Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a questa raccomandazione dell'elenco di controllo per la sicurezza di Azure Well-Architected Framework:
| SE:10 | Implementare una strategia di monitoraggio olistica che si basa su meccanismi moderni di rilevamento delle minacce che possono essere integrati con la piattaforma. I meccanismi devono avvisare in modo affidabile la valutazione e inviare segnali ai processi SecOps esistenti. |
|---|
Questa guida descrive le raccomandazioni per il monitoraggio e il rilevamento delle minacce. Il monitoraggio è fondamentalmente un processo di recupero di informazioni sugli eventi già verificatisi. Il monitoraggio della sicurezza è una pratica di acquisizione di informazioni a diverse altitudini del carico di lavoro (infrastruttura, applicazione, operazioni) per acquisire consapevolezza delle attività sospette. L'obiettivo è prevedere gli eventi imprevisti e apprendere dagli eventi passati. I dati di monitoraggio forniscono la base dell'analisi post-evento imprevisto di ciò che si è verificato per aiutare la risposta agli eventi imprevisti e le indagini forensi.
Il monitoraggio è un approccio di eccellenza operativa applicato a tutti i pilastri del framework Well-Architected. Questa guida fornisce raccomandazioni solo dal punto di vista della sicurezza. I concetti generali relativi al monitoraggio, ad esempio la strumentazione del codice, la raccolta dei dati e l'analisi, non rientrano nell'ambito di questa guida. Per informazioni sui concetti di monitoraggio di base, vedere Raccomandazioni per la progettazione e la creazione di un framework di osservabilità.
Definizioni
| Termine | Definition |
|---|---|
| Registri di audit | Record di attività in un sistema. |
| Informazioni sulla sicurezza e gestione degli eventi (SIEM) | Approccio che usa funzionalità predefinite di rilevamento delle minacce e intelligence basate sui dati aggregati da più origini. |
| Rilevamento delle minacce | Una strategia per rilevare le deviazioni dalle azioni previste usando dati raccolti, analizzati e correlati. |
| Intelligence sulle minacce | Una strategia per interpretare i dati di rilevamento delle minacce per rilevare attività sospette o minacce esaminando i modelli. |
| Prevenzione delle minacce | Controlli di sicurezza posizionati in un carico di lavoro a diverse altitudini per proteggere gli asset. |
Lo scopo principale del monitoraggio della sicurezza è il rilevamento delle minacce. L'obiettivo principale è prevenire potenziali violazioni della sicurezza e mantenere un ambiente sicuro. Tuttavia, è altrettanto importante riconoscere che non tutte le minacce possono essere bloccate in modo preemptive. In questi casi, il monitoraggio funge anche da meccanismo per identificare la causa di un incidente di sicurezza che si è verificato nonostante gli sforzi di prevenzione.
Il monitoraggio può essere affrontato da diverse prospettive:
Monitorare a diverse altitudini. L'osservazione da varie altitudini è il processo di recupero di informazioni sui flussi utente, l'accesso ai dati, l'identità, la rete e persino il sistema operativo. Ognuna di queste aree offre informazioni dettagliate univoche che consentono di identificare le deviazioni dai comportamenti previsti stabiliti rispetto alla baseline di sicurezza. Viceversa, il monitoraggio continuo di un sistema e delle applicazioni nel tempo può aiutare a stabilire tale comportamento di base. Ad esempio, è possibile che vengano in genere visualizzati circa 1.000 tentativi di accesso nel sistema di identità ogni ora. Se il monitoraggio rileva un picco di 50.000 tentativi di accesso durante un breve periodo, un utente malintenzionato potrebbe tentare di ottenere l'accesso al sistema.
Monitorare in vari ambiti di impatto. È fondamentale osservare l'applicazione e la piattaforma. Si supponga che un utente dell'applicazione ottenga accidentalmente privilegi inoltrati o si verifichi una violazione della sicurezza. Se l'utente esegue azioni oltre l'ambito designato, l'impatto potrebbe essere limitato alle azioni che altri utenti possono eseguire.
Tuttavia, se un'entità interna compromette un database, l'entità del potenziale danno è incerta.
Se si verifica una compromissione sul lato risorsa di Azure, l'impatto potrebbe essere globale, che interessa tutte le entità che interagiscono con la risorsa.
Il raggio di esplosione o l'ambito di impatto possono essere notevolmente diversi, a seconda di quale di questi scenari si verifica.
Usare strumenti di monitoraggio specializzati. È fondamentale investire in strumenti specializzati in grado di analizzare continuamente il comportamento anomalo che potrebbe indicare un attacco. La maggior parte di questi strumenti include funzionalità di intelligence per le minacce che possono eseguire analisi predittive in base a un volume elevato di dati e minacce note. La maggior parte degli strumenti non è senza stato e incorpora una conoscenza approfondita dei dati di telemetria in un contesto di sicurezza.
Gli strumenti devono essere integrati dalla piattaforma o almeno con riconoscimento della piattaforma per ottenere segnali profondi dalla piattaforma ed eseguire stime con alta fedeltà. Devono essere in grado di generare avvisi in modo tempestivo con informazioni sufficienti per eseguire una valutazione corretta. L'uso di troppi strumenti diversi può causare complessità.
Usare il monitoraggio per la risposta agli eventi imprevisti. I dati aggregati, trasformati in intelligenza pratica, consentono reazioni rapide ed efficaci agli eventi imprevisti. Il monitoraggio è utile per le attività post-evento imprevisto. L'obiettivo è raccogliere dati sufficienti per analizzare e comprendere cosa è successo. Il processo di monitoraggio acquisisce informazioni sugli eventi passati per migliorare le funzionalità reattive e potenzialmente prevedere eventi imprevisti futuri.
Le sezioni seguenti forniscono procedure consigliate che incorporano le prospettive di monitoraggio precedenti.
Acquisire i dati per tenere traccia delle attività
L'obiettivo è quello di mantenere un audit trail completo degli eventi significativi dal punto di vista della sicurezza. La registrazione è il modo più comune per acquisire i modelli di accesso. La registrazione deve essere eseguita per l'applicazione e la piattaforma.
Per un audit trail, è necessario stabilire cosa, quando e chi è associato alle azioni. È necessario identificare gli intervalli di tempo specifici quando vengono eseguite le azioni. Eseguire questa valutazione nella modellazione delle minacce. Per contrastare una minaccia di ripudio, è necessario stabilire sistemi di registrazione e controllo avanzati che generano un record di attività e transazioni.
Le sezioni seguenti descrivono i casi d'uso per alcune altitudini comuni di un carico di lavoro.
Flussi utente dell'applicazione
L'applicazione deve essere progettata per fornire visibilità in fase di esecuzione quando si verificano eventi. Identificare i punti critici all'interno dell'applicazione e stabilire la registrazione per questi punti. Ad esempio, quando un utente accede all'applicazione, acquisisce l'identità dell'utente, il percorso di origine e altre informazioni pertinenti. È importante riconoscere qualsiasi escalation nei privilegi utente, le azioni eseguite dall'utente e se l'utente ha eseguito l'accesso a informazioni riservate in un archivio dati sicuro. Tenere traccia delle attività per l'utente e la sessione utente.
Per facilitare questo rilevamento, il codice deve essere instrumentato tramite la registrazione strutturata. In questo modo è possibile eseguire query e filtri semplici e uniformi dei log.
Importante
È necessario applicare la registrazione responsabile per mantenere la riservatezza e l'integrità del sistema. I segreti e i dati sensibili non devono essere visualizzati nei log. Tenere presente la perdita di dati personali e altri requisiti di conformità quando si acquisisce questi dati di log.
Monitoraggio delle identità e degli accessi
Mantenere un record completo dei modelli di accesso per l'applicazione e le modifiche alle risorse della piattaforma. Sono disponibili log attività affidabili e meccanismi di rilevamento delle minacce, in particolare per le attività correlate all'identità, perché spesso gli utenti malintenzionati tentano di modificare le identità per ottenere l'accesso non autorizzato.
Implementare la registrazione completa usando tutti i punti dati disponibili. Ad esempio, includere l'indirizzo IP del client per distinguere tra attività utente regolari e potenziali minacce da posizioni impreviste. Tutti gli eventi di registrazione devono essere timestampati dal server.
Registrare tutte le attività di accesso alle risorse, acquisendo chi esegue le operazioni e quando lo esegue. Le istanze di escalation dei privilegi sono un punto dati significativo che deve essere registrato. È necessario registrare anche le azioni correlate alla creazione o all'eliminazione dell'account dall'applicazione. Questa raccomandazione si estende ai segreti dell'applicazione. Monitorare chi accede ai segreti e quando vengono ruotati.
Anche se la registrazione delle azioni riuscite è importante, la registrazione degli errori è necessaria dal punto di vista della sicurezza. Documentare eventuali violazioni, ad esempio un utente che tenta un'azione, ma riscontra un errore di autorizzazione, tentativi di accesso per risorse inesistenti e altre azioni che sembrano sospette.
Monitoraggio di rete
Monitorando i pacchetti di rete e le relative origini, destinazioni e strutture, si ottiene visibilità sui modelli di accesso a livello di rete.
La progettazione della segmentazione deve abilitare i punti di osservazione ai limiti per monitorare gli elementi che li attraversano e registrare tali dati. Ad esempio, monitorare le subnet con gruppi di sicurezza di rete che generano i log dei flussi. Monitorare anche i log del firewall che mostrano i flussi consentiti o negati.
Sono disponibili log di accesso per le richieste di connessione in ingresso. Questi log registrano gli indirizzi IP di origine che avviano le richieste, il tipo di richiesta (GET, POST) e tutte le altre informazioni che fanno parte delle richieste.
L'acquisizione dei flussi DNS è un requisito significativo per molte organizzazioni. Ad esempio, i log DNS possono aiutare a identificare l'utente o il dispositivo che ha avviato una determinata query DNS. Correlando l'attività DNS con i log di autenticazione utente/dispositivo, è possibile tenere traccia delle attività ai singoli client. Questa responsabilità si estende spesso al team del carico di lavoro, soprattutto se distribuiscono qualsiasi elemento che effettua richieste DNS come parte del loro funzionamento. L'analisi del traffico DNS è un aspetto fondamentale dell'osservabilità della sicurezza della piattaforma.
È importante monitorare le richieste DNS impreviste o le richieste DNS indirizzate agli endpoint noti di comando e controllo.
Compromesso: la registrazione di tutte le attività di rete può comportare una grande quantità di dati. Ogni richiesta dal livello 3 può essere registrata in un log di flusso, inclusa ogni transazione che supera un limite di subnet. Sfortunatamente, non è possibile acquisire solo eventi avversi perché possono essere identificati solo dopo che si verificano. Prendere decisioni strategiche sul tipo di eventi da acquisire e su quanto tempo archiviarli. Se non si è attenti, la gestione dei dati può essere eccessiva. Esiste anche un compromesso sul costo dell'archiviazione dei dati.
A causa dei compromessi, è consigliabile valutare se il vantaggio del monitoraggio di rete del carico di lavoro è sufficiente per giustificare i costi. Se si dispone di una soluzione di applicazione Web con un volume elevato di richieste e il sistema usa ampiamente le risorse di Azure gestite, il costo potrebbe superare i vantaggi. D'altra parte, se si dispone di una soluzione progettata per l'uso di macchine virtuali con diverse porte e applicazioni, potrebbe essere importante acquisire e analizzare i log di rete.
Acquisire le modifiche del sistema
Per mantenere l'integrità del sistema, è necessario disporre di un record accurato e up-to-date dello stato del sistema. In caso di modifiche, è possibile usare questo record per risolvere tempestivamente eventuali problemi che si verificano.
I processi di compilazione devono anche generare dati di telemetria. Comprendere il contesto di sicurezza degli eventi è fondamentale. Sapere cosa ha attivato il processo di compilazione, chi l'ha attivato e quando è stato attivato può fornire informazioni dettagliate preziose.
Tenere traccia del momento in cui vengono create le risorse e quando vengono rimosse. Queste informazioni devono essere estratte dalla piattaforma. Queste informazioni forniscono informazioni dettagliate utili per la gestione delle risorse e la responsabilità.
Monitorare la deriva nella configurazione delle risorse. Documentare tutte le modifiche apportate a una risorsa esistente. Tenere inoltre traccia delle modifiche che non vengono completate come parte di un'implementazione in una flotta di risorse. I log devono acquisire le specifiche della modifica e l'ora esatta in cui si è verificata.
Avere una visione completa, dal punto di vista dell'applicazione di patch, del fatto che il sistema sia up-to-date e sicuro. Monitorare i processi di aggiornamento di routine per verificare che vengano completati come pianificato. Un processo di applicazione di patch di sicurezza che non è completo deve essere considerato una vulnerabilità. È anche necessario mantenere un inventario che registra i livelli di patch e qualsiasi altro dettaglio richiesto.
Il rilevamento delle modifiche si applica anche al sistema operativo. Ciò comporta la verifica dell'aggiunta o della disattivazione dei servizi. Include anche il monitoraggio per l'aggiunta di nuovi utenti al sistema. Sono disponibili strumenti progettati per definire come destinazione un sistema operativo. Aiutano con il monitoraggio senza contesto nel senso che non hanno come destinazione la funzionalità del carico di lavoro. Ad esempio, il monitoraggio dell'integrità dei file è uno strumento fondamentale che consente di tenere traccia delle modifiche nei file di sistema.
È consigliabile configurare avvisi per queste modifiche, in particolare se non ci si aspetta che si verifichino spesso.
Importante
Quando si esegue l'implementazione nell'ambiente di produzione, assicurarsi che gli avvisi siano configurati per rilevare attività anomale rilevate nelle risorse dell'applicazione e nel processo di compilazione.
Nei piani di test includere la convalida della registrazione e degli avvisi come test case con priorità.
Archiviare, aggregare e analizzare i dati
I dati raccolti da queste attività di monitoraggio devono essere archiviati in sink di dati in cui possono essere esaminati, normalizzati e correlati accuratamente. I dati di sicurezza devono essere salvati in modo permanente all'esterno degli archivi dati del sistema. I sink di monitoraggio, localizzati o centrali, devono sopravvivere alle origini dati. I sink non possono essere temporanei perché i sink sono l'origine per i sistemi di rilevamento delle intrusioni.
I log di rete possono essere dettagliati e occupare l'archiviazione. Esplorare i diversi livelli nei sistemi di archiviazione. I log possono naturalmente passare all'archiviazione più fredda nel tempo. Questo approccio è utile perché i log di flusso meno recenti in genere non vengono usati attivamente e sono necessari solo su richiesta. Questo metodo garantisce una gestione efficiente dell'archiviazione assicurando al tempo stesso di poter accedere ai dati cronologici quando è necessario.
I flussi del carico di lavoro sono in genere costituiti da più origini di registrazione. I dati di monitoraggio devono essere analizzati in modo intelligente in tutte queste origini. Ad esempio, il firewall bloccherà solo il traffico che lo raggiunge. Se si dispone di un gruppo di sicurezza di rete che ha già bloccato un determinato traffico, tale traffico non è visibile al firewall. Per ricostruire la sequenza di eventi, è necessario aggregare i dati di tutti i componenti presenti nel flusso e quindi aggregare i dati di tutti i flussi. Questi dati sono particolarmente utili in uno scenario di risposta post-evento imprevisto quando si sta cercando di comprendere cosa è successo. L'accuratezza del tempo è essenziale. Per motivi di sicurezza, tutti i sistemi devono usare un'origine ora di rete in modo che siano sempre sincronizzati.
