Progettare soluzioni per la gestione del comportamento di rete

  • 7 minuti

Microsoft Defender for Cloud analizza continuamente lo stato di sicurezza delle risorse di Azure per le procedure consigliate per la sicurezza di rete. Quando Defender for Cloud identifica potenziali vulnerabilità di sicurezza, crea raccomandazioni che guidano il processo di configurazione dei controlli necessari per rafforzare e proteggere le risorse.

Le funzionalità di rete di Defender for Cloud includono:

  • Raccomandazioni sulla sicurezza di rete
  • La mappa di rete richiede Microsoft Defender per server piano 2.

Visualizzare le risorse di rete e le relative raccomandazioni

La pagina inventario asset di Microsoft Defender for Cloud mostra il comportamento di sicurezza delle risorse connesse a Defender for Cloud. Defender for Cloud analizza periodicamente lo stato di sicurezza delle risorse connesse alle sottoscrizioni per identificare potenziali problemi di sicurezza e fornisce raccomandazioni attive. Le raccomandazioni attive sono raccomandazioni che possono essere risolte per migliorare il comportamento di sicurezza.

Defender for Cloud analizza periodicamente lo stato di sicurezza delle risorse connesse. Quando le risorse hanno raccomandazioni di sicurezza attive o avvisi di sicurezza associati, vengono visualizzati nell'inventario.

La pagina Inventario fornisce informazioni su:

  • Risorse connesse. Verificare rapidamente quali risorse sono connesse a Defender for Cloud.
  • Stato generale della sicurezza: ottenere un riepilogo chiaro sullo stato di sicurezza delle risorse di Azure, AWS e GCP connesse, incluse le risorse totali connesse a Defender for Cloud, le risorse per ambiente e il numero di risorse non integre.
  • Raccomandazioni, avvisi: eseguire il drill-down dello stato di risorse specifiche per visualizzare le raccomandazioni di sicurezza attive e gli avvisi di sicurezza per una risorsa.
  • Definizione delle priorità dei rischi: le raccomandazioni basate sui rischi assegnano livelli di rischio alle raccomandazioni, in base a fattori quali la riservatezza dei dati, l'esposizione a Internet, il potenziale di spostamento laterale e i potenziali percorsi di attacco.
  • La priorità dei rischi è disponibile quando il piano CSPM di Defender è abilitato.
  • Software. È possibile esaminare le risorse in base alle applicazioni installate. Per sfruttare i vantaggi dell'inventario software, è necessario abilitare il piano CsPM (Defender Cloud Security Posture Management) o un piano defender per server.

L'inventario usa Azure Resource Graph (ARG) per eseguire query e recuperare i dati su larga scala. Per informazioni dettagliate personalizzate, è possibile usare KQL per eseguire query sull'inventario.

Nella pagina inventario asset usare il filtro del tipo di risorsa per selezionare le risorse di rete da analizzare in un ambiente multicloud (Azure, AWS, GCP).

Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.

Per un elenco completo di tutte le raccomandazioni sulla sicurezza di rete che è possibile usare in Microsoft Defender for Cloud, vedere Raccomandazioni sulla sicurezza di rete

Mappa di rete

La mappa di rete interattiva offre una visualizzazione grafica con sovrapposizioni di sicurezza che forniscono consigli e informazioni dettagliate per rafforzare la protezione avanzata delle risorse di rete. Usando la mappa è possibile visualizzare la topologia di rete dei carichi di lavoro di Azure, le connessioni tra le macchine virtuali e le subnet e la possibilità di eseguire il drill-down dalla mappa in risorse specifiche e le raccomandazioni per tali risorse.

La mappa di rete può mostrare le risorse di Azure in una visualizzazione Topologia e una visualizzazione Traffico.

Visualizzazione della topologia

Nella visualizzazione Topologia della mappa di rete è possibile visualizzare le informazioni dettagliate seguenti sulle risorse di rete:

  • Nel cerchio interno è possibile visualizzare tutte le reti virtuali all'interno delle sottoscrizioni selezionate, il cerchio successivo è tutte le subnet, il cerchio esterno è tutte le macchine virtuali.
  • Le linee che collegano le risorse nella mappa consentono di sapere quali risorse sono associate tra loro e come è strutturata la rete di Azure.
  • Usare gli indicatori di gravità per ottenere rapidamente una panoramica delle risorse con raccomandazioni aperte da Defender for Cloud.
  • È possibile selezionare una delle risorse in cui eseguire il drill-down e visualizzare direttamente i dettagli di tale risorsa e le relative raccomandazioni e nel contesto della mappa di rete.
  • Se sulla mappa sono visualizzate troppe risorse, Microsoft Defender for Cloud usa l'algoritmo proprietario per "cluster intelligente" per le risorse, evidenziando quelli che si trovano nello stato più critico e con i consigli di gravità più elevati.

Screenshot della mappa di rete e di un pannello laterale che mostra le raccomandazioni per un nodo selezionato.

Poiché la mappa è interattiva e dinamica, ogni nodo è selezionabile e la visualizzazione può cambiare in base ai filtri. È possibile modificare ciò che viene visualizzato nella mappa di rete usando i filtri nella parte superiore. È possibile concentrarsi sulla mappa in base a:

  • Integrità della sicurezza: è possibile filtrare la mappa in base alla gravità (alta, media, bassa) delle risorse di Azure.
  • Raccomandazioni: è possibile selezionare le risorse visualizzate in base alle raccomandazioni attive su tali risorse. Ad esempio, è possibile visualizzare solo le risorse per le quali Defender for Cloud consiglia di abilitare i gruppi di sicurezza di rete.
  • Zone di rete: per impostazione predefinita, la mappa visualizza solo le risorse con connessione Internet, è possibile selezionare anche le macchine virtuali interne.

Visualizzazione Traffico

La visualizzazione Traffico fornisce una mappa di tutto il traffico possibile tra le risorse. In questo modo è disponibile una mappa visiva di tutte le regole configurate che definiscono le risorse che possono comunicare con chi. In questo modo è possibile visualizzare la configurazione esistente dei gruppi di sicurezza di rete e identificare rapidamente le possibili configurazioni rischiose all'interno dei carichi di lavoro.

La forza di questa visualizzazione è la possibilità di mostrare le connessioni consentite insieme alle vulnerabilità esistenti, in modo da poter usare questa sezione incrociata di dati per eseguire la protezione avanzata necessaria per le risorse. Ad esempio, è possibile rilevare due computer che non erano in grado di comunicare, consentendo di isolare meglio i carichi di lavoro e le subnet.