Novità di Gestione dell'esposizione in Microsoft Security
Gestione dell'esposizione in Microsoft Security (MSEM) è in fase di sviluppo attivo e riceve miglioramenti su base continuativa. Per rimanere aggiornati sugli sviluppi più recenti, questa pagina fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate.
Questa pagina viene aggiornata di frequente con gli aggiornamenti più recenti in Gestione dell'esposizione in Microsoft Security.
Per altre informazioni su MSEM, vedere i blog qui.
Consiglio
Ricevere una notifica quando questa pagina viene aggiornata copiando e incollando l'URL seguente nel lettore di feed:
https://aka.ms/msem/rss
Febbraio 2025
Le regole di classificazione predefinite seguenti sono state aggiunte all'elenco degli asset critici:
| Classificazione | Descrizione |
|---|---|
| Azure Key Vault con un numero elevato di operazioni | Questa regola identifica e classifica Gli insiemi di credenziali delle chiavi di Azure che riscontrano un volume elevato di operazioni, indicandone la criticità all'interno dell'ambiente cloud. |
| Operazioni di sicurezza Amministrazione dispositivo | Questa regola si applica ai dispositivi critici usati per configurare, gestire e monitorare la sicurezza all'interno di un'organizzazione sono fondamentali per l'amministrazione delle operazioni di sicurezza e sono ad alto rischio di minacce informatiche. Richiedono misure di sicurezza di primo livello per impedire l'accesso non autorizzato. |
Per altre informazioni, vedere Classificazioni predefinite
Gennaio 2025
Miglioramenti delle metriche
Le metriche sono state migliorate per mostrare il miglioramento dei livelli di esposizione con un indicatore di stato, procedendo da sinistra a destra e da 0% (che indica un'esposizione elevata) al 100% (che indica nessuna esposizione).
Inoltre, il peso delle metriche viene ora visualizzato come alto, medio o basso, in base all'importanza della metrica per l'iniziativa. Il peso può anche essere definito come rischio accettato.
Per altre informazioni, vedere Uso delle metriche
Dicembre 2024
Nuove classificazioni predefinite
Le regole di classificazione predefinite seguenti sono state aggiunte all'elenco degli asset critici:
| Classificazione | Descrizione |
|---|---|
| Cluster servizio Azure Kubernetes bloccato | Questa regola si applica ai cluster servizio Azure Kubernetes protetti da un blocco. |
| Cluster servizio Azure Kubernetes di livello Premium | Questa regola si applica ai cluster di livello Premium servizio Azure Kubernetes. |
| servizio Azure Kubernetes cluster con più nodi | Questa regola si applica ai cluster servizio Azure Kubernetes con più nodi. |
| Cluster Azure Arc Kubernetes con più nodi | Questa regola si applica ai cluster Azure Arc con più nodi. |
Per altre informazioni, vedere Classificazioni predefinite
Nuova libreria di documentazione per la piattaforma di operazioni di sicurezza unificata di Microsoft
Trovare la documentazione centralizzata sulla piattaforma SecOps unificata di Microsoft nel portale di Microsoft Defender. La piattaforma SecOps unificata di Microsoft riunisce tutte le funzionalità di Microsoft Sentinel, Microsoft Defender XDR, Gestione dell'esposizione in Microsoft Security e intelligenza artificiale generativa nel portale di Defender. Informazioni sulle funzionalità disponibili con la piattaforma SecOps unificata di Microsoft, quindi iniziare a pianificare la distribuzione.
Novembre 2024
Annuncio della disponibilità generale di Gestione dell'esposizione in Microsoft Security
Siamo lieti di annunciare la disponibilità generale di Gestione dell'esposizione in Microsoft Security. Questo potente strumento consente alle organizzazioni di concentrarsi sulle esposizioni più critiche e di agire rapidamente. Integrando informazioni dettagliate sulla sicurezza nell'intero digital estate, offre una visione completa del comportamento dei rischi, consentendo decisioni più rapide e informate per ridurre l'esposizione prima che gli utenti malintenzionati possano sfruttarla.
Con questa versione disponibile a livello generale, è ora possibile creare e migliorare un programma CTEM (Continuous Threat Exposure Management), identificando, assegnando priorità e attenuando continuamente i rischi nel panorama digitale.
