevamento di sei tipi di eventi di rischio tramite regole euristiche e apprendimento automatico.Detecting six risk event types using machine learning and heuristic rules
  • Calcolo dei livelli di rischio utente.Calculating user risk levels
  • Raccomandazioni personalizzate per migliorare il comportamento di sicurezza in generale evidenziando le vulnerabilità.Providing custom recommendations to improve overall security posture by highlighting vulnerabilities

Analisi degli eventi di rischio:Investigating risk events:

  • Invio di notifiche per gli eventi di rischio.Sending notifications for risk events
  • Analisi degli eventi di rischio con informazioni rilevanti e contestuali.Investigating risk events using relevant and contextual information
  • Flussi di lavoro di base per tenere traccia delle analisi.Providing basic workflows to track investigations
  • Accesso semplificato ad azioni di correzione come la reimpostazione della password.Providing easy access to remediation actions such as password reset

Criteri di accesso condizionale basati sul rischio:Risk-based conditional access policies:

  • Criteri per mitigare gli accessi rischiosi con il blocco degli accessi o le richieste di autenticazione a più fattori.Policy to mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • Criteri per bloccare o proteggere gli account utente rischiosi.Policy to block or secure risky user accounts
  • Criteri per richiedere la registrazione degli utenti per l'autenticazione a più fattoriPolicy to require users to register for multi-factor authentication

Azure AD Privileged Identity Management (PIM)Azure AD Privileged Identity Management (PIM)

Con Azure Active Directory (AD) Privileged Identity Management,With Azure Active Directory (AD) Privileged Identity Management,

Gestione identità con privilegi di Azure AD

è possibile gestire, controllare e monitorare l'accesso all'interno dell'organizzazione.you can manage, control, and monitor access within your organization. È incluso l'accesso alle risorse in Azure AD e altri Microsoft Online Services, ad esempio Office 365 o Microsoft Intune.This includes access to resources in Azure AD and other Microsoft online services like Office 365 or Microsoft Intune.

Azure AD Privileged Identity Management consente di effettuare le operazioni seguenti:Azure AD Privileged Identity Management helps you:

  • Ricevere avvisi e report sugli amministratori di Azure AD e accesso JIT come amministratore ai Microsoft Online Services, ad esempio Office 365 e IntuneGet an alert and report on Azure AD administrators and "just in time" administrative access to Microsoft Online Services like Office 365 and Intune

  • Ottenere report sulla cronologia degli accessi degli amministratori e sulle modifiche alle assegnazioni degli amministratoriGet reports about administrator access history and changes in administrator assignments

  • Ricevere avvisi relativi all'accesso a un ruolo con privilegiGet alerts about access to a privileged role

Microsoft Operations Management Suite (OMS)Microsoft Operations Management Suite (OMS)

Microsoft Operations Management Suite è la soluzione Microsoft per la gestione IT basata sul cloud che consente di gestire e proteggere l'infrastruttura locale e cloud.Microsoft Operations Management Suite is Microsoft's cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. Poiché OMS viene implementato come servizio basato sul cloud, è possibile renderlo operativo rapidamente con un investimento minimo nei servizi di infrastruttura.Since OMS is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. Le nuove funzionalità di sicurezza sono disponibili automaticamente, evitando così i costi di manutenzione e aggiornamento continui.New security features are delivered automatically, saving your ongoing maintenance and upgrade costs.

Oltre a offrire importanti servizi in sé, OMS può essere integrato con i componenti di System Center, come System Center Operations Manager, per estendere al cloud gli investimenti per la gestione della sicurezza già esistenti.In addition to providing valuable services on its own, OMS can integrate with System Center components such as System Center Operations Manager to extend your existing security management investments into the cloud. System Center e OMS possono essere usati insieme per offrire un'esperienza di gestione ibrida completa.System Center and OMS can work together to provide a full hybrid management experience.

Approccio olistico a sicurezza e conformitàHolistic Security and Compliance Posture

Il dashboard Sicurezza e controllo di OMS consente di ottenere una panoramica completa dell'infrastruttura di sicurezza IT dell'organizzazione, grazie alla disponibilità di query di ricerca predefinite per i problemi rilevanti che richiedono l'attenzione dell'utente.The OMS Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture with built-in search queries for notable issues that require your attention. Il dashboard Sicurezza e controllo è la schermata iniziale per tutti gli elementi correlati alla sicurezza in OMS.The Security and Audit dashboard is the home screen for everything related to security in OMS. Fornire una visione generale lo stato di sicurezza dei computer.It provides high-level insight into the security state of your computers. Consente anche di visualizzare tutti gli eventi delle ultime 24 ore, di 7 giorni o di qualsiasi altro intervallo di tempo personalizzato.It also includes the ability to view all events from the past 24 hours, 7 days, or any other custom time frame.

I dashboard OMS permettono di comprendere rapidamente e facilmente l'approccio complessivo alla sicurezza di qualsiasi ambiente, tutto nel contesto delle operazioni IT, tra cui: valutazione dell'aggiornamento software, valutazione antimalware e linee di base di configurazione.OMS dashboards help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including: software update assessment, antimalware assessment, and configuration baselines. I dati del log di sicurezza sono facilmente accessibili per semplificare i processi di controllo di sicurezza e conformità.Furthermore, security log data is readily accessible to streamline the security and compliance audit processes.