Rilevamento centralizzato delle minacce con log correlati
È possibile usare un sistema come informazioni di sicurezza e gestione degli eventi (SIEM) per consolidare i dati di sicurezza in una posizione centrale in cui può essere correlato tra vari servizi. Questi sistemi hanno meccanismi predefiniti di rilevamento delle minacce . Possono connettersi a feed esterni per ottenere dati di intelligence sulle minacce. Microsoft, ad esempio, pubblica i dati di intelligence sulle minacce che è possibile usare. È anche possibile acquistare feed di intelligence sulle minacce da altri provider, ad esempio Anomali e FireEye. Questi feed possono fornire informazioni dettagliate preziose e migliorare il comportamento di sicurezza. Per informazioni dettagliate sulle minacce di Microsoft, vedere Security Insider.
Un sistema SIEM può generare avvisi in base ai dati correlati e normalizzati. Questi avvisi sono una risorsa significativa durante un processo di risposta agli eventi imprevisti.
I sistemi SIEM sono in genere gestiti dai team centrali di un'organizzazione. Se l'organizzazione non ne ha una, è consigliabile richiamarla. Potrebbe alleviare l'onere dell'analisi manuale dei log e della correlazione per consentire una gestione della sicurezza più efficiente ed efficace.
Alcune opzioni convenienti sono fornite da Microsoft. Molti prodotti Microsoft Defender forniscono la funzionalità di avviso di un sistema SIEM, ma senza una funzionalità di aggregazione dei dati.
Combinando diversi strumenti più piccoli, è possibile emulare alcune funzioni di un sistema SIEM. Tuttavia, è necessario sapere che queste soluzioni di fortuna potrebbero non essere in grado di eseguire l'analisi della correlazione. Queste alternative possono essere utili, ma potrebbero non sostituire completamente la funzionalità di un sistema SIEM dedicato.
Rilevare l'abuso
Essere proattivi sul rilevamento delle minacce ed essere vigili per i segni di abuso, ad esempio attacchi di forza bruta di identità su un componente SSH o un endpoint RDP. Anche se le minacce esterne possono generare un sacco di rumore, soprattutto se l'applicazione è esposta a Internet, le minacce interne sono spesso un problema maggiore. Un attacco di forza bruta imprevista da un'origine di rete attendibile o da un errore di configurazione accidentale, ad esempio, deve essere esaminato immediatamente.
Tenere il passo con le procedure di protezione avanzata. Il monitoraggio non sostituisce la protezione proattiva dell'ambiente. Una superficie di attacco più grande è soggetta a più attacchi. Rafforzare i controlli tanto quanto la pratica. Rilevare e disabilitare gli account inutilizzati, rimuovere le porte inutilizzate e usare un web application firewall, ad esempio. Per altre informazioni sulle tecniche di protezione avanzata, vedere Raccomandazioni sulla protezione avanzata.
Il rilevamento basato sulla firma può esaminare in dettaglio un sistema. Implica la ricerca di segni o correlazioni tra attività che potrebbero indicare un potenziale attacco. Un meccanismo di rilevamento potrebbe identificare determinate caratteristiche indicative di un tipo specifico di attacco. Potrebbe non essere sempre possibile rilevare direttamente il meccanismo di comando e controllo di un attacco. Esistono tuttavia spesso hint o modelli associati a un particolare processo di comando e controllo. Ad esempio, un attacco potrebbe essere indicato da una determinata frequenza di flusso dal punto di vista della richiesta oppure potrebbe accedere spesso a domini con terminazioni specifiche.
Rilevare modelli di accesso utente anomali in modo che sia possibile identificare e analizzare le deviazioni dai modelli previsti. Ciò comporta il confronto tra il comportamento dell'utente corrente e il comportamento passato e individuare le anomalie. Anche se potrebbe non essere possibile eseguire questa attività manualmente, è possibile usare gli strumenti di intelligence per le minacce per farlo. Investire in strumenti ueba (User and Entity Behavior Analytics) che raccolgono il comportamento degli utenti dai dati di monitoraggio e analizzarli. Questi strumenti possono spesso eseguire analisi predittive che eseguono il mapping di comportamenti sospetti a potenziali tipi di attacco.
Rilevare le minacce durante le fasi di pre-distribuzione e post-distribuzione. Durante la fase di pre-distribuzione, incorporare l'analisi delle vulnerabilità nelle pipeline e intraprendere le azioni necessarie in base ai risultati. Dopo la distribuzione, continuare a eseguire l'analisi delle vulnerabilità. È possibile usare strumenti come Microsoft Defender per contenitori, che analizza le immagini del contenitore. Includere i risultati nei dati raccolti. Per informazioni sulle procedure di sviluppo sicure, vedere Raccomandazioni per l'uso di procedure di distribuzione sicure.
Sfruttare i meccanismi e le misure di rilevamento forniti dalla piattaforma. Ad esempio, Firewall di Azure può analizzare il traffico e bloccare le connessioni a destinazioni non attendibili. Azure offre anche modi per rilevare e proteggere da attacchi DDoS (Distributed Denial of Service).
Facilitazione di Azure
Monitoraggio di Azure offre l'osservabilità nell'intero ambiente. Senza alcuna configurazione, si ottengono automaticamente metriche della piattaforma, log attività e log di diagnostica dalla maggior parte delle risorse di Azure. I log attività forniscono informazioni dettagliate sulla diagnostica e sul controllo.
Annotazioni
I log della piattaforma non sono disponibili a tempo indeterminato. È necessario mantenerli in modo che sia possibile esaminarli in un secondo momento per scopi di controllo o analisi offline. Usare gli account di archiviazione di Azure per l'archiviazione a lungo termine o archiviazione. In Monitoraggio di Azure specificare un periodo di conservazione quando si abilitano le impostazioni di diagnostica per le risorse.
Configurare gli avvisi in base a metriche e log predefiniti o personalizzati per ricevere notifiche quando vengono rilevati eventi o anomalie specifici relativi alla sicurezza.
Per altre informazioni, vedere la documentazione di Monitoraggio di Azure.
Microsoft Defender for Cloud offre funzionalità predefinite per il rilevamento delle minacce. Opera sui dati raccolti e analizza i log. Poiché è a conoscenza dei tipi di log generati, può usare regole predefinite per prendere decisioni informate. Ad esempio, controlla gli elenchi di indirizzi IP potenzialmente compromessi e genera avvisi.
Abilitare i servizi di protezione dalle minacce predefiniti per le risorse di Azure. Ad esempio, abilitare le risorse di Microsoft Defender per Azure, ad esempio macchine virtuali, database e contenitori, per rilevare e proteggere da minacce note.
Defender for Cloud offre funzionalità CWPP (Cloud Workload Protection Platform) per il rilevamento delle minacce di tutte le risorse del carico di lavoro.
Per altre informazioni, vedere Che cos'è Microsoft Defender for Cloud?.
Gli avvisi generati da Defender possono anche essere inseriti nei sistemi SIEM. Microsoft Sentinel è l'offerta nativa. Usa l'intelligenza artificiale e l'apprendimento automatico per rilevare e rispondere alle minacce alla sicurezza in tempo reale. Offre una visualizzazione centralizzata dei dati di sicurezza e facilita la ricerca e l'analisi proattive delle minacce.
Per altre informazioni, vedere Che cos'è Microsoft Sentinel?.
Microsoft Sentinel può anche usare feed di intelligence per le minacce provenienti da varie origini. Per altre informazioni, vedere Integrazione di Intelligence sulle minacce in Microsoft Sentinel.
Microsoft Sentinel può analizzare il comportamento degli utenti dai dati di monitoraggio. Per altre informazioni, vedere Identificare le minacce avanzate con Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel.
Defender e Microsoft Sentinel interagiscono, nonostante alcune sovrapposizioni nelle funzionalità. Questa collaborazione migliora il comportamento di sicurezza complessivo contribuendo a garantire un rilevamento e una risposta completi delle minacce.
