Integrare Microsoft Defender per il cloud con la soluzione Azure VMware

  • Articolo

Microsoft Defender per il cloud offre una protezione avanzata dalle minacce nella soluzione Azure VMware e nelle macchine virtuali locali. Valuta la vulnerabilità delle macchine virtuali della soluzione Azure VMware e genera avvisi in base alle esigenze. Questi avvisi di sicurezza possono essere inoltrati a Monitoraggio di Azure per la risoluzione. È possibile definire criteri di sicurezza in Microsoft Defender per il cloud. Per altre informazioni, vedere Uso dei criteri di sicurezza.

Microsoft Defender per il cloud offre molte funzionalità, tra cui:

  • Monitoraggio dell'integrità dei file
  • Rilevamento di attacco senza file
  • Valutazione delle patch del sistema operativo
  • Valutazione degli errori di configurazione della sicurezza
  • Valutazione della protezione endpoint

Il diagramma mostra l'architettura di monitoraggio integrata della sicurezza integrata per le macchine virtuali della soluzione Azure VMware.

Diagramma che mostra l'architettura della sicurezza integrata di Azure.

L'agente di Log Analytics raccoglie i dati di log da Azure, dalla soluzione Azure VMware e dalle macchine virtuali locali. I dati di log vengono inviati ai log di Monitoraggio di Azure e archiviati in un'area di lavoro Log Analytics. Ogni area di lavoro include un proprio repository di dati e una configurazione specifica per archiviare dati. Dopo aver raccolto i log, Microsoft Defender per il cloud valuta lo stato della vulnerabilità delle macchine virtuali della soluzione Azure VMware e genera un avviso per eventuali vulnerabilità critiche. Dopo la valutazione, Microsoft Defender per il cloud inoltra lo stato della vulnerabilità a Microsoft Sentinel per creare un evento imprevisto ed eseguire il mapping con altre minacce. Microsoft Defender per il cloud è connesso a Microsoft Sentinel tramite il connettore Microsoft Defender per il cloud.

Prerequisiti

Aggiungere macchine virtuali della soluzione Azure VMware a Defender per il cloud

  1. Nel portale di Azure cercare Azure Arc e selezionarlo.

  2. In Risorse selezionare Server e quindi +Aggiungi.

    Screenshot che mostra la pagina dei server Azure Arc per l'aggiunta di una macchina virtuale della soluzione Azure VMware ad Azure.

  3. Selezionare Genera script.

    Screenshot della pagina di Azure Arc che mostra l'opzione per l'aggiunta di un server tramite script interattivo.

  4. Nella scheda Prerequisiti, selezionare Avanti.

  5. Nella scheda Dettagli, risorsa immettere i dettagli seguenti e quindi selezionare Avanti. Tag:

    • Subscription
    • Gruppo di risorse
    • Paese
    • Sistema operativo
    • Dettagli server proxy

  6. Nella scheda Tag, selezionare Avanti.

  7. Nella scheda Scarica ed esegui script, selezionare Scarica.

  8. Specificare il sistema operativo ed eseguire lo script nella macchina virtuale della soluzione Azure VMware.

Visualizzare le raccomandazioni e le valutazioni passate

Le raccomandazioni e le valutazioni forniscono i dettagli sull'integrità della sicurezza della risorsa.

  1. In Microsoft Defender per il cloud, selezionare Inventario nel riquadro sinistro.

  2. Per Tipo di risorsa, selezionare Server - Azure Arc.

    Screenshot che mostra la pagina Inventario di Microsoft Defender per il cloud con l'opzione Server - Azure Arc selezionata in Tipo di risorsa.

  3. Selezionare il nome della risorsa. Viene visualizzata una pagina che mostra i dettagli sull'integrità della sicurezza della risorsa.

  4. Nell'elenco Raccomandazioni, selezionare le schede Raccomandazioni, Valutazioni passatee Valutazioni non disponibili per visualizzare questi dettagli.

    Screenshot che mostra le raccomandazioni e le valutazioni sulla sicurezza di Microsoft Defender per il cloud.

Distribuire un'area di lavoro di Microsoft Sentinel

Microsoft Sentinel offre analisi della sicurezza, rilevamento degli avvisi e risposta automatizzata alle minacce in un ambiente. Si tratta di una soluzione SIEM (Security Information Event Management) nativa del cloud basata su un'area di lavoro Log Analytics.

Poiché Microsoft Sentinel si basa su un'area di lavoro Log Analytics, è sufficiente selezionare l'area di lavoro da usare.

