Defender per il cloud-Novità dell'archivio
Questa pagina fornisce informazioni sulle funzionalità, le correzioni e le deprecazioni precedenti a sei mesi.This page provides with information about features, fixes, and deprecations that are older than six months. Per gli aggiornamenti più recenti, vedere Novità di Defender per il cloud?.
Aprile 2024
Data | Categoria | Aggiornamento |
---|---|---|
16 aprile | Aggiornamento imminente | Modifica degli ID di valutazione CIEM. Aggiornamento stimato: maggio 2024. |
15 aprile | Disponibilità generale | Defender per contenitori ora è disponibile per AWS e GCP. |
3 aprile | Aggiornamento | La definizione delle priorità dei rischi è ora l'esperienza predefinita in Defender per il cloud |
3 aprile | Aggiornamento | Defender per database relazionali open source. |
Aggiornamento: Modifica degli ID di valutazione CIEM
16 aprile 2024
Data stimata per la modifica: maggio 2024
Le raccomandazioni seguenti sono pianificate per il rimodellamento che comporterà modifiche agli ID di valutazione:
Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed
Disponibilità generale: Defender per contenitori per AWS e GCP
15 aprile 2024
Il rilevamento delle minacce nel runtime e l'individuazione senza agente per AWS e GCP in Defender per contenitori ora sono disponibili a livello generale. Inoltre, è disponibile una nuova funzionalità di autenticazione in AWS che semplifica il provisioning.
Ulteriori informazioni sulla matrice di supporto dei contenitori in Microsoft Defender per il cloud e su come configurare i componenti di Defender per contenitori.
Aggiornamento: assegnazione delle priorità dei rischi
3 aprile 2024
La definizione delle priorità dei rischi è ora l'esperienza predefinita in Defender per il cloud. Questa funzionalità consente di concentrarsi sui problemi di sicurezza più critici nell'ambiente assegnando priorità alle raccomandazioni in base ai fattori di rischio di ogni risorsa. I fattori di rischio includono il potenziale impatto del problema di sicurezza violato, le categorie di rischio e il percorso di attacco di cui fa parte il problema di sicurezza. Altre informazioni sulla definizione delle priorità dei rischi.
Aggiornamento: Defender per database relazionali open source
3 aprile 2024
- Aggiornamenti post-disponibilità generale dei server flessibili di Defender per PostgreSQL: l'aggiornamento consente ai clienti di applicare la protezione per i server flessibili PostgreSQL esistenti a livello di sottoscrizione, consentendo una flessibilità completa per abilitare la protezione per ogni risorsa o per la protezione automatica di tutte le risorse a livello di sottoscrizione.
- Disponibilità dei server flessibili di Defender per MySQL e disponibilità generale: Defender per il cloud ha ampliato il supporto per i database relazionali open source di Azure incorporando i server flessibili MySQL.
Questa versione include:
- Compatibilità degli avvisi con gli avvisi esistenti per i server singoli di Defender per MySQL.
- Abilitazione di singole risorse.
- Abilitazione a livello di sottoscrizione.
- Gli aggiornamenti per i server flessibili di Database di Azure per MySQL vengono eseguiti nelle prossime settimane. Se viene visualizzato l'errore
The server <servername> is not compatible with Advanced Threat Protection
, è possibile attendere l'aggiornamento o aprire un ticket di supporto per aggiornare più rapidamente il server a una versione supportata.
Se si sta già proteggendo la sottoscrizione con Defender per database relazionali open source, le risorse del server flessibili vengono abilitate, protette e fatturate automaticamente. Le notifiche di fatturazione specifiche sono state inviate tramite e-mail per le sottoscrizioni interessate.
Altre informazioni su Microsoft Defender per database relazionali open source.
Marzo 2024
Disponibilità generale: Scansione delle immagini dei contenitori di Windows
31 marzo 2024
È in corso l'annuncio della disponibilità generale (GA) del supporto delle immagini dei contenitori Windows per l'analisi da parte di Defender per contenitori.
Aggiornamento: Ora l'esportazione continua include i dati del percorso di attacco
25 marzo 2024
Si annuncia che l'esportazione continua include ora i dati del percorso di attacco. Questa funzionalità consente di trasmettere i dati di sicurezza a Log Analytics in Monitoraggio di Azure, ad Hub eventi di Azure o a un'altra soluzione Security Information and Event Management (SIEM), Security Orchestration Automated Response (SOAR) o di modello di distribuzione classica IT.
Altre informazioni su Esportazione continua.
Anteprima: La scansione senza agente supporta macchine virtuali crittografate con chiave gestita dal cliente in Azure
21 marzo 2024
Fino ad ora l'analisi senza agente ha coperto le macchine virtuali crittografate con chiave gestita dal cliente in AWS e GCP. Con questa versione viene completato anche il supporto per Azure. La funzionalità usa un approccio di analisi univoco per la chiave gestita dal cliente in Azure:
- Microsoft Defender per il cloud non gestisce il processo di chiave o decrittografia. Le chiavi e la decrittografia delle chiavi sono gestite facilmente da Calcolo di Azure ed è trasparente per il servizio di scansione senza agente di Microsoft Defender per il cloud.
- I dati del disco della macchina virtuale non crittografati non vengono mai copiati o crittografati nuovamente con un'altra chiave.
- La chiave originale non viene replicata durante il processo. Eliminando i dati nella macchina virtuale di produzione e nello snapshot temporaneo di Defender per il cloud.
Durante l'anteprima pubblica questa funzionalità non viene abilitata automaticamente. Se si usa Defender per server P2 o Defender CSPM e l'ambiente dispone di macchine virtuali con dischi crittografati con chiave gestita dal cliente, è ora possibile eseguirne l'analisi per individuare vulnerabilità, segreti e malware seguendo questi passaggi di abilitazione.
Anteprima: Raccomandazioni personalizzate basate su KQL per Azure
17 marzo 2024
Le raccomandazioni personalizzate basate su KQL per Azure ora sono in anteprima pubblica e sono supportate per tutti i cloud. Per altre informazioni, vedere Creare standard di sicurezza personalizzati e consigli.
Aggiornamento: Inclusione raccomandazioni DevOps nel benchmark di sicurezza di Microsoft Cloud
13 marzo 2024
Oggi annunciamo che è ora possibile monitorare il comportamento di sicurezza e conformità di DevOps nel benchmark della sicurezza di Microsoft Cloud (MCSB) oltre ad Azure, AWS e GCP. Le valutazioni DevOps fanno parte del controllo DevOps Security nel MCSB.
MCSB è un framework che definisce i principi fondamentali di sicurezza del cloud basati su standard di settore e framework di conformità comuni. MCSB fornisce informazioni prescrittive su come implementare le raccomandazioni di sicurezza indipendenti dal cloud.
Altre informazioni sulle raccomandazioni DevOps che verranno incluse e sul benchmark della sicurezza di Microsoft Cloud.
Disponibilità generale: L'integrazione di ServiceNow è disponibile a livello generale
12 marzo 2024
È in corso l'annuncio della disponibilità generale (GA) dell'integrazione di ServiceNow.
Anteprima: Protezione delle risorse critiche in Microsoft Defender per il cloud
12 marzo 2024
Defender per il cloud include ora una funzionalità di criticità aziendale, che usa il motore di asset critici di Microsoft Security Exposure Management, per identificare e proteggere gli asset importanti tramite la definizione delle priorità dei rischi, l'analisi del percorso di attacco e Esplora sicurezza cloud. Per altre informazioni, vedere Protezione degli asset critici in Microsoft Defender per il cloud (anteprima).
Aggiornamento: Raccomandazioni avanzate di AWS e GCP con script di correzione automatizzati
12 marzo 2024
Stiamo migliorando le raccomandazioni AWS e GCP con script di correzione automatizzati che consentono di correggerli a livello di codice e su larga scala. Altre informazioni sugli script di correzione automatizzati.
Anteprima: Standard di conformità aggiunti al dashboard della conformità
6 marzo 2024
In base al feedback dei clienti, sono stati aggiunti gli standard di conformità in anteprima a Defender for Cloud.
Vedere l'elenco completo degli standard di conformità supportati
Microsoft sta lavorando costantemente all'aggiunta e all'aggiornamento di nuovi standard per gli ambienti Azure, AWS e GCP.
Informazioni su come assegnare uno standard di sicurezza.
Aggiornamento: aggiornamenti a Defender per database relazionali open source
6 marzo 2024**
Data stimata per la modifica: aprile 2024
Aggiornamenti post-disponibilità generale dei server flessibili di Defender per PostgreSQL: l'aggiornamento consente ai clienti di applicare la protezione per i server flessibili PostgreSQL esistenti a livello di sottoscrizione, consentendo una flessibilità completa per abilitare la protezione per ogni risorsa o per la protezione automatica di tutte le risorse a livello di sottoscrizione.
Disponibilità dei server flessibili di Defender per MySQL e disponibilità generale - Defender per il cloud ha ampliato il supporto per i database relazionali open source di Azure incorporando i server flessibili MySQL. Questa versione includerà:
- Compatibilità degli avvisi con gli avvisi esistenti per i server singoli di Defender per MySQL.
- Abilitazione di singole risorse.
- Abilitazione a livello di sottoscrizione.
Se si sta già proteggendo la sottoscrizione con Defender per database relazionali open source, le risorse del server flessibili vengono abilitate, protette e fatturate automaticamente. Le notifiche di fatturazione specifiche sono state inviate tramite e-mail per le sottoscrizioni interessate.
Altre informazioni su Microsoft Defender per database relazionali open source.
Aggiornamento: modifiche alle offerte per la conformità e alle impostazioni di Microsoft Actions
3 marzo 2024
Data stimata per la modifica: 30 settembre 2025
Il 30 settembre 2025, le posizioni in cui si accede a due funzionalità di anteprima, l'offerta di conformità e Azioni Microsoft, cambieranno.
La tabella che elenca lo stato di conformità dei prodotti Microsoft (a cui si accede dal pulsante Offerte di conformità nella barra degli strumenti del dashboard di conformità alle normative di Defender). Dopo aver rimosso questo pulsante da Defender per il cloud, sarà comunque possibile accedere a queste informazioni usando Service Trust Portal.
Per un sottoinsieme di controlli, Azioni Microsoft è diventato accessibile dal pulsante Azioni Microsoft (Anteprima) nel riquadro dei dettagli dei controlli. Dopo aver rimosso questo pulsante, è possibile visualizzare le azioni Microsoft visitando Service Trust Portal for FedRAMP di Microsoft e accedendo al documento Piano di sicurezza del sistema di Azure.
Aggiornamento: Modifiche alle modalità di accesso alle offerte per la conformità e a Microsoft Actions
3 marzo 2024**
Data stimata per la modifica: settembre 2025
Il 30 settembre 2025, le posizioni in cui si accede a due funzionalità di anteprima, l'offerta di conformità e Azioni Microsoft, cambieranno.
La tabella che elenca lo stato di conformità dei prodotti Microsoft (a cui si accede dal pulsante Offerte di conformità nella barra degli strumenti del dashboard di conformità alle normative di Defender). Dopo aver rimosso questo pulsante da Defender per il cloud, sarà comunque possibile accedere a queste informazioni usando Service Trust Portal.
Per un sottoinsieme di controlli, Azioni Microsoft è diventato accessibile dal pulsante Azioni Microsoft (Anteprima) nel riquadro dei dettagli dei controlli. Dopo aver rimosso questo pulsante, è possibile visualizzare le azioni Microsoft visitando Service Trust Portal for FedRAMP di Microsoft e accedendo al documento Piano di sicurezza del sistema di Azure.
Dismissione: Valutazione della vulnerabilità dei contenitori Defender per il cloud basata sul ritiro di Qualys
3 marzo 2024
La valutazione della vulnerabilità dei contenitori Defender per cloud basata su Qualys viene ritirata. Il ritiro verrà completato entro il 6 marzo e fino a quel momento i risultati parziali potrebbero essere visualizzati sia nelle raccomandazioni Qualys che nei risultati qualys nel grafico della sicurezza. Tutti i clienti che in precedenza usavano questa valutazione devono eseguire l'aggiornamento alle valutazioni delle vulnerabilità per Azure con Gestione delle vulnerabilità di Microsoft Defender. Per informazioni sulla transizione all'offerta di valutazione delle vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender, vedere Transizione da Qualys a Gestione delle vulnerabilità di Microsoft Defender.
Febbraio 2024
Data | Categoria | Aggiornamento |
---|---|---|
28 febbraio | Deprecazione | La funzione Microsoft Security Code Analysis (MSCA) non è più operativa. |
28 febbraio | Aggiornamento | La gestione dei criteri di sicurezza aggiornata espande il supporto per AWS e GCP. |
26 febbraio | Aggiornamento | Supporto cloud per Defender per contenitori |
20 febbraio | Aggiornamento | Nuova versione del sensore Defender per Defender per contenitori |
18 febbraio | Aggiornamento | Supporto alla specifica di formato di immagine OCI (Open Container Initiative) |
13 febbraio | Deprecazione | Valutazione della vulnerabilità dei contenitori AWS basata su Trivy ritirata. |
5 febbraio | Aggiornamento imminente | Rimozione delle autorizzazioni del provider di risorse Microsoft.SecurityDevOps Previsto: 6 marzo 2024 |
Dismissione: La funzione Microsoft Security Code Analysis (MSCA) non è più operativa
28 febbraio 2024
A febbraio 2021 la dismissione dell'attività MSCA è stata comunicata a tutti i clienti e la disponibilità del supporto è stata interrotta a marzo 2022. Dal 26 febbraio 2024 la funzione MSCA non è più operativa.
I clienti possono ottenere gli strumenti di sicurezza DevOps più recenti da Microsoft Defender per il cloud tramite Microsoft Security DevOps e altri strumenti di sicurezza tramite GitHub Advanced Security per Azure DevOps.
Aggiornamento: La gestione dei criteri di sicurezza aggiornata espande il supporto per AWS e GCP
28 febbraio 2024
L'esperienza aggiornata per la gestione dei criteri di sicurezza, inizialmente rilasciata in anteprima per Azure, sta espandendo il supporto per gli ambienti tra cloud (AWS e GCP). Questa versione di anteprima include:
- Gestione degli standard di conformità normativa in Defender per il cloud negli ambienti Azure, AWS e GCP.
- Stessa esperienza tra interfacce cloud per la creazione e la gestione di raccomandazioni personalizzate di Microsoft Cloud Security Benchmark (MCSB).
- L'esperienza aggiornata viene applicata a AWS e GCP per la creazione di raccomandazioni personalizzate con una query KQL.
Aggiornamento: Supporto del cloud per Defender per contenitori
26 febbraio 2024
Le funzionalità di rilevamento delle minacce del servizio Azure Kubernetes in Defender per contenitori sono ora completamente supportate nei cloud commerciali, di Azure per enti pubblici e di Azure Cina 21Vianet. Prendere in esame le funzionalità supportate.
Aggiornamento: Nuova versione del sensore di Defender per contenitori
20 febbraio 2024
È disponibile una nuova versione del sensore Defender per Defender per contenitori. Include miglioramenti delle prestazioni e della sicurezza, supporto per i nodi dell'arco AMD64 e Arm64 (solo Linux) e utilizza Inspektor Gadget come agente di raccolta dei processi invece di Sysdig. La nuova versione è supportata solo nelle versioni del kernel Linux 5.4 e successive, quindi se sono presenti versioni precedenti del kernel Linux, è necessario eseguire l'aggiornamento. Il supporto per Arm64 è disponibile solo a partire da AKS V1.29 e versioni successive. Per ulteriori informazioni, vedere Sistemi operativi host supportati.
Aggiornamento: Supporto della specifica Open Container Initiative (OCI) per il formato delle immagini
18 febbraio 2024
La specifica del formato di immagine Open Container Initiative (OCI) è ora supportata dalla valutazione delle vulnerabilità, basata su Gestione delle vulnerabilità di Microsoft Defender per AWS, cloud di Azure e GCP.
Dismissione: Valutazione della vulnerabilità dei contenitori AWS basata su Trivy ritirata
13 febbraio 2024
La valutazione della vulnerabilità dei contenitori basata su Trivy è stata ritirata. Tutti i clienti che in precedenza usavano questa valutazione devono eseguire l'aggiornamento alla nuova valutazione della vulnerabilità dei contenitori AWS basata su Gestione delle vulnerabilità di Microsoft Defender. Per istruzioni su come eseguire l'aggiornamento, vedere Come eseguire l'aggiornamento dalla valutazione della vulnerabilità Trivy ritirata alla valutazione della vulnerabilità AWS basata su Gestione delle vulnerabilità di Microsoft Defender?
Aggiornamento: Rimozione delle autorizzazioni del provider di risorse Microsoft.SecurityDevOps
5 febbraio 2024
Data stimata per la modifica: 6 marzo 2024
Microsoft Defender per il cloud sta rimuovendo le autorizzazioni del provider di risorse Microsoft.SecurityDevOps
usato durante l'anteprima pubblica della sicurezza di DevOps, dopo aver eseguito la migrazione al provider Microsoft.Security
esistente. Si applica questa modifica per migliorare l'esperienza del cliente riducendo il numero di provider di risorse associati ai connettori DevOps.
Saranno interessati i clienti che usano ancora la versione API 2022-09-01-preview in Microsoft.SecurityDevOps
per eseguire query sui dati relativi alla sicurezza di DevOps di Defender per il cloud. Per evitare interruzioni del servizio, il cliente dovrà eseguire l'aggiornamento alla nuova versione dell'API 2023-09-01-preview nel provider Microsoft.Security
.
I clienti che usano attualmente la sicurezza di DevOps di Defender per il cloud dal portale di Azure non saranno interessati.
Gennaio 2024
Aggiornamento: Nuove informazioni dettagliate per i repository attivi in Cloud Security Explorer
31 gennaio 2024
Sono state aggiunte nuove informazioni dettagliate per i repository di Azure DevOps a Cloud Security Explorer per indicare se i repository sono attivi. Queste informazioni dettagliate indicano che il repository di codice non è archiviato o disabilitato, ovvero l'accesso in scrittura al codice, alle compilazioni e alle richieste pull è ancora disponibile per gli utenti. I repository archiviati e disabilitati possono essere considerati priorità più bassa perché il codice non viene in genere usato nelle distribuzioni attive.
Per testare la query tramite Cloud Security Explorer, usare questo link alla query.
Aggiornamento: Variazione dei prezzi per il rilevamento delle minacce nei contenitori multi-cloud
30 gennaio 2024**
Data stimata per la modifica: aprile 2024
Quando il rilevamento delle minacce del contenitore multicloud passa alla disponibilità generale, non sarà più gratuito. Per altre informazioni, vedere Prezzi di Microsoft Defender for Cloud.
Aggiornamento: Applicazione di Defender CSPM per il valore di sicurezza di DevOps Premium
29 gennaio 2024**
Data stimata per la modifica: 7 marzo 2024
Defender per il cloud inizierà ad applicare il controllo del piano Defender CSPM per il valore di sicurezza di DevOps Premium a partire dal 7 marzo 2024. Se il piano Defender CSPM è abilitato in un ambiente cloud (Azure, AWS, GCP) nello stesso tenant in cui vengono creati i connettori DevOps, si continuerà a ricevere funzionalità DevOps Premium senza costi aggiuntivi. Se non si è cliente Defender CSPM, fino al 7 marzo 2024 sarà possibile abilitare Defender CSPM prima di perdere l'accesso a queste funzionalità di sicurezza. Per abilitare Defender CSPM in un ambiente cloud connesso prima del 7 marzo 2024, seguire la documentazione sull'abilitazione descritta qui.
Per altre informazioni sulle funzionalità di sicurezza di DevOps disponibili nei piani CSPM di base e Defender CSPM, vedere la documentazione che delinea la disponibilità delle funzionalità.
Per altre informazioni sulla sicurezza di DevOps in Defender per il cloud, vedere la documentazione di panoramica.
Per altre informazioni sul codice delle funzionalità di sicurezza cloud in Defender CSPM, vedere come proteggere le risorse con Defender CSPM.
Anteprima: Comportamento del contenitore senza agente per GCP in Defender per contenitori e Defender CSPM
24 gennaio 2024
Le nuove funzionalità di comportamento dei contenitori senza agente (anteprima) sono disponibili per GCP, incluse le valutazioni delle vulnerabilità per GCP con Gestione delle vulnerabilità di Microsoft Defender. Per altre informazioni su tutte le funzionalità, vedere Posture dei contenitori senza agente in Defender CSPM e Funzionalità senza agente in Defender per contenitori.
È anche possibile leggere informazioni sulla gestione del comportamento dei contenitori senza agente per multi-cloud in questo post di blog.
Anteprima: Scansione del malware senza agente per i server
16 gennaio 2024
Viene annunciato il rilascio del rilevamento di malware senza agente di Microsoft Defender per il cloud per le macchine virtuali di Azure, le istanze di AWS EC2 e le istanze di VM GCP, come nuova funzionalità inclusa in Defender per server Piano 2.
Il rilevamento di malware senza agente per le macchine virtuali è ora incluso nella piattaforma di analisi senza agente. L'analisi di malware senza agente utilizza il motore antimalware di Antivirus Microsoft Defender per analizzare e rilevare file dannosi. Eventuali minacce rilevate, attivano avvisi di sicurezza direttamente in Defender per il cloud e Defender XDR, dove possono essere esaminati e corretti. Lo scanner di malware senza agente integra la copertura basata sull'agente con un secondo livello di rilevamento delle minacce con onboarding senza attriti e non ha alcun effetto sulle prestazioni del computer.
Altre informazioni sull'analisi di malware senza agente per i server e sull'analisi senza agente per le macchine virtuali.
Disponibilità generale dell'integrazione di Microsoft Defender per il cloud con Microsoft Defender XDR
15 gennaio 2024
Microsoft annuncia la disponibilità generale dell'integrazione tra Microsoft Defender per il cloud e Microsoft Defender XDR (in precedenza Microsoft 365 Defender).
L'integrazione offre funzionalità di protezione cloud competitive nel Centro operazioni di sicurezza (SOC) quotidiane. Con Microsoft Defender per il cloud e l'integrazione di Defender XDR, i team SOC possono individuare attacchi che combinano rilevamenti da più pilastri, tra cui Cloud, Endpoint, Identità, Office 365 e altro ancora.
Altre informazioni sugli avvisi e sugli eventi imprevisti in Microsoft Defender XDR.
Aggiornamento: ruolo integrato di Azure per scansione VM senza agente
14 gennaio 2024**
Data stimata per la modifica: febbraio 2024
In Azure, l'analisi senza agente per le macchine virtuali usa un ruolo predefinito (denominato operatore del programma di analisi di macchine virtuali) con le autorizzazioni minime necessarie per analizzare e valutare eventuali problemi di sicurezza nelle macchine virtuali. Per fornire in modo continuo raccomandazioni relative all'integrità e alla configurazione dell'analisi pertinenti per le macchine virtuali con volumi crittografati, è pianificato un aggiornamento delle autorizzazioni di questo ruolo. L'aggiornamento include l'aggiunta dell'autorizzazione Microsoft.Compute/DiskEncryptionSets/read
. Questa autorizzazione consente esclusivamente l'identificazione migliorata dell'utilizzo del disco crittografato nelle macchine virtuali. Non offre altre funzionalità a Defender per il cloud per decrittografare o accedere al contenuto di questi volumi crittografati oltre ai metodi di crittografia già supportati prima di questa modifica. Questa modifica dovrebbe essere eseguita a febbraio 2024 e non è necessaria alcuna azione da parte del cliente.
Aggiornamento: annotazioni richiesta pull di sicurezza DevOps ora abilitate per impostazione predefinita per i connettori Azure DevOps
12 gennaio 2024
La sicurezza DevOps espone i risultati della sicurezza come annotazioni nelle richieste pull per aiutare gli sviluppatori a prevenire e correggere potenziali vulnerabilità di sicurezza e configurazioni errate prima di entrare nell'ambiente di produzione. A partire dal 12 gennaio 2024, le annotazioni pull sono ora abilitate per impostazione predefinita per tutti i repository Azure DevOps nuovi ed esistenti connessi a Defender per il cloud.
Per impostazione predefinita, le annotazioni pr sono abilitate solo per i risultati dell'infrastruttura con gravità elevata come codice (IaC). I clienti dovranno comunque configurare Microsoft Security for DevOps (MSDO) per l'esecuzione nelle compilazioni pull e abilitare i criteri di convalida della compilazione per le compilazioni CI nelle impostazioni del repository di Azure DevOps. I clienti possono disabilitare la funzionalità di annotazione della richiesta pull per repository specifici all'interno delle opzioni di configurazione del repository del pannello di sicurezza DevOps.
Altre informazioni sull'abilitazione delle annotazioni della richiesta pull per Azure DevOps.
Dismissione: Percorso di ritiro della valutazione della vulnerabilità predefinita di Defender per server (Qualys)
9 gennaio 2024**
Data stimata per la modifica: maggio 2024
La soluzione di valutazione della vulnerabilità predefinita di Defender per server basata su Qualys sarà ritirata; la data stimata per il completamento del ritiro è il 1° maggio 2024. Se attualmente si usa la soluzione di valutazione della vulnerabilità basata su Qualys, è consigliabile pianificare la transizione alla soluzione integrata di gestione delle vulnerabilità di Microsoft Defender.
Per ulteriori informazioni sulla decisione di unificare l'offerta di valutazione delle vulnerabilità con Gestione delle vulnerabilità di Microsoft Defender, è possibile leggere questo post del blog.
È anche possibile consultare le domande frequenti sulla transizione a Gestione delle vulnerabilità di Microsoft Defender.
Aggiornamento: requisiti di rete multicloud di Defender per il cloud
3 gennaio 2024**
Data stimata per la modifica: maggio 2024
A partire da maggio 2024, verranno ritirati i vecchi indirizzi IP associati ai servizi di individuazione multicloud per supportare miglioramenti e garantire un'esperienza più sicura ed efficiente per tutti gli utenti.
Per garantire l'accesso ininterrotto ai servizi, è necessario aggiornare l'elenco di indirizzi IP consentiti con i nuovi intervalli forniti nelle sezioni seguenti. È necessario apportare le modifiche necessarie nelle impostazioni del firewall, nei gruppi di sicurezza o in qualsiasi altra configurazione applicabile all'ambiente.
L'elenco è applicabile a tutti i piani ed è sufficiente per la funzionalità completa dell'offerta di base (gratuita) di CSPM.
Indirizzi IP da ritirare:
- Individuazione GCP: 104.208.29.200, 52.232.56.127
- Individuazione AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Nuovi intervalli IP specifici dell'area da aggiungere:
- Europa occidentale: 52.178.17.48/28
- Europa settentrionale: 13.69.233.80/28
- Stati Uniti centrali: 20.44.10.240/28
- Stati Uniti orientali 2: 20.44.19.128/28
Dicembre 2023
Consolidamento dei nomi di Service Level 2 di Defender per il cloud
30 dicembre 2023
Stiamo consolidando i nomi legacy del livello di servizio 2 per tutti i piani di Defender for Cloud in un unico nuovo nome di Service Level 2, Microsoft Defender per il cloud.
Attualmente sono disponibili quattro nomi di livello di servizio 2: Azure Defender, Advanced Threat Protection, Sicurezza dei dati avanzata e Centro sicurezza. I vari contatori per Microsoft Defender per il cloud sono raggruppati in questi nomi separati del livello di servizio 2, creando complessità quando si usano Gestione dei costi e fatturazione, Fatturazione e altri strumenti correlati alla fatturazione di Azure.
La modifica semplifica il processo di revisione degli addebiti di Microsoft Defender per il cloud e offre maggiore chiarezza nell'analisi dei costi.
Per garantire una transizione uniforme, sono state adottate misure per mantenere la coerenza degli ID prodotto/servizio, SKU e contatore. I clienti interessati riceveranno una notifica informativa del servizio di Azure per comunicare le modifiche.
Le organizzazioni che recuperano i dati sui costi chiamando le API, dovranno aggiornare i valori nelle chiamate per supportare la modifica. In questa funzione di filtro, ad esempio, i valori non restituiscono informazioni:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
VECCHIO nome del livello di servizio 2 | NUOVO nome del livello di servizio 2 | Livello di servizio - Livello di servizio 4 (nessuna modifica) |
---|---|---|
Sicurezza dei dati avanzata | Microsoft Defender for Cloud | Defender per SQL |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per registri contenitori |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per DNS |
Advanced Threat Protection | Microsoft Defender for Cloud | Azure Defender per Key Vault |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per Kubernetes |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per MySQL |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per PostgreSQL |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per Resource Manager |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender per Archiviazione |
Azure Defender | Microsoft Defender for Cloud | Defender per la gestione della superficie di attacco esterna |
Azure Defender | Microsoft Defender for Cloud | Defender per Azure Cosmos DB |
Azure Defender | Microsoft Defender for Cloud | Defender per contenitori |
Azure Defender | Microsoft Defender for Cloud | Defender per MariaDB |
Centro sicurezza | Microsoft Defender for Cloud | Defender per il Servizio app |
Centro sicurezza | Microsoft Defender for Cloud | Defender per server |
Centro sicurezza | Microsoft Defender for Cloud | Defender CSPM |
Defender per server a livello di risorsa disponibile come disponibilità generale
24 dicembre 2023
È ora possibile gestire Defender per server in risorse specifiche all'interno della sottoscrizione, offrendo il controllo completo sulla strategia di protezione. Con questa funzionalità, è possibile configurare risorse specifiche con configurazioni personalizzate diverse dalle impostazioni configurate a livello di sottoscrizione.
Altre informazioni sull'abilitazione di Defender per server a livello di risorsa.
Ritiro dei connettori classici per multi-cloud
21 dicembre 2023
L'esperienza classica del connettore multi-cloud viene ritirata e i dati non vengono più trasmessi ai connettori creati tramite tale meccanismo. Questi connettori classici sono stati usati per connettere le raccomandazioni di AWS Security Hub e GCP Security Command Center a Microsoft Defender per il cloud ed eseguire l'onboarding di AWS EC2s in Defender per server.
Il valore completo di questi connettori è stato sostituito con l'esperienza nativa dei connettori di sicurezza multi-cloud, disponibile a livello generale per AWS e GCP a partire da marzo 2022 senza costi aggiuntivi.
I nuovi connettori nativi sono inclusi nel piano e offrono un'esperienza di onboarding automatizzato con opzioni per eseguire l'onboarding di singoli account, più account (con Terraform) e l'onboarding aziendale con provisioning automatico per i piani di Defender seguenti: funzionalità CSPM di base gratuite, Defender Cloud Security Posture Management (CSPM), Defender per server, Defender per SQL e Defender per contenitori.
Rilascio della cartella di lavoro coverage
21 dicembre 2023
La cartella di lavoro Coverage consente di tenere traccia dei piani di Microsoft Defender per il cloud attivi in quali parti degli ambienti. Questa cartella di lavoro consente di assicurarsi che gli ambienti e le sottoscrizioni siano completamente protetti. Avendo accesso a informazioni dettagliate sulla copertura, è anche possibile identificare tutte le aree che potrebbero richiedere altre misure di protezione e intervenire per risolvere tali aree.
Altre informazioni sulla cartella di lavoro Copertura.
Disponibilità generale della valutazione delle vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender in Azure per enti pubblici e Azure gestita da 21Vianet
14 dicembre 2023
La valutazione della vulnerabilità (VA) per le immagini dei contenitori Linux nei registri contenitori di Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender viene rilasciata per la disponibilità generale (GA) in Azure per enti pubblici e Azure gestito da 21Vianet. Questa nuova versione è disponibile nei piani Defender per contenitori e Defender per registri contenitori.
- Come parte di questa modifica, sono state rilasciate nuove raccomandazioni per la disponibilità generale e incluse nel calcolo del punteggio di sicurezza. Esaminare le raccomandazioni sulla sicurezza nuove e aggiornate
- L'analisi delle immagini del contenitore con tecnologia Gestione delle vulnerabilità di Microsoft Defender ora comporta anche addebiti in base ai prezzi del piano. Si noti che le immagini analizzate sia dall'offerta di valutazione del contenitore basata su Qualys che dall'offerta contenitore VA basata su Gestione delle vulnerabilità di Microsoft Defender verranno fatturate una sola volta.
Le raccomandazioni qualys per la valutazione della vulnerabilità dei contenitori sono state rinominate e continuano a essere disponibili per i clienti che hanno abilitato Defender per contenitori in una delle sottoscrizioni precedenti a questa versione. I nuovi clienti che eseguino l'onboarding di Defender per contenitori dopo questa versione vedranno solo le nuove raccomandazioni per la valutazione delle vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender.
Anteprima pubblica del supporto di Windows per la valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender
14 dicembre 2023
Il supporto per le immagini Windows è stato rilasciato in anteprima pubblica come parte della valutazione della vulnerabilità (VA) basata su Gestione delle vulnerabilità di Microsoft Defender per i registri contenitori di Azure e i servizi Azure Kubernetes.
Ritiro della valutazione della vulnerabilità dei contenitori AWS basata su Trivy
13 dicembre 2023
La valutazione della vulnerabilità dei contenitori basata su Trivy è ora in un percorso di ritiro da completare entro il 13 febbraio. Questa funzionalità è ora deprecata e continuerà a essere disponibile per i clienti esistenti che usano questa funzionalità fino al 13 febbraio. Invitiamo i clienti a usare questa funzionalità per eseguire l'aggiornamento alla nuova valutazione della vulnerabilità dei contenitori AWS basata su Gestione delle vulnerabilità di Microsoft Defender entro il 13 febbraio.
Comportamento dei contenitori senza agente per AWS in Defender per contenitori e Defender CSPM (anteprima)
13 dicembre 2023
Le nuove funzionalità di comportamento dei contenitori senza agente (anteprima) sono disponibili per AWS. Per altre informazioni, vedere Comportamento dei contenitori senza agente in Defender CSPM e Funzionalità senza agente in Defender per contenitori.
Supporto della disponibilità generale per il server flessibile PostgreSQL in Defender per il piano dei database relazionali open source
13 dicembre 2023
È in corso l'annuncio della versione disponibile a livello generale del supporto del server flessibile PostgreSQL nel piano Microsoft Defender per database relazionali open source. Microsoft Defender per database relazionali open source fornisce una protezione avanzata dalle minacce ai server flessibili PostgreSQL, rilevando attività anomale e generando avvisi di sicurezza.
Informazioni su come abilitare Microsoft Defender per database relazionali open source.
La valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender supporta ora Google Distroless
12 dicembre 2023
Le valutazioni delle vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender sono state estese con copertura aggiuntiva per i pacchetti del sistema operativo Linux, ora supportando Google Ditroless.
Per un elenco di tutti i sistemi operativi supportati, vedere Supporto di registri e immagini per Azure - valutazione della vulnerabilità basata su Gestione delle vulnerabilità di Microsoft Defender.
Novembre 2023
Quattro avvisi sono deprecati
30 novembre 2023
Nell'ambito del processo di miglioramento della qualità, gli avvisi di sicurezza seguenti sono deprecati:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
Suspicious process termination burst (VM_TaskkillBurst)
PsExec execution detected (VM_RunByPsExec)
Disponibilità generale dell'analisi dei segreti senza agente in Defender per server e Defender CSPM
27 novembre 2023
L'analisi dei segreti senza agente migliora l'Macchine virtuali (VM) basata sul cloud di sicurezza identificando i segreti in testo non crittografato nei dischi delle macchine virtuali. L'analisi dei segreti senza agente fornisce informazioni complete per aiutare a classificare in ordine di priorità i risultati rilevati e ridurre i rischi di spostamento laterale prima che si verifichino. Questo approccio proattivo impedisce l'accesso non autorizzato, assicurando che l'ambiente cloud rimanga sicuro.
È in corso l'annuncio della disponibilità generale dell'analisi dei segreti senza agente, inclusa sia nei piani Defender per Server P2 che in Defender CSPM .
L'analisi dei segreti senza agente usa le API cloud per acquisire snapshot dei dischi, effettuando analisi fuori banda che garantisce che non vi siano effetti sulle prestazioni della macchina virtuale. L'analisi dei segreti senza agente amplia la copertura offerta da Defender per il cloud sugli asset cloud negli ambienti Azure, AWS e GCP per migliorare la sicurezza cloud.
Con questa versione, le funzionalità di rilevamento di Defender per il cloud ora supportano altri tipi di database, URL firmati dall'archivio dati, token di accesso e altro ancora.
Informazioni su come gestire i segreti con l'analisi dei segreti senza agente.
Abilitare la gestione delle autorizzazioni con Defender per il cloud (anteprima)
22 novembre 2023
Microsoft offre ora soluzioni CLOUD-Native Application Protection Platforms (CNAPP) e Cloud Infrastructure Entitlement Management (CIEM) con Microsoft Defender per il cloud (CNAPP) e Microsoft Entra permissions management (CIEM).
Gli amministratori della sicurezza possono ottenere una visualizzazione centralizzata delle autorizzazioni di accesso inutilizzate o eccessive all'interno di Defender per il cloud.
I team di sicurezza possono guidare i controlli di accesso con privilegi minimi per le risorse cloud e ricevere raccomandazioni utili per risolvere i rischi per le autorizzazioni negli ambienti cloud Azure, AWS e GCP come parte della gestione del comportamento di sicurezza di Defender Cloud, senza requisiti di licenza aggiuntivi.
Informazioni su come abilitare la gestione delle autorizzazioni in Microsoft Defender per il cloud (anteprima).
integrazione di Defender per il cloud con ServiceNow
22 novembre 2023
ServiceNow è ora integrato con Microsoft Defender per il cloud, che consente ai clienti di connettere ServiceNow all'ambiente Defender per il cloud per definire la priorità della correzione delle raccomandazioni che influiscono sull'azienda. Microsoft Defender per il cloud si integra con il modulo Gestione dei servizi IT (gestione degli eventi imprevisti). Nell'ambito di questa connessione, i clienti possono creare/visualizzare i ticket ServiceNow (collegati alle raccomandazioni) da Microsoft Defender per il cloud.
Altre informazioni sull'integrazione di Defender per il cloud con ServiceNow.
Disponibilità generale del processo di provisioning automatico per SQL Server nei computer
20 novembre 2023
In preparazione alla deprecazione di Microsoft Monitoring Agent (MMA) nell'agosto 2024, Defender per il cloud rilasciato un processo di provisioning automatico di Azure Monitoring Agent (AMA) di destinazione di SQL Server. Il nuovo processo viene abilitato e configurato automaticamente per tutti i nuovi clienti e offre anche la possibilità di abilitare a livello di risorsa per le macchine virtuali SQL di Azure e SQL Server abilitati per Arc.