Sfruttare il Centro continuità aziendale di Azure per identificare le lacune nel patrimonio di continuità aziendale e difendersi da minacce come attacchi ransomware, attività dannose e incidenti di amministratore non autorizzato. Per altre informazioni, vedere Informazioni sul Centro continuità aziendale di Azure.
Rete
Esaminare tutti i log, incluso il traffico non elaborato, dai dispositivi di rete.
Log del gruppo di sicurezza. Esaminare i log di flusso e i log di diagnostica.
Azure Network Watcher. Sfruttare la funzionalità di acquisizione pacchetti per impostare gli avvisi e ottenere l'accesso alle informazioni sulle prestazioni in tempo reale a livello di pacchetto.
L'acquisizione di pacchetti tiene traccia del traffico all'esterno e all'esterno delle macchine virtuali. È possibile usarlo per eseguire acquisizioni proattive in base a anomalie di rete definite, incluse le informazioni sulle intrusioni di rete.
Per un esempio, vedere Monitorare le reti in modo proattivo con avvisi e Funzioni di Azure usando Acquisizione pacchetti.
Usare le funzionalità di sicurezza basate sull'intelligenza artificiale per migliorare il rilevamento delle minacce. L'integrazione di Web application firewall di Azure con Microsoft Security Copilot offre funzionalità di analisi e risposta basate sull'intelligenza artificiale per gli eventi WAF sia da Frontdoor di Azure che dal gateway applicazione di Azure. Firewall di Azure si integra anche con Microsoft Security Copilot per analizzare il traffico dannoso intercettato dalla funzionalità IDPS.|
Identità
Monitorare gli eventi di rischio correlati all'identità su identità potenzialmente compromesse e correggere tali rischi. Esaminare gli eventi di rischio segnalati in questi modi:
Usare la creazione di report di Microsoft Entra ID. Per altre informazioni, vedere Che cos'è Identity Protection? e Identity Protection.
Usare i membri dell'API di rilevamento dei rischi di Identity Protection per ottenere l'accesso a livello di codice ai rilevamenti di sicurezza tramite Microsoft Graph. Per altre informazioni, vedere riskDetection e riskyUser.
Microsoft Entra ID usa algoritmi di Machine Learning adattivi, euristica e credenziali compromesse note (coppie nome utente e password) per rilevare azioni sospette correlate agli account utente. Queste coppie di nomi utente e password vengono visualizzate monitorando il Web pubblico e scuro e collaborando con ricercatori di sicurezza, forze dell'ordine, team di sicurezza presso Microsoft e altri.
Azure Pipelines
DevOps sostiene la gestione delle modifiche dei carichi di lavoro tramite l'integrazione continua e il recapito continuo (CI/CD). Assicurarsi di aggiungere la convalida della sicurezza nelle pipeline. Seguire le indicazioni descritte in Protezione di Azure Pipelines.
Collegamenti correlati
- Suggerimenti per la progettazione e la creazione di un framework di osservabilità
- Security Insider
- Raccomandazioni per la protezione avanzata delle risorse
- Raccomandazioni per l'uso di procedure di distribuzione sicure
- Documentazione di Monitoraggio di Azure
- Che cos'è Microsoft Defender for Cloud?
- Che cos'è Microsoft Azure Sentinel?
- Integrazione di Intelligence sulle minacce in Microsoft Sentinel
- Identificare le minacce avanzate con Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel
- Esercitazione: Registrare il traffico di rete da e verso una macchina virtuale usando il portale di Azure
- Acquisizione pacchetti
- Monitorare le reti in modo proattivo con avvisi e Funzioni di Azure usando Acquisizione pacchetti
- Che cos'è Identity Protection?
- Identity Protection
- riskDetection
- riskyUser
- Informazioni su come aggiungere la convalida della sicurezza continua alla pipeline CI/CD
Elenco di controllo per la sicurezza
Fare riferimento al set completo di raccomandazioni.