Il dashboard Sicurezza e controllo di OMS è organizzato in quattro categorie principali:The OMS Security and Audit dashboard is organized in four major categories:

Dashboard di Sicurezza e controllo di OMS

  • Domini di sicurezza: in questa area si possono esplorare ulteriormente i record di sicurezza nel tempo, accedere alla valutazione della presenza di malware, aggiornare la valutazione, verificare la sicurezza della rete, controllare identità e accesso alle informazioni, visualizzare i computer con eventi di sicurezza e accedere rapidamente al dashboard del Centro sicurezza di Azure.Security Domains: in this area, you will be able to further explore security records over time, access malware assessment, update assessment, network security, identity and access information, computers with security events and quickly have access to Azure Security Center dashboard.

  • Errori rilevanti: questa opzione consente di identificare rapidamente il numero di problemi attivi e la relativa gravità.Notable Issues: this option allows you to quickly identify the number of active issues and the severity of these issues.

  • Rilevamenti (anteprima): consente di identificare i modelli di attacco visualizzando gli avvisi di sicurezza non appena vengono generati per le risorse.Detections (Preview): enables you to identify attack patterns by visualizing security alerts as they take place against your resources.

  • Intelligence per le minacce: consente di identificare i modelli di attacco visualizzando il numero totale di server con traffico IP dannoso in uscita, il tipo di minaccia e una mappa che mostra la provenienza di questi indirizzi IP.Threat Intelligence: enables you to identify attack patterns by visualizing the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map that shows where these IPs are coming from.

  • Query comuni sulla sicurezza: questa opzione fornisce un elenco delle query di sicurezza più comuni che è possibile usare per monitorare l'ambiente.Common security queries: this option provides you a list of the most common security queries that you can use to monitor your environment. Quando si fa clic in una di queste query, viene aperto il pannello Ricerca con i risultati della query.When you click in one of those queries, it opens the Search blade with the results for that query.

Insight & AnalyticsInsight and Analytics

Al centro di Log Analytics c'è l'archivio OMS, ospitato nel cloud di Azure.At the center of Log Analytics is the OMS repository, which is hosted in the Azure cloud.

Insight & Analytics

I dati vengono raccolti nel repository da origini connesse configurando le origini dati e aggiungendo soluzioni alla sottoscrizione.Data is collected into the repository from connected sources by configuring data sources and adding solutions to your subscription.

sottoscrizione

Le origini dati e le soluzioni creeranno diversi tipi di record con uno specifico set di proprietà, ma che possono comunque essere analizzati insieme nelle query al repository.Data sources and solutions will each create different record types that have their own set of properties but may still be analyzed together in queries to the repository. In questo modo è possibile usare gli stessi strumenti e metodi per lavorare con diversi tipi di dati raccolti da diverse origini.This allows you to use the same tools and methods to work with different kinds of data collected by different sources.

La maggior parte delle interazioni con Log Analytics avviene attraverso il portale OMS che viene eseguito in qualsiasi browser e fornisce all'utente l'accesso alle impostazioni e a più strumenti di configurazione per analizzare e agire in base ai dati raccolti.Most of your interaction with Log Analytics is through the OMS portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. Dal portale è possibile usare le ricerche nei log in cui si creano query per analizzare i dati raccolti, i dashboard che è possibile personalizzare con rappresentazioni grafiche delle ricerche più importanti e le soluzioni che forniscono funzionalità e strumenti di analisi aggiuntivi.From the portal, you can use log searches where you construct queries to analyze collected data, dashboards, which you can customize with graphical views of your most valuable searches, and solutions, which provide additional functionality and analysis tools.

strumenti di analisi

Le soluzioni aggiungono funzionalità a Log Analytics.Solutions add functionality to Log Analytics. Vengono eseguite principalmente nel cloud e forniscono un'analisi dei dati raccolti nel repository OMS.They primarily run in the cloud and provide analysis of data collected in the OMS repository. Possono anche definire nuovi tipi di record da raccogliere, che possono essere analizzati con ricerche di log o con l'interfaccia utente aggiuntiva fornita dalla soluzione nel dashboard di OMS.They may also define new record types to be collected that can be analyzed with Log Searches or by additional user interface provided by the solution in the OMS dashboard. Sicurezza e controllo è un esempio di questo tipo di soluzioni.The Security and Audit is an example of these types of solutions.

Automazione e controllo: avvisi di deviazione dalla configurazione di sicurezzaAutomation & Control: Alert on security configuration drifts

Automazione di Azure consente di automatizzare i processi amministrativi con runbook basati su PowerShell ed eseguiti nel cloud di Azure.Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the Azure cloud. I runbook possono inoltre essere eseguiti in un server nel data center locale per gestire le risorse locali.Runbooks can also be executed on a server in your local data center to manage local resources. Automazione di Azure consente la gestione della configurazione con PowerShell DSC (Desired State Configuration).Azure Automation provides configuration management with PowerShell DSC (Desired State Configuration).

Automazione di Azure

È possibile creare e gestire risorse DSC ospitate in Azure e applicarle a sistemi cloud e locali per definire e implementare automaticamente la loro configurazione o ricevere report sulle deviazioni per garantire il rispetto dei criteri nelle configurazioni di sicurezza.You can create and manage DSC resources hosted in Azure and apply them to cloud and on-premises systems to define and automatically enforce their configuration or get reports on drift to help insure that security configurations remain within policy.

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza di Azure consente di proteggere le risorse di Azure.Azure Security Center helps protect your Azure resources. Integra il monitoraggio della sicurezza e la gestione dei criteri in tutte le sottoscrizioni di Azure.It provides integrated security monitoring and policy management across your Azure subscriptions. Nell'ambito del servizio, è possibile definire criteri non solo per le sottoscrizioni di Azure, ma anche per i gruppi di risorse, in modo da ottenere una maggiore granularità.Within the service, you are able to define polices not only against your Azure subscriptions, but also against Resource Groups, so you can be more granular.

