Sicurezza dei dati di Microsoft Defender per il cloud

Per consentire ai clienti di impedire, rilevare e rispondere alle minacce, Microsoft Defender per il cloud raccoglie ed elabora dati correlati alla sicurezza, tra cui informazioni di configurazione, metadati, log eventi e altro ancora. Microsoft è conforme alle più rigorose linee guida sulla sicurezza e sulla conformità in tutte le fasi, dalla codifica all'esecuzione di un servizio.

Questo articolo illustra come vengono gestiti e protetti i dati in Microsoft Defender per il cloud.

Origini dati

Microsoft Defender per il cloud analizza i dati provenienti dalle origini seguenti per offrire visibilità sullo stato della sicurezza, identificare le vulnerabilità e suggerire le mitigazioni, nonché rilevare le minacce attive:

  • Servizi di Azure: usa le informazioni sulla configurazione dei servizi di Azure distribuiti comunicando con il provider di risorse del servizio.
  • Traffico di rete: usa i metadati del traffico di rete campionati dall'infrastruttura di Microsoft, ad esempio l'IP/porta di origine/destinazione, le dimensioni del pacchetto e il protocollo di rete.
  • Soluzioni partner: usa gli avvisi di sicurezza dalle soluzioni partner integrate, ad esempio firewall e soluzioni antimalware.
  • Computer personali: usa i dettagli della configurazione e informazioni sugli eventi di sicurezza, ad esempio log di controllo e registri eventi di Windows, e messaggi syslog provenienti dalle macchine virtuali.

Condivisione dei dati

Quando si abilita l'analisi del malware di Defender per Archiviazione, è possibile condividere i metadati, inclusi i metadati classificati come dati dei clienti (ad esempio, hash SHA-256), con Microsoft Defender per endpoint.

Microsoft Defender per il cloud che esegue il piano Defender for Cloud Security Posture Management (CSPM) condivide i dati integrati nelle raccomandazioni di Microsoft Security Exposure Management.

Nota

Microsoft Security Exposure Management è attualmente disponibile in anteprima pubblica.

Protezione dei dati

Separazione dei dati

i dati vengono mantenuti separati logicamente in ogni componente del servizio. Tutti i dati vengono contrassegnati in base all'organizzazione. Tale contrassegno persiste per tutto il ciclo di vita dei dati e viene applicato a ogni livello del servizio.

Accesso ai dati

Per offrire raccomandazioni sulla sicurezza e individuare le potenziali minacce, il personale Microsoft può accedere alle informazioni raccolte o analizzate dai servizi di Azure, tra cui eventi di creazione di processi e altri artefatti, che potrebbero accidentalmente contenere dati del cliente o dati personali provenienti dai computer.

Vengono applicate le condizioni del supplemento sulla protezione dei dati di Microsoft Online Services, che specifica che Microsoft non userà i dati del cliente o ne ricaverà informazioni per scopi pubblicitari o commerciali simili. Microsoft userà i dati dei clienti solo se necessari per fornire i servizi di Azure, incluse le finalità compatibili con la fornitura di tali servizi. L'utente conserva tutti i diritti sui dati dei clienti.

Uso dei dati

Microsoft usa modelli e intelligence per le minacce trovati in più tenant per migliorare le funzionalità di prevenzione e rilevamento, in base alle garanzie relative alla privacy descritte nell'informativa sulla privacy.

Gestire la raccolta di dati dai computer

Quando si abilita il Defender per il cloud, viene attivata la raccolta dati per ogni sottoscrizione di Azure. È anche possibile abilitare la raccolta di dati per le sottoscrizioni in Defender per il cloud. Se la raccolta di dati è abilitata, il Defender per il cloud effettua il provisioning dell'agente di Log Analytics in tutte le macchine virtuali di Azure supportate esistenti e in quelle nuove che vengono create.

L'agente di Log Analytics esegue l'analisi delle varie configurazioni correlate alla sicurezza e ne genera gli eventi nelle tracce di Event Trace for Windows (ETW). Il sistema operativo genera anche eventi del log eventi durante l'esecuzione del computer. Esempi di tali dati sono: tipo e versione del sistema operativo, log del sistema operativo (registri eventi di Windows), processi in esecuzione, nome computer, indirizzi IP, utente connesso e ID tenant. L'agente di Log Analytics legge le voci del log eventi ed ETW le traccia e le copia nelle aree di lavoro per l'analisi. L'agente di Log Analytics abilita anche gli eventi di creazione del processo e il controllo della riga di comando.

Se non si usano le funzionalità per la protezione avanzata di Microsoft Defender per il cloud, è anche possibile disabilitare la raccolta dati dalle macchine virtuali nei criteri di sicurezza. La raccolta dati è necessaria per le sottoscrizioni protette dalle funzionalità di protezione avanzata. Gli snapshot dei dischi delle VM e la raccolta di elementi resteranno abilitati anche se la raccolta dati è stata disabilitata.

È possibile specificare l'area di lavoro e l'area geografica in cui vengono archiviati i dati raccolti dai computer. L'impostazione predefinita prevede l'archiviazione dei dati raccolti dai computer nell'area di lavoro più vicina, come illustrato nella tabella seguente:

Area geografica VM Area geografica area di lavoro
Stati Uniti, Brasile, Sudafrica Stati Uniti
Canada Canada
Europa (escluso il Regno Unito) Europa
Regno Unito Regno Unito
Asia (esclusi India, Giappone, Corea, Cina) Asia/Pacifico
Corea del Sud Asia/Pacifico
India India
Giappone Giappone
Cina Cina
Australia Australia

Nota

Microsoft Defender per Archiviazione archivia gli artefatti a livello di area in base alla località della risorsa di Azure correlata. Per altre informazioni, vedere Panoramica di Microsoft Defender per Archiviazione.

Consumo di dati

I clienti possono accedere ai dati relativi al Defender per il cloud dai flussi di dati seguenti:

Stream Tipo di dati
Log attività di Azure Tutti gli avvisi di sicurezza hanno approvato le richieste di accesso a Defender per il cloud just-in-time.
Log di Monitoraggio di Azure Tutti gli avvisi di sicurezza.
Azure Resource Graph Avvisi di sicurezza, raccomandazioni sulla sicurezza, risultati della valutazione delle vulnerabilità, informazioni sul punteggio di sicurezza, stato dei controlli di conformità e altro ancora.
API REST di Microsoft Defender for Cloud Avvisi di sicurezza, raccomandazioni sulla sicurezza e altro ancora.

Nota

Se nella sottoscrizione non sono abilitati piani di Defender, i dati verranno rimossi da Azure Resource Graph dopo 30 giorni di inattività nel portale di Microsoft Defender per il cloud. Dopo l'interazione con gli artefatti nel portale correlato alla sottoscrizione, i dati dovrebbero essere nuovamente visibili entro 24 ore.

Conservazione dei dati

Quando il grafico della sicurezza cloud raccoglie i dati dagli ambienti Azure e multicloud e da altre origini dati, conserva i dati per un periodo di 14 giorni. Dopo 14 giorni, i dati vengono eliminati.

I dati calcolati, ad esempio i percorsi di attacco, possono essere conservati per altri 14 giorni. I dati calcolati sono costituiti da dati derivati dai dati non elaborati raccolti dall'ambiente. Ad esempio, il percorso di attacco deriva dai dati non elaborati raccolti dall'ambiente.

Queste informazioni vengono raccolte in conformità agli impegni sulla privacy descritti nell'Informativa sulla privacy.

Integrazione di Defender per il cloud e Microsoft Defender 365

Quando si abilita uno dei piani a pagamento di Defender per il cloud, si ottengono automaticamente tutti i vantaggi di Microsoft Defender XDR. Le informazioni di Defender per il cloud verranno condivise con Microsoft Defender XDR. Questi dati potrebbero contenere dati dei clienti e verranno archiviati in base alle linee guida per la gestione dei dati di Microsoft 365.