Ai clienti che usano il processo di provisioning automatico MMA viene richiesto di eseguire la migrazione al nuovo agente di monitoraggio di Azure per SQL Server nei computer che eseguono il provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.
Disponibilità generale di Defender per le API
15 novembre 2023
È in corso l'annuncio della disponibilità generale di Microsoft Defender per le API. Defender per le API è progettato per proteggere le organizzazioni dalle minacce alla sicurezza delle API.
Defender per LE API consente alle organizzazioni di proteggere le API e i dati da attori malintenzionati. Le organizzazioni possono analizzare e migliorare il comportamento di sicurezza delle API, classificare in ordine di priorità le correzioni delle vulnerabilità e rilevare e rispondere rapidamente alle minacce attive in tempo reale. Le organizzazioni possono anche integrare gli avvisi di sicurezza direttamente nella piattaforma SIEM (Security Incident and Event Management), ad esempio Microsoft Sentinel, per analizzare e valutare i problemi.
È possibile imparare a proteggere le API con Defender per le API. È anche possibile ottenere altre informazioni su Microsoft Defender per le API.
È anche possibile leggere questo blog per altre informazioni sull'annuncio ga.
Defender per il cloud è ora integrato con Microsoft 365 Defender (anteprima)
15 novembre 2023
Le aziende possono proteggere le risorse e i dispositivi cloud con la nuova integrazione tra Microsoft Defender per il cloud e Microsoft Defender XDR. Questa integrazione connette i puntini tra risorse cloud, dispositivi e identità, che in precedenza richiedevano più esperienze.
L'integrazione offre anche funzionalità di protezione cloud competitive nel Centro operazioni di sicurezza (SOC) quotidiane. Con Microsoft Defender XDR, i team SOC possono facilmente individuare attacchi che combinano rilevamenti da più pilastri, tra cui Cloud, Endpoint, Identità, Office 365 e altro ancora.
Alcuni dei vantaggi principali includono:
Un'interfaccia facile da usare per i team SOC: con gli avvisi e le correlazioni cloud di Defender per il cloud integrati in M365D, i team SOC possono ora accedere a tutte le informazioni di sicurezza da un'unica interfaccia, migliorando significativamente l'efficienza operativa.
Una storia di attacco: i clienti sono in grado di comprendere la storia completa degli attacchi, incluso l'ambiente cloud, usando correlazioni predefinite che combinano avvisi di sicurezza da più origini.
Nuove entità cloud in Microsoft Defender XDR: Microsoft Defender XDR supporta ora nuove entità cloud univoche per Microsoft Defender per il cloud, ad esempio le risorse cloud. I clienti possono associare le entità di macchina virtuale alle entità del dispositivo, fornendo una visualizzazione unificata di tutte le informazioni pertinenti su un computer, inclusi avvisi ed eventi imprevisti attivati.
API unificata per i prodotti Microsoft Security: i clienti possono ora esportare i dati degli avvisi di sicurezza nei sistemi scelti usando una singola API, perché Microsoft Defender per il cloud avvisi e eventi imprevisti fanno ora parte dell'API pubblica di Microsoft Defender XDR.
L'integrazione tra Defender per il cloud e Microsoft Defender XDR è disponibile per tutti i clienti Defender per il cloud nuovi ed esistenti.
Disponibilità generale della valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender (MDVM) in Defender per contenitori e Defender per registri contenitori
15 novembre 2023
La valutazione della vulnerabilità (VA) per le immagini dei contenitori Linux nei registri contenitori di Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender (MDVM) viene rilasciata per la disponibilità generale (GA) in Defender per contenitori e Defender per registri contenitori.
Come parte di questa modifica, sono state rilasciate le raccomandazioni seguenti per la disponibilità generale e rinominate e sono ora incluse nel calcolo del punteggio di sicurezza:
Nome della raccomandazione corrente | Nuovo nome della raccomandazione | Descrizione | Chiave di valutazione |
---|---|---|---|
Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | Le immagini del contenitore del registro in esecuzione in Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | Le valutazioni delle vulnerabilità dell'immagine del contenitore analizzano il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
Le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
L'analisi delle immagini del contenitore basata su MDVM ora comporta anche addebiti in base ai prezzi del piano.
Nota
Le immagini analizzate sia dall'offerta di valutazione del contenitore basata su Qualys che dall'offerta contenitore VA basata su MDVM verranno fatturate una sola volta.
Le raccomandazioni qualys seguenti per la valutazione della vulnerabilità dei contenitori sono state rinominate e continueranno a essere disponibili per i clienti che hanno abilitato Defender per contenitori in una delle sottoscrizioni precedenti al 15 novembre. I nuovi clienti che eseguino l'onboarding di Defender per contenitori dopo il 15 novembre vedranno solo le nuove raccomandazioni di valutazione della vulnerabilità dei contenitori basate su Gestione delle vulnerabilità di Microsoft Defender.
Nome della raccomandazione corrente | Nuovo nome della raccomandazione | Descrizione | Chiave di valutazione |
---|---|---|---|
I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys) | Le immagini del contenitore del registro Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
Passare ai nomi delle raccomandazioni per le valutazioni delle vulnerabilità dei contenitori
Sono state rinominate le raccomandazioni seguenti relative alle valutazioni delle vulnerabilità dei contenitori:
Nome della raccomandazione corrente | Nuovo nome della raccomandazione | Descrizione | Chiave di valutazione |
---|---|---|---|
I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys) | Le immagini del contenitore del registro Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
Le immagini del registro contenitori elastici devono avere i risultati della vulnerabilità risolti | Le immagini dei contenitori del registro AWS devono avere vulnerabilità risolte: (con tecnologia Trivy) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
La definizione delle priorità dei rischi è ora disponibile per le raccomandazioni
15 novembre 2023
È ora possibile classificare in ordine di priorità le raccomandazioni sulla sicurezza in base al livello di rischio che rappresentano, prendendo in considerazione sia l'exploitbilità che il potenziale effetto aziendale di ogni problema di sicurezza sottostante.
Organizzando le raccomandazioni in base al livello di rischio (critico, alto, medio, basso), è possibile affrontare i rischi più critici all'interno dell'ambiente e classificare in ordine di priorità in modo efficiente la correzione dei problemi di sicurezza in base al rischio effettivo, ad esempio l'esposizione a Internet, la riservatezza dei dati, le possibilità di spostamento laterale e i possibili percorsi di attacco che potrebbero essere mitigati risolvendo le raccomandazioni.
Altre informazioni sulla definizione delle priorità dei rischi.
Analisi del percorso di attacco nuovo motore e miglioramenti estesi
15 novembre 2023
Vengono rilasciati miglioramenti alle funzionalità di analisi del percorso di attacco in Defender per il cloud.
Nuovo motore: l'analisi del percorso di attacco ha un nuovo motore , che usa l'algoritmo di ricerca del percorso per rilevare ogni possibile percorso di attacco presente nell'ambiente cloud (in base ai dati presenti nel grafico). È possibile trovare molti altri percorsi di attacco nell'ambiente e rilevare modelli di attacco più complessi e sofisticati che gli utenti malintenzionati possono usare per violare l'organizzazione.
Miglioramenti : vengono rilasciati i miglioramenti seguenti:
- Definizione delle priorità dei rischi: elenco con priorità dei percorsi di attacco in base al rischio (exploitability & business affect).
- Correzione migliorata: individuando le raccomandazioni specifiche che devono essere risolte per interrompere effettivamente la catena.
- Percorsi di attacco tra cloud: rilevamento dei percorsi di attacco tra cloud (percorsi che iniziano in un cloud e terminano in un altro).
- MITRE : mapping di tutti i percorsi di attacco al framework MITRE.
- Esperienza utente aggiornata: esperienza aggiornata con funzionalità più avanzate: filtri avanzati, ricerca e raggruppamento di percorsi di attacco per consentire una valutazione più semplice.
Informazioni su come identificare e correggere i percorsi di attacco.
Modifiche allo schema di tabella di Azure Resource Graph del percorso di attacco
15 novembre 2023
Lo schema di tabella di Azure Resource Graph del percorso di attacco viene aggiornato. La attackPathType
proprietà viene rimossa e vengono aggiunte altre proprietà.
Versione di disponibilità generale del supporto GCP in Defender CSPM
15 novembre 2023
Viene annunciata la versione ga (disponibilità generale) del grafico contestuale della sicurezza cloud contestuale di Defender CSPM e l'analisi del percorso di attacco con supporto per le risorse GCP. È possibile applicare la potenza di Defender CSPM per la visibilità completa e la sicurezza del cloud intelligente tra le risorse GCP.
Le funzionalità principali del supporto GCP includono:
- Analisi del percorso di attacco: comprendere le potenziali route che potrebbero essere usate dagli utenti malintenzionati.
- Esplora sicurezza cloud: identificare in modo proattivo i rischi per la sicurezza eseguendo query basate su grafo nel grafico della sicurezza.
- Analisi senza agente: consente di analizzare i server e identificare segreti e vulnerabilità senza installare un agente.
- Comportamento di sicurezza compatibile con i dati: individuare e correggere i rischi per i dati sensibili nei bucket di Google Cloud Storage.
Altre informazioni sulle opzioni di piano cspm di Defender.
Nota
La fatturazione per la versione disponibile a livello generale del supporto GCP in Defender CSPM inizierà il 1° febbraio 2024.
Versione di disponibilità generale del dashboard sicurezza dei dati
15 novembre 2023
Il dashboard di sicurezza dei dati è ora disponibile in Disponibilità generale (GA) come parte del piano CSPM di Defender.
Il dashboard sulla sicurezza dei dati consente di visualizzare il patrimonio di dati dell'organizzazione, i rischi per i dati sensibili e le informazioni dettagliate sulle risorse dei dati.
Altre informazioni sul dashboard di sicurezza dei dati.
Rilascio di disponibilità generale dell'individuazione dei dati sensibili per i database
15 novembre 2023
L'individuazione dei dati sensibili per i database gestiti, inclusi i database SQL di Azure e le istanze di AWS RDS (tutte le versioni RDBMS) è ora disponibile a livello generale e consente l'individuazione automatica dei database critici che contengono dati sensibili.
Per abilitare questa funzionalità in tutti gli archivi dati supportati negli ambienti, è necessario abilitare Sensitive data discovery
in Defender CSPM. Informazioni su come abilitare l'individuazione dei dati sensibili in Defender CSPM.
È anche possibile scoprire come viene usata l'individuazione dei dati sensibili nel comportamento di sicurezza compatibile con i dati.
Annuncio di anteprima pubblica: nuova visibilità estesa sulla sicurezza dei dati multicloud in Microsoft Defender per il cloud.
La nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti è ora disponibile a livello generale
6 novembre 2023
Un agente aggiuntivo non è più necessario nelle macchine virtuali di Azure e nei computer Azure Arc per assicurarsi che i computer dispongano di tutti gli aggiornamenti di sistema critici o della sicurezza più recenti.
Il nuovo sistema aggiorna la raccomandazione, System updates should be installed on your machines (powered by Azure Update Manager)
nel Apply system updates
controllo, si basa su Gestione aggiornamenti ed è ora completamente disponibile a livello generale. La raccomandazione si basa su un agente nativo incorporato in ogni macchina virtuale di Azure e nei computer Azure Arc anziché in un agente installato. La correzione rapida nella nuova raccomandazione consente di passare a un'installazione unica degli aggiornamenti mancanti nel portale di Gestione aggiornamenti.
Le versioni precedenti e le nuove delle raccomandazioni per trovare gli aggiornamenti di sistema mancanti saranno entrambi disponibili fino ad agosto 2024, ovvero quando la versione precedente è deprecata. Entrambe le raccomandazioni: System updates should be installed on your machines (powered by Azure Update Manager)
e System updates should be installed on your machines
sono disponibili con lo stesso controllo: Apply system updates
e hanno gli stessi risultati. Di conseguenza, non c'è duplicazione nell'effetto sul punteggio di sicurezza.
È consigliabile eseguire la migrazione alla nuova raccomandazione e rimuovere quella precedente disabilitandola dall'iniziativa predefinita di Defender per il cloud in Criteri di Azure.
La raccomandazione [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
è anche disponibile a livello generale ed è un prerequisito, che avrà un effetto negativo sul punteggio di sicurezza. È possibile correggere l'effetto negativo con la correzione disponibile.
Per applicare la nuova raccomandazione, è necessario:
- Connettere i computer non Azure ad Arc.
- Attivare la proprietà di valutazione periodica. È possibile usare la correzione rapida nella nuova raccomandazione per
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
correggere la raccomandazione.
Nota
L'abilitazione delle valutazioni periodiche per i computer con abilitazione di Arc che Defender per server piano 2 non è abilitata nella sottoscrizione o nel connettore correlato è soggetta ai prezzi di Azure Update Manager. I computer abilitati per Arc abilitati per cui Defender per server piano 2 è abilitato nella sottoscrizione o nei connettori correlati o in qualsiasi macchina virtuale di Azure, sono idonei per questa funzionalità senza costi aggiuntivi.
Ottobre 2023
Modifica della gravità dell'avviso di sicurezza dei controlli applicazioni adattivi
Data annuncio: 30 ottobre 2023
Nell'ambito del processo di miglioramento della qualità degli avvisi di sicurezza di Defender per server e come parte della funzionalità dei controlli applicazioni adattivi, la gravità dell'avviso di sicurezza seguente cambia in "Informativo":
Avviso [Tipo di avviso] | Descrizione avviso |
---|---|
È stata controllato la violazione dei criteri di controllo delle applicazioni adattivi. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione. |
Per continuare a visualizzare questo avviso nella pagina "Avvisi di sicurezza" nel portale di Microsoft Defender per il cloud, modificare la gravità del filtro di visualizzazione predefinito in modo da includere gli avvisi informativi nella griglia.
Revisioni di Azure Gestione API offline rimosse da Defender per le API
25 ottobre 2023
Defender per LE API ha aggiornato il supporto per le revisioni dell'API Gestione API di Azure. Le revisioni offline non vengono più visualizzate nell'inventario di Defender per le API di cui è stato eseguito l'onboarding e non sembrano più essere caricate in Defender per le API. Le revisioni offline non consentono l'invio di traffico e non comportano alcun rischio dal punto di vista della sicurezza.
Raccomandazioni sulla gestione del comportamento di sicurezza DevOps disponibili nell'anteprima pubblica
19 ottobre 2023
Le nuove raccomandazioni per la gestione del comportamento devOps sono ora disponibili in anteprima pubblica per tutti i clienti con un connettore per Azure DevOps o GitHub. La gestione del comportamento devOps consente di ridurre la superficie di attacco degli ambienti DevOps individuando punti deboli nelle configurazioni di sicurezza e nei controlli di accesso. Altre informazioni sulla gestione del comportamento di DevOps.
Rilascio di CIS Azure Foundations Benchmark v2.0.0 nel dashboard di conformità alle normative
18 ottobre 2023
Microsoft Defender per il cloud ora supporta la versione più recente CIS Azure Security Foundations Benchmark - versione 2.0.0 nel dashboard conformità alle normative e un'iniziativa di criteri predefinita in Criteri di Azure. Il rilascio della versione 2.0.0 in Microsoft Defender per il cloud è uno sforzo collaborativo congiunto tra Microsoft, il Center for Internet Security (CIS) e le community degli utenti. La versione 2.0.0 espande significativamente l'ambito di valutazione, che ora include 90 criteri predefiniti di Azure e ha esito positivo nelle versioni precedenti 1.4.0 e 1.3.0 e 1.0 in Microsoft Defender per il cloud e Criteri di Azure. Per altre informazioni, è possibile consultare questo post di blog.
Settembre 2023
Passare al limite giornaliero di Log Analytics
Monitoraggio di Azure offre la possibilità di impostare un limite giornaliero sui dati inseriti nelle aree di lavoro Log Analytics. Tuttavia, gli eventi di sicurezza di Defender per cloud non sono attualmente supportati in tali esclusioni.
Il limite giornaliero di Log Analytics non esclude più il set di dati seguente:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Tutti i tipi di dati fatturabili verranno limitati se viene raggiunto il limite giornaliero. Questa modifica migliora la capacità di contenere completamente i costi derivanti dall'inserimento dei dati superiore al previsto.
Altre informazioni sulle aree di lavoro con Microsoft Defender per il cloud.
Dashboard di sicurezza dei dati disponibile in anteprima pubblica
27 settembre 2023
Il dashboard di sicurezza dei dati è ora disponibile in anteprima pubblica come parte del piano CSPM di Defender. Il dashboard di sicurezza dei dati è un dashboard interattivo incentrato sui dati che illumina rischi significativi per i dati sensibili, assegnando priorità agli avvisi e ai potenziali percorsi di attacco per i dati nei carichi di lavoro cloud ibridi. Altre informazioni sul dashboard di sicurezza dei dati.
Versione di anteprima: nuovo processo di provisioning automatico per SQL Server nei computer
21 settembre 2023
Microsoft Monitoring Agent (MMA) è deprecato nell'agosto 2024. Defender per il cloud aggiornata è la strategia sostituendo MMA con il rilascio di un processo di provisioning automatico di Azure Monitoring Agent destinato a SQL Server.
Durante l'anteprima, i clienti che usano il processo di provisioning automatico MMA con l'opzione Agente di Monitoraggio di Azure (anteprima) vengono richiesti di eseguire la migrazione al nuovo agente di monitoraggio di Azure per SQL Server nei computer (anteprima) processo di provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.
Per altre informazioni, vedere Eseguire la migrazione al processo di provisioning automatico di Azure Monitoring Agent destinato a SQL Server.
Sicurezza avanzata di GitHub per gli avvisi di Azure DevOps in Defender per il cloud
20 settembre 2023
È ora possibile visualizzare gli avvisi di GitHub Advanced Security for Azure DevOps (GHAzDO) correlati a CodeQL, segreti e dipendenze in Defender per il cloud. I risultati vengono visualizzati nella pagina DevOps e in Raccomandazioni. Per visualizzare questi risultati, eseguire l'onboarding dei repository abilitati per GHAzDO per Defender per il cloud.
Altre informazioni su GitHub Advanced Security per Azure DevOps.
Funzionalità esentate ora disponibili per le raccomandazioni di Defender per le API
11 settembre 2023
È ora possibile esentare le raccomandazioni per le raccomandazioni sulla sicurezza di Defender per le API seguenti.
Elemento consigliato | Descrizione e criteri correlati | Gravità |
---|---|---|
(Anteprima) Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio azure Gestione API | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio azure Gestione API. Mantenere gli endpoint API inutilizzati potrebbe comportare un rischio per la sicurezza. Queste potrebbero essere API che dovrebbero essere deprecate dal servizio Azure Gestione API, ma che sono state accidentalmente lasciate attive. Queste API in genere non ricevono la copertura di sicurezza più aggiornata. | Basso |
(Anteprima) Gli endpoint API in Azure Gestione API devono essere autenticati | Gli endpoint API pubblicati in Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi per la sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Per le API pubblicate in Azure Gestione API, questa raccomandazione valuta l'esecuzione dell'autenticazione tramite le chiavi di sottoscrizione, il token JWT e il certificato client configurati in Azure Gestione API. Se nessuno di questi meccanismi di autenticazione viene eseguito durante la chiamata API, l'API riceverà questa raccomandazione. | Alto |
Altre informazioni sull'esenzione delle raccomandazioni in Defender per il cloud.
Creare avvisi di esempio per i rilevamenti di Defender per le API
11 settembre 2023
È ora possibile generare avvisi di esempio per i rilevamenti di sicurezza rilasciati come parte dell'anteprima pubblica di Defender per le API. Altre informazioni sulla generazione di avvisi di esempio in Defender per il cloud.
Versione di anteprima: la valutazione delle vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender ora supporta l'analisi sul pull
6 settembre 2023
La valutazione della vulnerabilità dei contenitori basata su Gestione delle vulnerabilità di Microsoft Defender supporta ora un trigger aggiuntivo per l'analisi delle immagini estratte da un Registro Azure Container. Questo trigger appena aggiunto offre una copertura aggiuntiva per le immagini attive oltre ai trigger esistenti che analizzano le immagini di cui è stato eseguito il push in un Registro Azure Container negli ultimi 90 giorni e le immagini attualmente in esecuzione nel servizio Azure Kubernetes.
Il nuovo trigger inizierà a essere implementato oggi e dovrebbe essere disponibile per tutti i clienti entro la fine di settembre.
Aggiornamento del formato di denominazione degli standard CIS (Center for Internet Security) nella conformità alle normative
6 settembre 2023
Il formato di denominazione dei benchmark di base CIS (Center for Internet Security) nel dashboard di conformità viene modificato da [Cloud] CIS [version number]
a CIS [Cloud] Foundations v[version number]
. Fare riferimento alla tabella seguente:
Nome corrente | Nuovo nome |
---|---|
Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Informazioni su come migliorare la conformità alle normative.
Individuazione dei dati sensibili per i database PaaS (anteprima)
5 settembre 2023
Le funzionalità di sicurezza con riconoscimento dei dati per l'individuazione dei dati sensibili senza problemi per i database PaaS (database SQL di Azure e istanze di Amazon RDS di qualsiasi tipo) sono ora disponibili in anteprima pubblica. Questa anteprima pubblica consente di creare una mappa dei dati critici ovunque si trovino e il tipo di dati presenti in tali database.
L'individuazione dei dati sensibili per i database di Azure e AWS aggiunge alla tassonomia e alla configurazione condivise, che è già disponibile pubblicamente per le risorse di archiviazione degli oggetti cloud (Archiviazione BLOB di Azure, bucket AWS S3 e bucket di archiviazione GCP) e offre una singola configurazione e un'esperienza di abilitazione.
I database vengono analizzati su base settimanale. Se si abilita sensitive data discovery
, l'individuazione viene eseguita entro 24 ore. I risultati possono essere visualizzati in Cloud Security Explorer o esaminando i nuovi percorsi di attacco per i database gestiti con dati sensibili.
Il comportamento di sicurezza compatibile con i dati per i database è disponibile tramite il piano CSPM di Defender e viene abilitato automaticamente nelle sottoscrizioni in cui sensitive data discovery
è abilitata l'opzione .
Per altre informazioni sul comportamento di sicurezza compatibile con i dati, vedere gli articoli seguenti:
- Supporto e prerequisiti per il comportamento di sicurezza compatibile con i dati
- Abilitare il comportamento di sicurezza compatibile con i dati
- Esplorare i rischi per i dati sensibili
Disponibilità generale (GA): analisi malware in Defender per Archiviazione
1 settembre 2023
L'analisi malware è ora disponibile a livello generale come componente aggiuntivo per Defender per Archiviazione. L'analisi di malware in Defender per Archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi eseguendo un'analisi completa del malware sui contenuti caricati quasi in tempo reale, usando Antivirus Microsoft Defender funzionalità. È progettata per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili. La funzionalità di analisi malware è una soluzione SaaS senza agente che consente la configurazione su larga scala e supporta l'automazione della risposta su larga scala.
Altre informazioni sull'analisi di malware in Defender per Archiviazione.
L'analisi malware è prezzo in base all'utilizzo e al budget dei dati. La fatturazione inizia il 3 settembre 2023. Per altre informazioni, visitare la pagina dei prezzi.
Se si usa il piano precedente, è necessario eseguire la migrazione proattiva al nuovo piano per abilitare l'analisi malware.
Leggere il post di blog sull'annuncio Microsoft Defender per il cloud.
Agosto 2023
Gli aggiornamenti del mese di agosto includono quanto segue:
Defender per contenitori: individuazione senza agente per Kubernetes
30 agosto 2023
Microsoft è lieta di presentare Defender Per contenitori: individuazione senza agente per Kubernetes. Questa versione segna un passo avanti significativo nella sicurezza dei contenitori, consentendo di ottenere informazioni dettagliate avanzate e funzionalità di inventario complete per gli ambienti Kubernetes. La nuova offerta di contenitori è basata sul grafico di sicurezza contestuale Defender per il cloud. Ecco cosa ci si può aspettare da questo aggiornamento più recente:
- Individuazione Kubernetes senza agente
- Funzionalità complete di inventario
- Informazioni dettagliate sulla sicurezza specifiche di Kubernetes
- Ricerca avanzata dei rischi con Cloud Security Explorer
L'individuazione senza agente per Kubernetes è ora disponibile per tutti i clienti di Defender For Containers. È possibile iniziare subito a usare queste funzionalità avanzate. È consigliabile aggiornare le sottoscrizioni per avere il set completo di estensioni abilitate e trarre vantaggio dalle aggiunte e dalle funzionalità più recenti. Visitare il riquadro Ambiente e impostazioni della sottoscrizione di Defender per contenitori per abilitare l'estensione.
Nota
L'abilitazione delle aggiunte più recenti non comporta nuovi costi per i clienti attivi di Defender per contenitori.
Per altre informazioni, vedere Panoramica della sicurezza dei contenitori di Microsoft Defender per contenitori.
Versione consigliata: Microsoft Defender per Archiviazione deve essere abilitato con l'analisi malware e il rilevamento delle minacce ai dati sensibili
22 agosto 2023
È stata rilasciata una nuova raccomandazione in Defender per Archiviazione. Questa raccomandazione garantisce che Defender per Archiviazione sia abilitato a livello di sottoscrizione con funzionalità di analisi malware e rilevamento delle minacce ai dati sensibili.
Suggerimento | Descrizione |
---|---|
Microsoft Defender per Archiviazione deve essere abilitato con l'analisi malware e il rilevamento delle minacce ai dati sensibili | Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. Con una semplice configurazione senza agente su larga scala, se abilitata a livello di sottoscrizione, tutti gli account di archiviazione esistenti e appena creati in tale sottoscrizione verranno protetti automaticamente. È anche possibile escludere account di archiviazione specifici da sottoscrizioni protette. |
Questa nuova raccomandazione sostituisce la raccomandazione Microsoft Defender for Storage should be enabled
corrente (chiave di valutazione 1be22853-8ed1-4005-9907-ddad64cb1417). Tuttavia, questa raccomandazione sarà ancora disponibile nei cloud Azure per enti pubblici.
Altre informazioni su Microsoft Defender per Archiviazione.
Le proprietà estese in Defender per il cloud gli avvisi di sicurezza vengono mascherati dai log attività
17 agosto 2023
Di recente è stato modificato il modo in cui sono integrati gli avvisi di sicurezza e i log attività. Per proteggere meglio le informazioni riservate dei clienti, queste informazioni non sono più incluse nei log attività. Invece, lo mascheramo con asterischi. Tuttavia, queste informazioni sono ancora disponibili tramite l'API degli avvisi, l'esportazione continua e il portale di Defender per il cloud.
I clienti che si basano sui log attività per esportare gli avvisi nelle soluzioni SIEM devono prendere in considerazione l'uso di una soluzione diversa, perché non è il metodo consigliato per l'esportazione di Defender per il cloud avvisi di sicurezza.
Per istruzioni su come esportare Defender per il cloud avvisi di sicurezza in SIEM, SOAR e altre applicazioni di terze parti, vedere Trasmettere gli avvisi a una soluzione SIEM, SOAR o GESTIONE dei servizi IT.
Versione di anteprima del supporto GCP in Defender CSPM
15 agosto 2023
È in corso l'annuncio della versione di anteprima del grafico della sicurezza cloud contestuale di Defender CSPM e dell'analisi del percorso di attacco con supporto per le risorse GCP. È possibile applicare la potenza di Defender CSPM per la visibilità completa e la sicurezza del cloud intelligente tra le risorse GCP.
Le funzionalità principali del supporto GCP includono:
- Analisi del percorso di attacco: comprendere le potenziali route che potrebbero essere usate dagli utenti malintenzionati.
- Esplora sicurezza cloud: identificare in modo proattivo i rischi per la sicurezza eseguendo query basate su grafo nel grafico della sicurezza.
- Analisi senza agente: consente di analizzare i server e identificare segreti e vulnerabilità senza installare un agente.
- Comportamento di sicurezza compatibile con i dati: individuare e correggere i rischi per i dati sensibili nei bucket di Google Cloud Storage.
Altre informazioni sulle opzioni di piano cspm di Defender.
Nuovi avvisi di sicurezza in Defender per server Piano 2: rilevamento di potenziali attacchi che esbustono le estensioni delle macchine virtuali di Azure
7 agosto 2023
Questa nuova serie di avvisi è incentrata sul rilevamento di attività sospette delle estensioni delle macchine virtuali di Azure e fornisce informazioni dettagliate sui tentativi di compromissione e sull'esecuzione di attività dannose nelle macchine virtuali.
Microsoft Defender per server ora può rilevare attività sospette delle estensioni delle macchine virtuali, consentendo di ottenere una migliore copertura della sicurezza dei carichi di lavoro.
Le estensioni delle macchine virtuali di Azure sono applicazioni di piccole dimensioni che eseguono post-distribuzione nelle macchine virtuali e offrono funzionalità come la configurazione, l'automazione, il monitoraggio, la sicurezza e altro ancora. Anche se le estensioni sono uno strumento potente, possono essere usate dagli attori delle minacce per varie finalità dannose, ad esempio:
- Per la raccolta e il monitoraggio dei dati.
- Per l'esecuzione del codice e la distribuzione della configurazione con privilegi elevati.
- Per reimpostare le credenziali e creare utenti amministratori.
- Per crittografare i dischi.
Ecco una tabella dei nuovi avvisi.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima) (VM_GPUExtensionSuspiciousFailure) |
Finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining. | Impatto | Medio |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) Questo avviso è stato rilasciato a luglio 2023. |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti. | Impatto | Basso |
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousScript) |
Un comando Esegui con uno script sospetto è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Esecuzione | Alto |
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousFailure) |
L'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. | Esecuzione | Medio |
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima) (VM_RunCommandSuspiciousUsage) |
È stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza. | Esecuzione | Basso |
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima) (VM_SuspiciousMultiExtensionUsage) |
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza. | Ricognizione | Medio |
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima) (VM_DiskEncryptionSuspiciousUsage) |
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni. | Impatto | Medio |
È stato rilevato un uso sospetto dell'estensione di accesso alle macchine virtuali (anteprima) (VM_VMAccessSuspiciousUsage) |
È stato rilevato un uso sospetto dell'estensione di accesso alle macchine virtuali. Gli utenti malintenzionati potrebbero abusare dell'estensione di accesso alle macchine virtuali per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. | Persistenza | Medio |
Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima) (VM_DSCExtensionSuspiciousScript) |
L'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Esecuzione | Alto |
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima) (VM_DSCExtensionSuspiciousUsage) |
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni. | Impatto | Basso |
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima) (VM_CustomScriptExtensionSuspiciousCmd) Questo avviso esiste già ed è stato migliorato con metodi di rilevamento e logica più avanzati. |
L'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose. | Esecuzione | Alto |
Vedere gli avvisi basati sull'estensione in Defender per server.
Per un elenco completo degli avvisi, vedere la tabella di riferimento per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.
Modelli di business e aggiornamenti dei prezzi per i piani di Defender per il cloud
1 agosto 2023
Microsoft Defender per il cloud ha tre piani che offrono la protezione del livello di servizio:
Defender per Key Vault
Defender per Resource Manager
Defender per DNS
Questi piani sono passati a un nuovo modello di business con prezzi e pacchetti diversi per rispondere al feedback dei clienti sulla prevedibilità della spesa e semplificare la struttura complessiva dei costi.
Riepilogo del modello aziendale e delle modifiche dei prezzi:
I clienti esistenti di Defender per Key Vault, Defender per Resource Manager e Defender per DNS mantengono il modello di business e i prezzi correnti, a meno che non scelgano attivamente di passare al nuovo modello di business e al nuovo prezzo.
- Defender per Resource Manager: questo piano ha un prezzo fisso per ogni sottoscrizione al mese. I clienti possono passare al nuovo modello di business selezionando il nuovo Defender per Resource Manager per ogni modello di sottoscrizione.
I clienti esistenti di Defender per Key Vault, Defender per Resource Manager e Defender per DNS mantengono il modello di business e i prezzi correnti, a meno che non scelgano attivamente di passare al nuovo modello di business e al nuovo prezzo.
- Defender per Resource Manager: questo piano ha un prezzo fisso per ogni sottoscrizione al mese. I clienti possono passare al nuovo modello di business selezionando il nuovo Defender per Resource Manager per ogni modello di sottoscrizione.
- Defender per Key Vault: questo piano ha un prezzo fisso per ogni insieme di credenziali, al mese senza addebiti per eccedenza. I clienti possono passare al nuovo modello aziendale selezionando il nuovo modello di Defender per Key Vault per ogni modello di insieme di credenziali
- Defender per DNS: i clienti di Defender per server piano 2 ottengono l'accesso al valore di Defender per DNS come parte di Defender per server Piano 2 senza costi aggiuntivi. I clienti con Defender per Server Piano 2 e Defender per DNS non vengono più addebitati per Defender per DNS. Defender per DNS non è più disponibile come piano autonomo.
Altre informazioni sui prezzi per questi piani sono disponibili nella pagina dei prezzi di Defender per il cloud.
Luglio 2023
Gli aggiornamenti del mese di luglio includono quanto segue:
Versione di anteprima della valutazione della vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender
31 luglio 2023
È in corso l'annuncio del rilascio di Valutazione della vulnerabilità per le immagini dei contenitori Linux nei registri contenitori di Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender in Defender per contenitori e Defender per registri contenitori. La nuova offerta di valutazione dei contenitori verrà fornita insieme all'offerta Di va contenitore esistente basata su Qualys sia in Defender per contenitori che in Defender per registri contenitori e include analisi giornaliere delle immagini dei contenitori, informazioni sull'sfruttabilità, supporto per i linguaggi di sistema operativo e di programmazione (SCA) e altro ancora.
Questa nuova offerta inizierà a essere implementata oggi e dovrebbe essere disponibile per tutti i clienti entro il 7 agosto.
Altre informazioni sulla valutazione della vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender.
Il comportamento dei contenitori senza agente in Defender CSPM è ora disponibile a livello generale
30 luglio 2023
Le funzionalità di comportamento dei contenitori senza agente sono ora disponibili a livello generale come parte del piano Defender CSPM (Cloud Security Posture Management).
Altre informazioni sul comportamento dei contenitori senza agente in Defender CSPM.
Gestione degli aggiornamenti automatici a Defender per endpoint per Linux
20 luglio 2023
Per impostazione predefinita, Defender per il cloud tenta di aggiornare gli agenti defender per endpoint per Linux caricati con l'estensione MDE.Linux
. Con questa versione, è possibile gestire questa impostazione e rifiutare esplicitamente la configurazione predefinita per gestire manualmente i cicli di aggiornamento.
Analisi dei segreti senza agente per le macchine virtuali in Defender per server P2 & Defender CSPM
18 luglio 2023
L'analisi dei segreti è ora disponibile come parte dell'analisi senza agente in Defender per server P2 e Defender CSPM. Questa funzionalità consente di rilevare segreti non gestiti e non sicuri salvati nelle macchine virtuali in Azure o risorse AWS che possono essere usate per spostarsi in un secondo momento nella rete. Se vengono rilevati segreti, Defender per il cloud può aiutare a classificare in ordine di priorità ed eseguire passaggi di correzione attuabili per ridurre al minimo il rischio di spostamento laterale, senza influire sulle prestazioni del computer.
Per altre informazioni su come proteggere i segreti con l'analisi dei segreti, vedere Gestire i segreti con l'analisi dei segreti senza agente.
Nuovo avviso di sicurezza in Defender per server piano 2: rilevamento di potenziali attacchi sfruttando le estensioni del driver GPU della macchina virtuale di Azure
12 luglio 2023
Questo avviso è incentrato sull'identificazione di attività sospette che sfruttano le estensioni del driver GPU della macchina virtuale di Azure e fornisce informazioni dettagliate sui tentativi degli utenti malintenzionati di compromettere le macchine virtuali. L'avviso è destinato a distribuzioni sospette di estensioni del driver GPU; tali estensioni sono spesso abusate da attori di minacce per usare la potenza completa della scheda GPU ed eseguire il cryptojacking.
Nome visualizzato avviso (Tipo di avviso) |
Descrizione | Gravità | Tattiche MITRE |
---|---|---|---|
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima) (VM_GPUDriverExtensionUnusualExecution) |
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. | Basso | Impatto |
Per un elenco completo degli avvisi, vedere la tabella di riferimento per tutti gli avvisi di sicurezza in Microsoft Defender per il cloud.
Supporto per la disabilitazione di specifici risultati della vulnerabilità
9 luglio 2023
Rilascio del supporto per la disabilitazione dei risultati della vulnerabilità per le immagini del registro contenitori o l'esecuzione di immagini come parte del comportamento del contenitore senza agente. Se un'organizzazione deve ignorare una ricerca di vulnerabilità nell'immagine del registro contenitori, anziché correggerla, è possibile disabilitarla facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza o generano rumore indesiderato.
Informazioni su come disabilitare i risultati della valutazione della vulnerabilità nelle immagini del Registro Container.
Il comportamento di sicurezza con riconoscimento dei dati è ora disponibile a livello generale
1° luglio 2023
Il comportamento di sicurezza con riconoscimento dei dati in Microsoft Defender per il cloud è ora disponibile a livello generale. Aiuta i clienti a ridurre il rischio di dati e a rispondere alle violazioni dei dati. Usando il comportamento di sicurezza basato sui dati è possibile:
- Individuare automaticamente le risorse di dati sensibili in Azure e AWS.
- Valutare la riservatezza dei dati, la loro esposizione e il modo in cui vengono trasmessi all'interno dell'organizzazione.
- Individuare in modo proattivo e continuo i rischi che potrebbero causare violazioni dei dati.
- Rilevare attività sospette che potrebbero indicare minacce continue alle risorse dei dati sensibili
Per altre informazioni, vedere Comportamento di sicurezza compatibile con i dati in Microsoft Defender per il cloud.
Giugno 2023
Gli aggiornamenti del mese di giugno includono quanto segue:
Onboarding semplificato degli account multicloud con impostazioni avanzate
26 giugno 2023
Defender per il cloud ha migliorato l'esperienza di onboarding per includere una nuova interfaccia utente semplificata e istruzioni oltre alle nuove funzionalità che consentono di eseguire l'onboarding degli ambienti AWS e GCP, fornendo al tempo stesso l'accesso alle funzionalità avanzate di onboarding.
Per le organizzazioni che hanno adottato Hashicorp Terraform per l'automazione, Defender per il cloud ora include la possibilità di usare Terraform come metodo di distribuzione insieme a AWS CloudFormation o GCP Cloud Shell. È ora possibile personalizzare i nomi dei ruoli necessari durante la creazione dell'integrazione. È anche possibile selezionare tra:
Accesso predefinito: consente Defender per il cloud di analizzare le risorse e includere automaticamente funzionalità future.
Accesso con privilegi minimi : concede Defender per il cloud l'accesso solo alle autorizzazioni correnti necessarie per i piani selezionati.
Se si selezionano le autorizzazioni con privilegi minimi, si riceveranno notifiche solo per i nuovi ruoli e le autorizzazioni necessari per ottenere la funzionalità completa sull'integrità del connettore.
Defender per il cloud consente di distinguere tra gli account cloud in base ai nomi nativi dei fornitori di servizi cloud. Ad esempio, alias dell'account AWS e nomi di progetto GCP.
Supporto dell'endpoint privato per l'analisi di malware in Defender per Archiviazione
25 giugno 2023
Il supporto dell'endpoint privato è ora disponibile come parte dell'anteprima pubblica di analisi malware in Defender per Archiviazione. Questa funzionalità consente di abilitare l'analisi malware sugli account di archiviazione che usano endpoint privati. Non sono necessarie altre configurazioni.
L'analisi malware (anteprima) in Defender per Archiviazione consente di proteggere gli account di archiviazione da contenuti dannosi eseguendo un'analisi completa del malware sui contenuti caricati quasi in tempo reale, usando le funzionalità di Antivirus Microsoft Defender. È progettata per soddisfare i requisiti di sicurezza e conformità per la gestione dei contenuti non attendibili. Si tratta di una soluzione SaaS senza agente che consente una configurazione semplice su larga scala, con zero manutenzione e supporta l'automazione della risposta su larga scala.
Gli endpoint privati forniscono connettività sicura ai servizi di Archiviazione di Azure, eliminando in modo efficace l'esposizione a Internet pubblico e sono considerati una procedura consigliata per la sicurezza.
Per gli account di archiviazione con endpoint privati in cui è già abilitata l'analisi malware, è necessario disabilitare e abilitare il piano con l'analisi malware per il funzionamento.
Altre informazioni sull'uso di endpoint privati in Defender per Archiviazione e su come proteggere ulteriormente i servizi di archiviazione.
Raccomandazione rilasciata per l'anteprima: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)
21 giugno 2023
Per l'anteprima viene rilasciata una nuova raccomandazione del contenitore in Defender CSPM con tecnologia Gestione delle vulnerabilità di Microsoft Defender:
Suggerimento | Descrizione | Chiave di valutazione |
---|---|---|
L'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender)(Anteprima) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Questa nuova raccomandazione sostituisce la raccomandazione corrente con lo stesso nome, basata su Qualys, solo in Defender CSPM (sostituendo la chiave di valutazione 41503391-efa5-47ee-9282-4eff6131462c).
Gli aggiornamenti dei controlli sono stati apportati agli standard NIST 800-53 in conformità alle normative
15 giugno 2023
Gli standard NIST 800-53 (R4 e R5) sono stati recentemente aggiornati con modifiche al controllo nella conformità alle normative Microsoft Defender per il cloud. I controlli gestiti da Microsoft sono stati rimossi dallo standard e le informazioni sull'implementazione della responsabilità Microsoft (come parte del modello di responsabilità condivisa cloud) sono ora disponibili solo nel riquadro dei dettagli del controllo in Azioni Microsoft.
Questi controlli sono stati calcolati in precedenza come controlli passati, pertanto è possibile che si verifichi un calo significativo nel punteggio di conformità per gli standard NIST tra aprile 2023 e maggio 2023.
Per altre informazioni sui controlli di conformità, vedere Esercitazione: Controlli di conformità alle normative - Microsoft Defender per il cloud.
La pianificazione della migrazione cloud con un caso aziendale di Azure Migrate include ora Defender per il cloud
11 giugno 2023
È ora possibile individuare potenziali risparmi sui costi in termini di sicurezza applicando Defender per il cloud nel contesto di un caso aziendale di Azure Migrate.
La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale
7 giugno 2023
La configurazione rapida per le valutazioni delle vulnerabilità in Defender per SQL è ora disponibile a livello generale. La configurazione rapida offre un'esperienza di onboarding semplificata per le valutazioni delle vulnerabilità di SQL usando una configurazione con un clic (o una chiamata API). Non sono necessarie impostazioni o dipendenze aggiuntive per gli account di archiviazione gestiti.
Per altre informazioni sulla configurazione rapida, vedere questo blog .
È possibile apprendere le differenze tra la configurazione rapida e quella classica.
Altri ambiti aggiunti ai connettori Azure DevOps esistenti
6 giugno 2023
Defender per DevOps ha aggiunto gli ambiti aggiuntivi seguenti all'applicazione Azure DevOps (ADO):
Gestione avanzata della sicurezza:
vso.advsec_manage
. Ciò è necessario per consentire l'abilitazione, la disabilitazione e la gestione di GitHub Advanced Security per ADO.Mapping dei contenitori:
vso.extension_manage
,vso.gallery_manager
; Ciò è necessario per consentire di condividere l'estensione decorator con l'organizzazione ADO.
Solo i nuovi clienti di Defender per DevOps che tentano di eseguire l'onboarding delle risorse ADO per Microsoft Defender per il cloud sono interessati da questa modifica.
L'onboarding diretto (senza Azure Arc) in Defender per server è ora disponibile a livello generale
5 giugno 2023
In precedenza, Azure Arc era necessario per eseguire l'onboarding di server non Azure in Defender per server. Tuttavia, con la versione più recente è anche possibile eseguire l'onboarding dei server locali in Defender per server usando solo l'agente Microsoft Defender per endpoint.
Questo nuovo metodo semplifica il processo di onboarding per i clienti incentrati sulla protezione degli endpoint di base e consente di sfruttare la fatturazione basata sul consumo di Defender per server per asset cloud e non cloud. L'opzione di onboarding diretto tramite Defender per endpoint è ora disponibile, con la fatturazione per i computer di cui è stato eseguito l'onboarding a partire dal 1° luglio.
Per altre informazioni, vedere Connettere i computer non Azure a Microsoft Defender per il cloud con Defender per endpoint.
Sostituzione dell'individuazione basata su agenti con l'individuazione senza agente per le funzionalità dei contenitori in Defender CSPM
4 giugno 2023
Con le funzionalità Di comportamento dei contenitori senza agente disponibili in Defender CSPM, le funzionalità di individuazione basate su agente vengono ora ritirate. Se attualmente si usano le funzionalità dei contenitori in Defender CSPM, assicurarsi che le estensioni pertinenti siano abilitate per continuare a ricevere il valore correlato al contenitore delle nuove funzionalità senza agente, ad esempio percorsi di attacco correlati ai contenitori , informazioni dettagliate e inventario. Possono essere necessarie fino a 24 ore per vedere gli effetti dell'abilitazione delle estensioni.
Altre informazioni sul comportamento del contenitore senza agente.
Maggio 2023
Gli aggiornamenti del mese di maggio includono quanto segue:
- Nuovo avviso in Defender per Key Vault.
- Supporto per l'analisi senza agente dei dischi crittografati in AWS.
- Modifiche alle convenzioni di denominazione JIT (JUST-In-Time) in Defender per il cloud.
- Onboarding delle aree AWS selezionate.
- Modifiche alle raccomandazioni relative alle identità.
- Deprecazione degli standard legacy nel dashboard di conformità.
- Aggiornamento di due raccomandazioni di Defender per DevOps per includere i risultati dell'analisi di Azure DevOps
- Nuova impostazione predefinita per la soluzione di valutazione della vulnerabilità di Defender per server.
- Possibilità di scaricare un report CSV dei risultati delle query di Cloud Security Explorer (anteprima).
- Il rilascio della valutazione della vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender.
- Ridenominazione delle raccomandazioni dei contenitori basate su Qualys.
- Aggiornamento dell'applicazione GitHub defender per DevOps.
- Passare alle annotazioni delle richieste pull di Defender per DevOps nei repository di Azure DevOps che ora includono infrastruttura come configurazioni errate del codice.
Nuovo avviso in Defender per Key Vault
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Accesso insolito all'insieme di credenziali delle chiavi da un indirizzo IP sospetto (non Microsoft o esterno) (KV_UnusualAccessSuspiciousIP) |
Un utente o un'entità servizio ha tentato l'accesso anomalo agli insiemi di credenziali delle chiavi da un indirizzo IP non Microsoft nelle ultime 24 ore. Questo modello di accesso anomalo potrebbe essere un'attività legittima. Potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Per tutti gli avvisi disponibili, vedere Avvisi per Azure Key Vault.
L'analisi senza agente supporta ora dischi crittografati in AWS
L'analisi senza agente per le macchine virtuali supporta ora l'elaborazione di istanze con dischi crittografati in AWS, usando cmk e PMK.
Questo supporto esteso aumenta la copertura e la visibilità sul cloud senza influire sui carichi di lavoro in esecuzione. Il supporto per i dischi crittografati mantiene lo stesso metodo di impatto zero sulle istanze in esecuzione.
- Per i nuovi clienti che abilitano l'analisi senza agente in AWS, la copertura dei dischi crittografati è incorporata e supportata per impostazione predefinita.
- Per i clienti esistenti che hanno già un connettore AWS con analisi senza agente abilitato, è necessario riapplicare lo stack CloudFormation agli account AWS di cui è stato eseguito l'onboarding per aggiornare e aggiungere le nuove autorizzazioni necessarie per elaborare i dischi crittografati. Il modello CloudFormation aggiornato include nuove assegnazioni che consentono Defender per il cloud di elaborare i dischi crittografati.
Altre informazioni sulle autorizzazioni usate per analizzare le istanze di AWS.
Per riapplicare lo stack CloudFormation:
- Passare a Defender per il cloud impostazioni dell'ambiente e aprire il connettore AWS.
- Passare alla scheda Configura accesso .
- Selezionare Fare clic per scaricare il modello CloudFormation.
- Passare all'ambiente AWS e applicare il modello aggiornato.
Altre informazioni sull'analisi senza agente e sull'abilitazione dell'analisi senza agente in AWS.
Convenzioni di denominazione delle regole JIT (JUST-In-Time) modificate in Defender per il cloud
Sono state modificate le regole JIT (Just-In-Time) per allinearsi al marchio Microsoft Defender per il cloud. Sono state modificate le convenzioni di denominazione per le regole Firewall di Azure e NSG (Gruppo di sicurezza di rete).
Le modifiche sono elencate di seguito:
Descrizione | Nome precedente | Nuovo nome |
---|---|---|
Nomi di regole JIT (consenti e nega) nel gruppo di sicurezza di rete (gruppo di sicurezza di rete) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
Descrizioni delle regole JIT nel gruppo di sicurezza di rete | Regola di accesso alla rete JIT del Centro sicurezza di Azure | Regola di accesso alla rete JIT MDC |
Nomi di raccolta regole del firewall JIT | ASC-JIT | MDC-JIT |
Nomi delle regole del firewall JIT | ASC-JIT | MDC-JIT |
Informazioni su come proteggere le porte di gestione con l'accesso JUST-In-Time.
Eseguire l'onboarding delle aree AWS selezionate
Per gestire i costi e le esigenze di conformità di AWS CloudTrail, è ora possibile selezionare le aree AWS da analizzare quando si aggiunge o si modifica un connettore cloud. È ora possibile analizzare aree AWS specifiche o tutte le aree disponibili (impostazione predefinita), quando si esegue l'onboarding degli account AWS per Defender per il cloud. Per altre informazioni, vedere Connettere l'account AWS a Microsoft Defender per il cloud.
Modifiche multiple alle raccomandazioni relative all'identità
Le raccomandazioni seguenti vengono ora rilasciate come disponibilità generale (GA) e sostituiscono le raccomandazioni V1 ora deprecate.
Versione disponibile a livello generale delle raccomandazioni sulle identità V2
La versione V2 delle raccomandazioni per l'identità introduce i miglioramenti seguenti:
- L'ambito dell'analisi è stato esteso per includere tutte le risorse di Azure, non solo le sottoscrizioni. In questo modo gli amministratori della sicurezza possono visualizzare le assegnazioni di ruolo per ogni account.
- È ora possibile esentare account specifici dalla valutazione. Gli account come break glass o account di servizio possono essere esclusi dagli amministratori della sicurezza.
- La frequenza di analisi è stata aumentata da 24 ore a 12 ore, assicurando così che le raccomandazioni sull'identità siano più aggiornate e accurate.
Le raccomandazioni sulla sicurezza seguenti sono disponibili in disponibilità generale e sostituiscono le raccomandazioni V1:
Elemento consigliato | Chiave di valutazione |
---|---|
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | 6240402e-f77c-46fa-9060-a7ce53997754 |
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | 20606e75-05c4-48c0-9d97-add6daa2109a |
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Deprecazione delle raccomandazioni sulle identità V1
Le raccomandazioni di sicurezza seguenti sono ora deprecate:
Elemento consigliato | Chiave di valutazione |
---|---|
L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di proprietario per le sottoscrizioni. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di scrittura per le sottoscrizioni. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
L'autenticazione a più fattori deve essere abilitata per gli account con autorizzazioni di lettura per le sottoscrizioni. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
Gli account esterni con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
Gli account esterni con autorizzazioni di scrittura devono essere rimossi dalle sottoscrizioni. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
Gli account esterni con autorizzazioni di lettura devono essere rimossi dalle sottoscrizioni. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalle sottoscrizioni. | e52064aa-6853-e252-a11e-dffc675689c2 |
Gli account deprecati devono essere rimossi dalle sottoscrizioni | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
È consigliabile aggiornare gli script, i flussi di lavoro e le regole di governance personalizzati in modo che corrispondano alle raccomandazioni V2.
Deprecazione degli standard legacy nel dashboard di conformità
I TSP PCI DSS v3.2.1 legacy e PCI DSS sono stati completamente deprecati nel dashboard di conformità Defender per il cloud e sostituiti dall'iniziativa SOC 2 Type 2 e dagli standard di conformità basati sull'iniziativa PCI DSS v4. È stato completamente deprecato il supporto dello standard/iniziativa PCI DSS in Microsoft Azure gestito da 21Vianet.
Informazioni su come personalizzare il set di standard nel dashboard di conformità alle normative.
Defender per DevOps include i risultati dell'analisi di Azure DevOps
Defender per DevOps Code e IaC ha ampliato la copertura delle raccomandazioni in Microsoft Defender per il cloud per includere i risultati della sicurezza di Azure DevOps per le due raccomandazioni seguenti:
Code repositories should have code scanning findings resolved
Code repositories should have infrastructure as code scanning findings resolved
In precedenza, la copertura per l'analisi della sicurezza di Azure DevOps includeva solo la raccomandazione relativa ai segreti.
Altre informazioni su Defender per DevOps.
Nuova impostazione predefinita per la soluzione di valutazione della vulnerabilità di Defender per server
Le soluzioni di valutazione della vulnerabilità (VA) sono essenziali per proteggere i computer da attacchi informatici e violazioni dei dati.
Gestione delle vulnerabilità di Microsoft Defender è ora abilitata come soluzione predefinita predefinita per tutte le sottoscrizioni protette da Defender per server che non hanno già una soluzione va selezionata.
Se per una sottoscrizione è abilitata una soluzione di valutazione delle istanze virtuali in una delle macchine virtuali, non vengono apportate modifiche e Gestione delle vulnerabilità di Microsoft Defender non verranno abilitate per impostazione predefinita nelle macchine virtuali rimanenti di tale sottoscrizione. È possibile scegliere di abilitare una soluzione di valutazione delle istanze virtuali rimanenti nelle sottoscrizioni.
Informazioni su come trovare le vulnerabilità e raccogliere l'inventario software con l'analisi senza agente (anteprima).
Scaricare un report CSV dei risultati delle query di Cloud Security Explorer (anteprima)
Defender per il cloud ha aggiunto la possibilità di scaricare un report CSV dei risultati delle query di Cloud Security Explorer.
Dopo aver eseguito una ricerca di una query, è possibile selezionare il pulsante Scarica report CSV (anteprima) dalla pagina Cloud Security Explorer in Defender per il cloud.
Informazioni su come creare query con Cloud Security Explorer
Il rilascio della valutazione della vulnerabilità dei contenitori con Gestione delle vulnerabilità di Microsoft Defender
È in corso l'annuncio del rilascio di Valutazione della vulnerabilità per le immagini Linux nei registri contenitori di Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender in Defender CSPM. Questa versione include l'analisi giornaliera delle immagini. I risultati usati in Esplora sicurezza e i percorsi di attacco si basano sulla valutazione della vulnerabilità di Microsoft Defender, anziché sullo scanner Qualys.
La raccomandazione Container registry images should have vulnerability findings resolved
esistente viene sostituita da una nuova raccomandazione:
Suggerimento | Descrizione | Chiave di valutazione |
---|---|---|
Le immagini del registro contenitori devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | dbd0cb49-b563-45e7-9724-889e799fa648 viene sostituito da c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Altre informazioni sul comportamento dei contenitori senza agente in Defender CSPM.
Altre informazioni sulle Gestione delle vulnerabilità di Microsoft Defender.
Ridenominazione delle raccomandazioni dei contenitori basate su Qualys
Le raccomandazioni sui contenitori correnti in Defender per contenitori verranno rinominate nel modo seguente:
Suggerimento | Descrizione | Chiave di valutazione |
---|---|---|
I risultati della vulnerabilità nelle immagini del contenitore del registro devono essere risolti (basato su Qualys) | La valutazione delle vulnerabilità delle immagini del contenitore analizza il registro alla ricerca di vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate su Qualys) | La valutazione della vulnerabilità dell'immagine del contenitore analizza le immagini del contenitore in esecuzione nei cluster Kubernetes per individuare le vulnerabilità di sicurezza ed espone risultati dettagliati per ogni immagine. La risoluzione delle vulnerabilità può migliorare significativamente il comportamento di sicurezza dei contenitori e proteggerli dagli attacchi. | 41503391-efa5-47ee-9282-4eff6131462c |
Aggiornamento dell'applicazione GitHub defender per DevOps
Microsoft Defender per DevOps apporta costantemente modifiche e aggiornamenti che richiedono ai clienti di Defender per DevOps che hanno eseguito l'onboarding degli ambienti GitHub in Defender per il cloud per fornire le autorizzazioni nell'ambito dell'applicazione distribuita nell'organizzazione GitHub. Queste autorizzazioni sono necessarie per garantire che tutte le funzionalità di sicurezza di Defender per DevOps funzionino normalmente e senza problemi.
È consigliabile aggiornare le autorizzazioni il prima possibile per garantire l'accesso continuo a tutte le funzionalità disponibili di Defender per DevOps.
Le autorizzazioni possono essere concesse in due modi diversi:
Nell'organizzazione selezionare GitHub Apps (App GitHub). Individuare L'organizzazione e selezionare Rivedi richiesta.
Si riceverà un messaggio di posta elettronica automatizzato dal supporto GitHub. Nel messaggio di posta elettronica selezionare Rivedi richiesta di autorizzazione per accettare o rifiutare questa modifica.
Dopo aver seguito una di queste opzioni, si passerà alla schermata di revisione in cui è necessario esaminare la richiesta. Selezionare Accetta nuove autorizzazioni per approvare la richiesta.
Se è necessaria un'assistenza per l'aggiornamento delle autorizzazioni, è possibile creare una richiesta di supporto tecnico di Azure.
È anche possibile ottenere altre informazioni su Defender per DevOps. Se per una sottoscrizione è abilitata una soluzione di valutazione delle istanze virtuali in una delle macchine virtuali, non vengono apportate modifiche e Gestione delle vulnerabilità di Microsoft Defender non verranno abilitate per impostazione predefinita nelle macchine virtuali rimanenti di tale sottoscrizione. È possibile scegliere di abilitare una soluzione di valutazione delle istanze virtuali rimanenti nelle sottoscrizioni.
Informazioni su come trovare le vulnerabilità e raccogliere l'inventario software con l'analisi senza agente (anteprima).
Le annotazioni della richiesta pull di Defender per DevOps nei repository di Azure DevOps ora includono infrastruttura come configurazioni errate del codice
Defender per DevOps ha ampliato la copertura delle annotazioni pull request (PR) in Azure DevOps per includere errori di configurazione dell'infrastruttura come codice (IaC) rilevati nei modelli di Azure Resource Manager e Bicep.
Gli sviluppatori possono ora visualizzare le annotazioni per errori di configurazione IaC direttamente nelle richieste pull. Gli sviluppatori possono anche correggere i problemi di sicurezza critici prima del provisioning dell'infrastruttura nei carichi di lavoro cloud. Per semplificare la correzione, gli sviluppatori vengono forniti con un livello di gravità, una descrizione errata della configurazione e istruzioni di correzione all'interno di ogni annotazione.
In precedenza, la copertura per le annotazioni pr di Defender per DevOps in Azure DevOps includeva solo segreti.
Altre informazioni sulle annotazioni di Defender per DevOps e richiesta pull.
Aprile 2023
Gli aggiornamenti del mese di aprile includono quanto segue:
- Comportamento del contenitore senza agente in Defender CSPM (anteprima)
- Nuova raccomandazione di Crittografia dischi unificata in anteprima
- Le modifiche apportate ai computer consigliati devono essere configurate in modo sicuro
- Deprecazione dei criteri di monitoraggio del linguaggio di servizio app
- Nuovo avviso in Defender per Resource Manager
- Sono stati deprecati tre avvisi nel piano defender per Resource Manager
- Gli avvisi di esportazione automatica nell'area di lavoro Log Analytics sono stati deprecati
- Deprecazione e miglioramento degli avvisi selezionati per i server Windows e Linux
- Nuove raccomandazioni relative all'autenticazione di Azure Active Directory per Azure Data Services
- Due raccomandazioni relative agli aggiornamenti mancanti del sistema operativo sono stati rilasciati a livello generale
- Defender per LE API (anteprima)
Comportamento del contenitore senza agente in Defender CSPM (anteprima)
Le nuove funzionalità di Postura contenitore senza agente (anteprima) sono disponibili come parte del piano Defender CSPM (Cloud Security Posture Management).
Il comportamento del contenitore senza agente consente ai team di sicurezza di identificare i rischi per la sicurezza nei contenitori e nelle aree di autenticazione kubernetes. Un approccio senza agente consente ai team di sicurezza di ottenere visibilità sui registri Kubernetes e contenitori in SDLC e runtime, rimuovendo l'attrito e il footprint dai carichi di lavoro.
Il comportamento del contenitore senza agente offre valutazioni delle vulnerabilità dei contenitori che, combinate con l'analisi del percorso di attacco, consentono ai team di sicurezza di assegnare priorità e ingrandire specifiche vulnerabilità dei contenitori. È anche possibile usare Cloud Security Explorer per individuare i rischi e cercare informazioni dettagliate sul comportamento dei contenitori, ad esempio l'individuazione di applicazioni che eseguono immagini vulnerabili o esposte a Internet.
Per altre informazioni, vedere Comportamento contenitore senza agente (anteprima).
Raccomandazione di Crittografia dischi unificata (anteprima)
Sono disponibili nuove raccomandazioni per la crittografia dei dischi unificata in anteprima.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost
.
Queste raccomandazioni sostituiscono Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources
, che ha rilevato Crittografia dischi di Azure e il criterio Virtual machines and virtual machine scale sets should have encryption at host enabled
, che ha rilevato EncryptionAtHost. ADE e EncryptionAtHost forniscono una crittografia paragonabile alla copertura dei dati inattivi ed è consigliabile abilitare una di esse in ogni macchina virtuale. Le nuove raccomandazioni rilevano se ADE o EncryptionAtHost sono abilitati e avvisano solo se nessuno dei due elementi è abilitato. Viene anche visualizzato un avviso se AdE è abilitato in alcuni dischi, ma non tutti i dischi di una macchina virtuale (questa condizione non è applicabile a EncryptionAtHost).
Le nuove raccomandazioni richiedono la configurazione del computer di gestione automatica di Azure.
Queste raccomandazioni sono basate sui criteri seguenti:
- (Anteprima) Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost
- (Anteprima) Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost
Altre informazioni su ADE e EncryptionAtHost e su come abilitare una di esse.
Le modifiche apportate ai computer consigliati devono essere configurate in modo sicuro
La raccomandazione Machines should be configured securely
è stata aggiornata. L'aggiornamento migliora le prestazioni e la stabilità della raccomandazione e ne allinea l'esperienza con il comportamento generico delle raccomandazioni di Defender per il cloud.
Nell'ambito di questo aggiornamento, l'ID della raccomandazione è stato modificato da 181ac480-f7c4-544b-9865-11b8ffe87f47
a c476dc48-8110-4139-91af-c8d940896b98
.
Non è necessaria alcuna azione sul lato cliente e non è previsto alcun effetto sul punteggio di sicurezza.
Deprecazione dei criteri di monitoraggio del linguaggio di servizio app
I seguenti servizio app criteri di monitoraggio del linguaggio sono stati deprecati a causa della loro capacità di generare falsi negativi e perché non offrono una maggiore sicurezza. È sempre necessario assicurarsi di usare una versione del linguaggio senza vulnerabilità note.
Nome del criterio | ID criterio |
---|---|
Le app del servizio app che usano Java devono usare la "versione Java" più recente | 496223c3-ad65-4ecd-878a-bae78737e9ed |
Le app del servizio app che usano Python devono usare la "versione di Python" più recente | 7008174a-fd10-4ef0-817e-fc820a951d73 |
Le app per le funzioni che usano Java devono usare la "versione Java" più recente | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
Le app per le funzioni che usano Python devono usare la "versione di Python" più recente | 7238174a-fd10-4ef0-817e-fc820a951d73 |
Le app del servizio app che usano PHP devono usare la "versione PHP" più recente | 7261b898-8a84-4db8-9e04-18527132abb3 |
I clienti possono usare criteri predefiniti alternativi per monitorare qualsiasi versione della lingua specificata per le servizio app.
Questi criteri non sono più disponibili nelle raccomandazioni predefinite di Defender per il cloud. È possibile aggiungerli come raccomandazioni personalizzate per monitorarle Defender per il cloud.
Nuovo avviso in Defender per Resource Manager
Defender per Resource Manager ha il nuovo avviso seguente:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
ANTEPRIMA - Rilevata creazione sospetta di risorse di calcolo (ARM_SuspiciousComputeCreation) |
Microsoft Defender per Resource Manager ha identificato una creazione sospetta di risorse di calcolo nella sottoscrizione usando Macchine virtuali/set di scalabilità di Azure. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente i propri ambienti distribuendo nuove risorse quando necessario. Anche se questa attività potrebbe essere legittima, un attore di minacce potrebbe utilizzare tali operazioni per eseguire il crypto mining. L'attività viene considerata sospetta perché la scalabilità delle risorse di calcolo è superiore a quella osservata in precedenza nella sottoscrizione. Ciò può indicare che l'entità è compromessa e viene usata con finalità dannose. |
Impatto | Medio |
È possibile visualizzare un elenco di tutti gli avvisi disponibili per Resource Manager.
Sono stati deprecati tre avvisi nel piano defender per Resource Manager
I tre avvisi seguenti per il piano di Defender per Resource Manager sono stati deprecati:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
In uno scenario in cui viene rilevata l'attività da un indirizzo IP sospetto, uno degli avvisi Azure Resource Manager operation from suspicious IP address
del piano di Defender per Resource Manager seguenti o Azure Resource Manager operation from suspicious proxy IP address
sarà presente.
Gli avvisi di esportazione automatica nell'area di lavoro Log Analytics sono stati deprecati
Gli avvisi di sicurezza di Defender per cloud vengono esportati automaticamente in un'area di lavoro Log Analytics predefinita a livello di risorsa. Ciò causa un comportamento indeterminato e pertanto questa funzionalità è deprecata.
È invece possibile esportare gli avvisi di sicurezza in un'area di lavoro Log Analytics dedicata con l'esportazione continua.
Se l'esportazione continua degli avvisi è già stata configurata in un'area di lavoro Log Analytics, non sono necessarie altre azioni.
Deprecazione e miglioramento degli avvisi selezionati per i server Windows e Linux
Il processo di miglioramento della qualità degli avvisi di sicurezza per Defender per server include la deprecazione di alcuni avvisi per i server Windows e Linux. Gli avvisi deprecati sono ora originati da e coperti dagli avvisi sulle minacce di Defender per endpoint.
Se l'integrazione di Defender per endpoint è già abilitata, non sono necessarie altre azioni. È possibile che si verifichi una diminuzione del volume degli avvisi nell'aprile 2023.
Se l'integrazione di Defender per endpoint non è abilitata in Defender per server, sarà necessario abilitare l'integrazione di Defender per endpoint per mantenere e migliorare la copertura degli avvisi.
Tutti i clienti di Defender per server hanno accesso completo all'integrazione di Defender per endpoint come parte del piano Defender per server.
Altre informazioni sulle opzioni di onboarding di Microsoft Defender per endpoint.
È anche possibile visualizzare l'elenco completo degli avvisi impostati per essere deprecati.
Leggere il blog Microsoft Defender per il cloud.
Nuove raccomandazioni relative all'autenticazione di Azure Active Directory per Azure Data Services
Sono state aggiunte quattro nuove raccomandazioni per l'autenticazione di Azure Active Directory per Azure Data Services.
Nome raccomandazione | Descrizione raccomandazione | Criteri |
---|---|---|
Istanza gestita di SQL di Azure modalità di autenticazione deve essere solo Azure Active Directory | La disabilitazione dei metodi di autenticazione locale e la possibilità di consentire solo l'autenticazione di Azure Active Directory migliora la sicurezza assicurando che le Istanza gestita di SQL di Azure possano accedere esclusivamente alle identità di Azure Active Directory. | Istanza gestita di SQL di Azure deve avere l'autenticazione esclusiva di Azure Active Directory abilitata |
La modalità di autenticazione dell'area di lavoro di Azure Synapse deve essere solo Azure Active Directory | Solo i metodi di autenticazione di Azure Active Directory migliorano la sicurezza assicurando che le aree di lavoro di Synapse richiedano esclusivamente identità di Azure AD per l'autenticazione. Altre informazioni. | Le aree di lavoro di Synapse devono usare solo le identità di Azure Active Directory per l'autenticazione |
Database di Azure per MySQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning | Effettuare il provisioning di un amministratore di Azure AD per il Database di Azure per MySQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server MySQL |
Database di Azure per PostgreSQL deve disporre di un amministratore di Azure Active Directory di cui è stato effettuato il provisioning | Effettuare il provisioning di un amministratore di Azure AD per il Database di Azure per PostgreSQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | È necessario effettuare il provisioning di un amministratore di Azure Active Directory per i server PostgreSQL |
Due raccomandazioni relative agli aggiornamenti mancanti del sistema operativo sono stati rilasciati a livello generale
Le raccomandazioni System updates should be installed on your machines (powered by Azure Update Manager)
e Machines should be configured to periodically check for missing system updates
sono state rilasciate per la disponibilità generale.
Per usare la nuova raccomandazione, è necessario:
- Connettere i computer non Azure ad Arc.
- Abilitare la proprietà di valutazione periodica. È possibile usare il pulsante Correggi.
nella nuova raccomandazione per
Machines should be configured to periodically check for missing system updates
correggere la raccomandazione.
Dopo aver completato questi passaggi, è possibile rimuovere la raccomandazione System updates should be installed on your machines
precedente disabilitandola dall'iniziativa predefinita di Defender per il cloud in Criteri di Azure.
Le due versioni delle raccomandazioni:
System updates should be installed on your machines
System updates should be installed on your machines (powered by Azure Update Manager)
Entrambi saranno disponibili fino a quando l'agente di Log Analytics non sarà deprecato il 31 agosto 2024, ovvero quando verrà deprecata anche la versione precedente (System updates should be installed on your machines
) della raccomandazione. Entrambe le raccomandazioni restituiscono gli stessi risultati e sono disponibili nello stesso controllo Apply system updates
.
La nuova raccomandazione System updates should be installed on your machines (powered by Azure Update Manager)
include un flusso di correzione disponibile tramite il pulsante Correzione, che può essere usato per correggere i risultati tramite Gestione aggiornamenti (anteprima). Questo processo di correzione è ancora in anteprima.
La nuova raccomandazione System updates should be installed on your machines (powered by Azure Update Manager)
non dovrebbe influire sul punteggio di sicurezza, perché ha gli stessi risultati della raccomandazione System updates should be installed on your machines
precedente.
La raccomandazione dei prerequisiti (Abilita la proprietà di valutazione periodica) ha un effetto negativo sul punteggio di sicurezza. È possibile correggere l'effetto negativo con il pulsante Correzione disponibile.
Defender per LE API (anteprima)
L'Defender per il cloud microsoft sta annunciando che le nuove API di Defender per sono disponibili in anteprima.
Defender per LE API offre protezione completa del ciclo di vita, rilevamento e copertura delle risposte per le API.
Defender per le API consente di ottenere visibilità sulle API critiche per l'azienda. È possibile analizzare e migliorare la postura di sicurezza delle API, assegnare priorità alle correzioni delle vulnerabilità e rilevare rapidamente minacce attive in tempo reale.
Altre informazioni su Defender per le API.
Marzo 2023
Gli aggiornamenti di marzo includono:
- È disponibile un nuovo piano di Defender per Archiviazione, tra cui l'analisi di malware quasi in tempo reale e il rilevamento delle minacce ai dati sensibili
- Comportamento di sicurezza compatibile con i dati (anteprima)
- Esperienza migliorata per la gestione dei criteri di sicurezza di Azure predefiniti
- Defender CSPM (Cloud Security Posture Management) è ora disponibile a livello generale
- Opzione per creare raccomandazioni personalizzate e standard di sicurezza in Microsoft Defender per il cloud
- Microsoft Cloud Security Benchmark (MCSB) versione 1.0 è ora disponibile a livello generale
- Alcuni standard di conformità alle normative sono ora disponibili nei cloud per enti pubblici
- Nuova raccomandazione di anteprima per i server SQL di Azure
- Nuovo avviso in Defender per Key Vault
È disponibile un nuovo piano di Defender per Archiviazione, tra cui l'analisi di malware quasi in tempo reale e il rilevamento delle minacce ai dati sensibili
L'archiviazione cloud svolge un ruolo fondamentale nell'organizzazione e archivia grandi volumi di dati importanti e sensibili. Oggi stiamo annunciando un nuovo piano di Defender per Archiviazione. Se si usa il piano precedente (ora rinominato in "Defender for Storage (versione classica)"), è necessario eseguire la migrazione proattiva al nuovo piano per usare le nuove funzionalità e i vantaggi.
Il nuovo piano include funzionalità di sicurezza avanzate che consentono di proteggersi da caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Fornisce inoltre una struttura dei prezzi più prevedibile e flessibile per un migliore controllo sulla copertura e sui costi.
Il nuovo piano include nuove funzionalità ora in anteprima pubblica:
Rilevamento di eventi di esposizione ed esfiltrazione di dati sensibili
Analisi malware quasi in tempo reale su tutti i tipi di file
Rilevamento di entità senza identità tramite token di firma di accesso condiviso
Queste funzionalità migliorano la funzionalità di monitoraggio delle attività esistente, in base all'analisi dei log del piano dati e alla modellazione comportamentale del piano dati per identificare i primi segni di violazione.
Tutte queste funzionalità sono disponibili in un nuovo piano tariffario prevedibile e flessibile che offre un controllo granulare sulla protezione dei dati sia a livello di sottoscrizione che di risorse.
Per altre informazioni, vedere Panoramica di Microsoft Defender per Archiviazione.
Comportamento di sicurezza compatibile con i dati (anteprima)
Microsoft Defender per il cloud consente ai team di sicurezza di essere più produttivi per ridurre i rischi e rispondere alle violazioni dei dati nel cloud. Consente loro di tagliare il rumore con il contesto dei dati e classificare in ordine di priorità i rischi di sicurezza più critici, impedendo una violazione costosa dei dati.
- Individuare automaticamente le risorse dei dati nel cloud e valutarne l'accessibilità, la riservatezza dei dati e i flussi di dati configurati. -Scoprire continuamente i rischi per le violazioni dei dati delle risorse dati sensibili, dell'esposizione o dei percorsi di attacco che potrebbero portare a una risorsa dati usando una tecnica di spostamento laterale.
- Rilevare attività sospette che potrebbero indicare una minaccia continua alle risorse di dati sensibili.
Altre informazioni sul comportamento di sicurezza compatibile con i dati.
Esperienza migliorata per la gestione dei criteri di sicurezza di Azure predefiniti
Viene introdotta un'esperienza migliorata di gestione dei criteri di sicurezza di Azure per le raccomandazioni predefinite che semplificano il modo in cui i clienti Defender per il cloud ottimizzare i requisiti di sicurezza. La nuova esperienza include le nuove funzionalità seguenti:
- Un'interfaccia semplice consente prestazioni e esperienza migliori quando si gestiscono i criteri di sicurezza predefiniti all'interno di Defender per il cloud.
- Una singola visualizzazione di tutte le raccomandazioni di sicurezza predefinite offerte dal benchmark di sicurezza cloud Microsoft (in precedenza il benchmark della sicurezza di Azure). Le raccomandazioni sono organizzate in gruppi logici, semplificando la comprensione dei tipi di risorse trattati e della relazione tra parametri e raccomandazioni.
- Sono state aggiunte nuove funzionalità, ad esempio filtri e ricerca.
Informazioni su come gestire i criteri di sicurezza.
Leggere il blog Microsoft Defender per il cloud.
Defender CSPM (Cloud Security Posture Management) è ora disponibile a livello generale
Microsoft annuncia che Defender CSPM è ora disponibile a livello generale. Defender CSPM offre tutti i servizi disponibili nelle funzionalità di Foundational CSPM e offre i vantaggi seguenti:
- Analisi del percorso di attacco e API ARG: l'analisi del percorso di attacco usa un algoritmo basato su grafo che analizza il grafico della sicurezza cloud per esporre i percorsi di attacco e suggerisce raccomandazioni su come risolvere al meglio i problemi che interrompono il percorso di attacco e impediscono la riuscita della violazione. È anche possibile usare i percorsi di attacco a livello di codice eseguendo query nell'API Azure Resource Graph (ARG). Informazioni su come usare l'analisi del percorso di attacco
- Cloud Security Explorer : usare Cloud Security Explorer per eseguire query basate su grafo nel grafico della sicurezza cloud per identificare in modo proattivo i rischi per la sicurezza negli ambienti multicloud. Altre informazioni su Cloud Security Explorer.
Altre informazioni su Defender CSPM.
Opzione per creare raccomandazioni personalizzate e standard di sicurezza in Microsoft Defender per il cloud
Microsoft Defender per il cloud offre la possibilità di creare raccomandazioni e standard personalizzati per AWS e GCP usando query KQL. È possibile usare un editor di query per compilare e testare query sui dati. Questa funzionalità fa parte del piano CsPM (Cloud Security Posture Management) di Defender. Informazioni su come creare raccomandazioni e standard personalizzati.
Microsoft Cloud Security Benchmark (MCSB) versione 1.0 è ora disponibile a livello generale
Microsoft Defender per il cloud annuncia che Microsoft Cloud Security Benchmark (MCSB) versione 1.0 è ora disponibile a livello generale.
MCSB versione 1.0 sostituisce Azure Security Benchmark (ASB) versione 3 come criterio di sicurezza predefinito di Defender per il cloud. MCSB versione 1.0 viene visualizzato come standard di conformità predefinito nel dashboard di conformità ed è abilitato per impostazione predefinita per tutti i clienti Defender per il cloud.
È anche possibile scoprire in che modo Microsoft Cloud Security Benchmark (MCSB) consente di raggiungere il successo nel percorso di sicurezza del cloud.
Altre informazioni su MCSB.
Alcuni standard di conformità alle normative sono ora disponibili nei cloud per enti pubblici
Questi standard vengono aggiornati per i clienti in Azure per enti pubblici e Microsoft Azure gestito da 21Vianet.
Azure per enti pubblici:
Microsoft Azure gestito da 21Vianet:
Informazioni su come personalizzare il set di standard nel dashboard di conformità alle normative.
Nuova raccomandazione di anteprima per i server SQL di Azure
È stata aggiunta una nuova raccomandazione per i server SQL di Azure, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)
.
La raccomandazione si basa sui criteri esistenti Azure SQL Database should have Azure Active Directory Only Authentication enabled
Questa raccomandazione disabilita i metodi di autenticazione locale e consente solo l'autenticazione di Azure Active Directory, migliorando la sicurezza assicurando che i database SQL di Azure possano accedere esclusivamente alle identità di Azure Active Directory.
Informazioni su come creare server con l'autenticazione solo azure AD abilitata in Azure SQL.
Nuovo avviso in Defender per Key Vault
Defender per Key Vault presenta il nuovo avviso seguente:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Accesso negato da un indirizzo IP sospetto a un insieme di credenziali delle chiavi (KV_SuspiciousIPAccessDenied) |
Un accesso non riuscito all'insieme di credenziali delle chiavi è stato tentato da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Anche se questo tentativo non è riuscito, indica che l'infrastruttura potrebbe essere stata compromessa. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Basso |
È possibile visualizzare un elenco di tutti gli avvisi disponibili per Key Vault.
Febbraio 2023
Gli aggiornamenti di febbraio includono:
- Cloud Security Explorer avanzato
- Analisi delle vulnerabilità di Defender per contenitori per l'esecuzione di immagini Linux ora disponibili a livello generale
- Annuncio del supporto per lo standard di conformità AWS CIS 1.5.0
- Microsoft Defender per DevOps (anteprima) è ora disponibile in altre aree
- Criteri predefiniti [Anteprima]: l'endpoint privato deve essere configurato per Key Vault è deprecato
Cloud Security Explorer avanzato
Una versione migliorata di Cloud Security Explorer include un'esperienza utente aggiornata che rimuove notevolmente l'attrito delle query, ha aggiunto la possibilità di eseguire query multicloud e multi-risorse e la documentazione incorporata per ogni opzione di query.
Cloud Security Explorer consente ora di eseguire query astratte sul cloud tra le risorse. È possibile usare i modelli di query predefiniti o usare la ricerca personalizzata per applicare filtri per compilare la query. Informazioni su come gestire Cloud Security Explorer.
Analisi delle vulnerabilità di Defender per contenitori per l'esecuzione di immagini Linux ora disponibili a livello generale
Defender per contenitori rileva le vulnerabilità nei contenitori in esecuzione. Sono supportati sia contenitori Windows che contenitori Linux.
Nell'agosto 2022 questa funzionalità è stata rilasciata in anteprima per Windows e Linux. Il rilascio viene ora rilasciato per la disponibilità generale (GA) per Linux.
Quando vengono rilevate vulnerabilità, Defender per il cloud genera la raccomandazione di sicurezza seguente che elenca i risultati dell'analisi: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti.
Altre informazioni sulla visualizzazione delle vulnerabilità per l'esecuzione di immagini.
Annuncio del supporto per lo standard di conformità AWS CIS 1.5.0
Defender per il cloud ora supporta lo standard di conformità CIS Amazon Web Services Foundations v1.5.0. Lo standard può essere aggiunto al dashboard conformità alle normative e si basa sulle offerte esistenti di MDC per raccomandazioni e standard multicloud.
Questo nuovo standard include sia raccomandazioni esistenti che nuove che estendono la copertura di Defender per il cloud a nuovi servizi e risorse AWS.
Informazioni su come gestire valutazioni e standard AWS.
Microsoft Defender per DevOps (anteprima) è ora disponibile in altre aree
Microsoft Defender per DevOps ha ampliato l'anteprima ed è ora disponibile nelle aree Europa occidentale e Australia orientale quando si esegue l'onboarding delle risorse di Azure DevOps e GitHub.
Altre informazioni su Microsoft Defender per DevOps.
Criteri predefiniti [Anteprima]: l'endpoint privato deve essere configurato per Key Vault è deprecato
I criteri [Preview]: Private endpoint should be configured for Key Vault
predefiniti sono deprecati e sostituiti con i [Preview]: Azure Key Vaults should use private link
criteri.
Altre informazioni sull'integrazione di Azure Key Vault con Criteri di Azure.
Gennaio 2023
Gli aggiornamenti di gennaio includono:
- Il componente Endpoint Protection (Microsoft Defender per endpoint) è ora accessibile nella pagina Impostazioni e monitoraggio
- Nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti (anteprima)
- Pulizia dei computer Azure Arc eliminati negli account AWS e GCP connessi
- Consentire l'esportazione continua in Hub eventi dietro un firewall
- Il nome del controllo Secure Score Proteggere le applicazioni con soluzioni di rete avanzate di Azure è cambiato
- Le impostazioni di valutazione della vulnerabilità dei criteri per SQL Server devono contenere un indirizzo di posta elettronica per ricevere i report di analisi è deprecato
- Raccomandazione per abilitare i log di diagnostica per set di scalabilità di macchine virtuali è deprecato
Il componente Endpoint Protection (Microsoft Defender per endpoint) è ora accessibile nella pagina Impostazioni e monitoraggio
Per accedere a Endpoint Protection, passare a Impostazioni dell'ambiente Impostazioni>e>monitoraggio di Defender. Da qui è possibile impostare Endpoint Protection su Sì. È anche possibile visualizzare gli altri componenti gestiti.
Altre informazioni sull'abilitazione di Microsoft Defender per endpoint nei server con Defender per server.
Nuova versione della raccomandazione per trovare gli aggiornamenti di sistema mancanti (anteprima)
Non è più necessario un agente nelle macchine virtuali di Azure e nei computer Azure Arc per assicurarsi che i computer dispongano di tutti gli aggiornamenti di sistema critici o della sicurezza più recenti.
Il nuovo consiglio per gli aggiornamenti del Apply system updates
sistema, System updates should be installed on your machines (powered by Azure Update Manager)
nel controllo, è basato su Gestione aggiornamenti (anteprima). La raccomandazione si basa su un agente nativo incorporato in ogni macchina virtuale di Azure e nei computer Azure Arc anziché in un agente installato. La correzione rapida nella nuova raccomandazione consente di eseguire una sola volta l'installazione degli aggiornamenti mancanti nel portale di Gestione aggiornamenti.
Per usare la nuova raccomandazione, è necessario:
- Connettere i computer non Azure ad Arc
- Attivare la proprietà di valutazione periodica. È possibile usare la correzione rapida nella nuova raccomandazione per
Machines should be configured to periodically check for missing system updates
correggere la raccomandazione.
La raccomandazione "Gli aggiornamenti di sistema esistenti devono essere installati nei computer", che si basa sull'agente di Log Analytics, sono ancora disponibili con lo stesso controllo.
Pulizia dei computer Azure Arc eliminati negli account AWS e GCP connessi
Un computer connesso a un account AWS e GCP coperto da Defender per server o Defender per SQL nei computer è rappresentato in Defender per il cloud come computer Azure Arc. Fino ad ora, il computer non è stato eliminato dall'inventario quando il computer è stato eliminato dall'account AWS o GCP. Con conseguente assenza di risorse di Azure Arc non necessarie in Defender per il cloud che rappresenta i computer eliminati.
Defender per il cloud eliminerà automaticamente i computer Azure Arc quando tali computer vengono eliminati nell'account AWS o GCP connesso.
Consentire l'esportazione continua in Hub eventi dietro un firewall
È ora possibile abilitare l'esportazione continua di avvisi e raccomandazioni, come servizio attendibile in Hub eventi protetti da un firewall di Azure.
È possibile abilitare l'esportazione continua quando vengono generati avvisi o raccomandazioni. È anche possibile definire una pianificazione per inviare snapshot periodici di tutti i nuovi dati.
Informazioni su come abilitare l'esportazione continua in un hub eventi dietro un firewall di Azure.
Il nome del controllo Secure Score Proteggere le applicazioni con soluzioni di rete avanzate di Azure viene modificato
Il controllo Protect your applications with Azure advanced networking solutions
del punteggio di sicurezza viene modificato in Protect applications against DDoS attacks
.
Il nome aggiornato si riflette su Azure Resource Graph (ARG), l'API Secure Score Controls e .Download CSV report
Le impostazioni di valutazione della vulnerabilità dei criteri per SQL Server devono contenere un indirizzo di posta elettronica per ricevere i report di analisi è deprecato
Il criterio Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports
è deprecato.
Il report di posta elettronica sulla valutazione della vulnerabilità di Defender per SQL è ancora disponibile e le configurazioni di posta elettronica esistenti non sono state modificate.
Raccomandazione per abilitare i log di diagnostica per set di scalabilità di macchine virtuali è deprecato
La raccomandazione Diagnostic logs in Virtual Machine Scale Sets should be enabled
è deprecata.
La definizione dei criteri correlata è stata deprecata anche da tutti gli standard visualizzati nel dashboard di conformità alle normative.
Suggerimento | Descrizione | Gravità |
---|---|---|
È consigliabile abilitare i log di diagnostica nei set di scalabilità di macchine virtuali | Abilitare i log e conservarli per un massimo di un anno, consentendo di ricreare i percorsi attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa. | Basso |
Dicembre 2022
Gli aggiornamenti di dicembre includono:
Annuncio della configurazione rapida per la valutazione della vulnerabilità in Defender per SQL
La configurazione rapida per la valutazione delle vulnerabilità in Microsoft Defender per SQL offre ai team di sicurezza un'esperienza di configurazione semplificata su database SQL di Azure e pool SQL dedicati all'esterno delle aree di lavoro di Synapse.
Con l'esperienza di configurazione rapida per le valutazioni delle vulnerabilità, i team di sicurezza possono:
- Completare la configurazione della valutazione della vulnerabilità nella configurazione di sicurezza della risorsa SQL, senza altre impostazioni o dipendenze dagli account di archiviazione gestiti dal cliente.
- Aggiungere immediatamente i risultati dell'analisi alle linee di base in modo che lo stato della ricerca delle modifiche da Non integro a Integro senza eseguire nuovamente il ridimensionamento di un database.
- Aggiungere più regole alle baseline contemporaneamente e usare i risultati dell'analisi più recenti.
- Abilitare la valutazione delle vulnerabilità per tutti i server SQL di Azure quando si attiva Microsoft Defender per i database a livello di sottoscrizione.
Altre informazioni sulla valutazione della vulnerabilità di Defender per SQL.
Novembre 2022
Gli aggiornamenti del mese di novembre includono quanto segue:
- Proteggere i contenitori nell'organizzazione GCP con Defender per contenitori
- Convalidare le protezioni di Defender per contenitori con avvisi di esempio
- Regole di governance su larga scala (anteprima)
- La possibilità di creare valutazioni personalizzate in AWS e GCP (anteprima) è deprecata
- La raccomandazione di configurare code di messaggi non recapitabili per le funzioni Lambda è deprecata
Proteggere i contenitori nell'organizzazione GCP con Defender per contenitori
È ora possibile abilitare Defender per contenitori per l'ambiente GCP per proteggere i cluster GKE standard in un'intera organizzazione GCP. È sufficiente creare un nuovo connettore GCP con Defender per contenitori abilitato o abilitare Defender per contenitori in un connettore GCP a livello di organizzazione esistente.
Altre informazioni sulla connessione di progetti e organizzazioni GCP alle Defender per il cloud.
Convalidare le protezioni di Defender per contenitori con avvisi di esempio
È ora possibile creare avvisi di esempio anche per il piano Defender per contenitori. I nuovi avvisi di esempio vengono presentati come provenienti da servizio Azure Kubernetes, cluster connessi ad Arc, servizio Azure Kubernetes e risorse GKE con gravità diverse e tattiche MITRE. È possibile usare gli avvisi di esempio per convalidare le configurazioni degli avvisi di sicurezza, ad esempio integrazioni SIEM, automazione del flusso di lavoro e notifiche tramite posta elettronica.
Altre informazioni sulla convalida degli avvisi.
Regole di governance su larga scala (anteprima)
Siamo lieti di annunciare la nuova possibilità di applicare regole di governance su larga scala (anteprima) in Defender per il cloud.
Con questa nuova esperienza, i team di sicurezza sono in grado di definire regole di governance in blocco per vari ambiti (sottoscrizioni e connettori). I team di sicurezza possono eseguire questa attività usando ambiti di gestione come gruppi di gestione di Azure, account di primo livello AWS o organizzazioni GCP.
Inoltre, la pagina Regole di governance (anteprima) presenta tutte le regole di governance disponibili valide negli ambienti dell'organizzazione.
Altre informazioni sulle nuove regole di governance su larga scala.
Nota
A partire dal 1° gennaio 2023, per sperimentare le funzionalità offerte dalla governance, è necessario che il piano CSPM di Defender sia abilitato nella sottoscrizione o nel connettore.
La possibilità di creare valutazioni personalizzate in AWS e GCP (anteprima) è deprecata
La possibilità di creare valutazioni personalizzate per gli account AWS e i progetti GCP, una funzionalità di anteprima, è deprecata.
La raccomandazione di configurare code di messaggi non recapitabili per le funzioni Lambda è deprecata
La raccomandazione Lambda functions should have a dead-letter queue configured
è deprecata.
Suggerimento | Descrizione | Gravità |
---|---|---|
Le funzioni lambda devono avere una coda di messaggi non recapitabili configurata | Questo controllo controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. Il controllo ha esito negativo se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. In alternativa a una destinazione di errore, è possibile configurare la funzione con una coda di messaggi non recapitabili per salvare gli eventi rimossi per un'ulteriore elaborazione. Una coda di messaggi non recapitabili funge da destinazione non riuscita. Viene usato quando un evento non riesce tutti i tentativi di elaborazione o scade senza essere elaborati. Una coda di messaggi non recapitabili consente di esaminare gli errori o le richieste non riuscite alla funzione Lambda per eseguire il debug o identificare comportamenti insoliti. Dal punto di vista della sicurezza, è importante comprendere il motivo per cui la funzione non è riuscita e assicurarsi che la funzione non rilasci dati o compromettere la sicurezza dei dati di conseguenza. Ad esempio, se la funzione non riesce a comunicare con una risorsa sottostante che potrebbe essere un sintomo di un attacco Denial of Service (DoS) altrove nella rete. | Medio |
Ottobre 2022
Gli aggiornamenti del mese di ottobre includono quanto segue:
- Annuncio del benchmark di sicurezza del cloud Microsoft
- Analisi del percorso di attacco e funzionalità di sicurezza contestuali in Defender per il cloud (anteprima)
- Analisi senza agente per computer Azure e AWS (anteprima)
- Defender per DevOps (anteprima)
- Dashboard conformità alle normative supporta ora la gestione manuale del controllo e informazioni dettagliate sullo stato di conformità di Microsoft
- Il provisioning automatico viene rinominato Impostazioni e monitoraggio e ha un'esperienza aggiornata
- Defender Cloud Security Posture Management (CSPM) (anteprima)
- Il mapping del framework MITRE ATT&CK è ora disponibile anche per le raccomandazioni sulla sicurezza di AWS e GCP
- Defender per contenitori supporta ora la valutazione della vulnerabilità per il Registro Contenitori elastici (anteprima)
Annuncio del benchmark di sicurezza del cloud Microsoft
Microsoft Cloud Security Benchmark (MCSB) è un nuovo framework che definisce principi fondamentali di sicurezza cloud basati su standard di settore e framework di conformità comuni. Insieme a indicazioni tecniche dettagliate per l'implementazione di queste procedure consigliate nelle piattaforme cloud. MCSB sostituisce Azure Security Benchmark. MCSB fornisce informazioni prescrittive su come implementare le raccomandazioni sulla sicurezza indipendente dal cloud su più piattaforme di servizi cloud, inizialmente relative ad Azure e AWS.
È ora possibile monitorare il comportamento di conformità della sicurezza cloud per ogni cloud in un unico dashboard integrato. È possibile visualizzare MCSB come standard di conformità predefinito quando si passa al dashboard di conformità alle normative di Defender per il cloud.
Il benchmark della sicurezza cloud Microsoft viene assegnato automaticamente alle sottoscrizioni di Azure e agli account AWS quando si esegue l'onboarding Defender per il cloud.
Altre informazioni sul benchmark della sicurezza del cloud Microsoft.
Analisi del percorso di attacco e funzionalità di sicurezza contestuali in Defender per il cloud (anteprima)
Il nuovo grafico della sicurezza cloud, l'analisi del percorso di attacco e le funzionalità di sicurezza del cloud contestuali sono ora disponibili in Defender per il cloud in anteprima.
Una delle principali sfide che i team di sicurezza affrontano oggi è il numero di problemi di sicurezza che affrontano quotidianamente. Esistono numerosi problemi di sicurezza che devono essere risolti e che non sono mai sufficienti risorse per risolverli tutti.
le nuove funzionalità di analisi dei percorsi di attacco e del grafico della sicurezza cloud di Defender per il cloud offrono ai team di sicurezza la possibilità di valutare il rischio dietro ogni problema di sicurezza. I team di sicurezza possono anche identificare i problemi di rischio più elevati che devono essere risolti al più presto. Defender per il cloud collabora con i team di sicurezza per ridurre il rischio di una violazione influente nel proprio ambiente nel modo più efficace.
Altre informazioni sul nuovo grafo della sicurezza cloud, sull'analisi del percorso di attacco e su Cloud Security Explorer.
Analisi senza agente per computer Azure e AWS (anteprima)
Fino ad ora, Defender per il cloud basato sulle valutazioni del comportamento per le macchine virtuali su soluzioni basate su agenti. Per aiutare i clienti a ottimizzare la copertura e ridurre l'attrito di onboarding e gestione, viene rilasciata l'analisi senza agente per le macchine virtuali in anteprima.
Con l'analisi senza agente per le macchine virtuali, si ottiene un'ampia visibilità sui CVE software e software installati. Si ottiene la visibilità senza problemi di installazione e manutenzione dell'agente, requisiti di connettività di rete e impatto sulle prestazioni sui carichi di lavoro. L'analisi è basata su Gestione delle vulnerabilità di Microsoft Defender.
L'analisi delle vulnerabilità senza agente è disponibile sia in Defender Cloud Security Posture Management (CSPM) che in Defender per server P2, con supporto nativo per AWS e macchine virtuali di Azure.
- Altre informazioni sull'analisi senza agente.
- Informazioni su come abilitare la valutazione della vulnerabilità senza agente.
Defender per DevOps (anteprima)
Microsoft Defender per il cloud offre visibilità completa, gestione del comportamento e protezione dalle minacce in ambienti ibridi e multicloud, tra cui Azure, AWS, Google e risorse locali.
Il nuovo piano defender per DevOps integra ora i sistemi di gestione del codice sorgente, ad esempio GitHub e Azure DevOps, in Defender per il cloud. Con questa nuova integrazione, i team di sicurezza possono proteggere le risorse dal codice al cloud.
Defender per DevOps consente di ottenere visibilità e gestire gli ambienti di sviluppo connessi e le risorse di codice. Attualmente, è possibile connettere i sistemi Azure DevOps e GitHub a Defender per il cloud ed eseguire l'onboarding dei repository DevOps nell'inventario e nella nuova pagina DevOps Security. Fornisce ai team di sicurezza una panoramica generale dei problemi di sicurezza individuati presenti all'interno di essi in una pagina unificata di DevOps Security.
È possibile configurare annotazioni sulle richieste pull per aiutare gli sviluppatori a risolvere i risultati dell'analisi dei segreti in Azure DevOps direttamente nelle richieste pull.
È possibile configurare gli strumenti di Microsoft Security DevOps nei flussi di lavoro di Azure Pipelines e GitHub per abilitare le analisi di sicurezza seguenti:
Nome | Lingua | Licenza |
---|---|---|
Bandito | Python | Licenza Apache 2.0 |
BinSkim | Binario - Windows, ELF | Licenza MIT |
ESlint | JavaScript | Licenza MIT |
CredScan (solo Azure DevOps) | Credential Scanner (noto anche come CredScan) è uno strumento sviluppato e gestito da Microsoft per identificare le perdite di credenziali, ad esempio quelle nei tipi comuni di codice sorgente e file di configurazione: password predefinite, stringa di connessione SQL, Certificati con chiavi private | Non open source |
Analisi modelli | Modello di Resource Manager, file Bicep | Licenza MIT |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Licenza Apache 2.0 |
Trivy | Immagini del contenitore, file system, repository Git | Licenza Apache 2.0 |
Le nuove raccomandazioni seguenti sono ora disponibili per DevOps:
Suggerimento | Descrizione | Gravità |
---|---|---|
(Anteprima) I repository di codice devono avere i risultati di analisi del codice risolti | Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato) | Medio |
(Anteprima) I repository di codice devono avere i risultati dell'analisi dei segreti risolti | Defender per DevOps ha trovato un segreto nei repository di codice. Questa operazione deve essere risolta immediatamente per evitare una violazione della sicurezza. I segreti trovati nei repository possono essere persi o individuati da avversari, causando la compromissione di un'applicazione o di un servizio. Per Azure DevOps, lo strumento Microsoft Security DevOps CredScan analizza solo le build su cui è configurato per l'esecuzione. Pertanto, i risultati potrebbero non riflettere lo stato completo dei segreti nei repository. (Nessun criterio correlato) | Alto |
(Anteprima) I repository di codice devono avere i risultati di analisi Dependabot risolti | Defender per DevOps ha rilevato vulnerabilità nei repository di codice. Per migliorare il comportamento di sicurezza dei repository, è consigliabile correggere queste vulnerabilità. (Nessun criterio correlato) | Medio |
(Anteprima) I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti | (Anteprima) I repository di codice devono avere un'infrastruttura perché i risultati dell'analisi del codice sono stati risolti | Medio |
(Anteprima) Nei repository GitHub deve essere abilitata l'analisi del codice | GitHub usa l'analisi del codice per analizzare il codice per trovare vulnerabilità ed errori di sicurezza nel codice. L'analisi del codice può essere usata per trovare, valutare e classificare in ordine di priorità le correzioni per i problemi esistenti nel codice. L'analisi del codice può anche impedire agli sviluppatori di introdurre nuovi problemi. Le analisi possono essere pianificate per giorni e ore specifiche oppure le analisi possono essere attivate quando si verifica un evento specifico nel repository, ad esempio un push. Se l'analisi del codice rileva una potenziale vulnerabilità o un errore nel codice, GitHub visualizza un avviso nel repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto. (Nessun criterio correlato) | Medio |
(Anteprima) Nei repository GitHub deve essere abilitata l'analisi dei segreti | GitHub analizza i repository per i tipi noti di segreti, per evitare l'uso fraudolento dei segreti di cui è stato accidentalmente eseguito il commit nei repository. L'analisi dei segreti analizzerà l'intera cronologia Git in tutti i rami presenti nel repository GitHub per individuare eventuali segreti. Esempi di segreti sono token e chiavi private che un provider di servizi può emettere per l'autenticazione. Se un segreto viene archiviato in un repository, chiunque abbia accesso in lettura al repository può usare il segreto per accedere al servizio esterno con tali privilegi. I segreti devono essere archiviati in una posizione sicura dedicata all'esterno del repository per il progetto. (Nessun criterio correlato) | Alto |
(Anteprima) Per i repository GitHub deve essere abilitata l'analisi Dependabot | GitHub invia avvisi Dependabot quando rileva le vulnerabilità nelle dipendenze del codice che influiscono sui repository. Una vulnerabilità è un problema nel codice di un progetto che potrebbe essere sfruttato per danneggiare la riservatezza, l'integrità o la disponibilità del progetto o di altri progetti che usano il codice. Le vulnerabilità variano in base al tipo, alla gravità e al metodo di attacco. Quando il codice dipende da un pacchetto che presenta una vulnerabilità di sicurezza, questa dipendenza vulnerabile può causare una serie di problemi. (Nessun criterio correlato) | Medio |
Le raccomandazioni di Defender per DevOps hanno sostituito lo scanner di vulnerabilità deprecato per i flussi di lavoro CI/CD inclusi in Defender per contenitori.
Altre informazioni su Defender per DevOps
Il dashboard conformità alle normative supporta ora la gestione manuale del controllo e informazioni dettagliate sullo stato di conformità di Microsoft
Il dashboard di conformità in Defender per il cloud è uno strumento chiave per aiutare i clienti a comprendere e tenere traccia del loro stato di conformità. I clienti possono monitorare continuamente gli ambienti in conformità ai requisiti di molti standard e normative diversi.
È ora possibile gestire completamente il comportamento di conformità attestando manualmente i controlli operativi e altri controlli. È possibile fornire prove di conformità per i controlli che non sono automatizzati. Insieme alle valutazioni automatizzate, è ora possibile generare un report completo di conformità all'interno di un ambito selezionato, gestendo l'intero set di controlli per un determinato standard.
Inoltre, con informazioni più complete sui controlli, oltre a dettagli approfonditi e prove dello stato di conformità di Microsoft, è ora possibile avere a disposizione tutte le informazioni richieste per i controlli.
I vantaggi includono:
Le azioni manuali dei clienti forniscono un meccanismo per attestare manualmente la conformità ai controlli non automatizzati. Inclusa la possibilità di collegare l'evidenza, impostare una data di conformità e una data di scadenza.
Dettagli di controllo più avanzati per gli standard supportati che illustrano le azioni microsoft e le azioni manuali dei clienti oltre alle azioni dei clienti automatizzate già esistenti.
Le azioni Microsoft offrono trasparenza allo stato di conformità di Microsoft che include procedure di valutazione di controllo, risultati dei test e risposte Microsoft alle deviazioni.
Le offerte di conformità offrono una posizione centrale per controllare i prodotti Azure, Dynamics 365 e Power Platform e le rispettive certificazioni di conformità alle normative.
Vedere altre informazioni su come migliorare la conformità alle normative con Defender per il cloud.
Il provisioning automatico viene rinominato Impostazioni e monitoraggio e ha un'esperienza aggiornata
La pagina di provisioning automatico è stata rinominata in Impostazioni e monitoraggio.
Il provisioning automatico è stato progettato per consentire l'abilitazione su larga scala dei prerequisiti, necessari per le funzionalità e le funzionalità avanzate di Defender per il cloud. Per supportare meglio le funzionalità espanse, viene avviata una nuova esperienza con le modifiche seguenti:
La pagina dei piani di Defender per il cloud include ora:
- Quando si abilita un piano di Defender che richiede componenti di monitoraggio, tali componenti sono abilitati per il provisioning automatico con le impostazioni predefinite. Queste impostazioni possono essere modificate facoltativamente in qualsiasi momento.
- È possibile accedere alle impostazioni dei componenti di monitoraggio per ogni piano di Defender dalla pagina del piano di Defender.
- La pagina Piani di Defender indica chiaramente se tutti i componenti di monitoraggio sono attivi per ogni piano di Defender o se la copertura del monitoraggio è incompleta.
Pagina Impostazioni e monitoraggio:
- Ogni componente di monitoraggio indica i piani di Defender a cui è correlato.
Altre informazioni sulla gestione delle impostazioni di monitoraggio.
Cloud Security Posture Management (CSPM) di Defender
Uno dei principali pilastri di Microsoft Defender per il cloud è Cloud Security Posture Management (CSPM). CSPM offre indicazioni sulla protezione avanzata che consentono di migliorare in modo efficiente ed efficace la sicurezza. CSPM offre anche visibilità sulla situazione di sicurezza corrente.
Stiamo annunciando un nuovo piano defender: Defender CSPM. Questo piano migliora le funzionalità di sicurezza di Defender per il cloud e include le funzionalità nuove ed espanse seguenti:
- Valutazione continua della configurazione di sicurezza delle risorse cloud
- Consigli di sicurezza per correggere errori di configurazione e punti deboli
- Punteggio di sicurezza
- Governance
- Conformità alle normative
- Grafo della sicurezza cloud
- Analisi del percorso di attacco
- Analisi senza agente per computer
Altre informazioni sul piano CSPM di Defender.
Il mapping del framework MITRE ATT&CK è ora disponibile anche per le raccomandazioni sulla sicurezza di AWS e GCP
Per gli analisti della sicurezza, è essenziale identificare i potenziali rischi associati alle raccomandazioni sulla sicurezza e comprendere i vettori di attacco, in modo che possano classificare in ordine di priorità le attività in modo efficiente.
Defender per il cloud semplifica la definizione delle priorità eseguendo il mapping delle raccomandazioni sulla sicurezza di Azure, AWS e GCP rispetto al framework MITRE ATT&CK. Il framework MITRE ATT&CK è una knowledge base accessibile a livello globale di tattiche e tecniche antagoniste basate su osservazioni reali, consentendo ai clienti di rafforzare la configurazione sicura dei propri ambienti.
Il framework MITRE ATT&CK è integrato in tre modi:
- Le raccomandazioni sono mappate alle tattiche e alle tecniche MITRE ATT&CK.
- Eseguire query su tattiche e tecniche MITRE ATT&CK sulle raccomandazioni usando Azure Resource Graph.
Defender per contenitori supporta ora la valutazione della vulnerabilità per il Registro Contenitori elastici (anteprima)
Microsoft Defender per contenitori offre ora l'analisi della valutazione delle vulnerabilità senza agente per Elastic Container Registry (ECR) in Amazon AWS. Espansione della copertura per gli ambienti multicloud, basata sulla versione precedente di quest'anno della protezione avanzata dalle minacce e della protezione avanzata dell'ambiente Kubernetes per AWS e Google GCP. Il modello senza agente crea risorse AWS negli account per analizzare le immagini senza estrarre immagini dagli account AWS e senza footprint sul carico di lavoro.
L'analisi della valutazione delle vulnerabilità senza agente per le immagini nei repository ECR consente di ridurre la superficie di attacco dell'ambiente in contenitori analizzando continuamente le immagini per identificare e gestire le vulnerabilità dei contenitori. Con questa nuova versione, Defender per il cloud analizza le immagini del contenitore dopo il push nel repository e rivaluta continuamente le immagini del contenitore ECR nel registro. I risultati sono disponibili in Microsoft Defender per il cloud come raccomandazioni ed è possibile usare i flussi di lavoro automatizzati predefiniti di Defender per il cloud per intervenire sui risultati, ad esempio l'apertura di un ticket per la correzione di una vulnerabilità con gravità elevata in un'immagine.
Altre informazioni sulla valutazione delle vulnerabilità per le immagini amazon ECR.
Settembre 2022
Gli aggiornamenti del mese di settembre includono quanto segue:
- Eliminare gli avvisi in base alle entità Contenitore e Kubernetes
- Defender per server supporta il monitoraggio dell'integrità dei file con l'agente di Monitoraggio di Azure
- Api di valutazione legacy deprecate
- Raccomandazioni aggiuntive aggiunte all'identità
- Rimozione degli avvisi di sicurezza per i computer che segnalano alle aree di lavoro Log Analytics tra tenant
Eliminare gli avvisi in base alle entità Contenitore e Kubernetes
- Spazio dei nomi Kubernetes
- Kubernetes Pod
- Segreto Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Oggetto StatefulSet di Kubernetes
- Kubernetes DaemonSet
- Processo Kubernetes
- Kubernetes CronJob
Altre informazioni sulle regole di eliminazione degli avvisi.
Defender per server supporta il monitoraggio dell'integrità dei file con l'agente di Monitoraggio di Azure
Il monitoraggio dell'integrità dei file esamina i file del sistema operativo e i registri per individuare le modifiche che potrebbero indicare un attacco.
FIM è ora disponibile in una nuova versione basata sull'agente di Monitoraggio di Azure (AMA), che è possibile distribuire tramite Defender per il cloud.
Api di valutazione legacy deprecate
Le API seguenti sono deprecate:
- Attività relative alla sicurezza
- stati di sicurezza
- Riepiloghi della sicurezza
Queste tre API hanno esposto i vecchi formati di valutazione e sono sostituite dalle API Valutazioni e dalle API Di valutazione. Tutti i dati esposti da queste API legacy sono disponibili anche nelle nuove API.
Raccomandazioni aggiuntive aggiunte all'identità
Defender per il cloud raccomandazioni per migliorare la gestione di utenti e account.
Nuove raccomandazioni
La nuova versione contiene le funzionalità seguenti:
Ambito di valutazione esteso: la copertura è migliorata per gli account di identità senza MFA e account esterni nelle risorse di Azure (anziché solo sottoscrizioni) che consente agli amministratori della sicurezza di visualizzare le assegnazioni di ruolo per ogni account.
Intervallo di aggiornamento migliorato: le raccomandazioni sull'identità hanno ora un intervallo di aggiornamento di 12 ore.
Funzionalità di esenzione dell'account: Defender per il cloud offre molte funzionalità che è possibile usare per personalizzare l'esperienza e assicurarsi che il punteggio di sicurezza rifletta le priorità di sicurezza dell'organizzazione. Ad esempio, è possibile esentare risorse e raccomandazioni dal punteggio di sicurezza.
Questo aggiornamento consente di esentare account specifici dalla valutazione con le sei raccomandazioni elencate nella tabella seguente.
In genere, si esentano gli account "break glass" di emergenza dalle raccomandazioni MFA, perché tali account vengono spesso deliberatamente esclusi dai requisiti di autenticazione a più fattori di un'organizzazione. In alternativa, potrebbero essere presenti account esterni a cui si vuole consentire l'accesso, a cui non è abilitata l'autenticazione a più fattori.
Suggerimento
Quando si esenta un account, non verrà visualizzato come non integro e non causerà la visualizzazione di una sottoscrizione non integra.
Elemento consigliato Chiave di valutazione Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori 6240402e-f77c-46fa-9060-a7ce53997754 Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori c0cb17b2-0607-48a7-b0e0-903ed22de39b Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi 20606e75-05c4-48c0-9d97-add6daa2109a Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi 050ac097-3dda-4d24-ab6d-82568e7a50cf Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Le raccomandazioni, anche se in anteprima, verranno visualizzate accanto alle raccomandazioni attualmente disponibili a livello generale.
Rimozione degli avvisi di sicurezza per i computer che segnalano alle aree di lavoro Log Analytics tra tenant
In passato, Defender per il cloud consentire di scegliere l'area di lavoro a cui gli agenti di Log Analytics segnalano. Quando un computer appartiene a un tenant (Tenant A), ma l'agente di Log Analytics ha segnalato a un'area di lavoro in un tenant diverso ("Tenant B"), gli avvisi di sicurezza relativi al computer sono stati segnalati al primo tenant (Tenant A).
Con questa modifica, gli avvisi sui computer connessi all'area di lavoro Log Analytics in un tenant diverso non vengono più visualizzati in Defender per il cloud.
Per continuare a ricevere gli avvisi in Defender per il cloud, connettere l'agente di Log Analytics dei computer pertinenti all'area di lavoro nello stesso tenant del computer.
Altre informazioni sugli avvisi di sicurezza.
Agosto 2022
Gli aggiornamenti del mese di agosto includono quanto segue:
- Le vulnerabilità per l'esecuzione delle immagini sono ora visibili con Defender per contenitori nei contenitori di Windows
- Integrazione dell'agente di Monitoraggio di Azure ora in anteprima
- Avvisi deprecati relativi alle attività sospette correlate a un cluster Kubernetes
Le vulnerabilità per l'esecuzione delle immagini sono ora visibili con Defender per contenitori nei contenitori di Windows
Defender per contenitori mostra ora le vulnerabilità per l'esecuzione di contenitori Windows.
Quando vengono rilevate vulnerabilità, Defender per il cloud genera la raccomandazione di sicurezza seguente che elenca i problemi rilevati: l'esecuzione di immagini del contenitore deve avere risultati della vulnerabilità risolti.
Altre informazioni sulla visualizzazione delle vulnerabilità per l'esecuzione di immagini.
Integrazione dell'agente di Monitoraggio di Azure ora in anteprima
Defender per il cloud ora include il supporto dell'anteprima perAgente di Monitoraggio di Azure (AMA). AMA è progettato per sostituire l'agente di Log Analytics legacy (noto anche come Microsoft Monitoring Agent (MMA), che si trova in un percorso di deprecazione. Ama offre molti vantaggi rispetto agli agenti legacy.
In Defender per il cloud, quando si abilita il provisioning automatico per AMA, l'agente viene distribuito in macchine virtuali esistenti e nuove e abilitate per Azure Arc rilevate nelle sottoscrizioni. Se i piani defender per cloud sono abilitati, AMA raccoglie informazioni di configurazione e registri eventi dalle macchine virtuali di Azure e dai computer Azure Arc. L'integrazione ama è in anteprima, quindi è consigliabile usarla in ambienti di test, anziché in ambienti di produzione.
Avvisi deprecati relativi alle attività sospette correlate a un cluster Kubernetes
La tabella seguente elenca gli avvisi deprecati:
Nome avviso | Descrizione | Tattiche | Gravità |
---|---|---|---|
Operazione di compilazione Docker rilevata in un nodo Kubernetes (VM_ImageBuildOnNode) |
I log del computer indicano un'operazione di compilazione di un'immagine del contenitore in un nodo Kubernetes. Anche se questo comportamento potrebbe essere legittimo, gli utenti malintenzionati potrebbero creare le immagini dannose in locale per evitare il rilevamento. | Evasione delle difese | Basso |
Richiesta sospetta all'API Kubernetes (VM_KubernetesAPI) |
I log del computer indicano che è stata effettuata una richiesta sospetta all'API Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso. | Spostamento laterale | Medio |
Il server SSH è in esecuzione all'interno di un contenitore (VM_ContainerSSH) |
I log del computer indicano che un server SSH è in esecuzione all'interno di un contenitore Docker. Benché questo comportamento possa essere intenzionale, spesso indica che un contenitore non è configurato correttamente o è stato violato. | Esecuzione | Medio |
Questi avvisi vengono usati per notificare a un utente l'attività sospetta connessa a un cluster Kubernetes. Gli avvisi verranno sostituiti con gli avvisi corrispondenti che fanno parte degli avvisi del contenitore Microsoft Defender per il cloud (K8S.NODE_ImageBuildOnNode
K8S.NODE_ KubernetesAPI
e K8S.NODE_ ContainerSSH
) che offriranno una migliore fedeltà e contesto completo per analizzare e agire sugli avvisi. Altre informazioni sugli avvisi per i cluster Kubernetes.
Le vulnerabilità dei contenitori includono ora informazioni dettagliate sui pacchetti
Defender per la valutazione della vulnerabilità del contenitore include ora informazioni dettagliate sui pacchetti per ogni ricerca, tra cui: nome del pacchetto, tipo di pacchetto, percorso, versione installata e versione fissa. Le informazioni sul pacchetto consentono di trovare pacchetti vulnerabili in modo da poter correggere la vulnerabilità o rimuovere il pacchetto.
Queste informazioni dettagliate sul pacchetto sono disponibili per le nuove analisi delle immagini.
Luglio 2022
Gli aggiornamenti del mese di luglio includono quanto segue:
- Disponibilità generale (GA) dell'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes
- Defender for Container aggiunge il supporto per il rilevamento di pacchetti specifici della lingua (anteprima)
- Proteggere dalla vulnerabilità dell'infrastruttura di gestione delle operazioni CVE-2022-29149
- Integrazione con Entra Permissions Management
- Raccomandazioni di Key Vault modificate in "audit"
- Deprecare i criteri delle app per le API per servizio app
Disponibilità generale (GA) dell'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes
Microsoft è lieta di condividere che l'agente di sicurezza nativo del cloud per la protezione del runtime Kubernetes è ora disponibile a livello generale.
Le distribuzioni di produzione dei cluster Kubernetes continuano a crescere man mano che i clienti continuano a inserire in contenitori le applicazioni. Per facilitare questa crescita, il team di Defender per contenitori ha sviluppato un agente di sicurezza orientato a Kubernetes nativo del cloud.
Il nuovo agente di sicurezza è un DaemonSet kubernetes, basato sulla tecnologia eBPF ed è completamente integrato nei cluster del servizio Azure Kubernetes come parte del profilo di sicurezza del servizio Azure Kubernetes.
L'abilitazione dell'agente di sicurezza è disponibile tramite il provisioning automatico, il flusso di raccomandazioni, il punto di ripristino del servizio Azure Kubernetes o su larga scala usando Criteri di Azure.
È possibile distribuire l'agente Defender oggi nei cluster del servizio Azure Kubernetes.
Con questo annuncio, la protezione di runtime - rilevamento delle minacce (carico di lavoro) è ora disponibile anche a livello generale.
Altre informazioni sulla disponibilità delle funzionalità di Defender per contenitore.
È anche possibile esaminare tutti gli avvisi disponibili.
Si noti che se si usa la versione di anteprima, il AKS-AzureDefender
flag di funzionalità non è più necessario.
Defender for Container aggiunge il supporto per il rilevamento di pacchetti specifici della lingua (anteprima)
La valutazione della vulnerabilità di Defender per container è in grado di rilevare le vulnerabilità nei pacchetti del sistema operativo distribuiti tramite gestione pacchetti del sistema operativo. Sono state ora estese le capacità dell'autorità di valutazione per rilevare le vulnerabilità incluse nei pacchetti specifici del linguaggio.
Questa funzionalità è in anteprima ed è disponibile solo per le immagini Linux.
Per visualizzare tutti i pacchetti specifici della lingua inclusi che sono stati aggiunti, vedere l'elenco completo delle funzionalità di Defender for Container e la relativa disponibilità.
Proteggere dalla vulnerabilità dell'infrastruttura di gestione delle operazioni CVE-2022-29149
Operations Management Infrastructure (OMI) è una raccolta di servizi basati sul cloud per la gestione di ambienti locali e cloud da un'unica posizione. Invece di distribuire e gestire le risorse locali, i componenti OMI sono interamente ospitati in Azure.
Log Analytics integrato con Azure HDInsight che esegue OMI versione 13 richiede una patch per correggere CVE-2022-29149. Esaminare il report su questa vulnerabilità nella Guida di Microsoft Security Update per informazioni su come identificare le risorse interessate da questa vulnerabilità e i passaggi di correzione.
Se Defender per server è abilitato con Valutazione della vulnerabilità, è possibile usare questa cartella di lavoro per identificare le risorse interessate.
Integrazione con Entra Permissions Management
Defender per il cloud è integrato con Gestione delle autorizzazioni di Microsoft Entra, una soluzione CIEM (Cloud Infrastructure Entitlement Management) che offre visibilità completa e controllo sulle autorizzazioni per qualsiasi identità e risorsa in Azure, AWS e GCP.
Ogni sottoscrizione di Azure, l'account AWS e il progetto GCP di cui si esegue l'onboarding mostrerà ora una visualizzazione dell'indice di tipo Permission Creep Index (PCI).Each Azure subscription, AWS account, and GCP project that you onboard, will now show you a view of your Permission Creep Index (PCI).
Altre informazioni su Entra Permission Management (in precedenza Cloudknox)
Raccomandazioni di Key Vault modificate in "audit"
L'effetto per le raccomandazioni di Key Vault elencate di seguito è stato modificato in "audit":
Nome della raccomandazione | ID raccomandazione |
---|---|
È consigliabile che il periodo di validità dei certificati archiviati in Azure Key Vault non sia superiore a 12 mesi | fc84abc0-eee6-4758-8372-a7681965ca44 |
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | 14257785-9437-97fa-11ae-898cfb24302b |
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Deprecare i criteri delle app per le API per servizio app
Sono stati deprecati i criteri seguenti ai criteri corrispondenti già esistenti per includere le app per le API:
Per essere deprecato | Modifica di in |
---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Giugno 2022
Gli aggiornamenti del mese di giugno includono quanto segue:
- Disponibilità generale (GA) per Microsoft Defender per Azure Cosmos DB
- Disponibilità generale (GA) di Defender per SQL nei computer per ambienti AWS e GCP
- Promuovere l'implementazione delle raccomandazioni di sicurezza per migliorare il comportamento di sicurezza
- Filtrare gli avvisi di sicurezza in base all'indirizzo IP
- Avvisi per gruppo di risorse
- Provisioning automatico di Microsoft Defender per endpoint soluzione unificata
- Deprecazione del criterio "L'app per le API deve essere accessibile solo tramite HTTPS"
- Nuovi avvisi di Key Vault
Disponibilità generale (GA) per Microsoft Defender per Azure Cosmos DB
Microsoft Defender per Azure Cosmos DB è ora disponibile a livello generale e supporta i tipi di account API SQL (core).
Questa nuova versione a livello generale fa parte della suite di protezione del database Microsoft Defender per il cloud, che include diversi tipi di database SQL e MariaDB. Microsoft Defender per Azure Cosmos DB è un livello nativo di sicurezza di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB.
Abilitando questo piano, si riceverà un avviso per potenziali attacchi SQL injection, attori malintenzionati noti, modelli di accesso sospetti e potenziali esplorazioni del database tramite identità compromesse o utenti malintenzionati.
Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi forniscono informazioni dettagliate sulle attività sospette insieme ai passaggi di indagine pertinenti, alle azioni correttive e alle raccomandazioni sulla sicurezza.
Microsoft Defender per Azure Cosmos DB analizza continuamente il flusso di telemetria generato dai servizi Azure Cosmos DB e li interseca con Microsoft Threat Intelligence e i modelli comportamentali per rilevare eventuali attività sospette. Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB e non ha alcun effetto sulle prestazioni del database.
Altre informazioni su Microsoft Defender per Azure Cosmos DB.
Con l'aggiunta del supporto per Azure Cosmos DB, Defender per il cloud offre ora una delle offerte di protezione dei carichi di lavoro più complete per i database basati sul cloud. I team di sicurezza e i proprietari di database possono ora avere un'esperienza centralizzata per gestire la sicurezza del database degli ambienti.
Informazioni su come abilitare le protezioni per i database.
Disponibilità generale (GA) di Defender per SQL nei computer per ambienti AWS e GCP
Le funzionalità di protezione del database fornite da Microsoft Defender per il cloud, hanno aggiunto il supporto per i server SQL ospitati in ambienti AWS o GCP.
Defender per SQL, le aziende possono ora proteggere l'intero patrimonio di database, ospitato in Azure, AWS, GCP e computer locali.
Microsoft Defender per SQL offre un'esperienza multicloud unificata per visualizzare le raccomandazioni sulla sicurezza, gli avvisi di sicurezza e i risultati della valutazione delle vulnerabilità sia per SQL Server che per il sistema operativo Windows.
Usando l'esperienza di onboarding multicloud, è possibile abilitare e applicare la protezione dei database per i server SQL in esecuzione in AWS EC2, RDS Custom per SQL Server e il motore di calcolo GCP. Dopo aver abilitato uno di questi piani, tutte le risorse supportate presenti nella sottoscrizione sono protette. Verranno protette anche le risorse future create nella stessa sottoscrizione.
Informazioni su come proteggere e connettere l'ambiente AWS e l'organizzazione GCP con Microsoft Defender per il cloud.
Promuovere l'implementazione delle raccomandazioni di sicurezza per migliorare il comportamento di sicurezza
Oggi le minacce crescenti alle organizzazioni estendono i limiti del personale di sicurezza per proteggere i carichi di lavoro in espansione. I team di sicurezza devono implementare le protezioni definite nei criteri di sicurezza.
Ora con l'esperienza di governance in anteprima, i team di sicurezza possono assegnare correzioni delle raccomandazioni di sicurezza ai proprietari delle risorse e richiedere una pianificazione di correzione. Possono avere piena trasparenza nello stato di avanzamento della correzione e ricevere una notifica quando le attività sono scadute.
Altre informazioni sull'esperienza di governance in Guida all'organizzazione per correggere i problemi di sicurezza con la governance delle raccomandazioni.
Filtrare gli avvisi di sicurezza in base all'indirizzo IP
In molti casi di attacchi, è necessario tenere traccia degli avvisi in base all'indirizzo IP dell'entità coinvolta nell'attacco. Fino ad ora, l'INDIRIZZO IP è apparso solo nella sezione "Entità correlate" nel riquadro singolo avviso. È ora possibile filtrare gli avvisi nella pagina degli avvisi di sicurezza per visualizzare gli avvisi correlati all'indirizzo IP ed è possibile cercare un indirizzo IP specifico.
Avvisi per gruppo di risorse
La possibilità di filtrare, ordinare e raggruppare per gruppo di risorse viene aggiunta alla pagina Avvisi di sicurezza.
Alla griglia degli avvisi viene aggiunta una colonna del gruppo di risorse.
Viene aggiunto un nuovo filtro che consente di visualizzare tutti gli avvisi per gruppi di risorse specifici.
È ora anche possibile raggruppare gli avvisi in base al gruppo di risorse per visualizzare tutti gli avvisi per ognuno dei gruppi di risorse.
Provisioning automatico di Microsoft Defender per endpoint soluzione unificata
Fino ad ora, l'integrazione con Microsoft Defender per endpoint (MDE) includeva l'installazione automatica della nuova soluzione unificata MDE per computer (sottoscrizioni di Azure e connettori multicloud) con Defender for Servers Piano 1 abilitato e per i connettori multicloud con Defender for Servers Piano 2 abilitato. Il piano 2 per le sottoscrizioni di Azure ha abilitato solo la soluzione unificata per i computer Linux e i server Windows 2019 e 2022. I server Windows 2012R2 e 2016 usano la soluzione legacy MDE dipendente dall'agente di Log Analytics.
La nuova soluzione unificata è ora disponibile per tutti i computer in entrambi i piani, sia per le sottoscrizioni di Azure che per i connettori multicloud. Per le sottoscrizioni di Azure con server piano 2 che hanno abilitato l'integrazione MDE dopo il 20 giugno 2022, la soluzione unificata è abilitata per impostazione predefinita per tutte le sottoscrizioni di Azure con Defender for Servers Piano 2 abilitato con l'integrazione MDE prima del 20 giugno 2022 può ora abilitare l'installazione unificata della soluzione per i server Windows 2012R2 e 2016 tramite il pulsante dedicato nella pagina Integrazioni:
Altre informazioni sull'integrazione mde con Defender per server.
Deprecazione del criterio "L'app per le API deve essere accessibile solo tramite HTTPS"
Il criterio API App should only be accessible over HTTPS
è deprecato. Questo criterio viene sostituito con il Web Application should only be accessible over HTTPS
criterio, che viene rinominato in App Service apps should only be accessible over HTTPS
.
Per altre informazioni sulle definizioni dei criteri per app Azure Servizio, vedere Criteri di Azure definizioni predefinite per app Azure Servizio.
Nuovi avvisi di Key Vault
Per espandere le protezioni dalle minacce fornite da Microsoft Defender per Key Vault, sono stati aggiunti due nuovi avvisi.
Questi avvisi informano l'utente di un'anomalia di accesso negato, viene rilevato per uno degli insiemi di credenziali delle chiavi.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Accesso insolito negato : l'utente che accede a un volume elevato di insiemi di credenziali delle chiavi negato (KV_DeniedAccountVolumeAnomaly) |
Un utente o un'entità servizio ha tentato di accedere a volumi anomali elevati di insiemi di credenziali delle chiavi nelle ultime 24 ore. Questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. È consigliabile eseguire ulteriori indagini. | Individuazione | Basso |
Accesso insolito negato - Accesso insolito all'utente negato all'insieme di credenziali delle chiavi (KV_UserAccessDeniedAnomaly) |
Un accesso all'insieme di credenziali delle chiavi è stato tentato da un utente che normalmente non vi accede, questo modello di accesso anomalo può essere un'attività legittima. Anche se questo tentativo non è riuscito, potrebbe essere un'indicazione di un possibile tentativo di ottenere l'accesso all'insieme di credenziali delle chiavi e dei segreti contenuti all'interno di esso. | Accesso iniziale, individuazione | Basso |
Maggio 2022
Gli aggiornamenti del mese di maggio includono quanto segue:
- Le impostazioni multicloud del piano Server sono ora disponibili a livello di connettore
- L'accesso JIT (JUST-in-time) per le macchine virtuali è ora disponibile per le istanze EC2 di AWS (anteprima)
- Aggiungere e rimuovere il sensore defender per i cluster del servizio Azure Kubernetes usando l'interfaccia della riga di comando
Le impostazioni multicloud del piano Server sono ora disponibili a livello di connettore
Sono ora disponibili impostazioni a livello di connettore per Defender per server in più cloud.
Le nuove impostazioni a livello di connettore offrono una granularità per i prezzi e la configurazione del provisioning automatico per connettore, indipendentemente dalla sottoscrizione.
Per impostazione predefinita, tutti i componenti di provisioning automatico disponibili nelle valutazioni del connettore (Azure Arc, MDE e vulnerabilità) sono abilitati per impostazione predefinita e la nuova configurazione supporta sia piani tariffari piano 1 che piano 2.
Gli aggiornamenti nell'interfaccia utente includono una reflection del piano tariffario selezionato e dei componenti necessari configurati.
Modifiche alla valutazione della vulnerabilità
Defender per contenitori ora visualizza vulnerabilità con gravità media e bassa che non sono patchable.
Nell'ambito di questo aggiornamento, vengono ora visualizzate vulnerabilità con gravità media e bassa, indipendentemente dal fatto che siano disponibili o meno patch. Questo aggiornamento offre la massima visibilità, ma consente comunque di filtrare le vulnerabilità indesiderate usando la regola Disabilita fornita.
Altre informazioni su gestione delle vulnerabilità
L'accesso JIT (JUST-in-time) per le macchine virtuali è ora disponibile per le istanze EC2 di AWS (anteprima)
Quando si connettono gli account AWS, JIT valuterà automaticamente la configurazione di rete dei gruppi di sicurezza dell'istanza e consiglierà quali istanze necessitano di protezione per le porte di gestione esposte. Questo è simile al funzionamento di JIT con Azure. Quando si esegue l'onboarding di istanze EC2 non protette, JIT blocca l'accesso pubblico alle porte di gestione e le apre solo con richieste autorizzate per un intervallo di tempo limitato.
Informazioni su come JIT protegge le istanze DI AWS EC2
Aggiungere e rimuovere il sensore defender per i cluster del servizio Azure Kubernetes usando l'interfaccia della riga di comando
L'agente di Defender è necessario affinché Defender per contenitori fornisca le protezioni di runtime e raccolga i segnali dai nodi. È ora possibile usare l'interfaccia della riga di comando di Azure per aggiungere e rimuovere l'agente di Defender per un cluster del servizio Azure Kubernetes.
Nota
Questa opzione è inclusa nell'interfaccia della riga di comando di Azure 3.7 e versioni successive.
Aprile 2022
Gli aggiornamenti del mese di aprile includono quanto segue:
- Nuovi piani di Defender per server
- Rilocazione di raccomandazioni personalizzate
- Script di PowerShell per trasmettere avvisi a Splunk e QRadar
- Deprecato il consiglio di cache di Azure per Redis
- Nuova variante di avviso per Microsoft Defender per Archiviazione (anteprima) per rilevare l'esposizione dei dati sensibili
- Titolo dell'avviso di analisi del contenitore aumentato con la reputazione degli indirizzi IP
- Visualizzare i log attività correlati a un avviso di sicurezza
Nuovi piani di Defender per server
Microsoft Defender per server è ora disponibile in due piani incrementali:
- Defender per server piano 2, in precedenza Defender per server
- Defender per server piano 1 offre supporto solo per Microsoft Defender per endpoint
Mentre Defender per server piano 2 continua a fornire protezioni da minacce e vulnerabilità ai carichi di lavoro cloud e locali, Defender per server piano 1 fornisce solo endpoint protection, con tecnologia nativa integrata Defender per endpoint. Altre informazioni sui piani di Defender per server.
Se si usa Defender per server fino ad ora non è necessaria alcuna azione.
Inoltre, Defender per il cloud inizia anche il supporto graduale per l'agente unificato defender per endpoint per Windows Server 2012 R2 e 2016. Defender per server piano 1 distribuisce il nuovo agente unificato nei carichi di lavoro di Windows Server 2012 R2 e 2016.
Rilocazione di raccomandazioni personalizzate
Le raccomandazioni personalizzate sono quelle create dagli utenti e non hanno alcun effetto sul punteggio di sicurezza. Le raccomandazioni personalizzate sono ora disponibili nella scheda Tutti i consigli.
Usare il nuovo filtro "tipo di raccomandazione" per individuare le raccomandazioni personalizzate.
Per altre informazioni, vedere Creare iniziative e criteri di sicurezza personalizzati.
Script di PowerShell per trasmettere avvisi a Splunk e IBM QRadar
È consigliabile usare Hub eventi e un connettore predefinito per esportare gli avvisi di sicurezza in Splunk e IBM QRadar. È ora possibile usare uno script di PowerShell per configurare le risorse di Azure necessarie per esportare gli avvisi di sicurezza per la sottoscrizione o il tenant.
È sufficiente scaricare ed eseguire lo script di PowerShell. Dopo aver specificato alcuni dettagli dell'ambiente, lo script configura automaticamente le risorse. Lo script genera quindi l'output usato nella piattaforma SIEM per completare l'integrazione.
Per altre informazioni, vedere Trasmettere avvisi a Splunk e QRadar.
Deprecato il consiglio di cache di Azure per Redis
La raccomandazione Azure Cache for Redis should reside within a virtual network
(anteprima) è deprecata. Sono state modificate le linee guida per la protezione delle istanze di cache di Azure per Redis. È consigliabile usare un endpoint privato per limitare l'accesso all'istanza di cache di Azure per Redis anziché a una rete virtuale.
Nuova variante di avviso per Microsoft Defender per Archiviazione (anteprima) per rilevare l'esposizione dei dati sensibili
Gli avvisi di Microsoft Defender per Storage segnalano quando gli attori delle minacce tentano di analizzare ed esporre, correttamente o meno, i contenitori di archiviazione aperti pubblicamente per tentare di esfiltrare le informazioni riservate.
Per consentire una valutazione e un tempo di risposta più rapidi, quando si è verificata l'esfiltrazione di dati potenzialmente sensibili, è stata rilasciata una nuova variante all'avviso esistente Publicly accessible storage containers have been exposed
.
Il nuovo avviso, Publicly accessible storage containers with potentially sensitive data have been exposed
, viene attivato con un High
livello di gravità, dopo un'individuazione corretta di uno o più contenitori di archiviazione aperti pubblicamente con nomi che sono stati individuati statisticamente per essere esposti pubblicamente, suggerendo che potrebbero contenere informazioni riservate.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
ANTEPRIMA: sono stati esposti contenitori di archiviazione accessibili pubblicamente con dati potenzialmente sensibili (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Qualcuno ha analizzato l'account Archiviazione di Azure e i contenitori esposti che consentono l'accesso pubblico. Uno o più contenitori esposti hanno nomi che indicano che possono contenere dati sensibili. Ciò indica in genere la ricognizione da parte di un attore di minaccia che esegue l'analisi di contenitori di archiviazione accessibili pubblicamente non configurati correttamente che possono contenere dati sensibili. Dopo che un attore di minacce individua correttamente un contenitore, può continuare esfiltrando i dati. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Storage Gen2 |
Raccolta | Alto |
Titolo dell'avviso di analisi del contenitore aumentato con la reputazione degli indirizzi IP
La reputazione di un indirizzo IP può indicare se l'attività di analisi ha origine da un attore di minaccia noto o da un attore che usa la rete Tor per nascondere la propria identità. Entrambi questi indicatori suggeriscono che ci sia un intento dannoso. La reputazione dell'indirizzo IP viene fornita da Microsoft Threat Intelligence.
L'aggiunta della reputazione dell'indirizzo IP al titolo dell'avviso consente di valutare rapidamente la finalità dell'attore e quindi la gravità della minaccia.
Gli avvisi seguenti includono queste informazioni:
Publicly accessible storage containers have been exposed
Publicly accessible storage containers with potentially sensitive data have been exposed
Publicly accessible storage containers have been scanned. No publicly accessible data was discovered
Ad esempio, le informazioni aggiunte al titolo dell'avviso Publicly accessible storage containers have been exposed
avranno un aspetto simile al seguente:
Publicly accessible storage containers have been exposed
by a suspicious IP address
Publicly accessible storage containers have been exposed
by a Tor exit node
Tutti gli avvisi per Microsoft Defender per Archiviazione continueranno a includere informazioni sull'intelligence sulle minacce nell'entità IP nella sezione Entità correlate dell'avviso.
Visualizzare i log attività correlati a un avviso di sicurezza
Come parte delle azioni che è possibile eseguire per valutare un avviso di sicurezza, è possibile trovare i log della piattaforma correlati in Esaminare il contesto delle risorse per ottenere contesto sulla risorsa interessata. Microsoft Defender per il cloud identifica i log della piattaforma entro un giorno dall'avviso.
I log della piattaforma consentono di valutare la minaccia per la sicurezza e identificare i passaggi che è possibile eseguire per attenuare il rischio identificato.
Marzo 2022
Gli aggiornamenti di marzo includono:
- Disponibilità globale di Secure Score per ambienti AWS e GCP
- Deprecato i consigli per installare l'agente di raccolta dati del traffico di rete
- Defender per contenitori può ora analizzare le vulnerabilità nelle immagini di Windows (anteprima)
- Nuovo avviso per Microsoft Defender per Archiviazione (anteprima)
- Configurare le impostazioni delle notifiche tramite posta elettronica da un avviso
- Avviso di anteprima deprecato: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Spostare le vulnerabilità delle raccomandazioni nelle configurazioni di sicurezza dei contenitori devono essere corrette dal punteggio di sicurezza alle procedure consigliate
- Deprecato il consiglio di usare le entità servizio per proteggere le sottoscrizioni
- Implementazione legacy di ISO 27001 sostituita con la nuova iniziativa ISO 27001:2013
- Raccomandazioni deprecate per i dispositivi Microsoft Defender per IoT
- Avvisi dei dispositivi Di Microsoft Defender per IoT deprecati
- Gestione del comportamento e protezione dalle minacce per AWS e GCP rilasciati per la disponibilità generale
- Analisi del Registro di sistema per le immagini di Windows in Registro Azure Container aggiunto il supporto per i cloud nazionali
Disponibilità globale di Secure Score per ambienti AWS e GCP
Le funzionalità di gestione del comportamento di sicurezza cloud fornite da Microsoft Defender per il cloud hanno ora aggiunto il supporto per gli ambienti AWS e GCP all'interno del punteggio di sicurezza.
Le aziende possono ora visualizzare il comportamento di sicurezza generale in diversi ambienti, ad esempio Azure, AWS e GCP.
La pagina Secure Score viene sostituita con il dashboard Comportamento di sicurezza. Il dashboard Comportamento di sicurezza consente di visualizzare un punteggio combinato complessivo per tutti gli ambienti o una suddivisione del comportamento di sicurezza in base a qualsiasi combinazione di ambienti scelti.
La pagina Raccomandazioni è stata riprogettata anche per offrire nuove funzionalità, ad esempio: selezione dell'ambiente cloud, filtri avanzati basati sul contenuto (gruppo di risorse, account AWS, progetto GCP e altro ancora), interfaccia utente migliorata a bassa risoluzione, supporto per le query aperte nel grafico delle risorse e altro ancora. È possibile ottenere altre informazioni sul comportamento di sicurezza complessivo e sulle raccomandazioni sulla sicurezza.
Deprecato i consigli per installare l'agente di raccolta dati del traffico di rete
Le modifiche apportate alla roadmap e alle priorità hanno rimosso la necessità dell'agente di raccolta dati del traffico di rete. Le due raccomandazioni seguenti e i relativi criteri sono stati deprecati.
Suggerimento | Descrizione | Gravità |
---|---|---|
L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Linux | Defender per il cloud usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | Medio |
L'agente di raccolta dati sul traffico di rete deve essere installato nelle macchine virtuali Windows | Defender per il cloud usa Microsoft Dependency Agent per raccogliere i dati del traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | Medio |
Defender per contenitori può ora analizzare le vulnerabilità nelle immagini di Windows (anteprima)
L'analisi delle immagini di Defender per contenitore supporta ora immagini Windows ospitate in Registro Azure Container. Questa funzionalità è gratuita durante l'anteprima e comporta un costo quando diventa disponibile a livello generale.
Per altre informazioni, vedere Usare Microsoft Defender per contenitore per analizzare le immagini per individuare le vulnerabilità.
Nuovo avviso per Microsoft Defender per Archiviazione (anteprima)
Per espandere le protezioni dalle minacce fornite da Microsoft Defender per Archiviazione, è stato aggiunto un nuovo avviso di anteprima.
Gli attori delle minacce usano applicazioni e strumenti per individuare e accedere agli account di archiviazione. Microsoft Defender per Storage rileva queste applicazioni e strumenti in modo che sia possibile bloccarli e correggere il comportamento.
Questo avviso di anteprima è denominato Access from a suspicious application
. L'avviso è rilevante solo per Archiviazione BLOB di Azure e ADLS Gen2.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
ANTEPRIMA - Accesso da un'applicazione sospetta (Storage.Blob_SuspiciousApp) |
Indica che un'applicazione sospetta ha eseguito correttamente l'accesso a un contenitore di un account di archiviazione con autenticazione. Ciò potrebbe indicare che un utente malintenzionato ha ottenuto le credenziali necessarie per accedere all'account e lo sta sfruttando. Potrebbe anche essere un'indicazione di un test di penetrazione eseguito nell'organizzazione. Si applica a: Archiviazione BLOB di Azure, Azure Data Lake Storage Gen2 |
Accesso iniziale | Medio |
Configurare le impostazioni delle notifiche tramite posta elettronica da un avviso
È stata aggiunta una nuova sezione all'interfaccia utente dell'avviso che consente di visualizzare e modificare chi riceverà notifiche tramite posta elettronica per gli avvisi attivati nella sottoscrizione corrente.
Informazioni su come configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.
Avviso di anteprima deprecato: ARM. MCAS_ActivityFromAnonymousIPAddresses
L'avviso di anteprima seguente è deprecato:
Nome avviso | Descrizione |
---|---|
ANTEPRIMA - Attività da un indirizzo IP a rischio (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
È stata rilevata un'attività utente da un indirizzo IP identificato come indirizzo IP proxy anonimo. Questi proxy vengono usati da persone che vogliono nascondere l'indirizzo IP del dispositivo e possono essere usati per attacchi dannosi. Questo rilevamento usa un algoritmo di Machine Learning che riduce i falsi positivi, ad esempio gli indirizzi IP contrassegnati in modo errato che vengono usati diffusamente dagli utenti dell'organizzazione. Richiede una licenza attiva per le app di Microsoft Defender per il cloud. |
È stato creato un nuovo avviso che fornisce queste informazioni e lo aggiunge. Inoltre, gli avvisi più recenti (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) non richiedono una licenza per Microsoft Defender per il cloud Apps (in precedenza noto come Microsoft Cloud App Security).
Vedere altri avvisi per Resource Manager.
Spostare le vulnerabilità delle raccomandazioni nelle configurazioni di sicurezza dei contenitori devono essere corrette dal punteggio di sicurezza alle procedure consigliate
La raccomandazione Vulnerabilities in container security configurations should be remediated
è stata spostata dalla sezione Del punteggio di sicurezza alla sezione procedure consigliate.
L'esperienza utente corrente fornisce il punteggio solo quando sono stati superati tutti i controlli di conformità. La maggior parte dei clienti ha difficoltà a soddisfare tutti i controlli richiesti. Si sta lavorando a un'esperienza migliorata per questa raccomandazione e, una volta rilasciata, la raccomandazione verrà spostata di nuovo nel punteggio di sicurezza.
Deprecato il consiglio di usare le entità servizio per proteggere le sottoscrizioni
Man mano che le organizzazioni si allontanano dall'uso dei certificati di gestione per gestire le sottoscrizioni e il recente annuncio di ritiro del modello di distribuzione Servizi cloud (versione classica), sono stati deprecati i seguenti Defender per il cloud raccomandazione e i relativi criteri:
Suggerimento | Descrizione | Gravità |
---|---|---|
Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione | I certificati di gestione consentono a chiunque esegua l'autenticazione con loro di gestire le sottoscrizioni a cui sono associati. Per gestire le sottoscrizioni in modo più sicuro, l'uso delle entità servizio con Resource Manager è consigliato per limitare l'impatto in caso di compromissione di un certificato. Consente inoltre di automatizzare la gestione delle risorse. (Criterio correlato: Le entità servizio devono essere usate per proteggere le sottoscrizioni anziché i certificati di gestione) |
Medio |
Altre informazioni:
- Servizi cloud modello di distribuzione (versione classica) viene ritirato il 31 agosto 2024
- Panoramica di Azure Servizi cloud (versione classica)
- Flusso di lavoro dell'architettura della macchina virtuale classica di Microsoft Azure, incluse le nozioni di base sul flusso di lavoro RDFE
Implementazione legacy di ISO 27001 sostituita con la nuova iniziativa ISO 27001:2013
L'implementazione legacy di ISO 27001 è stata rimossa dal dashboard di conformità alle normative di Defender per il cloud. Se si sta monitorando la conformità ISO 27001 con Defender per il cloud, eseguire l'onboarding del nuovo standard ISO 27001:2013 per tutti i gruppi di gestione o le sottoscrizioni pertinenti.
Raccomandazioni deprecate per i dispositivi Microsoft Defender per IoT
Le raccomandazioni per i dispositivi Microsoft Defender per IoT non sono più visibili in Microsoft Defender per il cloud. Questi consigli sono ancora disponibili nella pagina Raccomandazioni di Microsoft Defender per IoT.
Le raccomandazioni seguenti sono deprecate:
Chiave di valutazione | Elementi consigliati |
---|---|
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Dispositivi IoT | Aprire porte nel dispositivo |
ba975338-f956-41e7-a9f2-7614832d382d: Dispositivi IoT | È stata trovata una regola del firewall permissiva nella catena di input |
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Dispositivi IoT | È stato trovato un criterio firewall permissivo in una delle catene |
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Dispositivi IoT | È stata trovata una regola del firewall permissiva nella catena di output |
5f65e47f-7a00-4bf3-acae-90ee441ee876: Dispositivi IoT | Errore di convalida della baseline del sistema operativo |
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Dispositivi IoT | Agente che invia messaggi sottoutilizzati |
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Dispositivi IoT | Aggiornamento della suite di crittografia TLS necessario |
d74d2738-2485-4103-9919-69c7e63776ec: Dispositivi IoT | Auditd processo interrotto l'invio di eventi |
Avvisi dei dispositivi Di Microsoft Defender per IoT deprecati
Tutti gli avvisi dei dispositivi Microsoft Defender per IoT non sono più visibili in Microsoft Defender per il cloud. Questi avvisi sono ancora disponibili nella pagina Degli avvisi di Microsoft Defender per IoT e in Microsoft Sentinel.
Gestione del comportamento e protezione dalle minacce per AWS e GCP rilasciati per la disponibilità generale
le funzionalità cspm di Defender per il cloud si estendono alle risorse AWS e GCP. Questo piano senza agente valuta le risorse multicloud in base alle raccomandazioni di sicurezza specifiche del cloud incluse nel punteggio di sicurezza. Le risorse vengono valutate per la conformità usando gli standard predefiniti. Defender per il cloud pagina di inventario degli asset è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.
Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate alle istanze di calcolo in AWS e GCP. Il piano Defender per server include una licenza integrata per Microsoft Defender per endpoint, l'analisi della valutazione delle vulnerabilità e altro ancora. Informazioni su tutte le funzionalità supportate per macchine virtuali e server. Le funzionalità di onboarding automatico consentono di connettere facilmente qualsiasi istanza di calcolo esistente o nuova individuata nell'ambiente.
Informazioni su come proteggere e connettere l'ambiente AWS e l'organizzazione GCP con Microsoft Defender per il cloud.
Analisi del Registro di sistema per le immagini di Windows in Registro Azure Container aggiunto il supporto per i cloud nazionali
L'analisi del Registro di sistema per le immagini di Windows è ora supportata in Azure per enti pubblici e Microsoft Azure gestito da 21Vianet. Questa aggiunta è attualmente in anteprima.
Altre informazioni sulla disponibilità della funzionalità.
Febbraio 2022
Gli aggiornamenti di febbraio includono:
- Protezione del carico di lavoro Kubernetes per i cluster Kubernetes abilitati per Arc
- CSPM nativo per GCP e protezione dalle minacce per le istanze di calcolo GCP
- Piano di Microsoft Defender per Azure Cosmos DB rilasciato per l'anteprima
- Protezione dalle minacce per i cluster GKE (Google Kubernetes Engine)
Protezione del carico di lavoro Kubernetes per i cluster Kubernetes abilitati per Arc
Defender per contenitori in precedenza proteggeva solo i carichi di lavoro Kubernetes in esecuzione in servizio Azure Kubernetes. A questo punto è stata estesa la copertura protettiva per includere cluster Kubernetes abilitati per Azure Arc.
Informazioni su come configurare la protezione del carico di lavoro Kubernetes per il servizio Azure Kubernetes e i cluster Kubernetes abilitati per Azure Arc.
CSPM nativo per GCP e protezione dalle minacce per le istanze di calcolo GCP
Il nuovo onboarding automatizzato degli ambienti GCP consente di proteggere i carichi di lavoro GCP con Microsoft Defender per il cloud. Defender per il cloud protegge le risorse con i piani seguenti:
le funzionalità cspm di Defender per il cloud si estendono alle risorse GCP. Questo piano senza agente valuta le risorse GCP in base alle raccomandazioni di sicurezza specifiche di GCP, fornite con Defender per il cloud. Le raccomandazioni GCP sono incluse nel punteggio di sicurezza e le risorse verranno valutate per la conformità allo standard CIS GCP predefinito. Defender per il cloud pagina di inventario degli asset è una funzionalità abilitata per più cloud che consente di gestire le risorse in Azure, AWS e GCP.
Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate alle istanze di calcolo GCP. Questo piano include la licenza integrata per Microsoft Defender per endpoint, l'analisi della valutazione delle vulnerabilità e altro ancora.
Per un elenco completo delle funzionalità disponibili, vedere Funzionalità supportate per macchine virtuali e server. Le funzionalità di onboarding automatico consentono di connettere facilmente eventuali istanze di calcolo esistenti e nuove individuate nell'ambiente.
Informazioni su come proteggere e connettere i progetti GCP con Microsoft Defender per il cloud.
Piano di Microsoft Defender per Azure Cosmos DB rilasciato per l'anteprima
La copertura del database di Microsoft Defender per il cloud è stata estesa. È ora possibile abilitare la protezione per i database di Azure Cosmos DB.
Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva qualsiasi tentativo di sfruttare i database negli account Azure Cosmos DB. Microsoft Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, utenti malintenzionati noti in base all'intelligence sulle minacce Microsoft, modelli di accesso sospetti e potenziale sfruttamento del database tramite identità compromesse o utenti interni malintenzionati.
Analizza continuamente il flusso di dati dei clienti generato dai servizi Azure Cosmos DB.
Quando vengono rilevate attività potenzialmente dannose, vengono generati avvisi di sicurezza. Questi avvisi vengono visualizzati in Microsoft Defender per il cloud con i dettagli dell'attività sospetta, insieme ai passaggi di indagine pertinenti, alle azioni di correzione e alle raccomandazioni sulla sicurezza.
Non c'è alcun impatto sulle prestazioni del database quando si abilita il servizio, perché Defender per Azure Cosmos DB non accede ai dati dell'account Azure Cosmos DB.
Per altre informazioni, vedere Panoramica di Microsoft Defender per Azure Cosmos DB.
Verrà inoltre introdotta una nuova esperienza di abilitazione per la sicurezza del database. È ora possibile abilitare la protezione Microsoft Defender per il cloud nella sottoscrizione per proteggere tutti i tipi di database, ad esempio Azure Cosmos DB, database SQL di Azure, i server SQL di Azure nei computer e Microsoft Defender per database relazionali open source tramite un unico processo di abilitazione. È possibile includere o escludere tipi di risorse specifici configurando il piano.
Informazioni su come abilitare la sicurezza del database a livello di sottoscrizione.
Protezione dalle minacce per i cluster GKE (Google Kubernetes Engine)
Dopo l'annuncio recente Native CSPM per GCP e la protezione dalle minacce per le istanze di calcolo GCP, Microsoft Defender per contenitori ha esteso la protezione dalle minacce kubernetes, l'analisi comportamentale e i criteri di controllo di ammissione predefiniti ai cluster Kubernetes Engine (GKE) Standard di Google. È possibile eseguire facilmente l'onboarding di qualsiasi cluster GKE Standard esistente o nuovo nell'ambiente tramite le funzionalità di onboarding automatico. Per un elenco completo delle funzionalità disponibili, vedere Sicurezza dei contenitori con Microsoft Defender per il cloud.
Gennaio 2022
Gli aggiornamenti di gennaio includono:
- Microsoft Defender per Resource Manager aggiornato con nuovi avvisi e maggiore enfasi sulle operazioni ad alto rischio mappate alla matrice MITRE ATT&CK®
- Raccomandazioni per abilitare i piani in Microsoft Defender nelle aree di lavoro (in anteprima)
- Effettuare il provisioning automatico dell'agente di Log Analytics nei computer abilitati per Azure Arc (anteprima)
- Deprecato il consiglio di classificare i dati sensibili nei database SQL
- Comunicazione con un avviso di dominio sospetto espanso in domini noti correlati a Log4Shell inclusi
- Pulsante 'Copy alert JSON' aggiunto al riquadro dei dettagli dell'avviso di sicurezza
- Due raccomandazioni rinominate
- Deprecare i contenitori del cluster Kubernetes deve essere in ascolto solo sui criteri relativi alle porte consentite
- Aggiunta della cartella di lavoro "Avvisi attivi"
- Raccomandazione "Aggiornamento del sistema" aggiunta al cloud per enti pubblici
Microsoft Defender per Resource Manager aggiornato con nuovi avvisi e maggiore enfasi sulle operazioni ad alto rischio mappate alla matrice MITRE ATT&CK®
Il livello di gestione cloud è un servizio cruciale connesso a tutte le risorse cloud. Per questo motivo, è anche un potenziale bersaglio per gli utenti malintenzionati. È consigliabile che i team addetti alle operazioni di sicurezza monitorino attentamente il livello di gestione delle risorse.
Microsoft Defender per Resource Manager monitora automaticamente le operazioni di gestione risorse nell'organizzazione, indipendentemente dal fatto che vengano eseguite tramite il portale di Azure, le API REST di Azure, l'interfaccia della riga di comando di Azure o altri client di programmazione di Azure. Defender per il cloud esegue analisi di sicurezza avanzate per rilevare le minacce e inviare avvisi sulle attività sospette.
Le protezioni del piano migliorano notevolmente la resilienza di un'organizzazione contro gli attacchi da parte degli attori delle minacce e aumentano significativamente il numero di risorse di Azure protette da Defender per il cloud.
Nel dicembre 2020 è stata introdotta l'anteprima di Defender per Resource Manager e nel maggio 2021 il piano è stato rilasciato per la disponibilità generale.
Con questo aggiornamento, abbiamo rivisto in modo completo l'attenzione del piano di Microsoft Defender per Resource Manager. Il piano aggiornato include molti nuovi avvisi incentrati sull'identificazione di chiamate sospette di operazioni ad alto rischio. Questi nuovi avvisi forniscono un monitoraggio completo per gli attacchi nella matrice MITRE ATT&CK® completa per le tecniche basate sul cloud.
Questa matrice illustra la gamma seguente di potenziali intenzioni di attori di minacce destinati alle risorse dell'organizzazione: accesso iniziale, esecuzione, persistenza, escalation dei privilegi, evasione della difesa, accesso alle credenziali, individuazione, spostamento laterale, raccolta, esfiltrazione e impatto.
I nuovi avvisi per questo piano di Defender riguardano queste intenzioni, come illustrato nella tabella seguente.
Suggerimento
Questi avvisi vengono visualizzati anche nella pagina di riferimento degli avvisi.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE (intenzioni) | Gravità |
---|---|---|---|
Chiamata sospetta di un'operazione "Accesso iniziale" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle risorse limitate. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per ottenere l'accesso iniziale alle risorse limitate nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Accesso iniziale | Medio |
Chiamata sospetta di un'operazione "Esecuzione" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Execution) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio in un computer nella sottoscrizione, che potrebbe indicare un tentativo di esecuzione del codice. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Esecuzione | Medio |
Chiamata sospetta di un'operazione di persistenza ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di persistenza. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per stabilire la persistenza nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Persistenza | Medio |
Chiamata sospetta di un'operazione di escalation dei privilegi ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di escalation dei privilegi. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per inoltrare i privilegi compromettendo al contempo le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Escalation dei privilegi | Medio |
Chiamata sospetta di un'operazione 'Evasione difesa' ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di evitare difese. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente il comportamento di sicurezza dei propri ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per evitare di essere rilevate compromettendo le risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Evasione delle difese | Medio |
Chiamata sospetta di un'operazione di accesso alle credenziali ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di accesso alle credenziali. Le operazioni identificate sono progettate per consentire agli amministratori di accedere in modo efficiente ai propri ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Accesso tramite credenziali | Medio |
Chiamata sospetta di un'operazione di spostamento laterale ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di eseguire lo spostamento laterale. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per compromettere risorse aggiuntive nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Spostamento laterale | Medio |
Chiamata sospetta di un'operazione "Raccolta dati" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Collection) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare un tentativo di raccolta dei dati. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minacce potrebbe usare tali operazioni per raccogliere dati sensibili sulle risorse nell'ambiente in uso. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Raccolta | Medio |
Chiamata sospetta di un'operazione "Impact" ad alto rischio rilevata (anteprima) (ARM_AnomalousOperation.Impact) |
Microsoft Defender per Resource Manager ha identificato una chiamata sospetta di un'operazione ad alto rischio nella sottoscrizione, che potrebbe indicare una modifica della configurazione tentata. Le operazioni identificate sono progettate per consentire agli amministratori di gestire in modo efficiente gli ambienti. Anche se questa attività può essere legittima, un attore di minaccia potrebbe usare tali operazioni per accedere a credenziali limitate e compromettere le risorse nell'ambiente. Ciò può indicare che l'account è compromesso e viene usato con finalità dannose. | Impatto | Medio |
Inoltre, questi due avvisi di questo piano sono usciti dall'anteprima:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE (intenzioni) | Gravità |
---|---|---|---|
Operazione di Azure Resource Manager da un indirizzo IP sospetto (ARM_OperationFromSuspiciousIP) |
Microsoft Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence sulle minacce. | Esecuzione | Medio |
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. | Evasione delle difese | Medio |
Raccomandazioni per abilitare i piani di Microsoft Defender nelle aree di lavoro (in anteprima)
Per trarre vantaggio da tutte le funzionalità di sicurezza disponibili da Microsoft Defender per server e Microsoft Defender per SQL nei computer, i piani devono essere abilitati sia nei livelli di sottoscrizione che di area di lavoro.
Quando un computer si trova in una sottoscrizione con uno di questi piani abilitati, verranno addebitate le protezioni complete. Tuttavia, se il computer segnala a un'area di lavoro senza il piano abilitato, questi vantaggi non verranno effettivamente ricevuti.
Sono state aggiunte due raccomandazioni che evidenziano le aree di lavoro senza questi piani abilitati, che tuttavia dispongono di computer che li segnalano dalle sottoscrizioni in cui è abilitato il piano.
Le due raccomandazioni, entrambe offerte da correzione automatica (l'azione "Correzione"), sono:
Suggerimento | Descrizione | Gravità |
---|---|---|
Microsoft Defender per server deve essere abilitato nelle aree di lavoro | Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per server in un'area di lavoro, tutti i computer che segnalano tale area di lavoro verranno fatturati per Microsoft Defender per server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per server nella sottoscrizione, tali computer non saranno in grado di sfruttare l'accesso JITE alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure. Per altre informazioni, vedere Panoramica di Microsoft Defender per server. (Nessun criterio correlato) |
Medio |
Microsoft Defender per SQL nei computer deve essere abilitato nelle aree di lavoro | Microsoft Defender per server offre il rilevamento delle minacce e difese avanzate per i computer Windows e Linux. Con questo piano defender abilitato per le sottoscrizioni, ma non nelle aree di lavoro, si paga per la funzionalità completa di Microsoft Defender per server, ma mancano alcuni dei vantaggi. Quando si abilita Microsoft Defender per server in un'area di lavoro, tutti i computer che segnalano tale area di lavoro verranno fatturati per Microsoft Defender per server, anche se si trovano in sottoscrizioni senza piani di Defender abilitati. A meno che non si abiliti anche Microsoft Defender per server nella sottoscrizione, tali computer non saranno in grado di sfruttare l'accesso JITE alle macchine virtuali, i controlli delle applicazioni adattivi e i rilevamenti di rete per le risorse di Azure. Per altre informazioni, vedere Panoramica di Microsoft Defender per server. (Nessun criterio correlato) |
Medio |
Effettuare il provisioning automatico dell'agente di Log Analytics nei computer abilitati per Azure Arc (anteprima)
Defender per il cloud usa l'agente di Log Analytics per raccogliere dati correlati alla sicurezza dai computer. L'agente legge varie configurazioni e registri eventi correlati alla sicurezza e copia i dati nell'area di lavoro per l'analisi.
Le impostazioni di provisioning automatico di Defender per il cloud hanno un interruttore per ogni tipo di estensione supportata, incluso l'agente di Log Analytics.
In un'ulteriore espansione delle funzionalità del cloud ibrido, è stata aggiunta un'opzione per il provisioning automatico dell'agente di Log Analytics ai computer connessi ad Azure Arc.
Come per le altre opzioni di provisioning automatico, questa opzione viene configurata a livello di sottoscrizione.
Quando si abilita questa opzione, verrà richiesto di specificare l'area di lavoro.
Nota
Per questa anteprima non è possibile selezionare le aree di lavoro predefinite create da Defender per il cloud. Per assicurarsi di ricevere il set completo di funzionalità di sicurezza disponibili per i server abilitati per Azure Arc, verificare di avere installato la soluzione di sicurezza pertinente nell'area di lavoro selezionata.
Deprecato il consiglio di classificare i dati sensibili nei database SQL
È stata rimossa la raccomandazione Dati sensibili nei database SQL come parte di una revisione del modo in cui Defender per il cloud identifica e protegge la data sensibile nelle risorse cloud.
L'avviso anticipato di questa modifica è apparso negli ultimi sei mesi nella pagina Importanti modifiche imminenti per Microsoft Defender per il cloud.
Comunicazione con un avviso di dominio sospetto espanso in domini noti correlati a Log4Shell inclusi
L'avviso seguente era precedentemente disponibile solo per le organizzazioni che avevano abilitato il piano Microsoft Defender per DNS .
Con questo aggiornamento, verrà visualizzato anche l'avviso per le sottoscrizioni con il piano Microsoft Defender per server o Defender per servizio app abilitato.
Inoltre, Microsoft Threat Intelligence ha ampliato l'elenco di domini dannosi noti per includere domini associati a sfruttare le vulnerabilità ampiamente pubbliche associate a Log4j.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce (AzureDNS_ThreatIntelSuspectDomain) |
La comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa. | Accesso iniziale/persistenza/esecuzione/comando e controllo/sfruttamento | Medio |
Pulsante 'Copy alert JSON' aggiunto al riquadro dei dettagli dell'avviso di sicurezza
Per aiutare gli utenti a condividere rapidamente i dettagli di un avviso con altri utenti (ad esempio, analisti SOC, proprietari di risorse e sviluppatori) è stata aggiunta la funzionalità per estrarre facilmente tutti i dettagli di un avviso specifico con un pulsante dal riquadro dei dettagli dell'avviso di sicurezza.
Il nuovo pulsante Copia codice JSON dell'avviso inserisce i dettagli dell'avviso, in formato JSON, negli Appunti dell'utente.
Due raccomandazioni rinominate
Per coerenza con altri nomi di raccomandazione, sono stati rinominati i due consigli seguenti:
Raccomandazione per risolvere le vulnerabilità individuate nelle immagini del contenitore in esecuzione
- Nome precedente: è necessario correggere le vulnerabilità nelle immagini del contenitore in esecuzione (con tecnologia Qualys)
- Nuovo nome: l'esecuzione di immagini del contenitore deve avere i risultati della vulnerabilità risolti
Raccomandazione per abilitare i log di diagnostica per il servizio app Azure
- Nome precedente: I log di diagnostica devono essere abilitati in servizio app
- Nuovo nome: i log di diagnostica in servizio app devono essere abilitati
Deprecare i contenitori del cluster Kubernetes deve essere in ascolto solo sui criteri relativi alle porte consentite
I contenitori del cluster Kubernetes sono deprecati devono essere in ascolto solo sulle porte consentite.
Nome criteri | Descrizione | Effetti | Versione |
---|---|---|---|
I contenitori del cluster Kubernetes devono essere in ascolto solo sulle porte consentite | Limitare i contenitori per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes e in anteprima per il motore del servizio Azure Kubernetes e per Kubernetes con abilitazione di Azure Arc. Per altre informazioni, vedere Informazioni su Criteri di Azure per i cluster Kubernetes. | Audit, Deny, Disabled | 6.1.2 |
I servizi devono essere in ascolto solo sulle porte consentite devono essere usati per limitare le porte esposte da un'applicazione a Internet.
Aggiunta della cartella di lavoro "Avviso attivo"
Per aiutare gli utenti a comprendere le minacce attive agli ambienti e definire la priorità tra gli avvisi attivi durante il processo di correzione, è stata aggiunta la cartella di lavoro Avvisi attivi.
La cartella di lavoro avvisi attivi consente agli utenti di visualizzare un dashboard unificato degli avvisi aggregati in base alla gravità, al tipo, al tag, alle tattiche MITRE ATT&CK e alla posizione. Per altre informazioni, vedere Usare la cartella di lavoro "Avvisi attivi".
Raccomandazione "Aggiornamento del sistema" aggiunta al cloud per enti pubblici
La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" è ora disponibile in tutti i cloud per enti pubblici.
È probabile che questa modifica influirà sul punteggio di sicurezza della sottoscrizione del cloud per enti pubblici. Si prevede che la modifica porti a un punteggio ridotto, ma è possibile che l'inclusione della raccomandazione possa comportare un aumento del punteggio in alcuni casi.
Dicembre 2021
Gli aggiornamenti di dicembre includono:
- Piano microsoft Defender per contenitori rilasciato per la disponibilità generale (GA)
- Nuovi avvisi per Microsoft Defender per Archiviazione rilasciati per la disponibilità generale
- Miglioramenti agli avvisi per Microsoft Defender per Archiviazione
- Avviso 'PortSweeping' rimosso dagli avvisi del livello di rete
Piano microsoft Defender per contenitori rilasciato per la disponibilità generale (GA)
Oltre due anni fa, è stato introdotto Defender per Kubernetes e Defender per registri contenitori nell'ambito dell'offerta Azure Defender all'interno di Microsoft Defender per il cloud.
Con il rilascio di Microsoft Defender per contenitori, questi due piani di Defender esistenti sono stati uniti.
Il nuovo piano:
- Combina le funzionalità dei due piani esistenti: rilevamento delle minacce per i cluster Kubernetes e valutazione della vulnerabilità per le immagini archiviate nei registri contenitori
- Offre funzionalità nuove e migliorate, tra cui il supporto multicloud, il rilevamento delle minacce a livello di host con oltre sessanta nuove analisi in grado di supportare Kubernetes e la valutazione della vulnerabilità per l'esecuzione di immagini
- Introduce l'onboarding nativo di Kubernetes su larga scala: per impostazione predefinita, quando si abilita il piano, tutti i componenti pertinenti vengono configurati per essere distribuiti automaticamente
Con questa versione, la disponibilità e la presentazione di Defender per Kubernetes e Defender per i registri contenitori sono state modificate nel modo seguente:
- Nuove sottoscrizioni: i due piani contenitore precedenti non sono più disponibili
- Sottoscrizioni esistenti: ovunque vengano visualizzate nella portale di Azure, i piani vengono visualizzati come deprecati con le istruzioni per l'aggiornamento al piano più recente
Il nuovo piano è gratuito per il mese di dicembre 2021. Per le potenziali modifiche alla fatturazione dai piani precedenti a Defender per contenitori e per altre informazioni sui vantaggi introdotti con questo piano, vedere Introduzione a Microsoft Defender per contenitori.
Per altre informazioni, vedi:
- Panoramica di Microsoft Defender per contenitori
- Abilitare Microsoft Defender per contenitori
- Introduzione a Microsoft Defender per contenitori - Microsoft Tech Community
- Microsoft Defender per contenitori | Defender per il cloud nel campo n. 3 - YouTube
Nuovi avvisi per Microsoft Defender per Archiviazione rilasciati per la disponibilità generale
Gli attori delle minacce usano strumenti e script per cercare contenitori aperti pubblicamente nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili.
Microsoft Defender per Storage rileva questi scanner in modo da poterli bloccare e correggere il comportamento.
L'avviso di anteprima che ha rilevato questo è stato denominato "Analisi anonima dei contenitori di archiviazione pubblici". Per fornire maggiore chiarezza sugli eventi sospetti individuati, questo è stato suddiviso in due nuovi avvisi. Questi avvisi sono rilevanti solo per Archiviazione BLOB di Azure.
È stata migliorata la logica di rilevamento, sono stati aggiornati i metadati dell'avviso e sono stati modificati il nome e il tipo di avviso.
Questi sono i nuovi avvisi:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Individuati correttamente i contenitori di archiviazione accessibili pubblicamente (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Un'individuazione corretta dei contenitori di archiviazione aperti pubblicamente nell'account di archiviazione è stata eseguita nell'ultima ora da uno script o uno strumento di analisi. Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti. L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Storage Gen2 |
Raccolta | Medio |
Contenitori di archiviazione accessibili pubblicamente analizzati in modo non riuscito (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Nell'ultima ora sono stati eseguiti una serie di tentativi non riusciti di analizzare i contenitori di archiviazione aperti pubblicamente. Ciò indica in genere un attacco di ricognizione, in cui l'attore della minaccia tenta di elencare i BLOB indovinando i nomi dei contenitori, nella speranza di trovare contenitori di archiviazione aperti non configurati correttamente con dati sensibili in essi contenuti. L'attore di minacce può usare uno script personalizzato o usare strumenti di analisi noti come Microburst per cercare contenitori aperti pubblicamente. ✔ Archiviazione BLOB di Azure ✖ File di Azure ✖ Azure Data Lake Storage Gen2 |
Raccolta | Basso |
Per altre informazioni, vedi:
- Matrice di minacce per i servizi di archiviazione
- Panoramica di Microsoft Defender per Archiviazione
- Elenco degli avvisi forniti da Microsoft Defender per Archiviazione
Miglioramenti agli avvisi per Microsoft Defender per Archiviazione
Gli avvisi di accesso iniziali hanno ora una maggiore precisione e più dati per supportare l'analisi.
Gli attori delle minacce usano varie tecniche nell'accesso iniziale per ottenere un punto di accesso all'interno di una rete. Due degli avvisi di Microsoft Defender per Archiviazione che rilevano anomalie comportamentali in questa fase hanno ora una logica di rilevamento migliorata e dati aggiuntivi per supportare le indagini.
Se in passato sono state configurate le automazione o le regole di eliminazione degli avvisi definite per questi avvisi, aggiornarle in base a queste modifiche.
Rilevamento dell'accesso da un nodo di uscita tor
L'accesso da un nodo di uscita tor potrebbe indicare un attore di minaccia che tenta di nascondere la propria identità.
L'avviso è ora ottimizzato per generare solo per l'accesso autenticato, con una maggiore precisione e confidenza che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo non dannoso.
Un modello outlying avrà una gravità elevata, mentre i modelli meno anomali avranno una gravità media.
Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.
- Nome avviso (precedente): accesso da un nodo di uscita tor a un account di archiviazione
- Nome avviso (nuovo): accesso autenticato da un nodo di uscita tor
- Tipi di avviso: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Descrizione: è stato eseguito l'accesso a uno o più contenitori di archiviazione/condivisioni file nell'account di archiviazione da un indirizzo IP noto come nodo di uscita attivo di Tor (proxy di anonimizzazione). Gli attori delle minacce usano Tor per rendere difficile tracciare l'attività. L'accesso autenticato da un nodo di uscita tor indica probabilmente che un attore di minaccia sta tentando di nascondere la propria identità. Si applica a: Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage Gen2
- Tattiche MITRE: Accesso iniziale
- Gravità: alta/media
Accesso non autenticato insolito
Una modifica nei modelli di accesso può indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione, sfruttando un errore nelle configurazioni di accesso o modificando le autorizzazioni di accesso.
Questo avviso di gravità media è ora ottimizzato con una logica comportamentale migliorata, una maggiore accuratezza e la probabilità che l'attività sia dannosa. Questo miglioramento riduce il tasso positivo non dannoso.
Il nome e la descrizione dell'avviso sono stati aggiornati. AlertType rimane invariato.
- Nome avviso (precedente): accesso anonimo a un account di archiviazione
- Nome avviso (nuovo): accesso non autenticato insolito a un contenitore di archiviazione
- Tipi di avviso: Storage.Blob_AnonymousAccessAnomaly
- Descrizione: questo account di archiviazione è stato eseguito senza autenticazione, che è una modifica nel modello di accesso comune. L'accesso in lettura a questo contenitore viene in genere autenticato. Ciò potrebbe indicare che un attore di minaccia è stato in grado di sfruttare l'accesso in lettura pubblico ai contenitori di archiviazione in questi account di archiviazione. Si applica a: Archiviazione BLOB di Azure
- Tattiche MITRE: Raccolta
- Gravità: media
Per altre informazioni, vedi:
- Matrice di minacce per i servizi di archiviazione
- Introduzione a Microsoft Defender per Archiviazione
- Elenco degli avvisi forniti da Microsoft Defender per Archiviazione
Avviso 'PortSweeping' rimosso dagli avvisi del livello di rete
L'avviso seguente è stato rimosso dagli avvisi del livello di rete a causa di inefficienze:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Rilevata possibile attività di analisi delle porte in uscita (PortSweeping) |
L'analisi del traffico di rete ha rilevato traffico in uscita sospetto da %{host compromesso}. Questo traffico può essere il risultato di un'attività di analisi delle porte. Quando la risorsa compromessa è un servizio di bilanciamento del carico o un gateway applicazione, il traffico in uscita sospetto è stato originato da una o più risorse nel pool back-end (del servizio di bilanciamento del carico o del gateway applicazione). Se questo comportamento è intenzionale, tenere presente che l'esecuzione dell'analisi delle porte è contraria alle condizioni d'uso di Azure. Se questo comportamento non è intenzionale, potrebbe indicare che la risorsa è stata compromessa. | Individuazione | Medio |
Novembre 2021
La versione di Ignite include:
- Centro sicurezza di Azure e Azure Defender diventano Microsoft Defender per il cloud
- CSPM nativo per AWS e la protezione dalle minacce per Amazon EKS e AWS EC2
- Classificare in ordine di priorità le azioni di sicurezza in base alla riservatezza dei dati (basata su Microsoft Purview) (in anteprima)
- Valutazioni del controllo di sicurezza espanse con Azure Security Benchmark v3
- Sincronizzazione facoltativa degli avvisi bidirezionali rilasciata per la disponibilità generale (GA) del connettore Microsoft Sentinel
- Nuova raccomandazione per il push dei log di servizio Azure Kubernetes (servizio Azure Kubernetes) in Sentinel
- Raccomandazioni mappate al framework MITRE ATT&CK® , rilasciate per la disponibilità generale
Altre modifiche apportate a novembre includono:
- Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità - rilasciato per la disponibilità generale (GA)
- Microsoft Defender per endpoint per Linux ora supportato da Microsoft Defender per server , rilasciato per la disponibilità generale
- Esportazione di snapshot per raccomandazioni e risultati della sicurezza (in anteprima)
- Provisioning automatico delle soluzioni di valutazione della vulnerabilità rilasciate per la disponibilità generale
- Filtri di inventario software nell'inventario degli asset rilasciati per la disponibilità generale
- Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa predefinita - Anteprima
- La visualizzazione dell'inventario dei computer locali applica un modello diverso per il nome della risorsa
Centro sicurezza di Azure e Azure Defender diventano Microsoft Defender per il cloud
Secondo il report State of the Cloud del 2021, il 92% delle organizzazioni ha ora una strategia multicloud. Microsoft ha l'obiettivo di centralizzare la sicurezza tra ambienti e aiutare i team di sicurezza a lavorare in modo più efficace.
Microsoft Defender per il cloud è una soluzione CWP (Cloud Security Posture Management) e cloud workload protection (CWP) che individua i punti deboli nella configurazione cloud, contribuisce a rafforzare il comportamento di sicurezza complessivo dell'ambiente e protegge i carichi di lavoro in ambienti multicloud e ibridi.
In Ignite 2019 abbiamo condiviso la nostra visione per creare l'approccio più completo per proteggere il digital estate e integrare le tecnologie XDR nel marchio Microsoft Defender. Unificare Centro sicurezza di Azure e Azure Defender con il nuovo nome Microsoft Defender per il cloud riflette le funzionalità integrate dell'offerta di sicurezza e la possibilità di supportare qualsiasi piattaforma cloud.
CSPM nativo per AWS e la protezione dalle minacce per Amazon EKS e AWS EC2
Una nuova pagina delle impostazioni dell'ambiente offre maggiore visibilità e controllo sui gruppi di gestione, le sottoscrizioni e gli account AWS. La pagina è progettata per eseguire l'onboarding degli account AWS su larga scala: connettere l'account di gestione AWS e si eseguirà automaticamente l'onboarding degli account esistenti e futuri.
Dopo aver aggiunto gli account AWS, Defender per il cloud protegge le risorse AWS con uno o tutti i piani seguenti:
- Le funzionalità CSPM di Defender per il cloud si estendono alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste sono incluse nel punteggio di sicurezza. Verrà anche valutata la conformità delle risorse a standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). Defender per il cloud pagina di inventario delle risorse è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.
- Microsoft Defender per Kubernetes estende il rilevamento delle minacce dei contenitori e le difese avanzate ai cluster Amazon EKS Linux.
- Microsoft Defender per server offre il rilevamento delle minacce e le difese avanzate nelle istanze di Windows e Linux EC2. Questo piano include la licenza integrata per Microsoft Defender per endpoint, linee di base di sicurezza e valutazioni a livello di sistema operativo, analisi della valutazione delle vulnerabilità, controlli adattivi delle applicazioni (AAC), monitoraggio dell'integrità dei file (FIM) e altro ancora.
Altre informazioni sulla connessione degli account AWS alle Microsoft Defender per il cloud.
Classificare in ordine di priorità le azioni di sicurezza in base alla riservatezza dei dati (basata su Microsoft Purview) (in anteprima)
Le risorse dati rimangono una destinazione comune per gli attori delle minacce. È quindi fondamentale per i team di sicurezza identificare, classificare in ordine di priorità e proteggere le risorse dei dati sensibili nei propri ambienti cloud.
Per risolvere questa sfida, Microsoft Defender per il cloud ora integra le informazioni di riservatezza di Microsoft Purview. Microsoft Purview è un servizio unificato di governance dei dati che fornisce informazioni dettagliate sulla riservatezza dei dati all'interno di carichi di lavoro multicloud e locali.
L'integrazione con Microsoft Purview estende la visibilità della sicurezza in Defender per il cloud dal livello di infrastruttura ai dati, consentendo un modo completamente nuovo per assegnare priorità alle risorse e alle attività di sicurezza per i team di sicurezza.
Per altre informazioni, vedere Definire la priorità delle azioni di sicurezza in base alla riservatezza dei dati.
Valutazioni del controllo di sicurezza espanse con Azure Security Benchmark v3
Le raccomandazioni sulla sicurezza in Defender per il cloud sono supportate da Azure Security Benchmark.
Azure Security Benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.
Da Ignite 2021, Azure Security Benchmark v3 è disponibile nel dashboard di conformità alle normative di Defender per il cloud e abilitato come nuova iniziativa predefinita per tutte le sottoscrizioni di Azure protette con Microsoft Defender per il cloud.
I miglioramenti per v3 includono:
Mapping aggiuntivi ai framework di settore PCI-DSS v3.2.1 e CIS Controls v8.
Linee guida più granulari e utilizzabili per i controlli con l'introduzione di:
- Principi di sicurezza: fornisce informazioni dettagliate sugli obiettivi di sicurezza generali che creano le basi per le raccomandazioni.
- Linee guida di Azure: procedure tecniche per soddisfare questi obiettivi.
I nuovi controlli includono la sicurezza devOps per problemi quali la modellazione delle minacce e la sicurezza della supply chain del software, nonché la gestione delle chiavi e dei certificati per le procedure consigliate in Azure.
Per altre informazioni, vedere Introduzione ad Azure Security Benchmark.
Sincronizzazione facoltativa degli avvisi bidirezionali rilasciata per la disponibilità generale (GA) del connettore Microsoft Sentinel
A luglio è stata annunciata una funzionalità di anteprima, la sincronizzazione degli avvisi bidirezionali, per il connettore predefinito in Microsoft Sentinel (soluzione SIEM e SOAR nativa del cloud di Microsoft). Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Quando ci si connette Microsoft Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di sicurezza viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso verrà visualizzato anche come chiuso in Microsoft Sentinel. La modifica dello stato di un avviso in Defender per il cloud non influirà sullo stato di eventuali eventi imprevisti di Microsoft Sentinel che contengono l'avviso sincronizzato di Microsoft Sentinel, solo quello dell'avviso sincronizzato stesso.
Quando si abilita la sincronizzazione degli avvisi bidirezionali, si sincronizzerà automaticamente lo stato degli avvisi Defender per il cloud originali con gli eventi imprevisti di Microsoft Sentinel che contengono le copie di tali avvisi. Ad esempio, quando un evento imprevisto di Microsoft Sentinel contenente un avviso di Defender per il cloud viene chiuso, Defender per il cloud chiuderà automaticamente l'avviso originale corrispondente.
Per altre informazioni, vedere Connettere gli avvisi di Azure Defender da Centro sicurezza di Azure e Trasmettere avvisi ad Azure Sentinel.
Nuova raccomandazione per il push dei log di servizio Azure Kubernetes (servizio Azure Kubernetes) in Sentinel
In un ulteriore miglioramento del valore combinato di Defender per il cloud e Microsoft Sentinel, verranno ora evidenziate servizio Azure Kubernetes istanze che non inviano dati di log a Microsoft Sentinel.
I team SecOps possono scegliere l'area di lavoro di Microsoft Sentinel pertinente direttamente dalla pagina dei dettagli della raccomandazione e abilitare immediatamente lo streaming dei log non elaborati. Questa facile connessione tra i due prodotti semplifica ai team di sicurezza di garantire la copertura completa della registrazione tra i carichi di lavoro per rimanere al di sopra dell'intero ambiente.
La nuova raccomandazione "I log di diagnostica nei servizi Kubernetes devono essere abilitati" include l'opzione "Correzione" per una correzione più rapida.
È stata migliorata anche la raccomandazione "Il controllo in SQL Server deve essere abilitato" con le stesse funzionalità di streaming di Sentinel.
Raccomandazioni mappate al framework MITRE ATT&CK® , rilasciate per la disponibilità generale
Sono stati migliorati i consigli di sicurezza di Defender per il cloud per mostrare la propria posizione nel framework MITRE ATT&CK®. Questa knowledge base accessibile a livello globale delle tattiche e delle tecniche degli attori delle minacce basate su osservazioni reali offre un contesto più ampio per comprendere i rischi associati delle raccomandazioni per l'ambiente.
Queste tattiche sono disponibili ovunque si accassi alle informazioni sulle raccomandazioni:
I risultati delle query di Azure Resource Graph per le raccomandazioni pertinenti includono tattiche e tecniche MITRE ATT&CK®.
Le pagine dei dettagli delle raccomandazioni mostrano il mapping per tutte le raccomandazioni pertinenti:
La pagina raccomandazioni in Defender per il cloud include un nuovo filtro per selezionare le raccomandazioni in base alla tattica associata:
Per altre informazioni, vedere Esaminare le raccomandazioni sulla sicurezza.
Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità - rilasciato per la disponibilità generale (GA)
In ottobre è stata annunciata un'estensione per l'integrazione tra Microsoft Defender per server e Microsoft Defender per endpoint, per supportare un nuovo provider di valutazione della vulnerabilità per i computer: Microsoft gestione di minacce e vulnerabilità. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Usare gestione di minacce e vulnerabilità per individuare vulnerabilità e errori di configurazione quasi in tempo reale con l'integrazione con Microsoft Defender per endpoint abilitata e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti nell'organizzazione.
Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.
Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).
Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.
Microsoft Defender per endpoint per Linux ora supportato da Microsoft Defender per server , rilasciato per la disponibilità generale
In agosto è stato annunciato il supporto per l'anteprima per la distribuzione del sensore Defender per endpoint per Linux nei computer Linux supportati. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Microsoft Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.
Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender for Cloud. In Defender per il cloud è anche possibile passare alla console di Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco.
Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Esportazione di snapshot per raccomandazioni e risultati della sicurezza (in anteprima)
Defender per il cloud genera avvisi di sicurezza dettagliati e raccomandazioni. È possibile visualizzarli nel portale o tramite strumenti programmatici. Potrebbe anche essere necessario esportare alcune o tutte queste informazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente.
la funzionalità di esportazione continua di Defender per il cloud consente di personalizzare completamente ciò che verrà esportato e dove verrà eseguita. Per altre informazioni, vedere Esportazione continua dei dati Microsoft Defender per il cloud.
Anche se la funzionalità è chiamata continua, è anche possibile esportare snapshot settimanali. Fino ad ora, questi snapshot settimanali erano limitati ai dati relativi al punteggio di sicurezza e alla conformità alle normative. È stata aggiunta la funzionalità per esportare raccomandazioni e risultati della sicurezza.
Provisioning automatico delle soluzioni di valutazione della vulnerabilità rilasciate per la disponibilità generale
In ottobre è stata annunciata l'aggiunta di soluzioni di valutazione della vulnerabilità alla pagina di provisioning automatico di Defender per il cloud. Questo è rilevante per le macchine virtuali di Azure e per le macchine virtuali di Azure Arc nelle sottoscrizioni protette da Azure Defender per server. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:
- (NUOVO) Il modulo Microsoft gestione di minacce e vulnerabilità di Microsoft Defender per endpoint (vedere la nota sulla versione)
- Agente Qualys integrato
La soluzione scelta verrà abilitata automaticamente nei computer supportati.
Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.
Filtri di inventario software nell'inventario degli asset rilasciati per la disponibilità generale
In ottobre sono stati annunciati nuovi filtri per la pagina inventario asset per selezionare i computer che eseguono software specifico e anche specificare le versioni di interesse. Questa funzionalità viene ora rilasciata per la disponibilità generale .THIS FEATURE is now released for general availability (GA).
È possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.
Per usare queste funzionalità, è necessario abilitare l'integrazione con Microsoft Defender per endpoint.
Per informazioni dettagliate, incluse le query Kusto di esempio per Azure Resource Graph, vedere Accedere a un inventario software.
Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa predefinita
Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, Defender per il cloud include criteri a livello di Kubernetes e raccomandazioni per la protezione avanzata, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.
Come parte di questo progetto, sono stati aggiunti criteri e raccomandazioni (disabilitati per impostazione predefinita) per la distribuzione tramite gating nei cluster Kubernetes. Il criterio si trova nell'iniziativa predefinita, ma è rilevante solo per le organizzazioni che si registrano per l'anteprima correlata.
È possibile ignorare in modo sicuro i criteri e le raccomandazioni ("I cluster Kubernetes devono controllare la distribuzione di immagini vulnerabili") e non vi sarà alcun impatto sull'ambiente.
Se vuoi partecipare all'anteprima, dovrai essere un membro dell'anello di anteprima. Se non sei già membro, invia una richiesta qui. I membri riceveranno una notifica all'inizio dell'anteprima.
La visualizzazione dell'inventario dei computer locali applica un modello diverso per il nome della risorsa
Per migliorare la presentazione delle risorse nell'inventario asset, è stato rimosso l'elemento "source-computer-IP" dal modello per la denominazione dei computer locali.
- Formato precedente:
machine-name_source-computer-id_VMUUID
- Da questo aggiornamento:
machine-name_VMUUID
Ottobre 2021
Gli aggiornamenti del mese di ottobre includono quanto segue:
- Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità (in anteprima)
- Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima)
- Filtri di inventario software aggiunti all'inventario asset (in anteprima)
- Prefisso modificato di alcuni tipi di avviso da "ARM_" a "VM_"
- Modifiche alla logica di una raccomandazione di sicurezza per i cluster Kubernetes
- Le pagine dei dettagli delle raccomandazioni ora mostrano raccomandazioni correlate
- Nuovi avvisi per Azure Defender per Kubernetes (in anteprima)
Microsoft Threat and Vulnerability Management aggiunto come soluzione di valutazione della vulnerabilità (in anteprima)
L'integrazione tra Azure Defender per server e Microsoft Defender per endpoint è stata estesa per supportare un nuovo provider di valutazione delle vulnerabilità per i computer: Microsoft gestione di minacce e vulnerabilità.
Usare gestione di minacce e vulnerabilità per individuare vulnerabilità e errori di configurazione quasi in tempo reale con l'integrazione con Microsoft Defender per endpoint abilitata e senza la necessità di ulteriori agenti o analisi periodiche. Minacce e gestione delle vulnerabilità assegna priorità alle vulnerabilità in base al panorama delle minacce e ai rilevamenti nell'organizzazione.
Usare la raccomandazione di sicurezza "Una soluzione di valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali" per individuare le vulnerabilità rilevate da gestione di minacce e vulnerabilità per i computer supportati.