Centro sicurezza di Azure

I ricercatori Microsoft nell'ambito della sicurezza sono costantemente impegnati nella ricerca delle minacce.Microsoft security researchers are constantly on the lookout for threats. Hanno accesso a un ampio set di dati di telemetria acquisiti grazie alla presenza globale di Microsoft nel cloud e in locale.They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. Questa raccolta di set di dati di vasta portata e diversificata consente a Microsoft di individuare nuovi modelli di attacco e tendenze nei propri prodotti consumer e aziendali locali, nonché nei servizi online.This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

Di conseguenza, il Centro sicurezza può aggiornare rapidamente gli algoritmi di rilevamento a fronte del rilascio di exploit nuovi e sofisticati da parte di utenti malintenzionati.Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. Questo approccio consente di tenere il passo con un ambiente caratterizzato da minacce in rapida evoluzione.This approach helps you keep pace with a fast-moving threat environment.

Centro sicurezza

Il sistema di rilevamento delle minacce del Centro sicurezza funziona mediante la raccolta automatica di informazioni sulla sicurezza dalle risorse di Azure, dalla rete e dalle soluzioni dei partner connessi.Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. Per identificare le minacce, analizza queste informazioni, correlando quelle raccolte da più origini.It analyzes this information, correlating information from multiple sources, to identify threats. Gli avvisi di sicurezza sono classificati in ordine di priorità nel Centro sicurezza insieme a indicazioni su come su correggere la minaccia.Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Il Centro sicurezza si avvale di analisi della sicurezza avanzate, che vanno ben oltre gli approcci basati sulle firme.Security Center employs advanced security analytics, which go far beyond signature-based approaches. Le ultime innovazioni sul piano delle tecnologie per i Big Data e l'apprendimento automatico vengono usate per valutare gli eventi in tutta l'infrastruttura cloud, rilevando minacce impossibili da identificare con approcci manuali e prevedendo l'evoluzione degli attacchi.Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. Le analisi della sicurezza includono quanto illustrato di seguito.These security analytics includes the following.

Intelligence per le minacceThreat Intelligence

Microsoft vanta un'enorme quantità di dati di intelligence per le minacce globali.Microsoft has an immense amount of global threat intelligence. Il flusso di dati di telemetria proviene da più origini, ad esempio Azure, Office 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft Digital Crimes Unit (DCU) e Microsoft Security Response Center (MSRC).Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

Intelligence per le minacce

I ricercatori ricevono anche informazioni di intelligence per le minacce condivise tra i principali provider di servizi cloud e sottoscrivono i feed di terze parti di intelligence per le minacce.Researchers also receive threat intelligence information that is shared among major cloud service providers and subscribes to threat intelligence feeds from third parties. Il Centro sicurezza di Azure usa queste informazioni per avvisare gli utenti nel caso di minacce provenienti da attori dannosi noti.Azure Security Center can use this information to alert you to threats from known bad actors. Di seguito sono riportati alcuni esempi:Some examples include:

  • Uso della potenza di Machine Learning: il Centro sicurezza di Azure ha accesso a una grande quantità di dati sulle attività di rete nel cloud, che può usare per rilevare le minacce alle distribuzioni di Azure.Harnessing the Power of Machine Learning - Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments. Ad esempio:For example:

  • Rilevamento di attacchi di forza bruta: Machine Learning viene usato per creare un modello cronologico dei tentativi di accesso remoto, che consente di rilevare gli attacchi di forza bruta contro porte SQL, RDP e SSH.Brute Force Detections - Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against SSH, RDP, and SQL ports.

  • Rilevamento di attacchi DDoS in uscita e Botnet: un obiettivo comune agli attacchi alle risorse cloud è sfruttare la potenza di calcolo di queste risorse per eseguire altri attacchi.Outbound DDoS and Botnet Detection - A common objective of attacks targeting cloud resources is to use the compute power of these resources to execute other attacks.

  • Nuovi server e macchine virtuali per l'analisi del comportamento: se una macchina virtuale o un server è compromesso, gli utenti malintenzionati usano un'ampia gamma di tecniche per eseguire codice dannoso in tale sistema evitando il rilevamento, garantendo la persistenza e contrastando i controlli di sicurezza.New Behavioral Analytics Servers and VMs - Once a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Rilevamento delle minacce per il database SQL Azure: il rilevamento delle minacce per il database di SQL Azure identifica le attività di database anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere ai database o sfruttarli.Azure SQL Database Threat Detection - Threat Detection for Azure SQL Database, which identifies anomalous database activities indicating unusual and potentially harmful attempts to access or exploit databases.

Analisi del comportamentoBehavioral analytics

L'analisi del comportamento è una tecnica che analizza e confronta i dati con una raccolta di modelli noti.Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. Tuttavia, questi modelli non sono semplici firme.However, these patterns are not simple signatures. Sono determinati usando algoritmi di Machine Learning complessi applicati a set di dati di grandi dimensioni.They are determined through complex machine learning algorithms that are applied to massive datasets.

Analisi del comportamento

Sono anche definiti tramite l'attento esame di comportamenti dannosi da parte di analisti esperti.They are also determined through careful analysis of malicious behaviors by expert analysts. Il Centro sicurezza di Azure può usare le analisi del comportamento per identificare le risorse compromesse in base all'analisi dei log delle macchine virtuali, dei dispositivi di rete virtuale, dell'infrastruttura, nonché dei dump di arresto anomalo del sistema e di altre origini.Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

Esiste inoltre una correlazione con altri segnali per verificare la presenza di elementi a riprova di una campagna su larga scala.In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign. La correlazione consente di identificare gli eventi che risultano coerenti con gli indicatori di violazione stabiliti.This correlation helps to identify events that are consistent with established indicators of compromise.

Di seguito sono riportati alcuni esempi:Some examples include:

  • Esecuzione di processi sospetti: gli utenti malintenzionati usano diverse tecniche per eseguire software dannoso senza che venga rilevato.Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. Ad esempio, un utente malintenzionato potrebbe assegnare al malware gli stessi nomi di file di sistema legittimi, inserendo però questi file in percorsi alternativi, usare un nome molto simile a un file innocuo o mascherare la vera estensione del file.For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is very like a benign file, or mask the file’s true extension. I modelli del Centro sicurezza elaborano i comportamenti e monitorano l'esecuzione dei processi per rilevare outlier come questi.Security Center models processes behaviors and monitors process executions to detect outliers such as these.

  • Malware nascosto e tentativi di exploit: il malware sofisticato può eludere i prodotti antimalware tradizionali, non scrivendo mai su disco o crittografando i componenti software archiviati su disco.Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. Tuttavia, il malware può essere rilevato tramite l'analisi della memoria, perché per funzionare il malware deve lasciare tracce in memoria.However, such malware can be detected using memory analysis, as the malware must leave traces in memory to function. Quando il software si arresta in modo anomalo, un dump di arresto anomalo acquisisce una porzione della memoria al momento dell'arresto.When software crashes, a crash dump captures a portion of memory at the time of the crash. Analizzando la memoria nel dump di arresto anomalo, il Centro sicurezza di Azure può rilevare le tecniche usate per sfruttare le vulnerabilità del software, accedere ai dati riservati e rimanere permanentemente all'interno di un computer infetto in modo furtivo senza influire sulle relative prestazioni.By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without impacting the performance of your machine.

  • Spostamento laterale e ricognizione interna: per rimanere permanentemente all'interno di una rete compromessa e individuare/raccogliere dati importanti, gli utenti malintenzionati provano spesso a muoversi lateralmente dal computer compromesso spostandosi in altri computer all'interno della stessa rete.Lateral movement and internal reconnaissance: To persist in a compromised network and locate/harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Il Centro sicurezza consente di monitorare le attività di elaborazione e accesso per individuare i tentativi di espansione del punto di appoggio di un utente malintenzionato all'interno della rete, ad esempio il probing della rete per individuare l'esecuzione di comandi remoti e l'enumerazione di account.Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • Script PowerShell dannosi: PowerShell può essere usato da utenti malintenzionati per eseguire codice dannoso in macchine virtuali di destinazione per molteplici scopi.Malicious PowerShell Scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for a various purposes. Il Centro sicurezza ispeziona l'attività di PowerShell alla ricerca di prove di attività sospette.Security Center inspects PowerShell activity for evidence of suspicious activity.

  • Attacchi in uscita: gli utenti malintenzionati attaccano spesso le risorse cloud con l'obiettivo di usarle per organizzare altri attacchi.Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. Le macchine virtuali compromesse, ad esempio, possono essere usate per sferrare attacchi di forza bruta contro altre macchine virtuali, inviare posta indesiderata o analizzare le porte aperte e altri dispositivi su Internet.Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send SPAM, or scan open ports and other devices on the Internet. Applicando le tecniche di apprendimento automatico al traffico di rete, il Centro sicurezza può rilevare quando le comunicazioni di rete in uscita superano la norma.By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. Nel caso di posta indesiderata, il Centro sicurezza correla anche il traffico di posta elettronica insolito con le informazioni di Office 365 per determinare se la posta elettronica è probabilmente dannosa o il risultato di una campagna di posta elettronica legittima.When SPAM, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

Anomaly DetectionAnomaly Detection

Il Centro sicurezza di Azure usa inoltre il rilevamento anomalie per identificare le minacce.Azure Security Center also uses anomaly detection to identify threats. A differenza dell'analisi del comportamento, che dipende da modelli noti derivati da set di dati di grandi dimensioni, il rilevamento anomalie è più "personalizzato" e incentrato sulle baseline specifiche delle distribuzioni.In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. Le tecniche di apprendimento automatico vengono applicate per determinare la normale attività per le distribuzioni dei clienti e quindi vengono generate regole per definire le condizioni degli outlier che possono rappresentare un evento di sicurezza.Machine learning is applied to determine normal activity for your deployments and then rules are generated to define outlier conditions that could represent a security event. Ecco un esempio:Here’s an example:

  • Attacchi di forza bruta RDP/SSH in ingresso: nelle distribuzioni dei clienti possono essere presenti macchine virtuali occupate da molti accessi ogni giorno e altre con pochi o nessun accesso.Inbound RDP/SSH brute force attacks: Your deployments may have busy virtual machines with many logins each day and other virtual machines that have few or any logins. Il Centro sicurezza di Azure può determinare l'attività di accesso di base per queste macchine virtuali e usare le tecniche di apprendimento automatico per definire gli eventi attorno alle normali attività di accesso.Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. In caso di discrepanza con la baseline definita per le caratteristiche relative all'accesso, potrebbe essere generato un avviso.If there is any discrepancy with the baseline defined for login related characteristics, then an alert may be generated. Anche in questo caso, le tecniche di apprendimento automatico determinano gli eventi significativi.Again, machine learning determines what is significant.

Monitoraggio continuo dell'intelligence per le minacceContinuous Threat Intelligence Monitoring

Il Centro sicurezza di Azure opera insieme a team dedicati alle ricerche sulla sicurezza e all'analisi scientifica dei dati a livello mondiale che monitorano costantemente le modifiche che avvengono nel panorama delle minacce.Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. Sono incluse le iniziative seguenti:This includes the following initiatives:

  • Monitoraggio dell'intelligence per le minacce: questo tipo di intelligence include meccanismi, indicatori, implicazioni e consigli utili sulle minacce esistenti o emergenti.Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. Queste informazioni sono condivise nella community sulla sicurezza e Microsoft monitora costantemente i feed di intelligence per le minacce da origini interne ed esterne.This information is shared in the security community and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • Condivisione dei segnali: le informazioni dettagliate dai team della sicurezza nell'ampio portfolio di servizi, server e dispositivi endpoint client locali e cloud di Microsoft vengono condivise e analizzate.Signal sharing: Insights from security teams across Microsoft’s broad portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Specialisti della sicurezza Microsoft: in contatto costante con i team Microsoft che operano in ambiti di sicurezza specializzati, ad esempio analisi scientifiche e rilevamento di attacchi Web.Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, like forensics and web attack detection.

  • Ottimizzazione del rilevamento: gli algoritmi vengono eseguiti su set di dati reali del cliente e ricercatori dedicati alla sicurezza collaborano con i clienti per convalidare i risultati.Detection tuning: Algorithms are run against real customer data sets and security researchers work with customers to validate the results. Per perfezionare gli algoritmi di Machine Learning vengono usati veri e falsi positivi.True and false positives are used to refine machine learning algorithms.

Questi sforzi combinati convergono in rilevamenti nuovi e migliorati, da cui è possibile trarre vantaggio immediatamente, senza che sia richiesta alcuna azione.These combined efforts culminate in new and improved detections, which you can benefit from instantly – there’s no action for you to take.

Funzionalità di rilevamento delle minacce avanzato: altri servizi di AzureAdvanced Threat Detection Features - Other Azure Services

Macchina virtuale: Microsoft AntimalwareVirtual Machine: Microsoft Antimalware

Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente.Microsoft Antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Antimalware Azure è un'opzione di sicurezza per macchine virtuali di Azure e viene installato automaticamente in tutte le macchine virtuali PaaS di Azure.Azure antimalware is a security option for Azure Virtual Machines and is automatically installed on all Azure PaaS virtual machines.

Funzionalità di Azure per distribuire e abilitare Microsoft Antimalware per le applicazioniFeatures of Azure to deploy and enable Microsoft Antimalware for your applications

Funzionalità principali di Microsoft AntimalwareMicrosoft Antimalware Core Features

  • Protezione in tempo reale: monitora l'attività in Servizi cloud e Macchine virtuali per rilevare e bloccare l'esecuzione di malware.Real-time protection - monitors activity in Cloud Services and on Virtual Machines to detect and block malware execution.

  • Analisi pianificata: esegue periodicamente un'analisi mirata per rilevare il malware, inclusi i programmi in esecuzione attiva.Scheduled scanning - periodically performs targeted scanning to detect malware, including actively running programs.

  • Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.Malware remediation - automatically takes action on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.Signature updates - automatically installs the latest protection signatures (virus definitions) to ensure protection is up-to-date on a pre-determined frequency.

  • Aggiornamenti del motore antimalware: aggiorna automaticamente il motore di Microsoft Antimalware.Antimalware Engine updates - automatically updates the Microsoft Antimalware engine.

  • Aggiornamenti della piattaforma antimalware: aggiorna automaticamente la piattaforma di Microsoft Antimalware.Antimalware Platform updates – automatically updates the Microsoft Antimalware platform.

  • Protezione attiva: segnala a Microsoft Azure i metadati di telemetria sulle minacce rilevate e sulle risorse sospette per garantire una risposta rapida al mutevole panorama delle minacce, oltre ad abilitare la distribuzione di firme sincrone in tempo reale tramite Microsoft Active Protection System (MAPS).Active protection - reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, and enabling real-time synchronous signature delivery through the Microsoft Active Protection System (MAPS).

  • Creazione di report di esempio: raccoglie e segnala al servizio Microsoft Antimalware esempi che consentono di perfezionare il servizio e risolvere i problemi.Samples reporting - provides and reports samples to the Microsoft Antimalware service to help refine the service and enable troubleshooting.

  • Esclusioni: consente agli amministratori dell'applicazione e del servizio di configurare alcuni file, processi e unità per escluderli dalla protezione e dall'analisi per motivi di prestazioni e/o di altro tipo.Exclusions – allows application and service administrators to configure certain files, processes, and drives to exclude them from protection and scanning for performance and/or other reasons.

  • Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account di archiviazione di Azure del cliente.Antimalware event collection - records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure Storage account.

Rilevamento delle minacce per il database SQL di AzureAzure SQL Database Threat Detection

Il rilevamento delle minacce per il database SQL di Azure è una nuova funzionalità di intelligence sulla sicurezza incorporata nel database SQL di Azure.Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Il rilevamento delle minacce per il database SQL di Azure è sempre in funzione per apprendere, profilare e rilevare attività di database anomale e identificare potenziali minacce per il database.Working around the clock to learn, profile and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

I responsabili della sicurezza o altri amministratori designati possono ricevere una notifica immediata sulle attività di database sospette non appena si verificano.Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. Ogni notifica contiene dettagli sulle attività sospette e consigli su come eseguire ulteriori indagini e mitigare la minaccia.Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

Attualmente, il rilevamento delle minacce per il database SQL di Azure rileva vulnerabilità potenziali, attacchi SQL injection e modelli anomali di accesso ai database.Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

Quando ricevono la notifica tramite posta elettronica della minaccia rilevata, gli utenti possono trovare e visualizzare i record di controllo pertinenti tramite il collegamento diretto nel messaggio di posta elettronica, che consente di aprire un visualizzatore di controllo e/o un modello di controllo di Excel preconfigurato che mostra i record di controllo relativi all'orario dell'evento sospetto in base a quanto segue:Upon receiving threat detection email notification, users are able to navigate and view the relevant audit records using the deep link in the mail that opens an audit viewer and/or preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event according to the following:

  • Archiviazione di controllo per il database/server con le attività di database anomale.Audit storage for the database/server with the anomalous database activities

  • Tabella di archiviazione di controllo pertinente usata al momento dell'evento per la scrittura del log di controllo.Relevant audit storage table that was used at the time of the event to write audit log

  • Record di controllo dell'ora successiva all'evento.Audit records of the following hour since the event occurs.

  • Record di controllo con ID evento simile al momento dell'evento (facoltativo per alcuni rilevatori).Audit records with similar event ID at the time of the event (optional for some detectors)

I rilevatori di minacce per il database SQL fanno uso di una delle metodologie di rilevamento riportate di seguito:SQL Database Threat Detectors use one of the following detection methodologies:

  • Rilevamento deterministico: rileva modelli sospetti (in base a regole) nelle query del client SQL corrispondenti ad attacchi noti.Deterministic Detection – detects suspicious patterns (rules based) in the SQL client queries that match known attacks. Questa metodologia offre prestazioni elevate di rilevamento e falsi positivi ridotti, tuttavia ha una copertura limitata perché rientra nella categoria dei "rilevamenti atomici".This methodology has high detection and low false positive, however limited coverage because it falls within the category of “atomic detections”.

  • Rilevamento del comportamento: rileva le attività anomale, vale a dire comportamenti anomali per il database non rilevati negli ultimi 30 giorni.Behavioural Detection – defects anomalous activity, which is abnormal behavior for the database that was not seen during the last 30 days. Un esempio di attività anomala per il client SQL può essere un picco di accessi non riusciti/query, l'estrazione di un volume elevato di dati, query canoniche insolite e l'uso di indirizzi IP sconosciuti per accedere al database.An example for SQL client anomalous activity can be a spike of failed logins/queries, high volume of data being extracted, unusual canonical queries, and unfamiliar IP addresses used to access the database

Web application firewall del gateway applicazioneApplication Gateway Web Application Firewall

Web application firewall è una funzionalità del gateway applicazione di Azure che consente di proteggere le applicazioni Web che usano il gateway applicazione per funzioni standard di controller per la distribuzione di applicazioni.Web Application Firewall is a feature of Azure Application Gateway that provides protection to web applications that use application gateway for standard Application Delivery Control functions. Web application firewall protegge infatti le applicazioni dalla maggior parte delle 10 vulnerabilità Web OWASP più diffuse.Web application firewall does this by protecting them against most of the OWASP top 10 common web vulnerabilities

Web application firewall del gateway applicazione

  • Protezione dagli attacchi SQL injectionSQL injection protection

  • Protezione dagli attacchi di scripting intersitoCross site scripting protection

  • Protezione dai comuni attacchi Web, ad esempio attacchi di iniezione di comandi, richieste HTTP non valide, attacchi HTTP Response Splitting e Remote File InclusionCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • Protezione dalle violazioni del protocollo HTTPProtection against HTTP protocol violations

  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept headerProtection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • Prevenzione contro robot, crawler e scannerPrevention against bots, crawlers, and scanners

  • Rilevamento di errori di configurazione dell'applicazione comuni (ad esempio, Apache, IIS e così via)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

La configurazione del WAF nel gateway applicazione offre i vantaggi seguenti:Configuring WAF at Application Gateway provides the following benefit to you:

  • Protezione dell'applicazione Web dalle vulnerabilità e dagli attacchi del Web, senza alcuna modifica al codice di back-end.Protect your web application from web vulnerabilities and attacks without modification to backend code.

  • Protezione contemporanea di più applicazioni Web con un gateway applicazione.Protect multiple web applications at the same time behind an application gateway. Il gateway applicazione può ospitare e proteggere dagli attacchi Web fino a 20 siti Web su un singolo gateway.Application gateway supports hosting up to 20 websites behind a single gateway that could all be protected against web attacks.

  • Monitoraggio dell'applicazione Web contro gli attacchi tramite report in tempo reale generati dai log del WAF del gateway applicazione.Monitor your web application against attacks using real-time report generated by application gateway WAF logs.

  • Alcuni controlli di conformità richiedono che tutti gli endpoint comunicanti con Internet siano protetti da una soluzione WAF.Certain compliance controls require all internet facing end points to be protected by a WAF solution. Grazie al gateway applicazione con WAF abilitato è possibile soddisfare questi requisiti di conformità.By using application gateway with WAF enabled, you can meet these compliance requirements.

API di rilevamento delle anomalie integrata in Azure Machine LearningAnomaly Detection – an API built with Azure Machine Learning

L'API di rilevamento delle anomalie è integrata in Azure Machine Learning e permette di rilevare i diversi tipi di modelli anomali nei dati delle serie temporali.Anomaly Detection is an API built with Azure Machine Learning that is useful for detecting different types of anomalous patterns in your time series data. L'API assegna un punteggio di anomalia a ogni punto dati della serie temporale, che può essere usato per la creazione di avvisi, il monitoraggio tramite dashboard o la connessione con i sistemi di generazione dei ticket.The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards or connecting with your ticketing systems.

