Modifica

Condividi tramite

Creazione del secondo livello di difesa con i servizi di sicurezza XDR di Microsoft Defender

Microsoft Defender per Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender per identità
Microsoft 365
Microsoft Endpoint Manager

Idee per soluzioni

In questo articolo viene descritta un'idea di soluzione. Il cloud architect può usare queste linee guida per visualizzare i componenti principali di un'implementazione tipica di questa architettura. Usare questo articolo come punto di partenza per il design di una soluzione ben progettata che sia in linea con i requisiti specifici del carico di lavoro.

Molte organizzazioni operano in un ambiente ibrido, con risorse ospitate sia in Azure che in locale. La maggior parte delle risorse di Azure, ad esempio macchine virtuali (VM), applicazioni Azure e Microsoft Entra ID, può essere protetta usando i servizi di sicurezza predefiniti di Azure.

Inoltre, le organizzazioni sottoscrivono spesso Microsoft 365 per fornire agli utenti applicazioni come Word, Excel, PowerPoint ed Exchange Online. Microsoft 365 offre anche servizi di sicurezza che possono essere usati per aggiungere un ulteriore livello di protezione ad alcune delle risorse di Azure più usate.

Per usare in modo efficace i servizi di sicurezza di Microsoft 365, è importante comprendere la terminologia chiave e la struttura dei servizi Di Microsoft 365. Questo quarto articolo di una serie di cinque esplora questi argomenti in modo più dettagliato, basandosi sui concetti trattati negli articoli precedenti, in particolare:

Microsoft 365 e Office 365 sono servizi basati sul cloud progettati per soddisfare le esigenze dell'organizzazione in termini di sicurezza, affidabilità e maggiore produttività degli utenti. Microsoft 365 include servizi come Power Automate, Forms, Stream, Sway e Office 365. Office 365 include in particolare la famiglia di applicazioni di produttività familiare. Per maggiori informazioni sulle opzioni di abbonamento per questi due servizi, consultare la sezione Opzioni di piano di Microsoft 365 e Office 365.

A seconda della licenza acquisita per Microsoft 365, è anche possibile ottenere i servizi di sicurezza per Microsoft 365. Questi servizi di sicurezza sono denominati Microsoft Defender XDR, che fornisce più servizi:

  • Microsoft Defender per endpoint (MDE)
  • Microsoft Defender per identità
  • Microsoft Defender per Office (MDO)
  • Microsoft Defender per app cloud (MDA)
  • "Microsoft Defender per app cloud" a cui si accede tramite "security.microsoft.com" è diverso da "Microsoft Defender per il cloud" che è un'altra soluzione di sicurezza a cui si accede tramite "portal.azure.com".

Il diagramma seguente illustra la relazione tra soluzioni e servizi principali offerti da Microsoft 365, anche se non tutti i servizi sono elencati.

Diagramma dei servizi e dei prodotti che fanno parte di Microsoft 365.

Potenziale caso d'uso

Le persone spesso si confondono sui servizi di sicurezza di Microsoft 365 e sul loro ruolo nella cybersecurity IT. Una causa principale di questa confusione deriva dalla somiglianza nei nomi, tra cui alcuni servizi di sicurezza di Azure come Microsoft Defender per il cloud (in precedenza Centro sicurezza di Azure) e app Defender per il cloud (in precedenza Microsoft Cloud App Security).

Tuttavia, la confusione va oltre la terminologia. Alcuni servizi offrono protezioni simili, ma per risorse diverse. Ad esempio, Defender per identità e Azure Identity Protection proteggono entrambi i servizi di identità, ma Defender per identità protegge le identità locali (tramite i servizi di Dominio di Active Directory e l'autenticazione Kerberos), mentre Azure Identity Protection protegge le identità cloud (tramite Microsoft Entra ID e autenticazione OAuth).

Questi esempi evidenziano l'importanza di comprendere in che modo i servizi di sicurezza di Microsoft 365 differiscono dai servizi di sicurezza di Azure. Acquisendo questa conoscenza, è possibile pianificare in modo più efficace la strategia di sicurezza nel cloud Microsoft mantenendo al tempo stesso un comportamento di sicurezza avanzato per l'ambiente IT. Questo articolo si propone di aiutarti a raggiungere questo obiettivo.

Il diagramma seguente presenta un caso d'uso reale per i servizi di sicurezza XDR di Microsoft Defender. Mostra le risorse che necessitano di protezione, i servizi in esecuzione nell'ambiente e alcune potenziali minacce. I servizi XDR di Microsoft Defender sono posizionati al centro, difendendo le risorse dell'organizzazione da tali minacce.

Diagramma che mostra le minacce, l'ordine di attacco, le risorse mirate e i servizi di Microsoft Defender XDR che possono fornire protezione.

Architettura

La soluzione XDR (Extended Detection and Response) di Microsoft, nota come Microsoft Defender XDR, integra più strumenti e servizi di sicurezza per fornire protezione unificata, rilevamento e risposta tra endpoint, identità, posta elettronica, applicazioni e ambienti cloud. Combina analisi avanzate basate sulle minacce, automazione e intelligenza artificiale per rilevare e rispondere a minacce informatiche sofisticate in tempo reale, consentendo ai team di sicurezza di ridurre rapidamente i rischi e ridurre l'impatto degli attacchi. Consolidando i dati di sicurezza da varie origini, Microsoft Defender XDR consente alle organizzazioni di ottenere una difesa completa e semplificata nell'intera infrastruttura IT.

Il diagramma seguente mostra un livello, etichettato come DEFENDER, che rappresenta i servizi di sicurezza XDR di Microsoft Defender. L'aggiunta di questi servizi all'ambiente IT consente di creare una difesa migliore per l'ambiente in uso. I servizi nel livello Defender possono funzionare con i servizi di sicurezza di Azure.

Diagramma di servizi, minacce e servizi di sicurezza che è possibile configurare per fornire protezione alle risorse nell'ambiente I T.

Scaricare un file di Visio di questa architettura.

©2021 The MITRE Corporation. Quest'opera viene riprodotta e distribuita con l'autorizzazione di The MITRE Corporation.

Workflow

  1. Microsoft Defender per endpoint

    Defender per Endpoint consente di mettere in sicurezza gli endpoint nell'azienda ed è progettato per prevenire, rilevare, analizzare e rispondere a minacce avanzate per la rete. Crea un livello di protezione per le macchine virtuali in esecuzione in Azure e in locale. Per maggiori informazioni sulla protezione, consultare la sezione Microsoft Defender per endpoint.

  2. Microsoft Defender for Cloud Apps

    Precedentemente noto come Microsoft Cloud Application Security, Defender per app cloud è un broker di sicurezza per l'accesso al cloud (CASB) che supporta più modalità di distribuzione. Queste modalità includono la raccolta di log, i connettori API e il proxy inverso. Offre una visibilità completa, un controllo sui trasferimenti di dati e analisi sofisticate per identificare e combattere gli attacchi alla sicurezza informatica in tutti i servizi cloud Microsoft e di terze parti. Fornisce protezione e mitigazione dei rischi per le app cloud e anche per alcune app in esecuzione in locale. Fornisce anche un livello di protezione per gli utenti che accedono a tali app. Per maggiori informazioni, consultare la sezione Panoramica di Microsoft Defender per app cloud.

    È importante non confondere le app Defender per il cloud con Microsoft Defender per il cloud, che fornisce raccomandazioni e un punteggio del comportamento di sicurezza di server, app, account di archiviazione e altre risorse in esecuzione in Azure, in locale e in altri cloud. Defender per il cloud consolida due servizi precedenti, Centro sicurezza di Azure e Azure Defender.

  3. Microsoft Defender per Office

    Defender per Office 365 protegge l'organizzazione dalle minacce dannose rappresentate da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione. Fornisce protezione per la posta elettronica e la collaborazione. A seconda della licenza, è possibile aggiungere l'indagine, la ricerca e la risposta post-violazione, nonché l'automazione e la simulazione (per la formazione). Per maggiori informazioni sulle opzioni di licenza, consultare la sezione Microsoft Defender per Office 365 panoramica della sicurezza.

  4. Microsoft Defender per identità

    Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali di Active Directory locali per identificare, rilevare e analizzare le minacce avanzate, le identità compromesse e le attività svolte da utenti interni malintenzionati ai danni dell'organizzazione. Protegge Active Directory Domain Services (AD DS) eseguiti in locale. Anche se questo servizio viene eseguito nel cloud, funziona per proteggere le identità in locale. Defender for Identity è stato precedentemente denominato Azure Advanced Threat Protection. Per maggiori informazioni, consultare la sezione Che cos'è Microsoft Defender per identità?

    Se è necessaria la protezione per le identità fornite da Microsoft Entra ID e che vengono eseguite in modo nativo nel cloud, prendere in considerazione Microsoft Entra ID Protection.

  5. Intune (in precedenza parte di Microsoft Endpoint Manager)

Microsoft Intune è un servizio basato sul cloud che consente alle organizzazioni di gestire e proteggere i dispositivi, le app e i dati. Consente agli amministratori IT di controllare il modo in cui vengono usati i dispositivi aziendali, ad esempio portatili, smartphone e tablet, garantendo la conformità ai criteri di sicurezza. Con Intune è possibile applicare configurazioni dei dispositivi, distribuire software, gestire applicazioni per dispositivi mobili e proteggere i dati aziendali usando funzionalità come l'accesso condizionale e la cancellazione remota. È particolarmente utile per abilitare il lavoro remoto sicuro, gestire i dispositivi BYOD (Corporate-Owned And Personal) e garantire la sicurezza dei dati in piattaforme diverse, ad esempio Windows, iOS, Android e macOS.

Un altro servizio che faceva parte di Endpoint Manager è Configuration Manager, una soluzione di gestione locale che consente di gestire computer client e server presenti nella rete, connessi direttamente o tramite Internet. È possibile abilitare la funzionalità cloud per integrare Configuration Manager con Intune, Microsoft Entra ID, Defender per endpoint e altri servizi cloud. Usarlo per distribuire app, aggiornamenti software e sistemi operativi. È anche possibile monitorare la conformità, eseguire query per oggetti, agire sui client in tempo reale e molto altro ancora. Per informazioni su tutti i servizi disponibili, consultare la sezione Panoramica di Microsoft Endpoint Manager.

Ordine di attacco di minacce di esempio

Le minacce denominate nel diagramma seguono un ordine di attacco comune:

  1. Un utente malintenzionato invia un messaggio di posta elettronica di phishing con malware collegato.

  2. Un utente finale apre il malware collegato.

  3. Il malware viene installato nel back-end senza che l'utente noti.

  4. Il malware installato ruba le credenziali di alcuni utenti.

  5. L'utente malintenzionato usa le credenziali per ottenere l'accesso agli account sensibili.

  6. Se le credenziali forniscono l'accesso a un account con privilegi elevati, l'utente malintenzionato compromette altri sistemi.

Il diagramma mostra anche nel livello etichettato come DEFENDER che i servizi XDR di Microsoft Defender possono monitorare e attenuare tali attacchi. Questo è un esempio di come Defender offre un ulteriore livello di sicurezza che funziona con i servizi di sicurezza di Azure per offrire una protezione aggiuntiva delle risorse visualizzate nel diagramma. Per maggiori informazioni su come potenziali attacchi minacciano l'ambiente IT, consultare il secondo articolo di questa serie Mapping delle minacce all'ambiente IT. Per maggiori informazioni su Microsoft Defender XDR, consultare la sezione Microsoft Defender XDR.

Accedere e gestire i servizi di sicurezza di Microsoft Defender XDR

Il diagramma seguente mostra quali portali sono attualmente disponibili e le relative relazioni tra loro. Nel momento dell'aggiornamento per questo articolo, alcuni di questi portali potrebbero essere già deprecati.

Diagramma che mostra la relazione corrente tra portali e servizi.

Security.microsoft.com è attualmente il portale più importante disponibile perché porta funzionalità da Microsoft Defender per Office 365 (1), da Defender per Endpoint (2), da Defender per Office (3), Defender per Identità (5), Defender per App (4) e anche per Microsoft Sentinel.

È importante ricordare che Microsoft Sentinel include alcune funzionalità ancora in esecuzione solo nel portale di Azure (portal.azure.com).

Infine, endpoint.microsoft.com fornisce funzionalità principalmente per Intune e Configuration Manager, ma anche per altri servizi che fanno parte di Endpoint Manager. Poiché security.microsoft.com e endpoint.microsoft.com offrono la protezione della sicurezza per gli endpoint, hanno molte interazioni tra di esse (9) per offrire un ottimo comportamento di sicurezza per gli endpoint.

Componenti

L'architettura di esempio illustrata in questo articolo usa i componenti di Azure seguenti:

  • Microsoft Entra ID è un servizio per la gestione delle identità e degli accessi basato sul cloud. Microsoft Entra ID consente agli utenti di accedere a risorse esterne, ad esempio Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS. Consente inoltre di accedere alle risorse interne, ad esempio le app nella rete intranet aziendale.

  • Rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. Rete virtuale consente a numerosi tipi di risorse di Azure di comunicare in modo sicuro tra loro, su Internet e nelle reti locali. Rete virtuale offre una rete virtuale che trae vantaggio dall'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.

  • Azure Load Balancer è un servizio di bilanciamento del carico in ingresso e in uscita di livello 4 che offre prestazioni elevate e bassa latenza per tutti i protocolli UDP e TCP. È progettato per gestire milioni di richieste al secondo assicurando al tempo stesso la disponibilità elevata della soluzione. Azure Load Balancer offre ridondanza della zona, garantendo disponibilità elevata tra zone di disponibilità.

  • Macchine virtuali è uno dei diversi tipi di risorse di calcolo scalabili e su richiesta offerte da Azure. Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza che sia necessario acquistare e gestire l'hardware fisico in cui viene eseguita.

  • Il servizio Azure Kubernetes è un servizio completamente gestito per la distribuzione e la gestione di applicazioni in contenitori. Il servizio Azure Kubernetes fornisce Kubernetes serverless, CI/CD (continuous integration/continuous delivery, integrazione continua/distribuzione continua) nonché sicurezza e governance di livello aziendale.

  • Desktop virtuale Azure è un servizio di virtualizzazione di desktop e app che viene eseguito nel cloud per fornire desktop per gli utenti remoti.

  • Il servizio App Web è un servizio basato su HTTP per l'hosting di applicazioni Web, API REST e back-end mobili. È possibile sviluppare nel proprio linguaggio preferito nonché eseguire e scalare con facilità le applicazioni in ambienti basati su Windows e Linux.

  • Archiviazione di Azure è un'archiviazione altamente disponibile, altamente scalabile, duratura e sicura per vari oggetti dati nel cloud, tra cui archiviazione di oggetti, BLOB, file, dischi, code e tabelle. Tutti i dati scritti in un account di Archiviazione di Azure vengono crittografati dal servizio. Archiviazione di Azure offre un controllo dettagliato su chi può accedere ai dati.

  • Database SQL di Azure è un motore di database PaaS completamente gestito che gestisce la maggior parte delle funzioni di gestione del database quali aggiornamento, applicazione di patch, backup e e monitoraggio. Fornisce queste funzioni senza coinvolgimento dell'utente. Il database SQL offre una gamma di funzionalità predefinite di sicurezza e conformità che consentono di mantenere la conformità dell'applicazione ai requisiti di sicurezza e conformità.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autore principale:

Altri contributori:

Passaggi successivi

Per altri dettagli su questa architettura di riferimento, vedere gli altri articoli di questa serie: