Creare una baseline di Microsoft Defender for Cloud

  • 8 minuti

Microsoft Defender for Cloud offre la gestione unificata della sicurezza e la protezione avanzata dalle minacce per i carichi di lavoro in esecuzione in Azure, in locale e in altri cloud. Le raccomandazioni seguenti per Microsoft Defender for Cloud consentono di impostare vari criteri di sicurezza per una sottoscrizione di Azure. Questi criteri definiscono il set di controlli consigliati per le risorse con una sottoscrizione di Azure.

Raccomandazioni per la sicurezza di Microsoft Defender per il cloud

Le sezioni seguenti descrivono le raccomandazioni di Microsoft Defender per il cloud presenti in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. In ogni raccomandazione sono inclusi i passaggi di base da seguire nel portale di Azure. È necessario completare questi passaggi per la propria sottoscrizione e usando le proprie risorse per convalidare ogni raccomandazione per la sicurezza. Tenere presente che le opzioni del livello 2 possono limitare alcune funzionalità o attività, quindi valutare con attenzione le opzioni di sicurezza che si decide di applicare.

Abilitare le funzionalità di sicurezza avanzata - Livello 2

Microsoft Defender for Cloud è disponibile in due modalità, senza funzionalità di sicurezza avanzate (gratuito) e con funzionalità di sicurezza avanzate. L'abilitazione della sicurezza avanzata estende le funzionalità della modalità gratuita ai carichi di lavoro in esecuzione nei cloud privati e in altri cloud pubblici. La sicurezza avanzata fornisce la gestione unificata della sicurezza e la protezione dalle minacce per i carichi di lavoro cloud ibrido. Questa modalità aggiunge anche funzionalità avanzate di rilevamento delle minacce, ad esempio:

  • L'analisi del comportamento e Machine Learning predefiniti per identificare gli attacchi e gli exploit di tipo zero-day.
  • Controlli di accesso e delle applicazioni per ridurre l'esposizione agli attacchi di rete e al malware.

Microsoft Defender per il cloud con tutte le funzionalità di sicurezza avanzata offre il rilevamento delle minacce fornito con Microsoft Security Response Center e supporta le risorse distribuite in:

  • Macchine virtuali di Azure
  • set di scalabilità di macchine virtuali
  • Servizio app di Azure
  • Azure SQL Server
  • Archiviazione di Azure

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Defender per il cloud.

  2. Nel menu, in Generale selezionare Attività iniziali.

  3. Selezionare la scheda Aggiorna e quindi selezionare la sottoscrizione da aggiornare. Il riquadro Risorse mostra le risorse che verranno protette e il costo di fatturazione per ogni risorsa.

  4. Selezionare il pulsante Aggiorna.

    Screenshot that shows the getting started with Microsoft Defender for Cloud pane.

Visualizzare i criteri di sicurezza predefiniti di Microsoft Defender per il cloud

Per visualizzare i criteri di sicurezza di Microsoft Defender per il cloud per la sottoscrizione di Azure:

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Defender per il cloud.

  2. Nel menu a sinistra, in Gestione selezionare Impostazioni ambiente.

  3. Selezionare la sottoscrizione per aprire il riquadro Impostazioni criteri.

Screenshot that shows the environment settings for Defender for Cloud.

I criteri abilitati definiscono le raccomandazioni di Microsoft Defender per il cloud, come illustrato nell'esempio seguente:

Screenshot that shows the built-in security policies for Defender for Cloud.

Abilitare il provisioning automatico dell'agente di Log Analytics - Livello 1

Quando si abilita il provisioning automatico, Defender per il cloud installa l'agente di Azure Log Analytics in tutte le macchine virtuali di Azure supportate e in quelle nuove create. È consigliabile abilitare il provisioning automatico.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Defender per il cloud.

  2. Nel menu, in Generale selezionare Attività iniziali.

  3. Selezionare la scheda Installa agenti e quindi selezionare la sottoscrizione in cui installare gli agenti.

  4. Selezionare il pulsante Installa agenti.

    Screenshot that shows the getting started pane and the Install agents tab.

Abilitare gli aggiornamenti di sistema - Livello 1

Microsoft Defender per il cloud monitora su base giornaliera le macchine virtuali e i computer Windows e Linux alla ricerca di eventuali aggiornamenti mancanti del sistema operativo. Defender for Cloud recupera un elenco degli aggiornamenti della sicurezza e critici da Windows Update o da Windows Server Update Services (WSUS). Gli aggiornamenti presenti nell'elenco dipendono dal servizio configurato in un computer Windows. Defender per il cloud cerca anche gli aggiornamenti più recenti nei sistemi Linux. Se nella macchina virtuale o nel computer risulta mancante un aggiornamento del sistema, Defender per il cloud ne consiglia l'applicazione.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Defender per il cloud.

  2. Nel menu a sinistra, in Gestione selezionare Impostazioni ambiente.

  3. Selezionare la sottoscrizione.

  4. Nel menu a sinistra selezionare Criteri di sicurezza.

  5. In Iniziativa predefinita selezionare una sottoscrizione o un gruppo di gestione.

  6. Selezionare la scheda Parametri .

  7. Verificare che la casella Mostra solo i parametri che richiedono input o revisione non sia selezionata.

    Screenshot that shows the Parameters tab and the checkbox for Only show parameters that need input or review is cleared.

  8. Assicurarsi che Gli aggiornamenti di sistema devono essere installati nelle macchine virtuali sia uno dei criteri elencati.

    Nell'esempio seguente l'agente di Microsoft Defender per il cloud non è stato distribuito in una macchina virtuale o in un computer fisico, quindi viene visualizzato il messaggio AuditIfNotExists. AuditIfNotExists abilita il controllo sulle risorse che corrispondono alla condizione if. Se la risorsa non è distribuita, viene visualizzato il messaggio NotExists.

    Screenshot that shows the 'System updates should be installed on your machines' parameter.

    Se il criterio Gli aggiornamenti di sistema devono essere installati nei computer è abilitato, viene visualizzato Controllo. Se distribuita, ma disabilitata, viene visualizzato Disabled.

  9. Se si modificano impostazioni, selezionare la scheda Rivedi e salva e quindi selezionare Salva.

Abilitare le configurazioni della sicurezza - Livello 1

Microsoft Defender per il cloud monitora le configurazioni di sicurezza applicando un set di più di 150 regole consigliate per la protezione avanzata del sistema operativo. Queste regole riguardano firewall, controllo, criteri password e altro ancora. Se in un computer viene trovata una configurazione vulnerabile, Defender for Cloud genera una raccomandazione sulla sicurezza.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Defender per il cloud.

  2. Nel menu a sinistra, in Gestione selezionare Impostazioni ambiente.

  3. Selezionare la sottoscrizione.

  4. Nel menu a sinistra selezionare Criteri di sicurezza.

  5. In Iniziativa predefinita selezionare una sottoscrizione o un gruppo di gestione.

  6. Selezionare la scheda Parametri .

  7. Assicurarsi che uno dei criteri sia Le vulnerabilità nella configurazione della sicurezza dei set di scalabilità di macchine virtuali devono essere corrette.

  8. Se si modificano impostazioni, selezionare la scheda Rivedi e salva e quindi selezionare Salva.

Nota

Tutte le categorie di criteri seguenti che hanno un (*) nel titolo si trovano nella scheda Parametri. In alcuni casi, in ogni categoria sono disponibili diverse opzioni.

Abilitare Endpoint Protection (*) - Livello 1

Endpoint Protection è consigliato per tutte le macchine virtuali.

Abilitare la crittografia dei dischi (*) - Livello 1

Microsoft Defender for Cloud consiglia di usare Crittografia dischi di Azure se sono presenti dischi di macchine virtuali Linux o Windows. La crittografia del disco consente di crittografare i dischi delle macchine virtuali IaaS (Infrastructure as a Service) di Windows e Linux. La crittografia è consigliabile sia per il sistema operativo che per i volumi di dati nella macchina virtuale.

Abilitare i gruppi di sicurezza di rete (*) - Livello 1

Microsoft Defender for Cloud consiglia di abilitare un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole dell'elenco di controllo di accesso (ACL) che consentono o negano il traffico di rete per le istanze di macchine virtuali in una rete virtuale. I gruppi di sicurezza di rete possono essere associati a subnet o singole istanze di macchine virtuali nella subnet. Quando un gruppo di sicurezza di rete viene associato a una subnet, le regole ACL si applicano a tutte le istanze di macchine virtuali nella subnet. Il traffico verso una singola macchina virtuale può anche essere ulteriormente limitato associando un gruppo di sicurezza di rete direttamente a tale macchina virtuale.

Abilitare un web application firewall (*) - Livello 1

È possibile che Microsoft Defender for Cloud consigli di aggiungere un WAF (Web application firewall) di un partner Microsoft per proteggere le applicazioni Web.

Abilitare la valutazione della vulnerabilità (*) - Livello 1

La valutazione della vulnerabilità in Microsoft Defender for Cloud fa parte delle raccomandazioni per le macchine virtuali di Defender for Cloud. Se Defender for Cloud non trova una soluzione di valutazione della vulnerabilità installata nella macchina virtuale, consiglia di installarne una. Dopo essere stato distribuito, un agente del partner inizia a inviare i dati di vulnerabilità alla piattaforma di gestione del partner, A sua volta, la piattaforma di gestione del partner trasmetterà i dati di monitoraggio della vulnerabilità e dell'integrità a Defender for Cloud.

Abilitare la crittografia di archiviazione (*) - Livello 1

Quando la crittografia dell'archiviazione è abilitata, tutti i nuovi dati in Archiviazione BLOB di Azure e File di Azure vengono crittografati.

Abilitare l'accesso alla rete JIT (*) - Livello 1

L'accesso alla rete Just-in-Time (JIT) può essere usato per bloccare il traffico in ingresso nelle macchine virtuali di Azure. L'accesso alla rete JIT riduce l'esposizione agli attacchi consentendo allo stesso tempo di accedere facilmente per connettersi alle macchine virtuali all'occorrenza.

Abilitare il controllo applicazioni adattivo (*) - Livello 1

Il controllo delle applicazioni adattivo è una soluzione di elenco delle applicazioni approvate end-to-end, intelligente e automatizzata di Microsoft Defender for Cloud. Consente di controllare quali applicazioni possono essere eseguite nelle macchine virtuali di Azure e non di Azure (Windows e Linux) e, tra gli altri vantaggi, garantisce la protezione avanzata delle macchine virtuali contro i malware. Defender per il cloud usa il Machine Learning per analizzare le applicazioni in esecuzione nelle macchine virtuali. Consente di applicare regole di approvazione specifiche usando l'intelligence di controllo delle applicazioni adattivo. Questa funzionalità semplifica notevolmente il processo di configurazione e gestione dei criteri relativi alle applicazioni approvate.

Abilitare il servizio di controllo e rilevamento delle minacce per SQL (*) - Livello 1

Microsoft Defender per il cloud consiglia di attivare il controllo e il rilevamento delle minacce per tutti i database nei server che eseguono Azure SQL. Il controllo e il rilevamento delle minacce possono essere utili per mantenere la conformità alle normative, comprendere le attività del database e ottenere informazioni dettagliate su eventuali discrepanze e anomalie che potrebbero indicare problemi aziendali o sospette violazioni della sicurezza.

Abilitare la crittografia SQL (*) - Livello 1

Microsoft Defender per il cloud consiglia di abilitare Transparent Data Encryption (TDE) nei database SQL in esecuzione in Azure. TDE protegge i dati e consente di soddisfare i requisiti di conformità tramite la crittografia del database, backup associati e file di log delle transazioni inattive, L'abilitazione di TDE non richiede modifiche alle applicazioni.

Impostare l'indirizzo di posta elettronica e il numero di telefono del contatto di sicurezza - Livello 1

Microsoft Defender for Cloud consiglia di fornire i dettagli dei contatti di sicurezza per la sottoscrizione di Azure. Queste informazioni verranno usate da Microsoft per contattare l'utente se Microsoft Security Response Center rileva che un'entità non autorizzata ha effettuato l'accesso ai dati del cliente. Microsoft Security Response Center esegue il monitoraggio selettivo della sicurezza della rete e dell'infrastruttura di Azure e riceve informazioni di intelligence sulle minacce e segnalazioni di violazioni da terze parti.

  1. Accedere al portale di Azure. Cercare e selezionare Gestione dei costi e fatturazione. A seconda delle sottoscrizioni, verrà visualizzato il riquadro Panoramica o il riquadro Ambiti di fatturazione.

    • Se viene visualizzato il riquadro Panoramica, procedere con il passaggio successivo.
    • Se viene visualizzato il riquadro Ambiti di fatturazione, selezionare la sottoscrizione per passare al riquadro Panoramica.

  2. Nel riquadro Panoramica, nel menu a sinistra in Impostazioni, selezionare Proprietà.

  3. Verificare le informazioni di contatto visualizzate. Se è necessario aggiornare le informazioni di contatto, selezionare il collegamento Aggiorna il valore di Venduto a e immettere le nuove informazioni.

  4. Se si modificano impostazioni, selezionare Salva.

Screenshot that shows the Properties pane with contact information and the Update sold to link selected.

Abilitare l'invio di messaggi di posta elettronica sugli avvisi - Livello 1

Microsoft Defender for Cloud consiglia di fornire i dettagli dei contatti di sicurezza per la sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Defender per il cloud.

  2. Nel menu a sinistra, in Gestione selezionare Impostazioni ambiente.

  3. Selezionare la sottoscrizione.

  4. Nel menu a sinistra, in Impostazioni, selezionare Notifiche tramite posta elettronica.

  5. Nell'elenco a discesa Tutti gli utenti con i ruoli seguenti selezionare il ruolo o immettere l'indirizzo di posta elettronica in Indirizzi di posta elettronica aggiuntivi (delimitati da virgole).

  6. Selezionare la casella di controllo Invio di notifiche relative ad avvisi con la gravità seguente, selezionare la gravità dell'avviso e quindi selezionare Salva.

Screenshot that shows the email notifications settings pane for Microsoft Defender for Cloud.

Abilitare l'invio di un messaggio di posta elettronica anche ai proprietari della sottoscrizione - Livello 1

Microsoft Defender for Cloud consiglia di fornire i dettagli dei contatti di sicurezza per la sottoscrizione di Azure.

  1. Nel riquadro Notifiche tramite posta elettronica descritto nella sezione precedente è possibile aggiungere altri indirizzi di posta elettronica delimitati da virgole.

  2. Se si modificano impostazioni, nella barra dei menu selezionare Salva.