Integrazioni dell'infrastruttura

L'infrastruttura comprende l'hardware, il software, i microservizi, l'infrastruttura di rete e le strutture necessarie per supportare i servizi IT per un'organizzazione. Le soluzioni di infrastruttura Zero Trust valutano, monitorano e impediscono minacce alla sicurezza per questi servizi.

Le soluzioni di infrastruttura Zero Trust supportano i principi di Zero Trust assicurandosi che l'accesso alle risorse dell'infrastruttura venga verificato in modo esplicito, l'accesso venga concesso usando principi di accesso con privilegi minimi e meccanismi che presuppongono violazioni e cercano e correggeno le minacce alla sicurezza nell'infrastruttura.

Queste linee guida sono destinate a provider di software e partner tecnologici che vogliono migliorare le proprie soluzioni di sicurezza dell'infrastruttura integrandosi con i prodotti Microsoft.

Guida all'integrazione zero trust per l'infrastruttura

Questa guida all'integrazione include la strategia e le istruzioni per l'integrazione con Microsoft Defender per il cloud e i relativi piani di protezione dei carichi di lavoro cloud integrati, Microsoft Defender per ... (Server, contenitori, database, Archiviazione, servizio app e altro ancora).

Le linee guida includono le integrazioni con le soluzioni SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR), Rilevamento endpoint e risposta (EDR) e GESTIONE dei servizi IT (ITSM).

Zero Trust e Defender per il cloud

Le linee guida per la distribuzione dell'infrastruttura Zero Trust forniscono le fasi chiave della strategia Zero Trust per l'infrastruttura. Si tratta di:

  1. Valutare la conformità con gli standard e i criteri scelti
  2. Protezione avanzata della configurazione ovunque si trovino lacune
  3. Usare altri strumenti di protezione avanzata, ad esempio l'accesso JIT (Just-In-Time) alle macchine virtuali
  4. Configurare il rilevamento e le protezioni delle minacce
  5. Bloccare e contrassegna automaticamente il comportamento rischioso e intraprendere azioni protettive

Esiste un mapping chiaro dagli obiettivi descritti nelle linee guida per la distribuzione dell'infrastruttura per gli aspetti principali di Defender per il cloud.

Obiettivo Zero Trust Defender per il cloud funzionalità
Valutare la conformità In Defender per il cloud, ogni sottoscrizione ha automaticamente il benchmark di sicurezza cloud Microsoft (MCSB) assegnato come iniziativa di sicurezza predefinita.
Usando gli strumenti del punteggio di sicurezza e il dashboard di conformità alle normative è possibile ottenere una conoscenza approfondita del comportamento di sicurezza del cliente.
Configurazione della protezione avanzata L'assegnazione di iniziative di sicurezza alle sottoscrizioni e l'analisi del punteggio di sicurezza portano alle raccomandazioni di protezione avanzata integrate in Defender per il cloud. Defender per il cloud analizza periodicamente lo stato di conformità delle risorse per identificare potenziali errori di configurazione e punti deboli della sicurezza. Fornisce quindi raccomandazioni su come risolvere tali problemi.
Usare meccanismi di protezione avanzata Oltre alle correzioni occasionali per le configurazioni errate della sicurezza, Defender per il cloud include funzionalità per rafforzare ulteriormente le risorse, ad esempio:
Accesso JIT (Just-In-Time) alle macchine virtuali
Protezione avanzata adattiva della rete
Controlli applicazioni adattivi:
Impostare il rilevamento delle minacce Defender per il cloud offre piani di protezione del carico di lavoro cloud integrati, per il rilevamento e la risposta alle minacce. I piani offrono risorse e carichi di lavoro avanzati, intelligenti, di protezione di Azure, ibridi e multicloud.
Uno dei piani di Microsoft Defender, Defender per server, include un'integrazione nativa con Microsoft Defender per endpoint.
Per altre informazioni, vedere Introduzione alle Microsoft Defender per il cloud.
Blocca automaticamente il comportamento sospetto Molte delle raccomandazioni di protezione avanzata in Defender per il cloud offrono un'opzione di negazione. Questa funzionalità consente di impedire la creazione di risorse che non soddisfano i criteri di protezione avanzata definiti. Per altre informazioni, vedere Impedire gli errori di configurazione con le raccomandazioni di tipo Imponi/Nega.
Contrassegna automaticamente il comportamento sospetto gli avvisi di sicurezza di Microsoft Defender per il cloud vengono attivati da rilevamenti avanzati. Defender per il cloud assegna le priorità ed elenca gli avvisi, insieme alle informazioni necessarie per analizzare rapidamente il problema. Defender per il cloud fornisce anche passaggi dettagliati per correggere gli attacchi. Per un elenco completo degli avvisi disponibili, vedere Avvisi di sicurezza - guida di riferimento.

Proteggere i servizi PaaS di Azure con Defender per il cloud

Con Defender per il cloud abilitato nella sottoscrizione e i piani di protezione del carico di lavoro di Defender abilitati per tutti i tipi di risorse disponibili, si avrà un livello di protezione intelligente delle minacce, con tecnologia Microsoft Threat Intelligence, che protegge le risorse in Azure Key Vault, Archiviazione di Azure, DNS di Azure e altri servizi PaaS di Azure. Per un elenco completo, vedere i servizi PaaS elencati nella matrice di supporto.

App per la logica di azure

Usare App per la logica di Azure per creare flussi di lavoro scalabili automatizzati, processi aziendali e orchestrazioni aziendali per integrare le app e i dati nei servizi cloud e nei sistemi locali.

La funzionalità di automazione del flusso di lavoro di Defender per il cloud consente di automatizzare le risposte ai trigger di Defender per il cloud.

Questo è un ottimo modo per definire e rispondere in modo automatizzato e coerente quando vengono individuate le minacce. Ad esempio, per notificare agli stakeholder pertinenti, avviare un processo di gestione delle modifiche e applicare passaggi di correzione specifici quando viene rilevata una minaccia.

Integrare Defender per il cloud con le soluzioni SIEM, SOAR e ITSM

Microsoft Defender per il cloud può trasmettere gli avvisi di sicurezza nelle soluzioni SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) e IT Service Management (ITSM).

Sono disponibili strumenti nativi di Azure per garantire che sia possibile visualizzare i dati degli avvisi in tutte le soluzioni più diffuse attualmente in uso, tra cui:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar di IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender per il cloud si integra in modo nativo con Microsoft Sentinel, la soluzione SIEM (Security Information Event Management) nativa del cloud e della sicurezza soAR (Security Orchestration Automated Response).

Esistono due approcci per garantire che i dati Defender per il cloud siano rappresentati in Microsoft Sentinel:

Trasmettere avvisi con Microsoft Graph API Sicurezza

Defender per il cloud ha un'integrazione predefinita con Microsoft Graph API Sicurezza. Non è necessaria alcuna configurazione e non sono previsti costi aggiuntivi.

È possibile usare questa API per trasmettere avvisi dall'intero tenant (e i dati di molti altri prodotti Microsoft Security) in SIEM di terze parti e altre piattaforme comuni:

Altre informazioni sui API Sicurezza di Microsoft Graph.

Trasmettere avvisi con Monitoraggio di Azure

Usare la funzionalità di esportazione continua di Defender per il cloud per connettere Defender per il cloud con Monitoraggio di Azure tramite Hub eventi di Azure e trasmettere avvisi in ArcSight, SumoLogic, server Syslog, LogRhythm, Logz.io Cloud Observability Platform e altri monitoraggi Soluzioni.

Per altre informazioni, vedere Avvisi di Stream con Monitoraggio di Azure.

Questa operazione può essere eseguita anche a livello di gruppo di gestione usando Criteri di Azure, vedere Creare configurazioni di automazione dell'esportazione continua su larga scala.

Suggerimento

Per visualizzare gli schemi eventi dei tipi di dati esportati, visitare gli schemi eventi di Hub eventi.

Integrare Defender per il cloud con una soluzione di rilevamento e risposta degli endpoint

Microsoft Defender per endpoint

Microsoft Defender per endpoint è una soluzione olistica di sicurezza degli endpoint fornita dal cloud.

Microsoft Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete. Per altre informazioni, vedere Proteggere gli endpoint.

Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender per il cloud ed è possibile passare alla console di Defender per endpoint per eseguire un'indagine dettagliata e scoprire l'ambito dell'attacco. Altre informazioni sulle Microsoft Defender per endpoint.

Altre soluzioni EDR

Defender per il cloud fornisce raccomandazioni per la protezione avanzata per assicurarsi di proteggere le risorse dell'organizzazione in base alle indicazioni di Microsoft Cloud Security Benchmark (MCSB). Uno dei controlli nel benchmark è correlato alla sicurezza degli endpoint: ES-1: Usare il rilevamento degli endpoint e la risposta (EDR).

Ci sono due raccomandazioni in Defender per il cloud per assicurarsi di aver abilitato Endpoint Protection e che sia in esecuzione. Questi consigli verificano la presenza e l'integrità operativa delle soluzioni EDR da:

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

Per altre informazioni, vedere Valutazione e consigli di Endpoint Protection in Microsoft Defender per il cloud.

Applicare la strategia Zero Trust agli scenari ibridi e multi-cloud

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.

Microsoft Defender per il cloud protegge i carichi di lavoro ovunque siano in esecuzione: in Azure, in locale, Amazon Web Services (AWS) o Google Cloud Platform (GCP).

Integrare Defender per il cloud con computer locali

Per proteggere i carichi di lavoro cloud ibridi, è possibile estendere le protezioni di Defender per il cloud connettendo i computer locali ai server abilitati per Azure Arc.

Informazioni su come connettere i computer in Connessione computer non Azure a Defender per il cloud.

Integrare Defender per il cloud con altri ambienti cloud

Per visualizzare il comportamento di sicurezza dei computer Amazon Web Services in Defender per il cloud, eseguire l'onboarding degli account AWS in Defender per il cloud. In questo modo si integrerà AWS Security Hub e Microsoft Defender per il cloud per una visualizzazione unificata delle raccomandazioni Defender per il cloud e dei risultati dell'hub di sicurezza di AWS e fornirà una serie di vantaggi, come descritto in Connessione gli account AWS a Microsoft Defender per il cloud.

Per visualizzare il comportamento di sicurezza dei computer Google Cloud Platform in Defender per il cloud, eseguire l'onboarding degli account GCP in Defender per il cloud. In questo modo si integreranno i comandi di sicurezza GCP e Microsoft Defender per il cloud per una visualizzazione unificata delle raccomandazioni Defender per il cloud e dei risultati del Centro comandi di sicurezza GCP e offrirà una serie di vantaggi, come descritto in Connessione gli account GCP a Microsoft Defender per il cloud.

Passaggi successivi

Per altre informazioni sulle Microsoft Defender per il cloud, vedere la documentazione Defender per il cloud completa.