Miglioramenti del percorso di attacco
Percorsi di attacco ibridi: da locale a cloud
È ora supportata l'individuazione e la visualizzazione di percorsi di attacco ibridi che provengono da ambienti locali e attraversano le infrastrutture cloud. È stata introdotta una nuova colonna Tipo per i percorsi di attacco per visualizzare il supporto per i percorsi ibridi che passano tra ambienti locali e cloud o viceversa. Questa funzionalità consente ai team di sicurezza di:
- Identificare i vettori di attacco tra ambienti: Informazioni su come sfruttare le vulnerabilità negli ambienti locali per indirizzare gli asset nel cloud.
- Assegnare priorità alla correzione in modo efficace: Ottenere maggiore chiarezza sui potenziali rischi per gli asset cloud critici derivanti dall'infrastruttura ibrida.
- Migliorare le strategie di difesa ibrida: Usare queste informazioni dettagliate per rafforzare il comportamento di sicurezza sia in locale che nel cloud.
Questa funzionalità colma un gap critico nella protezione degli ambienti ibridi offrendo visibilità end-to-end nei percorsi di attacco interconnessi.
Analisi dei percorsi basata su DACL
I calcoli del percorso di attacco includono ora il supporto per i Controllo di accesso Elenchi discrezionali ,fornendo una rappresentazione più accurata dei potenziali percorsi di attacco incorporando le autorizzazioni basate su gruppo. Questo miglioramento consente ai difensori di:
- Prendere decisioni più informate quando si affrontano i rischi correlati alle strutture di autorizzazione.
- Visualizzare i rischi nell'ambiente allo stesso modo degli utenti malintenzionati
- Identificare i punti di soffocamento della frutta a bassa sospensione che espongono in modo significativo l'ambiente al rischio
Per altre informazioni, vedere Esaminare i percorsi di attacco
Connettori dati esterni
Sono stati introdotti nuovi connettori dati esterni per migliorare le funzionalità di integrazione dei dati, consentendo l'inserimento senza problemi dei dati di sicurezza da parte di altri fornitori di sicurezza. I dati raccolti tramite questi connettori vengono normalizzati all'interno del grafico di esposizione, migliorando l'inventario dei dispositivi, mappando le relazioni e rivelando nuovi percorsi di attacco per una visibilità completa della superficie di attacco. Questi connettori consentono di consolidare i dati del comportamento di sicurezza da diverse origini, fornendo una visione completa del comportamento di sicurezza.
Per altre informazioni, vedere Panoramica dei connettori dati.
Origini di individuazione disponibili nell'inventario e nella mappa della superficie di attacco
L'inventario dei dispositivi e la mappa di superficie di attacco ora visualizzano le origini dati per ogni asset individuato. Questa funzionalità offre una panoramica degli strumenti o dei prodotti che hanno segnalato ogni asset, inclusi i connettori Microsoft ed esterni come Tenable o ServiceNow CMDB. Nell'inventario usare la colonna Origini individuazione per filtrare i dispositivi in base alle origini dei report. Nella mappa della superficie di attacco attivare o disattivare la visualizzazione Origini individuazione usando l'opzione Livelli . È anche possibile eseguire query sulle origini di individuazione nella tabella Informazioni dispositivo tramite Ricerca avanzata.
Per altre informazioni sulla comprensione dei dati provenienti da origini esterne, vedere Ottenere valore dai connettori dati
Iniziativa per la sicurezza OT
La nuova iniziativa sulla sicurezza della tecnologia operativa (OT) offre ai professionisti un potente strumento per identificare, monitorare e attenuare i rischi nell'ambiente OT, garantendo sia l'affidabilità operativa che la sicurezza. Questa iniziativa mira a identificare i dispositivi nei siti fisici, valutare i rischi associati e fornire una protezione più rapida ed efficace per i sistemi OT.
Per altre informazioni, vedere Esaminare le iniziative di sicurezza
Gestione dell'esposizione in Microsoft Security è ora supportato in Microsoft Defender XDR controllo degli accessi in base al ruolo (RBAC) unificato
Il controllo di accesso a Gestione dell'esposizione in Microsoft Security può ora essere gestito usando Microsoft Defender XDR modello di autorizzazioni RBAC (Unified Role-Based Controllo di accesso) con autorizzazioni dedicate e granulari.
Questa nuova funzionalità consente agli amministratori di concedere ai responsabili della postura l'accesso ai dati di Exposure Management e alle esperienze con l'approccio di accesso con privilegi minimi anziché ai ruoli di Microsoft Azure Entra ID, che è ancora supportato e può essere usato se necessario.
Per altre informazioni sulla gestione degli accessi Gestione dell'esposizione in Microsoft Security tramite Microsoft Defender XDR modello di autorizzazioni controllo degli accessi in base al ruolo unificato, vedere Prerequisiti e supporto.
Per altre informazioni sulla creazione di nuovi ruoli personalizzati in Microsoft Defender XDR controllo degli accessi in base al ruolo unificato, vedere Creare ruoli personalizzati in Microsoft Defender XDR controllo degli accessi in base al ruolo unificato.
Notifiche per il controllo delle versioni del contenuto
La nuova funzionalità di controllo delle versioni in Gestione dell'esposizione in Microsoft Security offre notifiche proattive sugli aggiornamenti delle versioni imminenti, offrendo agli utenti visibilità avanzata sulle modifiche alle metriche previste e sul loro impatto sulle iniziative correlate. Un pannello laterale dedicato fornisce dettagli completi su ogni aggiornamento, tra cui la data di rilascio prevista, le note sulla versione, i valori delle metriche correnti e nuove e le eventuali modifiche ai punteggi di iniziativa correlati. Inoltre, gli utenti possono condividere feedback diretto sugli aggiornamenti all'interno della piattaforma, promuovendo il miglioramento continuo e la velocità di risposta alle esigenze degli utenti.
Per altre informazioni sulle informazioni dettagliate sull'esposizione, vedere Panoramica - Informazioni dettagliate sull'esposizione
Cronologia dell'esposizione per le metriche
L'utente può analizzare le modifiche delle metriche esaminando i dettagli delle modifiche relative all'esposizione degli asset. Dalla scheda Cronologia dell'iniziativa, selezionando una metrica specifica, è ora possibile visualizzare l'elenco degli asset in cui l'esposizione è stata aggiunta o rimossa, fornendo informazioni più chiare sui cambiamenti di esposizione nel tempo.
Per altre informazioni, vedere Revisione della cronologia delle iniziative
Iniziativa di sicurezza SaaS
L'iniziativa SaaS Security offre una visione chiara della copertura, dell'integrità, della configurazione e delle prestazioni della sicurezza SaaS. Grazie alle metriche che si estendono su più domini, offre ai responsabili della sicurezza una conoscenza di alto livello del comportamento di sicurezza SaaS.
Per altre informazioni, vedere Iniziativa di sicurezza SaaS
Ottobre 2024
Novità nei percorsi di attacco
Sono state introdotte quattro nuove funzionalità progettate per migliorare la gestione della sicurezza e le attività di mitigazione dei rischi. Queste funzionalità offrono preziose informazioni dettagliate sui percorsi di attacco identificati all'interno dell'ambiente, consentendo di assegnare priorità alle strategie di mitigazione dei rischi in modo efficace e ridurre l'impatto delle potenziali minacce.
Le nuove funzionalità includono:
- Widget Percorso di attacco nella pagina di panoramica della gestione dell'esposizione: offre agli utenti una visualizzazione immediata e generale dei percorsi di attacco individuati. Visualizza una sequenza temporale di percorsi appena identificati, punti di ingresso chiave, tipi di destinazione e altro ancora, garantendo che i team di sicurezza rimangano informati sulle minacce emergenti e possano rispondere rapidamente.
- Dashboard del percorso di attacco: offre una panoramica generale di tutti i percorsi di attacco identificati all'interno dell'ambiente. Questa funzionalità consente ai team di sicurezza di ottenere informazioni preziose sui tipi di percorsi identificati, i principali punti di ingresso, gli asset di destinazione e altro ancora, contribuendo a dare priorità alle attività di mitigazione dei rischi in modo efficace.
- Punti di arresto: evidenzia gli asset critici che si intersecano più percorsi di attacco, identificandoli come vulnerabilità chiave all'interno dell'ambiente. Concentrandosi su questi punti di blocco, i team di sicurezza possono ridurre in modo efficiente i rischi indirizzando gli asset ad alto impatto, impedendo così agli utenti malintenzionati di avanzare attraverso vari percorsi.
- Raggio di esplosione: consente agli utenti di esplorare visivamente i percorsi da un punto di soffocamento. Fornisce una visualizzazione dettagliata che mostra come la compromissione di un asset potrebbe influire sugli altri, consentendo ai team di sicurezza di valutare le implicazioni più ampie di un attacco e di assegnare priorità alle strategie di mitigazione in modo più efficace.
Per altre informazioni, vedere Panoramica dei percorsi di attacco.
Settembre 2024
Nuova iniziativa Enterprise IoT Security
Con questa nuova iniziativa, Enterprise IoT Security offre una soluzione potente per identificare i dispositivi IoT non gestiti e migliorare la sicurezza. Grazie al monitoraggio continuo, alle valutazioni delle vulnerabilità e alle raccomandazioni personalizzate progettate per i dispositivi IoT aziendali, si ottiene una visibilità completa sui rischi posti da questi dispositivi. Questa iniziativa non solo consente di comprendere le potenziali minacce, ma rafforza anche la resilienza dell'organizzazione nel mitigarle.
Per altre informazioni, vedere Esaminare le iniziative di sicurezza
Nuove classificazioni predefinite
La regola di classificazione predefinita seguente è stata aggiunta all'elenco degli asset critici:
| Classificazione | Descrizione |
|---|---|
| Hyper-V Server | Questa regola si applica ai dispositivi identificati come server Hyper-V all'interno di un dominio. Questi server sono essenziali per l'esecuzione e la gestione di macchine virtuali all'interno dell'infrastruttura, che fungono da piattaforma di base per la creazione e la gestione. |
Per altre informazioni, vedere Classificazioni predefinite
Visibilità migliorata per gli utenti con ambito
Questa modifica consente ora agli utenti a cui è stato concesso l'accesso solo ad alcuni dispositivi dell'organizzazione di visualizzare l'elenco degli asset interessati in metriche, raccomandazioni, eventi e cronologia delle iniziative all'interno del proprio ambito specifico.
Per altre informazioni, vedere Prerequisiti e supporto.
Gestire in modo proattivo il comportamento di sicurezza
Informazioni su come le tabelle ExposureGraphEdges e ExposureGraphNodes in Ricerca avanzata consentono alle organizzazioni di gestire e comprendere in modo proattivo il comportamento di sicurezza analizzando le relazioni tra asset e le potenziali vulnerabilità.
Blog - Gestione dell'esposizione in Microsoft Security Graph: la priorità è il re
Per altre informazioni, vedere Eseguire query sul grafico dell'esposizione aziendale
Agosto 2024
Nuove classificazioni predefinite
Le regole di classificazione delle identità predefinite seguenti sono state aggiunte all'elenco degli asset critici:
| Classificazione | Descrizione |
|---|---|
| Amministratore del provider di identità esterno | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore del provider di identità esterno". |
| Amministratore del nome di dominio | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore del nome di dominio". |
| amministratore Gestione delle autorizzazioni | Questa regola si applica alle identità assegnate con il ruolo "amministratore Gestione delle autorizzazioni" Microsoft Entra. |
| Amministratore fatturazione | Questa regola si applica alle identità assegnate con il ruolo "Amministratore fatturazione" Microsoft Entra. |
| Amministratore licenze | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore licenze". |
| Amministratore di Teams | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore di Teams". |
| Amministratore flusso utente ID esterno | Questa regola si applica alle identità assegnate con il ruolo "ID esterno amministratore del flusso utente" Microsoft Entra. |
| ID esterno amministratore degli attributi del flusso utente | Questa regola si applica alle identità assegnate con il ruolo "ID esterno amministratore degli attributi del flusso utente" Microsoft Entra. |
| Amministratore dei criteri IEF B2C | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore criteri IEF B2C". |
| Amministratore dati di conformità | Questa regola si applica alle identità assegnate con il ruolo "Amministratore dati conformità" Microsoft Entra. |
| Amministratore dei criteri di autenticazione | Questa regola si applica alle identità assegnate con il ruolo "Amministratore criteri di autenticazione" Microsoft Entra. |
| Amministratore delle conoscenze | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore conoscenze". |
| Responsabile delle informazioni | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Knowledge Manager". |
| Amministratore definizione attributi | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore definizione attributi". |
| Amministratore assegnazione attributi | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore assegnazione attributi". |
| Amministratore della governance delle identità | Questa regola si applica alle identità assegnate con il ruolo "Amministratore della governance delle identità" Microsoft Entra. |
| Amministratore Cloud App Security | Questa regola si applica alle identità assegnate con il ruolo "amministratore Cloud App Security" Microsoft Entra. |
| Amministratore Windows 365 | Questa regola si applica alle identità assegnate con il ruolo "amministratore Windows 365" Microsoft Entra. |
| Amministratore di Yammer | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore yammer". |
| Amministratore dell'estendibilità dell'autenticazione | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Authentication Extensibility Administrator". |
| Amministratore flussi di lavoro del ciclo di vita | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore flussi di lavoro del ciclo di vita". |
Per altre informazioni, vedere Classificazioni predefinite
New Initiative, evento
È stato creato un nuovo tipo di evento per notificare agli utenti quando viene aggiunta una nuova iniziativa a MSEM.
Per altre informazioni, vedere Panoramica - Informazioni dettagliate sull'esposizione
Notizie dal team di ricerca
Altre informazioni su ciò che il team di ricerca ha fatto in questo blog - Bridging the On-premises to Cloud Security Gap: Cloud Credentials Detection
Luglio 2024
Nuove classificazioni predefinite
Le regole di classificazione predefinite seguenti sono state aggiunte all'elenco degli asset critici:
| Classificazione | Descrizione |
|---|---|
| Exchange | Questa regola si applica ai dispositivi identificati come server Exchange operativi all'interno di un dominio. Questi server possono contenere dati sensibili dell'organizzazione. |
| VMware ESXi | Questa regola si applica ai dispositivi identificati come server ESXi operativi. Questi dispositivi possono contenere altri dispositivi sensibili o critici. |
| VMware vCenter | Questa regola si applica ai dispositivi identificati come VMware vCenter operativi e usati di frequente dagli amministratori per gestire l'infrastruttura virtuale. |
| Identità con ruolo di Azure con privilegi | Questa regola si applica alle identità assegnate con un ruolo di Azure con privilegi, su un ambito potenzialmente critico per l'azienda. |
| Amministratore di Exchange | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore di Exchange". |
| Amministratore di SharePoint | Questa regola si applica alle identità assegnate con il ruolo "Amministratore sharePoint" Microsoft Entra. |
| Amministratore conformità | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore conformità". |
| Amministratore gruppi | Questa regola si applica alle identità assegnate con il ruolo Microsoft Entra "Amministratore gruppi". |
| Macchina virtuale di Azure riservata | Questa regola si applica ai Macchine virtuali riservati di Azure. |
| Macchina virtuale di Azure bloccata | Questa regola si applica alle macchine virtuali di Azure protette da un blocco. |
| Macchina virtuale di Azure con disponibilità e prestazioni elevate | Questa regola si applica ad Azure Macchine virtuali che usano l'archiviazione premium di Azure e sono configurate con un set di disponibilità. |
| Archiviazione di Azure non modificabile | Questa regola si applica agli account di archiviazione di Azure per cui è abilitato il supporto per l'immutabilità. |
| Archiviazione di Azure non modificabile e bloccata | Questa regola si applica agli account di archiviazione di Azure per cui è abilitato il supporto per l'immutabilità con un criterio bloccato. |
| La macchina virtuale di Azure ha un utente di accesso critico | Questa regola si applica ad Azure Macchine virtuali con un utente critico connesso protetto da Defender per endpoint con utenti con criticità elevata o molto elevata che hanno eseguito l'accesso. |
| Insiemi di credenziali delle chiavi di Azure con molte identità connesse | Questa regola si applica ad Azure Key Vaults con accesso elevato rispetto ad altri, a indicare un utilizzo critico del carico di lavoro. |
Per altre informazioni, vedere Classificazioni predefinite
Maggio 2024
Integrazione con Analisi delle minacce
Nuova integrazione con Threat Analytics per migliorare il set di iniziative di sicurezza del dominio con iniziative di sicurezza basate sulle minacce. Queste iniziative si concentrano su tecniche di attacco specifiche e attori attivi delle minacce, come illustrato e analizzato da esperti ricercatori di sicurezza Microsoft.
Blog - Rispondere alle minacce di tendenza e adottare zero trust con Exposure Management
Per altre informazioni, vedere Esaminare le iniziative di sicurezza
Nuove tabelle di gestione dell'esposizione
MSEM ha rilasciato due nuove tabelle avanzate all'interno di Ricerca avanzata: ExposureGraphNodes e ExposureGraphEdges.
Blog - Gestione dell'esposizione in Microsoft Security Graph: svelare il potere
Per altre informazioni, vedere Eseguire query sul grafico dell'esposizione aziendale
Aprile 2024
Protezione degli asset critici
Gestione dell'esposizione in Microsoft Security introduce un approccio contestuale basato sui rischi, che consente alle organizzazioni di identificare e assegnare priorità agli asset critici in modo efficace. Valutando le potenziali esposizioni in tempo reale, i team di sicurezza acquisiscono chiarezza e si concentrano sulla protezione degli asset digitali.
Blog - Protezione degli asset critici con Gestione dell'esposizione in Microsoft Security
Per altre informazioni, vedere Panoramica della gestione degli asset critici