L'API di rilevamento delle anomalie può rilevare i seguenti tipi di anomalie nei dati delle serie temporali:The Anomaly Detection API can detect the following types of anomalies on time series data:

  • Picchi e flessioni: ad esempio, quando si monitora il numero di errori di accesso a un servizio o il numero di transazioni completate in un sito di e-commerce, i picchi o le flessioni possono indicare attacchi alla sicurezza o interruzioni del servizio.Spikes and Dips: For example, when monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • Tendenze positive e negative: durante il monitoraggio dell'utilizzo della memoria per l'elaborazione, ad esempio, una riduzione delle dimensioni della memoria disponibile può indicare una possibile perdita di memoria. Durante il monitoraggio della lunghezza della coda del servizio, una tendenza persistente verso l'alto può indicare un problema software sottostante.Positive and negative trends: When monitoring memory usage in computing, for instance, shrinking free memory size is indicative of a potential memory leak; when monitoring service queue length, a persistent upward trend may indicate an underlying software issue.

  • Cambi di livello e le modifiche all'intervallo dinamico dei valori: i cambi di livello nelle latenze di un servizio dopo un aggiornamento o livelli ridotti di eccezioni dopo un aggiornamento possono essere interessanti da monitorare.Level changes and changes in dynamic range of values: For example, level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

L'API basata sull'apprendimento automatico offre:The machine learning based API enables:

  • Rilevamento flessibile e affidabile: i modelli di rilevamento delle anomalie consentono agli utenti di configurare le impostazioni di sensibilità e rilevare anomalie tra set di dati stagionali e non stagionali.Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. Gli utenti possono modificare il modello di rilevamento delle anomalie per rendere l'API più o meno sensibile in base alle esigenze.Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. Ciò significa poter rilevare le anomalie più o meno visibili nei dati con e senza modelli stagionali.This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • Rilevamento ridimensionabile e tempestivo: il monitoraggio tradizionale con soglie impostate in base alle competenze degli esperti è costosi e non offre scalabilità per milioni di set di dati che cambiano continuamente.Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. I modelli di rilevamento delle anomalie in questa API vengono acquisiti e i modelli vengono ottimizzati automaticamente in base a dati in tempo reale e cronologici.The anomaly detection models in this API are learned and models are tuned automatically from both historical and real-time data.

  • Rilevamento proattivo ed eseguibile: è possibile applicare il rilevamento di tendenze lente e cambi di livello per rilevare in anticipo le anomalie.Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. Il rilevamento dei primi segni di anomalia permette di indirizzare gli utenti verso l'analisi e la risoluzione delle aree problematiche.The early abnormal signals detected can be used to direct humans to investigate and act on the problem areas. Inoltre, è possibile sviluppare modelli di analisi della causa radice e gli strumenti di avviso sull'API di rilevamento delle anomalie.In addition, root cause analysis models and alerting tools can be developed on top of this anomaly detection API service.

L'API rappresenta una soluzione efficace ed efficiente per un'ampia gamma di scenari, come il monitoraggio dell'integrità del servizio e dei KPI, l'IoT, il monitoraggio delle prestazioni e del traffico di rete.The anomaly detection API is an effective and efficient solution for a wide range of scenarios like service health & KPI monitoring, IoT, performance monitoring, and network traffic monitoring. Di seguito sono riportati alcuni scenari comuni in cui questa API può risultare utile:Here are some popular scenarios where this API can be useful:

  • Reparti IT che hanno bisogno di strumenti per tenere traccia di eventi, codici di errore, log di utilizzo e prestazioni (CPU, memoria e così via) in modo tempestivo.IT departments need tools to track events, error code, usage log, and performance (CPU, Memory and so on) in a timely manner.

  • Siti di e-commerce che vogliono tenere traccia delle attività dei clienti, delle visualizzazioni di pagine dei clic e così via.Online commerce sites want to track customer activities, page views, clicks, and so on.

  • Aziende di pubblici servizi che vogliono tenere traccia dei consumi di acqua, gas, elettricità e altre risorse.Utility companies want to track consumption of water, gas, electricity, and other resources.

  • Servizi di gestione di strutture/edifici che vogliono monitorare temperatura, umidità, traffico e così via.Facility/Building management services want to monitor temperature, moisture, traffic, and so on.

  • Produttori/IoT che vogliono usare i dati dei sensori nelle serie temporali per monitorare il flusso di lavoro, la qualità e così via.IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • Provider di servizi, ad esempio call center, che vogliono monitorare le tendenze della domanda di servizi, il volume di eventi imprevisti, la lunghezza delle code di attesa e così via.Service providers, such as call centers need to monitor service demand trend, incident volume, wait queue length and so on.

  • Gruppi di analisi business che vogliono monitorare in tempo reale i movimenti anomali dei KPI aziendali, ad esempio il volume delle vendite, il sentiment dei clienti o i prezzi.Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security è un componente fondamentale dello stack di sicurezza di Microsoft Cloud.Cloud App Security is a critical component of the Microsoft Cloud Security stack. Si tratta di una soluzione completa che consente all'organizzazione di sfruttare appieno il potenziale delle applicazioni cloud, mantenendo il controllo grazie a una maggiore visibilità nelle attività.It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications, but keep you in control, through improved visibility into activity. Consente inoltre di migliorare la protezione dei dati critici nelle applicazioni cloud.It also helps increase the protection of critical data across cloud applications.

Grazie a strumenti che permettono di scoprire shadow IT, valutare i rischi, applicare i criteri, analizzare le attività e arrestare le minacce, l'organizzazione può passare al cloud in piena sicurezza mantenendo il controllo dei dati critici.With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

ScoprireDiscover Scoprire shadow IT con Cloud App Security.Uncover shadow IT with Cloud App Security. Ottenere visibilità tramite l'identificazione di app, attività, utenti, dati e file nell'ambiente cloud.Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. Trovare app di terze parti connesse al cloud.Discover third-party apps that are connected to your cloud.
Analisi dei problemiInvestigate Analizzare i problemi delle app cloud tramite strumenti forensi di approfondimento in app rischiose, utenti specifici e file nella rete.Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. Trovare i modelli nei dati raccolti dal cloud.Find patterns in the data collected from your cloud. Generare report per monitorare il cloud.Generate reports to monitor your cloud.
ControlloControl Mitigare il rischio tramite l'impostazione di criteri e avvisi per ottenere il massimo controllo sul traffico di rete nel cloud.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Usare Cloud App Security per eseguire la migrazione degli utenti verso app cloud alternative sicure e approvate.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
ProteggereProtect Usare Cloud App Security per approvare o vietare applicazioni, applicare misure di prevenzione contro la perdita di dati, controllare autorizzazioni e condivisioni e generare avvisi e report personalizzati.Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
ControlloControl Mitigare il rischio tramite l'impostazione di criteri e avvisi per ottenere il massimo controllo sul traffico di rete nel cloud.Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Usare Cloud App Security per eseguire la migrazione degli utenti verso app cloud alternative sicure e approvate.Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Cloud App Security

Cloud App Security integra la visibilità con il cloud tramite:Cloud App Security integrates visibility with your cloud by

  • Uso di Cloud Discovery per eseguire il mapping e identificare l'ambiente cloud e le app cloud usate dall'organizzazione.Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • Approvazione e divieto di app nel cloud.Sanctioning and prohibiting apps in your cloud.

  • Uso di connettori app facili da distribuire che si avvalgono di API del provider per ottenere visibilità e governance delle app a cui ci si connette.Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • Controllo continuo grazie all'impostazione e all'ottimizzazione costante di criteri.Helping you have continuous control by setting, and then continually fine-tuning, policies.

Durante la raccolta di dati da queste origini, Cloud App Security esegue analisi complesse sui dati.On collecting data from these sources, Cloud App Security runs sophisticated analysis on the data. Segnala immediatamente le attività anomale e offre una visibilità dettagliata nell'ambiente cloud.It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. È possibile configurare criteri in Cloud App Security e usarli per proteggere tutti i dati nell'ambiente cloud.You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Funzionalità ATD di terze parti tramite Azure MarketplaceThird-party ATD capabilities through Azure Marketplace

Web application firewallWeb Application Firewall

Web application firewall controlla il traffico Web in ingresso e blocca SQL injection, attacchi tramite script da altri siti, caricamenti di malware, DDoS di applicazioni e altri attacchi destinati alle applicazioni Web.Web Application Firewall inspects inbound web traffic and blocks SQL injections, Cross-Site Scripting, malware uploads & application DDoS and other attacks targeted at your web applications. Esamina anche le risposte provenienti dai server Web back-end per la prevenzione della perdita dei dati.It also inspects the responses from the back-end web servers for Data Loss Prevention (DLP). Il motore di controllo di accesso integrato consente agli amministratori di creare criteri di controllo di accesso granulari per l'autenticazione, l'autorizzazione e la contabilità e garantisce alle organizzazioni un'autenticazione e un controllo utente affidabili.The integrated access control engine enables administrators to create granular access control policies for Authentication, Authorization & Accounting (AAA), which gives organizations strong authentication and user control.

In evidenza:Highlights:

  • Rileva e blocca SQL injection, attacchi tramite script da altri siti, caricamenti di malware, DDoS di applicazioni e altri attacchi destinati alle applicazioni.Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • Offre autenticazione e controllo di accesso.Authentication and access control.

  • Analizza il traffico in uscita per rilevare i dati sensibili e può mascherare o bloccare la divulgazione di informazioni.Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Accelera la distribuzione dei contenuti delle applicazioni Web con funzionalità quali la memorizzazione nella cache, la compressione e altre funzioni di ottimizzazione del traffico.Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Di seguito sono riportati alcuni esempi di Web application firewall disponibili in Azure Marketplace:Following are example of Web Application firewalls available in Azure Market Place:

Barracuda Web Application Firewall, Brocade Virtual Web Application Firewall (Brocade vWAF), Imperva SecureSphere e The ThreatSTOP IP Firewall.Barracuda Web Application Firewall, Brocade Virtual Web Application Firewall (Brocade vWAF), Imperva SecureSphere & The ThreatSTOP IP Firewall.

Passaggi successiviNext Steps

Le funzionalità di rilevamento avanzate del Centro sicurezza di Azure consentono di identificare le minacce attive rivolte alle risorse di Microsoft Azure e forniscono le informazioni dettagliate necessarie per rispondere rapidamente a tali minacce.Azure Security Center’s advanced detection capabilities helps to identify active threats targeting your Microsoft Azure resources and provides you with the insights needed to respond quickly.

Il rilevamento delle minacce per il database SQL di Azure consente di risolvere i problemi relativi a potenziali minacce per i database.Azure SQL Database Threat Detection helped address their concerns about potential threats to their database.