  1. Nel portale di Azure, cercare e selezionare Microsoft Sentinel.

  2. Nella pagina Aree di lavoro di Microsoft Sentinel selezionare +Aggiungi.

  3. Selezionare l'area di lavoro Log Analytics e selezionare Aggiungi.

Abilitare l'agente di raccolta dati per gli eventi di sicurezza

  1. Nella pagina Aree di lavoro di Microsoft Sentinel selezionare l'area di lavoro configurata.

  2. In Configurazione selezionare Connettori dati.

  3. Nella colonna Nome connettore selezionare Eventi di sicurezza nell'elenco, quindi selezionare Apri pagina connettore.

  4. Nella pagina del connettore, selezionare gli eventi da trasmettere e quindi selezionare Applica modifiche.

    Screenshot della pagina Eventi di sicurezza in Microsoft Sentinel in cui è possibile selezionare gli eventi da trasmettere.

Connettere Microsoft Defender per il cloud a Microsoft Sentinel

  1. Nella pagina area di lavoro di Microsoft Sentinel, selezionare l'area di lavoro configurata.

  2. In Configurazione selezionare Connettori dati.

  3. Selezionare Microsoft Defender per il cloud nell'elenco, quindi selezionare Apri connettore pagina.

    Screenshot della pagina Connettori dati in Microsoft Sentinel che mostra la selezione per connettere Microsoft Defender per il cloud con Microsoft Sentinel.

  4. Selezionare Connetti per connettere Microsoft Defender per il cloud con Microsoft Sentinel.

  5. Abilitare Crea evento imprevisto per generare un evento imprevisto per Microsoft Defender per il cloud.

Creare regole per identificare le minacce alla sicurezza

Dopo aver connesso le origini dati a Microsoft Sentinel, è possibile creare regole per generare avvisi per le minacce rilevate. Nell'esempio seguente viene creata una regola per i tentativi di accesso a Windows Server con la password errata.

  1. Nella pagina di panoramica di Microsoft Sentinel, in Configurazioni selezionare Analisi.

  2. In Configurazioni, selezionare Analisi.

  3. Selezionare +Crea e nell'elenco a discesa selezionare Regola di query pianificata.

  4. Nella scheda Generale, immettere le informazioni necessarie e quindi selezionare Avanti: Impostare la logica della regola.

    • Nome
    • Descrizione
    • Tattiche
    • Gravità
    • Stato

  5. Nella scheda Imposta regola logica, immettere le informazioni necessarie e quindi selezionare Avanti.

    • Query regola (qui che mostra la query di esempio)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • Esegui mapping entità

    • Pianificazione query

    • Soglia di avviso

    • Raggruppamento di eventi

    • Eliminazione degli avvisi

  6. Nella scheda Impostazioni evento imprevisto, abilitare Crea eventi imprevisti dagli avvisi attivati da questa regola di analisi e selezionare Avanti: Risposta automatica.

    Screenshot che mostra la procedura guidata per la creazione di una nuova regola in Microsoft Sentinel.

  7. Selezionare Successivo: Revisione.

  8. Nella scheda Rivedi e crea, esaminare le informazioni e selezionare Crea.

Suggerimento

Dopo il terzo tentativo non riuscito di accedere a Windows Server, la regola creata attiva un evento imprevisto per ogni tentativo non riuscito.

Visualizzazione avvisi

È possibile visualizzare gli eventi imprevisti generati con Microsoft Sentinel. È anche possibile assegnare eventi imprevisti e chiuderli una volta risolti, tutti dall'interno di Microsoft Sentinel.

  1. Passare alla pagina di panoramica di Microsoft Sentinel.

  2. In Gestione minacce selezionare Eventi imprevisti.

  3. Selezionare un evento imprevisto e assegnarlo a un team per la risoluzione.

    Screenshot della pagina Eventi imprevisti di Microsoft Sentinel con l'opzione e l'evento imprevisto selezionato e l'opzione per assegnare l'evento imprevisto per la risoluzione.

Suggerimento

Dopo aver risolto il problema, è possibile chiuderlo.

Cercare le minacce alla sicurezza con query

È possibile creare query o usare la query predefinita disponibile in Microsoft Sentinel per identificare le minacce nell'ambiente. I passaggi seguenti eseguono una query predefinita.

  1. Nella pagina di panoramica di Microsoft Sentinel, in Gestione delle minacce selezionare Ricerca. Viene visualizzato un elenco di query predefinite.

    Suggerimento

    È anche possibile creare una nuova query selezionando Nuova query.

    Screenshot della pagina Ricerca di Microsoft Sentinel con + Nuova query evidenziata.

  2. Selezionare una query e quindi selezionare Esegui query.

  3. Selezionare Visualizza risultati per controllare i risultati.

Passaggi successivi

Dopo aver illustrato come proteggere le macchine virtuali della soluzione Azure VMware, è possibile ottenere altre informazioni su: