Share via

Visibilità, automazione e orchestrazione con Zero Trust

  • Articolo

Uno dei cambiamenti significativi nelle prospettive che è un segno distintivo di un framework di sicurezza Zero Trust è allontanarsi dalla relazione di trust per impostazione predefinita verso l'attendibilità per eccezione. Tuttavia, è necessario un modo affidabile per stabilire l'attendibilità una volta necessaria l'attendibilità. Poiché non si presuppone più che le richieste siano attendibili, è fondamentale definire un modo per attestare l'attendibilità della richiesta in un determinato momento. Questa attestazione richiede la possibilità di ottenere visibilità sulle attività su e intorno alla richiesta.

Nelle altre guide Zero Trust abbiamo definito l'approccio all'implementazione di un approccio Zero Trust end-to-end tra identità, endpoint e dispositivi, dati, app, infrastruttura e rete. Tutti questi investimenti aumentano la visibilità ed è così possibile disporre di dati migliori per prendere decisioni di attendibilità. Tuttavia, adottando un approccio Zero Trust in queste sei aree, è necessario ridurre il numero di analisti soC (Security Operation Center) degli eventi imprevisti. I tuoi analisti diventano più trafficato che mai, in un momento in cui c'è già una carenza di talenti. Questo può portare alla stanchezza cronica degli avvisi e agli analisti mancano avvisi critici.

Diagramma delle funzionalità integrate per gestire le minacce.

Con ognuna di queste singole aree che generano avvisi pertinenti, è necessaria una funzionalità integrata per gestire l'afflusso di dati risultante per difendersi meglio dalle minacce e convalidare l'attendibilità in una transazione.

Si vuole avere la possibilità di:

  • Rilevare minacce e vulnerabilità.
  • Indagare.
  • Rispondere.
  • Caccia.
  • Fornire contesto aggiuntivo tramite l'analisi delle minacce.
  • Valutare le vulnerabilità.
  • Ottenere assistenza da esperti di alto livello
  • Impedire o bloccare eventi che si verificano tra i pilastri.

La gestione delle minacce include il rilevamento reattivo e proattivo e richiede strumenti che supportano entrambi.

Il rilevamento reattivo è quando gli eventi imprevisti vengono attivati da uno dei sei pilastri che possono essere esaminati. Inoltre, un prodotto di gestione, come una soluzione SIEM, supporta probabilmente un altro livello di analisi che consente di arricchire e correlare i dati, per poter contrassegnare un evento imprevisto come negativo. Il passaggio successivo consiste quindi nell'eseguire un'analisi per ottenere informazioni complete sull'attacco.

Il rilevamento proattivo è quando si applica la ricerca ai dati per dimostrare un'ipotesi compromessa. La ricerca di minacce inizia con il presupposto che sia stata violata. Si cerca di verificare che sia effettivamente presente una violazione.

La ricerca delle minacce inizia con un'ipotesi basata sulle minacce correnti, ad esempio gli attacchi di phishing COVID-19. Gli analisti iniziano con questa ipotetica minaccia, identificano gli indicatori chiave di compromissione e cercano i dati per verificare se l'ambiente è stato compromesso. Se esistono indicatori, gli scenari di ricerca potrebbero comportare analisi che avvisano le organizzazioni se si verificano di nuovo determinati indicatori.

In entrambi i casi, una volta rilevato un evento imprevisto, è necessario esaminarlo per creare la storia completa dell'attacco. Cos'altro ha fatto l'utente? Quali altri sistemi sono stati coinvolti? Quali file eseguibili sono stati eseguiti?

Se un'indagine produce apprendimento interattivi, è possibile eseguire i passaggi di correzione. Ad esempio, se un'indagine rileva lacune in una distribuzione senza attendibilità, i criteri possono essere modificati per risolvere questi gap e prevenire futuri eventi imprevisti indesiderati. Quando possibile, è consigliabile automatizzare i passaggi di correzione, perché riduce il tempo necessario per un analista SOC per affrontare la minaccia e passare all'evento imprevisto successivo.

Un altro componente chiave nella valutazione delle minacce consiste nell'incorporare l'intelligence sulle minacce note contro i dati inseriti. Se un IP, un hash, un URL, un file, un file eseguibile e così via sono noti come non corretti, possono essere identificati, esaminati e corretti.

Nel pilastro dell'infrastruttura, il tempo è stato dedicato alla risoluzione delle vulnerabilità. Se un sistema è noto per essere vulnerabile e una minaccia ha sfruttato tale vulnerabilità, si tratta di un elemento che potrebbe essere rilevato, analizzato e risolto.

Per usare queste tattiche per gestire le minacce, è necessario disporre di una console centrale per consentire agli amministratori SOC di rilevare, analizzare, correggere, cercare, usare l'intelligence sulle minacce, comprendere le vulnerabilità note, affidarsi agli esperti delle minacce e bloccare le minacce in uno dei sei pilastri. Gli strumenti necessari per supportare queste fasi funzionano meglio se convergenti in un singolo flusso di lavoro, offrendo un'esperienza fluida che aumenta l'efficacia dell'analista SOC.

I centri operativi per la sicurezza distribuiscono spesso una combinazione di tecnologie SIEM e SOAR per raccogliere, rilevare, analizzare e rispondere alle minacce. Microsoft propone Microsoft Sentinel come offerta SIEM come servizio. Microsoft Sentinel inserisce tutti i dati di Microsoft Defender per identità e di terze parti.

Microsoft Threat Protection (MTP), un feed cruciale in Microsoft Sentinel, offre una suite di difesa aziendale unificata che include funzionalità di protezione, rilevamento e risposta con riconoscimento del contesto per tutti i componenti Microsoft 365. Essendo consapevoli e coordinati dal contesto, i clienti che usano Microsoft 365 possono ottenere visibilità e protezione tra endpoint, strumenti di collaborazione, identità e applicazioni.

È attraverso questa gerarchia che consentiamo ai nostri clienti di ottenere il massimo dal loro impegno. Anche se la consapevolezza del contesto e la correzione automatizzata, MTP può rilevare e arrestare molte minacce senza aggiungere ulteriore affaticamento agli avvisi al personale SOC già sovraccaricato. Con la ricerca avanzata all'interno di MTP, le informazioni di contesto sono disponibili per la ricerca ed è così possibile concentrarsi su molti punti di attacco chiave. E la ricerca e l'orchestrazione sull'intero ecosistema tramite Microsoft Sentinel offrono la possibilità di ottenere la visibilità appropriata su tutti gli aspetti di un ambiente eterogeneo, riducendo al minimo il sovraccarico cognitivo dell'operatore.

Obiettivi della distribuzione di Zero Trust per visibilità, automazione e orchestrazione

Quando si implementa un framework Zero Trust end-to-end per visibilità, automazione e orchestrazione, è consigliabile concentrarsi prima di tutto su questi obiettivi di distribuzione iniziali:

Icona elenco con un segno di spunta.

Stabilire visibilità.

II.Abilitare l'automazione.

Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:

Icona elenco con due segni di spunta.

III.Abilitare controlli di protezione e rilevamento aggiuntivi.

Guida alla distribuzione di Visibilità, automazione e orchestrazione Zero Trust

Questa guida illustra i passaggi necessari per gestire visibilità, automazione e orchestrazione seguendo i principi di un framework di sicurezza Zero Trust.




Icona elenco di controllo con un segno di spunta.

Obiettivi iniziali della distribuzione

I. Stabilire la visibilità

Il primo passaggio prevede di stabilire la visibilità abilitando Microsoft Threat Protection (MTP).

Seguire questa procedura:

  1. Iscriversi per uno dei carichi di lavoro di Microsoft Threat Protection.
  2. Abilitare i carichi di lavoro e stabilire la connettività.
  3. Configurare il rilevamento nei dispositivi e nell'infrastruttura per offrire visibilità immediata per le attività in corso nell'ambiente. Si ottiene così il segnale di via libera importantissimo per avviare il flusso di dati critici.
  4. Abilitare Microsoft Threat Protection per ottenere visibilità tra carichi di lavoro e rilevamento degli eventi imprevisti.

II. Abilitare l'automazione

Il passaggio chiave successivo, una volta stabilita la visibilità, consiste nell'abilitare l'automazione.

Indagini e correzione automatizzate

Con Microsoft Threat Protection abbiamo automatizzato sia le indagini che le correzioni, ottenendo fondamentalmente un'analisi SOC di livello 1 aggiuntiva.

Le indagini e le correzioni automatizzate possono essere abilitate gradualmente, in modo da poter sviluppare un certo livello di dimestichezza con le azioni eseguite.

Seguire questa procedura:

  1. Abilitare le indagini e le correzioni automatizzate per un gruppo di test.
  2. Analizzare i passaggi di indagine e le azioni di risposta.
  3. Passare gradualmente all'approvazione automatica per tutti i dispositivi per ridurre il tempo di rilevamento e risposta.

Per ottenere visibilità sugli eventi imprevisti che derivano dalla distribuzione di un modello Zero Trust, è importante connettere MTP, altri connettori dati Microsoft e i prodotti di terze parti pertinenti a Microsoft Sentinel, in modo da ottenere una piattaforma centralizzata per l'indagine e la risposta agli eventi imprevisti.

Nell'ambito del processo di connessione dati, è possibile abilitare analisi pertinenti per attivare eventi imprevisti e creare cartelle di lavoro per una rappresentazione grafica dei dati nel tempo.

Anche se le funzionalità di Machine Learning e di analisi fusion sono disponibili per impostazione predefinita, è anche utile inserire i dati di intelligence sulle minacce in Microsoft Sentinel per identificare gli eventi correlati alle entità dannose note.




Icona elenco di controllo con due segni di spunta.

Obiettivi di distribuzione aggiuntivi

III. Abilitare controlli di protezione e rilevamento aggiuntivi

L'abilitazione di controlli aggiuntivi migliora il segnale in arrivo in MTP e Sentinel per migliorare la visibilità e la capacità di orchestrare le risposte.

I controlli di riduzione della superficie di attacco rappresentano un'opportunità di questo tipo. Questi controlli protettivi non solo bloccano alcune attività associate perlopiù al malware, ma supportano anche il rilevamento di tentativi di uso di approcci specifici, che possono aiutare a rilevare avversari che sfruttano queste tecniche in precedenza nel processo.

Prodotti trattati in questa guida

Microsoft Azure

Microsoft Defender per identità

Microsoft Sentinel

Microsoft 365

Protezione da minacce di Microsoft



Serie di guide alla distribuzione Zero Trust

Icona per l'introduzione

Icona per l'identità

Icona per gli endpoint

Icona per le applicazioni

Icona per i dati

Icona per l'infrastruttura

Icona per le reti

Icona per visibilità, automazione, orchestrazione