Per individuare automaticamente le vulnerabilità, nei computer esistenti e nuovi, senza la necessità di correggere manualmente la raccomandazione, vedere Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima).
Per altre informazioni, vedere Analizzare i punti deboli con gestione di minacce e vulnerabilità di Microsoft Defender per endpoint.
Le soluzioni di valutazione della vulnerabilità possono ora essere abilitate automaticamente (in anteprima)
La pagina di provisioning automatico del Centro sicurezza include ora l'opzione per abilitare automaticamente una soluzione di valutazione delle vulnerabilità per le macchine virtuali di Azure e i computer Azure Arc nelle sottoscrizioni protette da Azure Defender per server.
Se l'integrazione con Microsoft Defender per endpoint è abilitata, Defender per il cloud presenta una scelta di soluzioni di valutazione della vulnerabilità:
- (NUOVO) Il modulo Microsoft gestione di minacce e vulnerabilità di Microsoft Defender per endpoint (vedere la nota sulla versione)
- Agente Qualys integrato
La soluzione scelta verrà abilitata automaticamente nei computer supportati.
Per altre informazioni, vedere Configurare automaticamente la valutazione della vulnerabilità per i computer.
Filtri di inventario software aggiunti all'inventario asset (in anteprima)
La pagina inventario asset include ora un filtro per selezionare i computer che eseguono software specifico e persino specificare le versioni di interesse.
È anche possibile eseguire query sui dati di inventario software in Azure Resource Graph Explorer.
Per usare queste nuove funzionalità, è necessario abilitare l'integrazione con Microsoft Defender per endpoint.
Per informazioni dettagliate, incluse le query Kusto di esempio per Azure Resource Graph, vedere Accedere a un inventario software.
Prefisso modificato di alcuni tipi di avviso da "ARM_" a "VM_"
A luglio 2021 è stata annunciata una riorganizzazione logica degli avvisi di Azure Defender per Resource Manager
Durante la riorganizzazione dei piani di Defender, gli avvisi sono stati spostati da Azure Defender per Resource Manager ad Azure Defender per server.
Con questo aggiornamento sono stati modificati i prefissi di questi avvisi in modo che corrispondano a questa riassegnazione e sostituito "ARM_" con "VM_" come illustrato nella tabella seguente:
Nome originale | Da questa modifica |
---|---|
ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
ARM_AmDisablement | VM_AmDisablement |
ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Altre informazioni sui piani di Azure Defender per Resource Manager e Azure Defender per server .
Modifiche alla logica di una raccomandazione di sicurezza per i cluster Kubernetes
La raccomandazione "I cluster Kubernetes non devono usare lo spazio dei nomi predefinito" impedisce l'utilizzo dello spazio dei nomi predefinito per un intervallo di tipi di risorse. Due dei tipi di risorse inclusi in questa raccomandazione sono stati rimossi: ConfigMap e Secret.
Altre informazioni su questa raccomandazione e sulla protezione avanzata dei cluster Kubernetes sono disponibili in Informazioni Criteri di Azure per i cluster Kubernetes.
Le pagine dei dettagli delle raccomandazioni ora mostrano raccomandazioni correlate
Per chiarire le relazioni tra raccomandazioni diverse, è stata aggiunta un'area Raccomandazioni correlate alle pagine dei dettagli di molte raccomandazioni.
I tre tipi di relazione visualizzati in queste pagine sono:
- Prerequisito : raccomandazione che deve essere completata prima della raccomandazione selezionata.
- Alternativa: una raccomandazione diversa che offre un altro modo per raggiungere gli obiettivi della raccomandazione selezionata
- Dipendente: raccomandazione per cui la raccomandazione selezionata costituisce un prerequisito
Per ogni raccomandazione correlata, il numero di risorse non integre è visualizzato nella colonna "Risorse interessate".
Suggerimento
Se una raccomandazione correlata è disattivata, la relativa dipendenza non è ancora stata completata e quindi non è disponibile.
Esempio di raccomandazioni correlate:
Il Centro sicurezza controlla i computer per verificare la presenza di soluzioni di valutazione della vulnerabilità supportate:
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtualiSe ne viene trovata una, si riceverà una notifica sulle vulnerabilità individuate:
È consigliabile correggere le vulnerabilità nelle macchine virtuali
Ovviamente, il Centro sicurezza non può notificare le vulnerabilità individuate a meno che non trovi una soluzione di valutazione della vulnerabilità supportata.
Di conseguenza:
- Raccomandazione n. 1 è un prerequisito per la raccomandazione n. 2
- La raccomandazione n. 2 dipende dalla raccomandazione n. 1
Nuovi avvisi per Azure Defender per Kubernetes (in anteprima)
Per espandere le protezioni dalle minacce fornite da Azure Defender per Kubernetes, sono stati aggiunti due avvisi di anteprima.
Questi avvisi vengono generati in base a un nuovo modello di Machine Learning e all'analisi avanzata di Kubernetes, misurando più attributi di assegnazione di distribuzione e ruolo rispetto alle attività precedenti nel cluster e in tutti i cluster monitorati da Azure Defender.
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Distribuzione di pod anomali (anteprima) (K8S_AnomalousPodDeployment) |
L'analisi dei log di controllo di Kubernetes ha rilevato la distribuzione dei pod anomala, in base all'attività di distribuzione dei pod precedente. Questa attività viene considerata un'anomalia quando si tiene conto del modo in cui le diverse funzionalità viste nell'operazione di distribuzione si trovano nelle relazioni tra loro. Le funzionalità monitorate da questa analisi includono il registro immagini del contenitore usato, l'account che esegue la distribuzione, il giorno della settimana, la frequenza con cui questo account esegue le distribuzioni dei pod, l'agente utente usato nell'operazione, è uno spazio dei nomi che si verifica spesso o un'altra funzionalità. I motivi principali che contribuiscono alla generazione di questo avviso come attività anomale sono descritti in dettaglio nelle proprietà estese dell'avviso. | Esecuzione | Medio |
Autorizzazioni di ruolo eccessive assegnate nel cluster Kubernetes (anteprima) (K8S_ServiceAcountPermissionAnomaly) |
L'analisi dei log di controllo di Kubernetes ha rilevato un'assegnazione di ruolo di autorizzazioni eccessiva al cluster. Esaminando le assegnazioni di ruolo, le autorizzazioni elencate non sono comuni all'account del servizio specifico. Questo rilevamento considera le assegnazioni di ruolo precedenti allo stesso account del servizio tra i cluster monitorati da Azure, dal volume per autorizzazione e dall'impatto dell'autorizzazione specifica. Il modello di rilevamento anomalie usato per questo avviso tiene conto del modo in cui questa autorizzazione viene usata in tutti i cluster monitorati da Azure Defender. | Escalation dei privilegi | Basso |
Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.
Settembre 2021
A settembre è stato rilasciato l'aggiornamento seguente:
Due nuove raccomandazioni per controllare le configurazioni del sistema operativo per la conformità alla baseline di sicurezza di Azure (in anteprima)
Sono state rilasciate le due raccomandazioni seguenti per valutare la conformità dei computer alla baseline di sicurezza di Windows e alla baseline di sicurezza di Linux:
- Per i computer Windows, le vulnerabilità nella configurazione di sicurezza nei computer Windows devono essere corrette (con tecnologia Configurazione guest)
- Per i computer Linux, le vulnerabilità nella configurazione di sicurezza nei computer Linux devono essere corrette (con tecnologia Configurazione guest)
Queste raccomandazioni usano la funzionalità di configurazione guest di Criteri di Azure per confrontare la configurazione del sistema operativo di un computer con la baseline definita in Azure Security Benchmark.
Altre informazioni sull'uso di queste raccomandazioni sono disponibili in Protezione avanzata della configurazione del sistema operativo di un computer usando la configurazione guest.
Agosto 2021
Gli aggiornamenti del mese di agosto includono quanto segue:
- Microsoft Defender per endpoint per Linux ora supportato da Azure Defender per server (in anteprima)
- Due nuove raccomandazioni per la gestione delle soluzioni di Endpoint Protection (in anteprima)
- Risoluzione dei problemi e linee guida predefinite per la risoluzione dei problemi comuni
- Report di controllo di Azure rilasciati per la disponibilità generale (GA) del dashboard di conformità alle normative
- Raccomandazione deprecata "I problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer"
- Azure Defender per registri contenitori esegue ora l'analisi delle vulnerabilità nei registri protetti con collegamento privato di Azure
- Il Centro sicurezza può ora effettuare il provisioning automatico dell'estensione Configurazione guest di Criteri di Azure (in anteprima)
- Le raccomandazioni ora supportano "Imponi".
- Esportazioni CSV dei dati delle raccomandazioni ora limitate a 20 MB
- La pagina Raccomandazioni include ora più visualizzazioni
Microsoft Defender per endpoint per Linux ora supportato da Azure Defender per server (in anteprima)
Azure Defender per server include una licenza integrata per Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.
Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene ora mostrato nel Centro sicurezza. Nel Centro sicurezza è anche possibile passare alla console di Microsoft Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco.
Durante il periodo di anteprima, il sensore Defender per endpoint per Linux verrà distribuito nei computer Linux supportati in due modi, a seconda che sia già stato distribuito nei computer Windows:
- Utenti esistenti con funzionalità di sicurezza avanzate di Defender per il cloud abilitate e Microsoft Defender per endpoint per Windows
- Nuovi utenti che non hanno mai abilitato l'integrazione con Microsoft Defender per endpoint per Windows
Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Due nuove raccomandazioni per la gestione delle soluzioni di Endpoint Protection (in anteprima)
Sono state aggiunte due raccomandazioni di anteprima per distribuire e gestire le soluzioni di Endpoint Protection nei computer. Entrambe le raccomandazioni includono il supporto per le macchine virtuali e le macchine virtuali di Azure connesse ai server abilitati per Azure Arc.
Suggerimento | Descrizione | Gravità |
---|---|---|
È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. Altre informazioni sulla valutazione di Endpoint Protection per i computer. (Criterio correlato: Monitorare endpoint Protection mancante in Centro sicurezza di Azure) |
Alto |
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate qui. La valutazione di Endpoint Protection è documentata qui. (Criterio correlato: Monitorare endpoint Protection mancante in Centro sicurezza di Azure) |
Medio |
Nota
Le raccomandazioni mostrano l'intervallo di aggiornamento come 8 ore, ma esistono alcuni scenari in cui questa operazione potrebbe richiedere molto più tempo. Ad esempio, quando un computer locale viene eliminato, sono necessarie 24 ore prima che il Centro sicurezza identifichi l'eliminazione. Successivamente, la valutazione richiederà fino a 8 ore per restituire le informazioni. In tale situazione specifica, pertanto, potrebbero essere necessarie 32 ore prima che il computer venga rimosso dall'elenco delle risorse interessate.
Risoluzione dei problemi e linee guida predefinite per la risoluzione dei problemi comuni
Una nuova area dedicata delle pagine del Centro sicurezza nel portale di Azure offre un set di materiali self-help in continua crescita per risolvere le sfide comuni con il Centro sicurezza e Azure Defender.
Quando si verifica un problema o si cercano consigli dal team di supporto, diagnosticare e risolvere i problemi è un altro strumento per trovare la soluzione:
Report di controllo di Azure rilasciati per la disponibilità generale (GA) del dashboard di conformità alle normative
La barra degli strumenti del dashboard di conformità alle normative offre report di certificazione di Azure e Dynamics per gli standard applicati alle sottoscrizioni.
È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.
Per altre informazioni, vedere Generare report e certificati sullo stato di conformità.
Raccomandazione deprecata "I problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer"
È stato rilevato che i problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer in modo che influiscano sui punteggi di sicurezza in modo incoerente con l'attenzione di Cloud Security Posture Management (CSPM) del Centro sicurezza.We've found that recommendation Log Analytics agent health issues should be resolved on your machines impacts secure score in ways that are inconsistent with Security Center's Cloud Security Posture Management (CSPM) focus. In genere, CSPM si riferisce all'identificazione di errori di configurazione della sicurezza. I problemi di integrità dell'agente non rientrano in questa categoria di problemi.
Inoltre, la raccomandazione è un'anomalia rispetto agli altri agenti correlati al Centro sicurezza: questo è l'unico agente con una raccomandazione relativa ai problemi di integrità.
La raccomandazione è stata deprecata.
In seguito a questa deprecazione, sono state apportate anche modifiche secondarie alle raccomandazioni per l'installazione dell'agente di Log Analytics (l'agente di Log Analytics deve essere installato in...).
È probabile che questa modifica influirà sul punteggio di sicurezza. Per la maggior parte delle sottoscrizioni, si prevede che la modifica porti a un punteggio maggiore, ma è possibile che gli aggiornamenti alla raccomandazione di installazione comportino una diminuzione dei punteggi in alcuni casi.
Suggerimento
La pagina inventario asset è stata influenzata anche da questa modifica, perché visualizza lo stato monitorato per i computer (monitorato, non monitorato o parzialmente monitorato, ovvero uno stato che fa riferimento a un agente con problemi di integrità).
Azure Defender per registri contenitori esegue ora l'analisi delle vulnerabilità nei registri protetti con collegamento privato di Azure
Azure Defender per registri contenitori include uno scanner di vulnerabilità per analizzare le immagini nei registri Registro Azure Container. Informazioni su come analizzare i registri e correggere i risultati in Usare Azure Defender per i registri contenitori per analizzare le immagini per individuare le vulnerabilità.
Per limitare l'accesso a un registro ospitato in Registro Azure Container, assegnare indirizzi IP privati della rete virtuale agli endpoint del Registro di sistema e usare collegamento privato di Azure come illustrato in Connettersi privatamente a un registro contenitori di Azure usando collegamento privato di Azure.
Nell'ambito dei nostri continui sforzi per supportare altri ambienti e casi d'uso, Azure Defender ora analizza anche i registri contenitori protetti con collegamento privato di Azure.
Il Centro sicurezza può ora effettuare il provisioning automatico dell'estensione Configurazione guest di Criteri di Azure (in anteprima)
Criteri di Azure possibile controllare le impostazioni all'interno di un computer, sia per i computer in esecuzione in Azure che nei computer connessi ad Arc. La convalida viene eseguita dall'estensione Configurazione guest e dal client. Per altre informazioni, vedere Informazioni sulla configurazione guest di Criteri di Azure.
Con questo aggiornamento, è ora possibile impostare il Centro sicurezza per effettuare automaticamente il provisioning di questa estensione in tutti i computer supportati.
Altre informazioni sul funzionamento del provisioning automatico sono disponibili in Configurare il provisioning automatico per agenti ed estensioni.
Le raccomandazioni ora supportano "Imponi"
Il Centro sicurezza include due funzionalità che consentono di garantire che il provisioning delle risorse appena create venga eseguito in modo sicuro: applicare e negare. Quando una raccomandazione offre queste opzioni, è possibile assicurarsi che i requisiti di sicurezza vengano soddisfatti ogni volta che un utente tenta di creare una risorsa:
- Nega impedisce la creazione di risorse non integre
- Applicare la correzione automatica delle risorse non conformi al momento della creazione
Con questo aggiornamento, l'opzione di imposizione è ora disponibile nelle raccomandazioni per abilitare i piani di Azure Defender( ad esempio Azure Defender per servizio app deve essere abilitata, è necessario abilitare Azure Defender per Key Vault.
Per altre informazioni su queste opzioni, vedere Impedire configurazioni errate con le raccomandazioni Imponi/Nega.
Esportazioni CSV dei dati delle raccomandazioni ora limitate a 20 MB
Durante l'esportazione dei dati delle raccomandazioni del Centro sicurezza viene previsto un limite di 20 MB.
Se è necessario esportare grandi quantità di dati, usare i filtri disponibili prima di selezionare o selezionare subset delle sottoscrizioni e scaricare i dati in batch.
Altre informazioni sull'esecuzione di un'esportazione CSV delle raccomandazioni sulla sicurezza.
La pagina Raccomandazioni include ora più visualizzazioni
La pagina delle raccomandazioni include ora due schede per fornire modi alternativi per visualizzare le raccomandazioni rilevanti per le risorse:
- Raccomandazioni per il punteggio di sicurezza : usare questa scheda per visualizzare l'elenco di raccomandazioni raggruppate in base al controllo di sicurezza. Altre informazioni su questi controlli sono disponibili in Controlli di sicurezza e i relativi consigli.
- Tutti i consigli : usare questa scheda per visualizzare l'elenco di raccomandazioni come elenco semplice. Questa scheda è utile anche per comprendere quale iniziativa (inclusi gli standard di conformità alle normative) ha generato la raccomandazione. Altre informazioni sulle iniziative e sulla relazione con le raccomandazioni in Che cosa sono i criteri, le iniziative e le raccomandazioni per la sicurezza?
Luglio 2021
Gli aggiornamenti del mese di luglio includono quanto segue:
- Il connettore Azure Sentinel include ora la sincronizzazione degli avvisi bidirezionali facoltativa (in anteprima)
- Riorganizzazione logica degli avvisi di Azure Defender per Resource Manager
- Miglioramenti alla raccomandazione per abilitare Crittografia dischi di Azure (ADE)
- Esportazione continua dei dati relativi al punteggio di sicurezza e alla conformità alle normative rilasciati per la disponibilità generale
- Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (GA)
- Il campo API Valutazioni 'FirstEvaluationDate' e 'StatusChangeDate' ora disponibile negli schemi dell'area di lavoro e nelle app per la logica
- Modello di cartella di lavoro "Conformità nel tempo" aggiunto alla raccolta cartelle di lavoro di Monitoraggio di Azure
Il connettore Azure Sentinel include ora la sincronizzazione degli avvisi bidirezionali facoltativa (in anteprima)
Il Centro sicurezza si integra in modo nativo con Azure Sentinel, la soluzione SIEM e SOAR nativa del cloud di Azure.
Azure Sentinel include connettori predefiniti per Centro sicurezza di Azure a livello di sottoscrizione e tenant. Per altre informazioni, vedere Trasmettere avvisi ad Azure Sentinel.
Quando si connette Azure Defender ad Azure Sentinel, lo stato degli avvisi di Azure Defender inseriti in Azure Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Azure Defender, tale avviso verrà visualizzato anche come chiuso in Azure Sentinel. La modifica dello stato di un avviso in Azure Defender "non"* influisce sullo stato di tutti gli eventi imprevisti di Azure Sentinel che contengono l'avviso di Azure Sentinel sincronizzato, solo quello dell'avviso sincronizzato stesso.
Quando si abilita la sincronizzazione degli avvisi bidirezionali della funzionalità di anteprima, sincronizza automaticamente lo stato degli avvisi originali di Azure Defender con gli eventi imprevisti di Azure Sentinel che contengono copie di tali avvisi di Azure Defender. Ad esempio, quando viene chiuso un evento imprevisto di Azure Sentinel contenente un avviso di Azure Defender, Azure Defender chiuderà automaticamente l'avviso originale corrispondente.
Per altre informazioni, vedere Connettere gli avvisi di Azure Defender da Centro sicurezza di Azure.
Riorganizzazione logica degli avvisi di Azure Defender per Resource Manager
Gli avvisi elencati di seguito sono stati forniti come parte del piano di Azure Defender per Resource Manager .
Come parte di una riorganizzazione logica di alcuni dei piani di Azure Defender, sono stati spostati alcuni avvisi da Azure Defender per Resource Manager ad Azure Defender per server.
Gli avvisi sono organizzati in base a due principi principali:
- Gli avvisi che forniscono la protezione del piano di controllo, in molti tipi di risorse di Azure, fanno parte di Azure Defender per Resource Manager
- Gli avvisi che proteggono carichi di lavoro specifici si trovano nel piano di Azure Defender correlato al carico di lavoro corrispondente
Questi sono gli avvisi che fanno parte di Azure Defender per Resource Manager e che, in seguito a questa modifica, fanno ora parte di Azure Defender per server:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Altre informazioni sui piani di Azure Defender per Resource Manager e Azure Defender per server .
Miglioramenti alla raccomandazione per abilitare Crittografia dischi di Azure (ADE)
Dopo il feedback degli utenti, è stata rinominata la raccomandazione Crittografia disco deve essere applicata alle macchine virtuali.
La nuova raccomandazione usa lo stesso ID di valutazione e viene chiamata Macchine virtuali deve crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e archiviazione.
La descrizione è stata aggiornata anche per spiegare meglio lo scopo di questa raccomandazione di protezione avanzata:
Suggerimento | Descrizione | Gravità |
---|---|---|
Le macchine virtuali devono crittografare i dischi temporanei, le cache e i flussi di dati tra le risorse di calcolo e di archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi usando chiavi gestite dalla piattaforma; I dischi temporanei e le cache dei dati non vengono crittografati e i dati non vengono crittografati durante il flusso tra risorse di calcolo e di archiviazione. Per altre informazioni, vedere il confronto di diverse tecnologie di crittografia dei dischi in Azure. Usare Crittografia dischi di Azure per crittografare tutti i dati. Ignorare questa raccomandazione se (1) si usa la funzionalità di crittografia at-host o (2) crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Archiviazione su disco di Azure. |
Alto |
Esportazione continua dei dati relativi al punteggio di sicurezza e alla conformità alle normative rilasciati per la disponibilità generale
L'esportazione continua fornisce il meccanismo per esportare gli avvisi di sicurezza e le raccomandazioni per il rilevamento con altri strumenti di monitoraggio nell'ambiente in uso.
Quando si configura l'esportazione continua, si configurano gli elementi esportati e dove verrà eseguito. Altre informazioni sono disponibili nella panoramica dell'esportazione continua.
Questa funzionalità è stata migliorata ed espansa nel tempo:
Nel novembre 2020 è stata aggiunta l'opzione di anteprima per trasmettere le modifiche al punteggio di sicurezza.
Nel dicembre 2020 è stata aggiunta l'opzione di anteprima per trasmettere le modifiche ai dati di valutazione della conformità alle normative.
Con questo aggiornamento, queste due opzioni vengono rilasciate per la disponibilità generale .With this update, these two options are released for general availability (GA).
Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (GA)
Nel mese di febbraio 2021 è stato aggiunto un terzo tipo di dati di anteprima alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative. Per altre informazioni, vedere Automazione del flusso di lavoro che può essere attivata dalle modifiche alle valutazioni di conformità alle normative.
Con questo aggiornamento, questa opzione di trigger viene rilasciata per la disponibilità generale .With this update, this trigger option is released for general availability (GA).
Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.
Il campo API Valutazioni 'FirstEvaluationDate' e 'StatusChangeDate' ora disponibile negli schemi dell'area di lavoro e nelle app per la logica
Nel maggio 2021 l'API di valutazione è stata aggiornata con due nuovi campi, FirstEvaluationDate e StatusChangeDate. Per informazioni dettagliate, vedere API Valutazioni espansa con due nuovi campi.
Questi campi sono stati accessibili tramite l'API REST, Azure Resource Graph, l'esportazione continua e le esportazioni CSV.
Con questa modifica, le informazioni sono disponibili nello schema dell'area di lavoro Log Analytics e dalle app per la logica.
Modello di cartella di lavoro "Conformità nel tempo" aggiunto alla raccolta cartelle di lavoro di Monitoraggio di Azure
A marzo è stata annunciata l'esperienza integrata cartelle di lavoro di Monitoraggio di Azure nel Centro sicurezza (vedere Cartelle di lavoro di Monitoraggio di Azure integrate nel Centro sicurezza e tre modelli forniti).
La versione iniziale include tre modelli per creare report dinamici e visivi sul comportamento di sicurezza dell'organizzazione.
È stata aggiunta una cartella di lavoro dedicata al monitoraggio della conformità di una sottoscrizione agli standard normativi o di settore applicati.
Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report interattivi avanzati dei dati del Centro sicurezza.
Giugno 2021
Gli aggiornamenti del mese di giugno includono quanto segue:
- Nuovo avviso per Azure Defender per Key Vault
- Raccomandazioni per la crittografia con chiavi gestite dal cliente (CMK) disabilitate per impostazione predefinita
- Il prefisso per gli avvisi kubernetes è stato modificato da "AKS_" a "K8S_"
- Due raccomandazioni deprecate dal controllo di sicurezza "Applica aggiornamenti di sistema"
Nuovo avviso per Azure Defender per Key Vault
Per espandere le protezioni dalle minacce fornite da Azure Defender per Key Vault, è stato aggiunto l'avviso seguente:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Accesso da un indirizzo IP sospetto a un insieme di credenziali delle chiavi (KV_SuspiciousIPAccess) |
Un insieme di credenziali delle chiavi è stato eseguito correttamente da un indirizzo IP identificato da Microsoft Threat Intelligence come indirizzo IP sospetto. Ciò può indicare che l'infrastruttura è stata compromessa. È consigliabile eseguire ulteriori indagini. | Accesso tramite credenziali | Medio |
Per altre informazioni, vedi:
- Introduzione ad Azure Defender per Key Vault
- Rispondere agli avvisi di Azure Defender per Key Vault
- Elenco degli avvisi forniti da Azure Defender per Key Vault
Raccomandazioni per la crittografia con chiavi gestite dal cliente (CMK) disabilitate per impostazione predefinita
Il Centro sicurezza include più raccomandazioni per crittografare i dati inattivi con chiavi gestite dal cliente, ad esempio:
- I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
I dati in Azure vengono crittografati automaticamente usando chiavi gestite dalla piattaforma, pertanto l'uso delle chiavi gestite dal cliente deve essere applicato solo quando necessario per la conformità a un criterio specifico che l'organizzazione sceglie di applicare.
Con questa modifica, le raccomandazioni per l'uso dei cmk sono ora disabilitate per impostazione predefinita. Quando pertinente per l'organizzazione, è possibile abilitarli modificando il parametro Effect per i criteri di sicurezza corrispondenti in AuditIfNotExists o Enforce. Per altre informazioni, vedere Abilitare una raccomandazione di sicurezza.
Questa modifica si riflette nei nomi della raccomandazione con un nuovo prefisso [ Abilita se necessario], come illustrato negli esempi seguenti:
- [Abilita se necessario] Gli account di archiviazione devono usare la chiave gestita dal cliente per crittografare i dati inattivi
- [Abilita se necessario] I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- [Abilita se necessario] Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi
Il prefisso per gli avvisi kubernetes è stato modificato da "AKS_" a "K8S_"
Azure Defender per Kubernetes è stato recentemente espanso per proteggere i cluster Kubernetes ospitati in locale e in ambienti multicloud. Per altre informazioni, vedere Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima).
Per riflettere il fatto che gli avvisi di sicurezza forniti da Azure Defender per Kubernetes non sono più limitati ai cluster in servizio Azure Kubernetes, è stato modificato il prefisso per i tipi di avviso da "AKS_" a "K8S_". Se necessario, anche i nomi e le descrizioni sono stati aggiornati. Ad esempio, questo avviso:
Avviso (tipo di avviso) | Descrizione |
---|---|
Rilevato lo strumento di test di penetrazione kubernetes (servizio Azure Kubernetes_PenTestToolsKubeHunter) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione kubernetes nel cluster del servizio Azure Kubernetes . Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi. |
Modificato in questo avviso:
Avviso (tipo di avviso) | Descrizione |
---|---|
Rilevato lo strumento di test di penetrazione kubernetes (K8S_PenTestToolsKubeHunter) |
L'analisi dei log di controllo di Kubernetes ha rilevato l'uso dello strumento di test di penetrazione Kubernetes nel cluster Kubernetes . Anche se questo comportamento può essere legittimo, gli utenti malintenzionati potrebbero usare tali strumenti pubblici per scopi dannosi. |
Tutte le regole di eliminazione che fanno riferimento agli avvisi che iniziano "AKS_" vengono convertite automaticamente. Se sono state configurate le esportazioni SIEM o script di automazione personalizzati che fanno riferimento agli avvisi kubernetes per tipo di avviso, sarà necessario aggiornarli con i nuovi tipi di avviso.
Per un elenco completo degli avvisi di Kubernetes, vedere Avvisi per i cluster Kubernetes.
Due raccomandazioni deprecate dal controllo di sicurezza "Applica aggiornamenti di sistema"
Sono state deprecate le due raccomandazioni seguenti:
- La versione del sistema operativo deve essere aggiornata per i ruoli del servizio cloud: per impostazione predefinita, Azure aggiorna periodicamente il sistema operativo guest all'immagine supportata più recente all'interno della famiglia di sistemi operativi specificata nella configurazione del servizio (.cscfg), ad esempio Windows Server 2016.
- I servizi Kubernetes devono essere aggiornati a una versione Kubernetes non vulnerabile: le valutazioni di questa raccomandazione non sono così ampie come si vuole che siano disponibili. Si prevede di sostituire la raccomandazione con una versione avanzata più adatta alle esigenze di sicurezza.
Maggio 2021
Gli aggiornamenti del mese di maggio includono quanto segue:
- Azure Defender per DNS e Azure Defender per Resource Manager rilasciato per la disponibilità generale
- Azure Defender per database relazionali open source rilasciati per la disponibilità generale
- Nuovi avvisi per Azure Defender per Resource Manager
- Analisi delle vulnerabilità CI/CD delle immagini del contenitore con flussi di lavoro GitHub e Azure Defender (anteprima)
- Altre query di Resource Graph disponibili per alcune raccomandazioni
- Gravità della raccomandazione per la classificazione dei dati SQL modificata
- Nuove raccomandazioni per abilitare le funzionalità di avvio attendibili (in anteprima)
- Nuove raccomandazioni per la protezione avanzata dei cluster Kubernetes (in anteprima)
- API Valutazioni espansa con due nuovi campi
- L'inventario degli asset ottiene un filtro dell'ambiente cloud
Azure Defender per DNS e Azure Defender per Resource Manager rilasciato per la disponibilità generale
Questi due piani di protezione dalle minacce nativi del cloud sono ora disponibili a livello generale.
Queste due nuove funzionalità migliorano notevolmente la resilienza dell'ambiente contro attacchi e minacce, oltre ad aumentare sensibilmente il numero di risorse di Azure protette da Azure Defender.
Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Per altre informazioni, vedi:
Azure Defender per DNS monitora continuamente tutte le query DNS delle risorse di Azure. Per altre informazioni, vedi:
Per semplificare il processo di abilitazione di questi piani, usare le raccomandazioni:
- Azure Defender per Resource Manager deve essere abilitato
- Azure Defender per DNS deve essere abilitato
Nota
L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.
Azure Defender per database relazionali open source rilasciati per la disponibilità generale
Centro sicurezza di Azure espande l'offerta per la protezione SQL con un nuovo bundle per coprire i database relazionali open source:
- Azure Defender per i server di database SQL di Azure: protegge i sistemi SQL Server nativi di Azure
- Azure Defender per i server SQL nei computer: estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali
- Azure Defender per database relazionali open source: protegge i server singoli di Database di Azure per MySQL, PostgreSQL e MariaDB
Azure Defender per database relazionali open source monitora costantemente i server per individuare le minacce alla sicurezza e rileva attività anomale del database che indicano potenziali minacce per Database di Azure per MySQL, PostgreSQL e MariaDB. Alcuni esempi sono:
- Rilevamento granulare degli attacchi di forza bruta: Azure Defender per database relazionali open source fornisce informazioni dettagliate sui tentativi e sugli attacchi di forza bruta riusciti. In questo modo è possibile analizzare e rispondere con una comprensione più completa della natura e dello stato dell'attacco nell'ambiente.
- Rilevamento degli avvisi comportamentali: Azure Defender per i database relazionali open source segnala comportamenti sospetti e imprevisti nei server, ad esempio le modifiche nel modello di accesso al database.
- Rilevamento basato sull'intelligence sulle minacce: Azure Defender applica l'intelligence sulle minacce di Microsoft e una vasta knowledge base per visualizzare gli avvisi sulle minacce in modo da poterli agire contro di essi.
Per altre informazioni, vedere Introduzione ad Azure Defender per database relazionali open source.
Nuovi avvisi per Azure Defender per Resource Manager
Per espandere le protezioni dalle minacce fornite da Azure Defender per Resource Manager, sono stati aggiunti gli avvisi seguenti:
Avviso (tipo di avviso) | Descrizione | Tattiche MITRE | Gravità |
---|---|---|---|
Autorizzazioni concesse per un ruolo controllo degli accessi in base al ruolo in modo insolito per l'ambiente di Azure (anteprima) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender per Resource Manager ha rilevato un'assegnazione di ruolo controllo degli accessi in base al ruolo insolita rispetto ad altre assegnazioni eseguite dallo stesso assegnatare/eseguito per lo stesso assegnatario/nel tenant a causa delle anomalie seguenti: tempo di assegnazione, posizione dell'assegnatare, assegnazione, metodo di autenticazione, entità assegnate, software client usato, extent di assegnazione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore di minaccia sta tentando di concedere le autorizzazioni a un account utente aggiuntivo di cui è proprietario. | Movimento laterale, evasione della difesa | Medio |
Ruolo personalizzato con privilegi creato per la sottoscrizione in modo sospetto (anteprima) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender per Resource Manager ha rilevato una creazione sospetta della definizione del ruolo personalizzato con privilegi nella sottoscrizione. Questa operazione potrebbe essere stata eseguita da un utente legittimo nell'organizzazione. In alternativa, potrebbe indicare che un account dell'organizzazione è stato violato e che l'attore della minaccia sta tentando di creare un ruolo con privilegi da usare in futuro per evitare il rilevamento. | Movimento laterale, evasione della difesa | Basso |
Operazione di Azure Resource Manager da un indirizzo IP sospetto (anteprima) (ARM_OperationFromSuspiciousIP) |
Azure Defender per Resource Manager ha rilevato un'operazione da un indirizzo IP contrassegnato come sospetto nei feed di intelligence per le minacce. | Esecuzione | Medio |
Operazione di Azure Resource Manager dall'indirizzo IP proxy sospetto (anteprima) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender per Resource Manager ha rilevato un'operazione di gestione delle risorse da un indirizzo IP associato ai servizi proxy, ad esempio TOR. Anche se questo comportamento può essere legittimo, viene spesso visualizzato in attività dannose, quando gli attori delle minacce tentano di nascondere l'INDIRIZZO IP di origine. | Evasione delle difese | Medio |
Per altre informazioni, vedi:
- Introduzione ad Azure Defender per Resource Manager
- Rispondere agli avvisi di Azure Defender per Resource Manager
- Elenco degli avvisi di Azure Defender per Resource Manager
Analisi delle vulnerabilità CI/CD delle immagini del contenitore con flussi di lavoro GitHub e Azure Defender (anteprima)
Azure Defender per i registri contenitori offre ora ai team DevSecOps l'osservabilità nei flussi di lavoro di GitHub Actions.
La nuova funzionalità di analisi delle vulnerabilità per le immagini del contenitore, che usa Trivy, consente di analizzare le vulnerabilità comuni nelle immagini del contenitore prima di eseguire il push delle immagini nei registri contenitori.
I report di analisi dei contenitori sono riepilogati in Centro sicurezza di Azure, offrendo ai team di sicurezza informazioni e informazioni migliori sull'origine delle immagini dei contenitori vulnerabili e sui flussi di lavoro e i repository da cui provengono.
Per altre informazioni, vedere Identificare le immagini dei contenitori vulnerabili nei flussi di lavoro CI/CD.
Altre query di Resource Graph disponibili per alcune raccomandazioni
Tutte le raccomandazioni del Centro sicurezza hanno la possibilità di visualizzare le informazioni sullo stato delle risorse interessate usando Azure Resource Graph dalla query Apri. Per informazioni dettagliate su questa potente funzionalità, vedere Esaminare i dati delle raccomandazioni in Azure Resource Graph Explorer.
Il Centro sicurezza include scanner di vulnerabilità predefiniti per analizzare le macchine virtuali, i server SQL e i relativi host e i registri contenitori per individuare le vulnerabilità di sicurezza. I risultati vengono restituiti come raccomandazioni con tutti i singoli risultati per ogni tipo di risorsa raccolti in una singola visualizzazione. Gli elementi consigliati sono i seguenti:
- È consigliabile correggere le vulnerabilità delle immagini del Registro Azure Container (con tecnologia Qualys)
- È consigliabile correggere le vulnerabilità nelle macchine virtuali
- I risultati delle vulnerabilità devono essere risolti nei database SQL
- I risultati delle vulnerabilità devono essere risolti nei server SQL
Con questa modifica, è possibile usare il pulsante Apri query per aprire anche la query che mostra i risultati della sicurezza.
Il pulsante Apri query offre opzioni aggiuntive per altre raccomandazioni, se pertinenti.
Altre informazioni sugli scanner di vulnerabilità del Centro sicurezza:
- Scanner di vulnerabilità Qualys integrato di Azure Defender per macchine virtuali ibride e Azure
- Scanner di valutazione della vulnerabilità integrato di Azure Defender per i server SQL
- Scanner di valutazione della vulnerabilità integrato di Azure Defender per i registri contenitori
Gravità della raccomandazione per la classificazione dei dati SQL modificata
La gravità della raccomandazione Dati sensibili nei database SQL deve essere classificata è stata modificata da Alta a Bassa.
Questa è una modifica continua a questa raccomandazione annunciata nella pagina delle modifiche imminenti.
Nuove raccomandazioni per abilitare le funzionalità di avvio attendibili (in anteprima)
Azure offre un avvio attendibile come un modo semplice per migliorare la sicurezza delle macchine virtuali di seconda generazione. L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti. L'avvio attendibile è costituito da diverse tecnologie di infrastruttura coordinate che possono essere abilitate in modo indipendente. Ogni tecnologia offre un altro livello di difesa contro minacce sofisticate. Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure.
Importante
L'avvio attendibile richiede la creazione di nuove macchine virtuali. Non è possibile abilitare l'avvio attendibile nelle macchine virtuali esistenti create inizialmente senza di esso.
L'avvio attendibile è attualmente disponibile in anteprima pubblica. L'anteprima viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.
La raccomandazione del Centro sicurezza, vTPM deve essere abilitata nelle macchine virtuali supportate, garantisce che le macchine virtuali di Azure usino un vTPM. Questa versione virtualizzata di un modulo trusted platform hardware consente l'attestazione misurando l'intera catena di avvio della macchina virtuale (UEFI, sistema operativo, sistema e driver).
Con vTPM abilitato, l'estensione Attestazione guest può convalidare in remoto l'avvio protetto. Le raccomandazioni seguenti assicurano che questa estensione venga distribuita:
- L'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate
- L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate
- L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali di Windows supportati
- L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate
- L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati
Per altre informazioni, vedere Avvio attendibile per le macchine virtuali di Azure.
Nuove raccomandazioni per la protezione avanzata dei cluster Kubernetes (in anteprima)
I consigli seguenti consentono di rafforzare ulteriormente i cluster Kubernetes
- I cluster Kubernetes non devono usare lo spazio dei nomi predefinito: per evitare accessi non autorizzati per i tipi di risorse ConfigMap, Pod, Secret, Service e ServiceAccount, impedire l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes.
- I cluster Kubernetes devono disabilitare le credenziali API di montaggio automatico: per evitare che una risorsa pod potenzialmente compromessa esegua comandi API nei cluster Kubernetes, disabilitare il montaggio automatico delle credenziali API.
- I cluster Kubernetes non devono concedere funzionalità di sicurezza CAPSYSADMIN
Informazioni su come il Centro sicurezza può proteggere gli ambienti in contenitori nella sicurezza dei contenitori nel Centro sicurezza.
API Valutazioni espansa con due nuovi campi
All'API REST Valutazioni sono stati aggiunti i due campi seguenti:
- FirstEvaluationDate : ora di creazione e valutazione della raccomandazione. Restituito come ora UTC in formato ISO 8601.
- StatusChangeDate : ora dell'ultima modifica dello stato della raccomandazione. Restituito come ora UTC in formato ISO 8601.
Il valore predefinito iniziale per questi campi, per tutte le raccomandazioni, è 2021-03-14T00:00:00+0000000Z
.
Per accedere a queste informazioni, è possibile usare uno dei metodi riportati nella tabella seguente.
Strumento | Dettagli |
---|---|
Chiamata API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
Azure Resource Graph | securityresources where type == "microsoft.security/assessments" |
Esportazione continua | I due campi dedicati saranno disponibili per i dati dell'area di lavoro Log Analytics |
Esportazione CSV | I due campi sono inclusi nei file CSV |
Altre informazioni sull'API REST Valutazioni.
L'inventario degli asset ottiene un filtro dell'ambiente cloud
La pagina inventario asset del Centro sicurezza offre molti filtri per perfezionare rapidamente l'elenco delle risorse visualizzate. Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.
Un nuovo filtro offre la possibilità di perfezionare l'elenco in base agli account cloud connessi alla funzionalità multicloud del Centro sicurezza.
Altre informazioni sulle funzionalità multicloud:
- Connettere gli account AWS a Centro sicurezza di Azure
- Connettere i progetti GCP a Centro sicurezza di Azure
Aprile 2021
Gli aggiornamenti del mese di aprile includono quanto segue:
- Pagina Integrità risorse aggiornata (in anteprima)
- Le immagini del registro contenitori di cui è stato eseguito il pull di recente vengono ora riescante settimanalmente (rilasciate per la disponibilità generale))
- Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima)
- Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Desktop virtuale Windows rilasciato per la disponibilità generale
- Raccomandazioni per abilitare Azure Defender per DNS e Resource Manager (in anteprima)
- Sono stati aggiunti tre standard di conformità alle normative: Azure CIS 1.3.0, CMMC Livello 3 e ISM Nuova Zelanda con restrizioni
- Quattro nuove raccomandazioni correlate alla configurazione guest (in anteprima)
- Raccomandazioni cmk spostate nel controllo della sicurezza delle procedure consigliate
- Undici avvisi di Azure Defender deprecati
- Due raccomandazioni del controllo di sicurezza "Applica aggiornamenti di sistema" sono state deprecate
- Riquadro di Azure Defender per SQL nel computer rimosso dal dashboard di Azure Defender
- Le raccomandazioni sono state spostate tra i controlli di sicurezza
Pagina Integrità risorse aggiornata (in anteprima)
Integrità risorse è stata espansa, migliorata e migliorata per offrire una visualizzazione snapshot dell'integrità complessiva di una singola risorsa.
È possibile esaminare informazioni dettagliate sulla risorsa e tutte le raccomandazioni applicabili a tale risorsa. Inoltre, se si usano i piani di protezione avanzata di Microsoft Defender, è possibile visualizzare anche gli avvisi di sicurezza in sospeso per tale risorsa specifica.
Per aprire la pagina integrità risorse per una risorsa, selezionare una risorsa nella pagina inventario asset.
Questa pagina di anteprima nelle pagine del portale del Centro sicurezza mostra:
- Informazioni sulle risorse: il gruppo di risorse e la sottoscrizione a cui è collegato, alla posizione geografica e altro ancora.
- Funzionalità di sicurezza applicata: indica se Azure Defender è abilitato per la risorsa.
- Conteggio di raccomandazioni e avvisi in sospeso: numero di raccomandazioni sulla sicurezza in sospeso e avvisi di Azure Defender.
- Raccomandazioni e avvisi interattivi: due schede elencano le raccomandazioni e gli avvisi che si applicano alla risorsa.
Per altre informazioni, vedere Esercitazione: Analizzare l'integrità delle risorse.
Le immagini del registro contenitori di cui è stato eseguito il pull di recente vengono ora riescante settimanalmente (rilasciate per la disponibilità generale))
Azure Defender per registri contenitori include uno scanner di vulnerabilità predefinito. Questo scanner analizza immediatamente tutte le immagini di cui esegui il push nel registro e qualsiasi immagine estratta negli ultimi 30 giorni.
Le nuove vulnerabilità vengono individuate ogni giorno. Con questo aggiornamento, le immagini del contenitore estratte dai registri negli ultimi 30 giorni verranno riescante ogni settimana. In questo modo si garantisce che le vulnerabilità appena individuate vengano identificate nelle immagini.
L'analisi viene addebitata per ogni immagine, quindi non sono previsti costi aggiuntivi per queste analisi.
Altre informazioni su questo scanner sono disponibili in Usare Azure Defender per i registri contenitori per analizzare le immagini per individuare le vulnerabilità.
Usare Azure Defender per Kubernetes per proteggere le distribuzioni Kubernetes ibride e multicloud (in anteprima)
Azure Defender per Kubernetes espande le funzionalità di protezione dalle minacce per difendere i cluster ovunque vengano distribuiti. Questa funzionalità è stata abilitata tramite l'integrazione con Kubernetes abilitato per Azure Arc e le nuove funzionalità delle estensioni.
Dopo aver abilitato Azure Arc nei cluster non Azure Kubernetes, è disponibile una nuova raccomandazione di Centro sicurezza di Azure per distribuire l'agente di Azure Defender in questi cluster con pochi clic.
Usare la raccomandazione (i cluster Kubernetes abilitati per Azure Arc devono avere l'estensione di Azure Defender installata) e l'estensione per proteggere i cluster Kubernetes distribuiti in altri provider di servizi cloud, anche se non nei servizi Kubernetes gestiti.
Questa integrazione tra Centro sicurezza di Azure, Azure Defender e Kubernetes con abilitazione di Azure Arc offre:
- Provisioning semplice dell'agente di Azure Defender in cluster Kubernetes abilitati per Azure Arc (manualmente e su larga scala)
- Monitoraggio dell'agente di Azure Defender e del relativo stato di provisioning dal portale di Azure Arc
- Le raccomandazioni sulla sicurezza del Centro sicurezza vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
- Le minacce alla sicurezza identificate da Azure Defender vengono segnalate nella nuova pagina Sicurezza del portale di Azure Arc
- I cluster Kubernetes abilitati per Azure Arc sono integrati nella piattaforma e nell'esperienza di Centro sicurezza di Azure
Per altre informazioni, vedere Usare Azure Defender per Kubernetes con i cluster Kubernetes locali e multicloud.
Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Desktop virtuale Windows rilasciato per la disponibilità generale
Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Fornisce gestione delle vulnerabilità e valutazione basati sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Quando si abilita Azure Defender per server che esegue Windows Server, viene inclusa una licenza per Defender per endpoint con il piano. Se Azure Defender per server è già stato abilitato e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.
Il supporto è stato ampliato per includere Windows Server 2019 e Windows 10 in Desktop virtuale Windows.
Nota
Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Abilitare l'integrazione Microsoft Defender per endpoint.
Raccomandazioni per abilitare Azure Defender per DNS e Resource Manager (in anteprima)
Sono state aggiunte due nuove raccomandazioni per semplificare il processo di abilitazione di Azure Defender per Resource Manager e Azure Defender per DNS:
- Azure Defender per Resource Manager deve essere abilitato : Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette.
- Azure Defender per DNS deve essere abilitato : Defender per DNS offre un ulteriore livello di protezione per le risorse cloud monitorando continuamente tutte le query DNS dalle risorse di Azure. Azure Defender avvisa l'utente dell'attività sospetta a livello DNS.
L'abilitazione dei piani di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza.
Suggerimento
Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.
Sono stati aggiunti tre standard di conformità alle normative: Azure CIS 1.3.0, CMMC Livello 3 e ISM Nuova Zelanda con restrizioni
Sono stati aggiunti tre standard per l'uso con Centro sicurezza di Azure. Usando il dashboard di conformità alle normative, è ora possibile tenere traccia della conformità con:
È possibile assegnarli alle sottoscrizioni come descritto in Personalizzare il set di standard nel dashboard di conformità alle normative.
Altre informazioni sono disponibili in:
- Personalizzazione del set di standard nel dashboard di conformità alle normative
- Esercitazione: Migliorare la conformità alle normative
- Domande frequenti - Dashboard sulla conformità con le normative
Quattro nuove raccomandazioni correlate alla configurazione guest (in anteprima)
I report dell'estensione Configurazione guest di Azure al Centro sicurezza consentono di assicurarsi che le impostazioni guest delle macchine virtuali siano avanzate. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc. L'estensione richiede un'identità gestita dal sistema nel computer.
Sono state aggiunte quattro nuove raccomandazioni al Centro sicurezza per sfruttare al meglio questa estensione.
Due raccomandazioni richiedono di installare l'estensione e la relativa identità gestita dal sistema:
- L'estensione Configurazione guest deve essere installata nei computer
- L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema
Quando l'estensione è installata e in esecuzione, inizierà a controllare i computer e verrà richiesto di applicare la protezione avanzata delle impostazioni, ad esempio la configurazione del sistema operativo e delle impostazioni dell'ambiente. Questi due consigli richiederanno di rafforzare la protezione avanzata dei computer Windows e Linux come descritto:
- Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali
- L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH
Per altre informazioni, vedere Informazioni sulla configurazione guest di Criteri di Azure.
Raccomandazioni cmk spostate nel controllo della sicurezza delle procedure consigliate
Il programma di sicurezza di ogni organizzazione include i requisiti di crittografia dei dati. Per impostazione predefinita, i dati dei clienti di Azure vengono crittografati inattivi con chiavi gestite dal servizio. Tuttavia, le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. I cmk consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. Ciò offre il controllo completo e la responsabilità per il ciclo di vita chiave, inclusa la rotazione e la gestione.
i controlli di sicurezza di Centro sicurezza di Azure sono gruppi logici di raccomandazioni sulla sicurezza correlate e riflettono le superfici di attacco vulnerabili. Ogni controllo ha un numero massimo di punti che è possibile aggiungere al punteggio di sicurezza se si corregge tutte le raccomandazioni elencate nel controllo, per tutte le risorse. Il controllo di sicurezza implementa le procedure consigliate per la sicurezza vale zero punti. Pertanto, le raccomandazioni in questo controllo non influiscono sul punteggio di sicurezza.
Le raccomandazioni elencate di seguito vengono spostate nel controllo implementa le procedure consigliate per la sicurezza per riflettere meglio la natura facoltativa. Questo spostamento garantisce che queste raccomandazioni siano nel controllo più appropriato per soddisfare l'obiettivo.
- Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente
- Gli account dei servizi di intelligenza artificiale di Azure devono abilitare la crittografia dei dati con una chiave gestita dal cliente
- I registri contenitori devono essere crittografati con una chiave gestita dal cliente
- Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi
- Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia
Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.
11 Avvisi di Azure Defender deprecati
Gli undici avvisi di Azure Defender elencati di seguito sono stati deprecati.
I nuovi avvisi sostituiranno questi due avvisi e forniranno una migliore copertura:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo ANTEPRIMA - È stata rilevata l'esecuzione della funzione "Get-AzureDomainInfo" del toolkit MicroBurst ARM_MicroBurstRunbook ANTEPRIMA - È stata rilevata l'esecuzione della funzione "Get-AzurePasswords" del toolkit MicroBurst Questi nove avvisi sono correlati a un connettore Azure Active Directory Identity Protection (IPC) già deprecato:
AlertType AlertDisplayName Non familiareLocation Proprietà di accesso insolite AnonymousLogin Indirizzo IP anonimo InfectedDeviceLogin Indirizzo IP collegato a malware ImpossibleGuide Spostamento fisico atipico MaliciousIP Indirizzo IP dannoso LeakedCredentials Credenziali perse PasswordSpray Password Spraying LeakedCredentials Intelligence per le minacce di Azure AD AADAI Intelligenza artificiale di Azure AD Suggerimento
Questi nove avvisi IPC non sono mai stati avvisi del Centro sicurezza. Fanno parte del connettore Azure Active Directory (AAD) Identity Protection (IPC) che li inviava al Centro sicurezza. Negli ultimi due anni, gli unici clienti che hanno visto tali avvisi sono le organizzazioni che hanno configurato l'esportazione (dal connettore al Centro sicurezza di Azure) nel 2019 o versioni precedenti. AAD IPC ha continuato a visualizzarli nei propri sistemi di avvisi e hanno continuato a essere disponibili in Azure Sentinel. L'unica modifica è che non vengono più visualizzate nel Centro sicurezza.
Due raccomandazioni del controllo di sicurezza "Applica aggiornamenti di sistema" sono state deprecate
Le due raccomandazioni seguenti sono state deprecate e le modifiche potrebbero comportare un lieve impatto sul punteggio di sicurezza:
- È consigliabile riavviare i computer per applicare gli aggiornamenti del sistema
- L'agente di monitoraggio deve essere installato nei computer. Questa raccomandazione riguarda solo i computer locali e alcune delle relative logiche verranno trasferite a un'altra raccomandazione. I problemi di integrità dell'agente di Log Analytics devono essere risolti nei computer
È consigliabile controllare le configurazioni di automazione del flusso di lavoro ed esportazione continua per verificare se sono incluse in tali configurazioni. Inoltre, tutti i dashboard o altri strumenti di monitoraggio che potrebbero usarli devono essere aggiornati di conseguenza.
Riquadro di Azure Defender per SQL nel computer rimosso dal dashboard di Azure Defender
L'area di copertura del dashboard di Azure Defender include riquadri per i piani di Azure Defender pertinenti per l'ambiente. A causa di un problema con la segnalazione dei numeri di risorse protette e non protette, è stato deciso di rimuovere temporaneamente lo stato di copertura delle risorse per Azure Defender per SQL nei computer fino a quando il problema non viene risolto.
Suggerimenti spostati tra controlli di sicurezza
Le raccomandazioni seguenti sono state spostate in controlli di sicurezza diversi. I controlli di sicurezza sono gruppi logici di raccomandazioni sulla sicurezza correlate e riflettono le superfici di attacco vulnerabili. Questo spostamento garantisce che ognuna di queste raccomandazioni sia nel controllo più appropriato per soddisfare l'obiettivo.
Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.
Elemento consigliato | Modifica e impatto |
---|---|
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL È consigliabile abilitare la valutazione della vulnerabilità nelle istanze gestite di SQL Le vulnerabilità nei database SQL devono essere risolte nuove Le vulnerabilità nei database SQL delle macchine virtuali devono essere corrette |
Spostamento dalle vulnerabilità di correzione (vale 6 punti) per correggere le configurazioni di sicurezza (vale quattro punti). A seconda dell'ambiente, queste raccomandazioni avranno un impatto ridotto sul punteggio. |
Alla sottoscrizione deve essere assegnato più di un proprietario Le variabili dell'account di automazione devono essere crittografate Dispositivi IoT - Processo controllato interrotto l'invio di eventi Dispositivi IoT - Errore di convalida della baseline del sistema operativo Dispositivi IoT - Aggiornamento della suite di crittografia TLS necessario Dispositivi IoT - Porte aperte sul dispositivo Dispositivi IoT - È stato rilevato un criterio del firewall permissivo in una delle catene Dispositivi IoT - È stata rilevata una regola del firewall permissiva nella catena di input Dispositivi IoT - È stata rilevata una regola del firewall permissiva nella catena di output È consigliabile abilitare i log di diagnostica nell'hub IoT Dispositivi IoT - Agente che invia messaggi sottoutilizzati Dispositivi IoT: i criteri di filtro IP predefiniti devono essere Negati Dispositivi IoT - Regola di filtro IP di grandi dimensioni Dispositivi IoT : gli intervalli e le dimensioni dei messaggi dell'agente devono essere modificati Dispositivi IoT - Credenziali di autenticazione identiche Dispositivi IoT - Processo controllato interrotto l'invio di eventi I dispositivi IoT : la configurazione di base del sistema operativo (OS) deve essere corretta |
Passaggio a Implementare le procedure consigliate per la sicurezza. Quando una raccomandazione passa al controllo implementa le procedure consigliate per la sicurezza, che non vale alcun punto, la raccomandazione non influisce più sul punteggio di sicurezza. |
Marzo 2021
Gli aggiornamenti di marzo includono:
- Firewall di Azure gestione integrata nel Centro sicurezza
- La valutazione della vulnerabilità di SQL include ora l'esperienza "Disabilita regola" (anteprima)
- Cartelle di lavoro di Monitoraggio di Azure integrate nel Centro sicurezza e tre modelli forniti
- Il dashboard di conformità alle normative include ora i report di controllo di Azure (anteprima)
- I dati delle raccomandazioni possono essere visualizzati in Azure Resource Graph con "Esplora in ARG"
- Aggiornamenti ai criteri per la distribuzione dell'automazione del flusso di lavoro
- Due raccomandazioni legacy non scrivono più dati direttamente nel log attività di Azure
- Miglioramenti alla pagina Raccomandazioni
Firewall di Azure gestione integrata nel Centro sicurezza
Quando si apre il Centro sicurezza di Azure, la prima pagina che viene visualizzata è quella di panoramica.
Questo dashboard interattivo offre una visualizzazione unificata del comportamento di sicurezza dei carichi di lavoro del cloud ibrido. Mostra inoltre avvisi di sicurezza, informazioni sulla copertura e altri dettagli.
Nell'ambito della visualizzazione dello stato di sicurezza da un'esperienza centrale, il Firewall di Azure Manager è stato integrato in questo dashboard. È ora possibile controllare lo stato di copertura del firewall in tutte le reti e gestire centralmente i criteri di Firewall di Azure a partire dal Centro sicurezza.
Altre informazioni su questo dashboard sono disponibili nella pagina di panoramica di Centro sicurezza di Azure.
La valutazione della vulnerabilità di SQL include ora l'esperienza "Disabilita regola" (anteprima)
Il Centro sicurezza include uno scanner di vulnerabilità predefinito che consente di individuare, tenere traccia e correggere potenziali vulnerabilità del database. I risultati delle analisi di valutazione forniscono una panoramica dello stato di sicurezza dei computer SQL e dei dettagli dei risultati della sicurezza.
Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Per altre informazioni, vedere Disabilitare risultati specifici.
Cartelle di lavoro di Monitoraggio di Azure integrate nel Centro sicurezza e tre modelli forniti
Nell'ambito di Ignite Spring 2021, è stata annunciata un'esperienza integrata delle cartelle di lavoro di Monitoraggio di Azure nel Centro sicurezza.
È possibile usare la nuova integrazione per iniziare a usare i modelli predefiniti dalla raccolta del Centro sicurezza. Usando i modelli di cartella di lavoro, è possibile accedere ai report dinamici e visivi per tenere traccia del comportamento di sicurezza dell'organizzazione. È anche possibile creare nuove cartelle di lavoro in base ai dati del Centro sicurezza o a qualsiasi altro tipo di dati supportato e distribuire rapidamente cartelle di lavoro della community dal Centro sicurezza della community GitHub.
Vengono forniti tre report di modelli:
- Punteggio di sicurezza nel tempo : tenere traccia dei punteggi e delle modifiche delle sottoscrizioni alle raccomandazioni per le risorse
- Aggiornamenti di sistema: visualizzare gli aggiornamenti di sistema mancanti per risorse, sistema operativo, gravità e altro ancora
- Risultati della valutazione della vulnerabilità: visualizzare i risultati delle analisi delle vulnerabilità delle risorse di Azure
Informazioni sull'uso di questi report o sulla creazione di report personalizzati in Creare report interattivi avanzati dei dati del Centro sicurezza.
Il dashboard di conformità alle normative include ora i report di controllo di Azure (anteprima)
Dalla barra degli strumenti del dashboard di conformità alle normative è ora possibile scaricare i report di certificazione di Azure e Dynamics.
È possibile selezionare la scheda per i tipi di report pertinenti (PCI, SOC, ISO e altri) e usare i filtri per trovare i report specifici necessari.
Altre informazioni sulla gestione degli standard nel dashboard di conformità alle normative.
I dati delle raccomandazioni possono essere visualizzati in Azure Resource Graph con "Esplora in ARG"
Le pagine dei dettagli delle raccomandazioni includono ora il pulsante della barra degli strumenti "Esplora in ARG". Usare questo pulsante per aprire una query di Azure Resource Graph ed esplorare, esportare e condividere i dati della raccomandazione.
Azure Resource Graph (ARG) offre accesso immediato alle informazioni sulle risorse negli ambienti cloud con potenti funzionalità di filtro, raggruppamento e ordinamento. Si tratta di un modo rapido ed efficiente di eseguire query sulle informazioni nelle sottoscrizioni di Azure a livello di codice o dall'interno del portale di Azure.
Vedere altre informazioni su Azure Resource Graph.
Aggiornamenti ai criteri per la distribuzione dell'automazione del flusso di lavoro
L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.
Sono disponibili tre Criteri di Azure criteri "DeployIfNotExist" che creano e configurano le procedure di automazione del flusso di lavoro in modo da poter distribuire le automazione nell'organizzazione:
Obiettivo | Criteri | ID criterio |
---|---|---|
Automazione dei flussi di lavoro per gli avvisi di sicurezza | Distribuisci automazione del flusso di lavoro per gli avvisi del Centro sicurezza di Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza | Distribuisci automazione del flusso di lavoro per le raccomandazioni del Centro sicurezza di Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Automazione del flusso di lavoro per le modifiche alla conformità normativa | Distribuire Automazione del flusso di lavoro per la conformità alle normative Centro sicurezza di Azure | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Sono disponibili due aggiornamenti per le funzionalità di questi criteri:
- Se assegnato, rimarranno abilitati dall'imposizione.
- È ora possibile personalizzare questi criteri e aggiornare uno dei parametri anche dopo che sono già stati distribuiti. Ad esempio, è possibile aggiungere o modificare una chiave di valutazione.
Introduzione ai modelli di automazione dei flussi di lavoro.
Altre informazioni su come automatizzare le risposte ai trigger del Centro sicurezza.
Due raccomandazioni legacy non scrivono più dati direttamente nel log attività di Azure
Il Centro sicurezza passa i dati per quasi tutte le raccomandazioni di sicurezza ad Azure Advisor, che a sua volta lo scrive nel log attività di Azure.
Per due raccomandazioni, i dati vengono scritti contemporaneamente direttamente nel log attività di Azure. Con questa modifica, il Centro sicurezza smette di scrivere i dati per queste raccomandazioni di sicurezza legacy direttamente nel log attività. Si esportano invece i dati in Azure Advisor, come si fa per tutte le altre raccomandazioni.
Le due raccomandazioni legacy sono:
- È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer
- Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte
Se si accede alle informazioni per queste due raccomandazioni nella categoria "Raccomandazione di tipo TaskDiscovery" del log attività, questa opzione non è più disponibile.
Miglioramenti alla pagina Raccomandazioni
È stata rilasciata una versione migliorata dell'elenco di raccomandazioni per presentare altre informazioni a colpo d'occhio.
A questo punto, nella pagina verrà visualizzato quanto illustrato di seguito:
- Punteggio massimo e punteggio corrente per ogni controllo di sicurezza.
- Icone che sostituiscono tag come Correzione e Anteprima.
- Nuova colonna che mostra l'iniziativa Criteri correlata a ogni raccomandazione, visibile quando "Raggruppa per controlli" è disabilitata.
Per altre informazioni, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.
Febbraio 2021
Gli aggiornamenti di febbraio includono:
- Pagina Nuovi avvisi di sicurezza nella portale di Azure rilasciata per la disponibilità generale
- Raccomandazioni sulla protezione del carico di lavoro Kubernetes rilasciate per la disponibilità generale
- Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Desktop virtuale Windows (in anteprima)
- Collegamento diretto ai criteri dalla pagina dei dettagli delle raccomandazioni
- La raccomandazione di classificazione dei dati SQL non influisce più sul punteggio di sicurezza
- Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (in anteprima)
- Miglioramenti della pagina inventario asset
Pagina Nuovi avvisi di sicurezza nella portale di Azure rilasciata per la disponibilità generale
La pagina degli avvisi di sicurezza di Centro sicurezza di Azure è stata riprogettata per fornire:
- Migliore esperienza di valutazione per gli avvisi: consente di ridurre l'affaticamento degli avvisi e concentrarsi sulle minacce più rilevanti più facilmente, l'elenco include filtri personalizzabili e opzioni di raggruppamento.
- Altre informazioni nell'elenco degli avvisi, ad esempio tattiche MITRE ATT&ACK.
- Pulsante per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare gli avvisi. configurazione (per l'integrazione SIEM, le notifiche tramite posta elettronica e le automazione del flusso di lavoro), è possibile creare avvisi di esempio da tutti i piani di Azure Defender.
- Allineamento con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, il passaggio da un prodotto all'altro è ora un'esperienza più semplice ed è facile imparare l'una dall'altra.
- Prestazioni migliori per elenchi di avvisi di grandi dimensioni.
- Spostamento tramite tastiera nell'elenco di avvisi.
- Avvisi di Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API di tipo Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Vedere altre informazioni su Azure Resource Graph.
- Creare una funzionalità di avvisi di esempio: per creare avvisi di esempio dalla nuova esperienza degli avvisi, vedere Generare avvisi di Azure Defender di esempio.
Raccomandazioni sulla protezione del carico di lavoro Kubernetes rilasciate per la disponibilità generale
Siamo lieti di annunciare la disponibilità generale del set di raccomandazioni per le protezioni dei carichi di lavoro Kubernetes.
Per assicurarsi che i carichi di lavoro Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza ha aggiunto raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse le opzioni di imposizione con il controllo di ammissione kubernetes.
Quando Criteri di Azure per Kubernetes viene installato nel cluster servizio Azure Kubernetes (AKS), ogni richiesta al server API Kubernetes verrà monitorata rispetto al set predefinito di procedure consigliate, visualizzate come 13 raccomandazioni sulla sicurezza, prima di essere salvate in modo permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.
È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.
Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.
Nota
Anche se le raccomandazioni erano in anteprima, non eseguivano il rendering di una risorsa cluster del servizio Azure Kubernetes non integre e non erano incluse nei calcoli del punteggio di sicurezza. con questo annuncio ga questi saranno inclusi nel calcolo del punteggio. Se non sono già stati corretti, questo potrebbe comportare un lieve impatto sul punteggio di sicurezza. Correggerli laddove possibile, come descritto in Correggere le raccomandazioni in Centro sicurezza di Azure.
Microsoft Defender per endpoint'integrazione con Azure Defender supporta ora Windows Server 2019 e Windows 10 in Desktop virtuale Windows (in anteprima)
Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Fornisce gestione delle vulnerabilità e valutazione basati sul rischio, nonché rilevamento e reazione dagli endpoint (EDR). Per un elenco completo dei vantaggi dell'uso di Defender per endpoint insieme a Centro sicurezza di Azure, vedere Proteggere gli endpoint con la soluzione EDR integrata del Centro sicurezza: Microsoft Defender per endpoint.
Quando si abilita Azure Defender per server che esegue Windows Server, viene inclusa una licenza per Defender per endpoint con il piano. Se Azure Defender per server è già stato abilitato e si dispone di server Windows Server 2019 nella sottoscrizione, riceveranno automaticamente Defender per endpoint con questo aggiornamento. Non è necessaria alcuna azione manuale.
Il supporto è stato ampliato per includere Windows Server 2019 e Windows 10 in Desktop virtuale Windows.
Nota
Se si abilita Defender per endpoint in un server Windows Server 2019, assicurarsi che soddisfi i prerequisiti descritti in Abilitare l'integrazione Microsoft Defender per endpoint.
Collegamento diretto ai criteri dalla pagina dei dettagli delle raccomandazioni
Quando si esaminano i dettagli di una raccomandazione, spesso è utile visualizzare i criteri sottostanti. Per ogni raccomandazione supportata da un criterio, è disponibile un nuovo collegamento dalla pagina dei dettagli della raccomandazione:
Usare questo collegamento per visualizzare la definizione dei criteri ed esaminare la logica di valutazione.
La raccomandazione di classificazione dei dati SQL non influisce più sul punteggio di sicurezza
La raccomandazione Dati sensibili nei database SQL non deve più influire sul punteggio di sicurezza. Il controllo di sicurezza Applica classificazione dei dati che contiene ora ha un valore di punteggio di sicurezza pari a 0.
Per un elenco completo di tutti i controlli di sicurezza, insieme ai relativi punteggi e a un elenco dei consigli in ognuno, vedere Controlli di sicurezza e le relative raccomandazioni.
Le automazione del flusso di lavoro possono essere attivate dalle modifiche alle valutazioni di conformità alle normative (in anteprima)
È stato aggiunto un terzo tipo di dati alle opzioni di trigger per le automazione del flusso di lavoro: modifiche alle valutazioni di conformità alle normative.
Informazioni su come usare gli strumenti di automazione del flusso di lavoro in Automatizzare le risposte ai trigger del Centro sicurezza.
Miglioramenti della pagina inventario asset
La pagina inventario delle risorse del Centro sicurezza è stata migliorata:
I riepiloghi nella parte superiore della pagina includono ora sottoscrizioni non registrati, che mostrano il numero di sottoscrizioni senza il Centro sicurezza abilitato.
I filtri sono stati espansi e migliorati per includere:
Conteggi: ogni filtro presenta il numero di risorse che soddisfano i criteri di ogni categoria
Contiene il filtro delle esenzioni (facoltativo): limitare i risultati alle risorse che non dispongono o non hanno esenzioni. Questo filtro non viene visualizzato per impostazione predefinita, ma è accessibile dal pulsante Aggiungi filtro .
Altre informazioni su come esplorare e gestire le risorse con l'inventario degli asset.
Gennaio 2021
Gli aggiornamenti di gennaio includono:
- Azure Security Benchmark è ora l'iniziativa predefinita per i criteri per il Centro sicurezza di Azure
- La valutazione della vulnerabilità per i computer locali e multicloud viene rilasciata per la disponibilità generale
- Il punteggio di sicurezza per i gruppi di gestione è ora disponibile in anteprima
- L'API Secure Score viene rilasciata per la disponibilità generale (GA)
- Aggiunta di protezioni di record DNS in sospeso ad Azure Defender per il Servizio app
- I connettori multicloud vengono rilasciati per la disponibilità generale (GA)
- Escludere intere raccomandazioni dal punteggio di sicurezza per le sottoscrizioni e i gruppi di gestione
- Gli utenti possono ora richiedere visibilità a livello di tenant dall'amministratore globale
- Aggiunte 35 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark
- Esportazione in CSV dell'elenco filtrato di raccomandazioni
- Le risorse "non applicabili" sono ora segnalate come "conformi" nelle valutazioni di Criteri di Azure
- Esportazione di snapshot settimanali del punteggio di sicurezza e dei dati relativi alla conformità alle normative con l'esportazione continua (anteprima)
Azure Security Benchmark è ora l'iniziativa predefinita per i criteri per il Centro sicurezza di Azure
Azure Security Benchmark è il set di linee guida specifiche di Azure create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Questo benchmark ampiamente rispettato si basa sui controlli del Center for Internet Security (CIS) e il National Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.
Negli ultimi mesi, l'elenco delle raccomandazioni di sicurezza predefinite del Centro sicurezza è cresciuto in modo significativo per espandere la copertura di questo benchmark.
Da questa versione, il benchmark è la base per le raccomandazioni del Centro sicurezza e completamente integrato come iniziativa di criteri predefinita.
Tutti i servizi di Azure hanno una pagina della baseline di sicurezza nella relativa documentazione. Queste baseline sono basate su Azure Security Benchmark.
Se si usa il dashboard di conformità alle normative del Centro sicurezza, durante un periodo di transizione verranno visualizzate due istanze del benchmark:
Le raccomandazioni esistenti non sono interessate e, man mano che aumenta il benchmark, le modifiche verranno applicate automaticamente all'interno del Centro sicurezza.
Per altre informazioni, vedere le pagine seguenti:
- Altre informazioni su Azure Security Benchmark
- Personalizzazione del set di standard nel dashboard di conformità alle normative
La valutazione della vulnerabilità per i computer locali e multicloud viene rilasciata per la disponibilità generale
In ottobre è stata annunciata un'anteprima per l'analisi dei server abilitati per Azure Arc con lo scanner di valutazione integrata delle vulnerabilità di Azure Defender per server (con tecnologia Qualys).
Viene ora rilasciato per la disponibilità generale.
Quando Azure Arc viene abilitato in computer non di Azure, il Centro sicurezza offre la possibilità di distribuirvi lo strumento integrato di analisi delle vulnerabilità, manualmente e su larga scala.
Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma gestione delle vulnerabilità in tutti gli asset di Azure e non di Azure.
Funzionalità principali:
- Monitoraggio dello stato di provisioning dello strumento di analisi per la valutazione delle vulnerabilità nei computer Azure Arc
- Provisioning dell'agente di valutazione delle vulnerabilità nei computer Azure Arc Windows e Linux non protetti (manualmente e su larga scala)
- Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
- Esperienza unificata per macchine virtuali di Azure e computer Azure Arc
Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.
Altre informazioni sui server abilitati per Azure Arc.
Il punteggio di sicurezza per i gruppi di gestione è ora disponibile in anteprima
La pagina del punteggio di sicurezza mostra ora i punteggi di sicurezza aggregati per i gruppi di gestione oltre al livello di sottoscrizione. È ora possibile visualizzare l'elenco dei gruppi di gestione nell'organizzazione e il punteggio per ogni gruppo di gestione.
Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.
L'API Secure Score viene rilasciata per la disponibilità generale (GA)
È ora possibile accedere al punteggio tramite l'API secure score. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. Ad esempio:
- usare l'API Secure Scores per ottenere il punteggio per una sottoscrizione specifica
- usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni
Informazioni sugli strumenti esterni resi possibili con l'API secure score nell'area del punteggio di sicurezza della community di GitHub.
Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.
Aggiunta di protezioni di record DNS in sospeso ad Azure Defender per il Servizio app
Le acquisizioni di sottodominio sono una minaccia comune e con gravità elevata per le organizzazioni. Un'acquisizione di sottodominio può verificarsi quando si dispone di un record DNS che punta a un sito Web deprovisioning. Tali record DNS sono noti anche come voci "DNS in sospeso". I record CNAME sono particolarmente vulnerabili a questa minaccia.
Le acquisizioni di sottodominio consentono agli attori delle minacce di reindirizzare il traffico destinato al dominio di un'organizzazione a un sito che esegue attività dannose.
Azure Defender per servizio app ora rileva voci DNS incerte quando viene rimosso un sito Web servizio app. Questo è il momento in cui la voce DNS punta a una risorsa che non esiste e il sito Web è vulnerabile a un'acquisizione di sottodominio. Queste protezioni sono disponibili se i domini vengono gestiti con DNS di Azure o con un registrar di dominio esterno e si applicano sia a servizio app in Windows che servizio app in Linux.
Altre informazioni:
- servizio app tabella di riferimento degli avvisi - Include due nuovi avvisi di Azure Defender che si attivano quando viene rilevata una voce DNS incerta
- Evitare voci DNS dangling ed evitare l'acquisizione del sottodominio - Informazioni sulla minaccia dell'acquisizione del sottodominio e sull'aspetto del DNS incerto
- Introduzione ad Azure Defender per servizio app
I connettori multicloud vengono rilasciati per la disponibilità generale (GA)
I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.
Il Centro sicurezza di Azure protegge i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
La connessione dei progetti AWS o GCP integra i propri strumenti di sicurezza nativi, ad esempio AWS Security Hub e GCP Security Command Center, in Centro sicurezza di Azure.
Questa funzionalità significa che il Centro sicurezza offre visibilità e protezione in tutti gli ambienti cloud principali. Alcuni dei vantaggi di questa integrazione:
- Provisioning automatico dell'agente - Il Centro sicurezza usa Azure Arc per distribuire l'agente di Log Analytics nelle istanze di AWS
- Gestione dei criteri
- Gestione vulnerabilità
- Rilevamento di endpoint e risposta incorporato
- Rilevamento degli errori di configurazione per la sicurezza
- Una singola visualizzazione che mostra le raccomandazioni sulla sicurezza di tutti i provider di servizi cloud
- Incorporare tutte le risorse nei calcoli del punteggio di sicurezza del Centro sicurezza
- Valutazioni della conformità alle normative delle risorse AWS e GCP
Dal menu di Defender per il cloud selezionare Connettori Multicloud e verranno visualizzate le opzioni per la creazione di nuovi connettori:
Altre informazioni sono disponibili in:
- Connettere gli account AWS a Centro sicurezza di Azure
- Connettere i progetti GCP a Centro sicurezza di Azure
Escludere intere raccomandazioni dal punteggio di sicurezza per le sottoscrizioni e i gruppi di gestione
Stiamo espandendo la funzionalità di esenzione per includere intere raccomandazioni. Offrendo altre opzioni per ottimizzare le raccomandazioni sulla sicurezza fornite dal Centro sicurezza per le sottoscrizioni, i gruppi di gestione o le risorse.
In alcuni casi, una risorsa verrà elencata come non integra quando si sa che il problema viene risolto da uno strumento di terze parti che il Centro sicurezza non ha rilevato. In alternativa, una raccomandazione verrà visualizzata in un ambito in cui si ritiene che non appartenga. La raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.
Con questa funzionalità di anteprima, è ora possibile creare un'esenzione per una raccomandazione per:
Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisca sul punteggio di sicurezza. Tale risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esente" con la giustificazione specifica selezionata.
Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio di sicurezza e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Questa opzione si riferisce alle risorse esistenti e a quelle che verranno create in futuro. La raccomandazione verrà contrassegnata con la giustificazione specifica scelta per l'ambito selezionato.
Per altre informazioni, vedere esentare risorse e raccomandazioni dal punteggio di sicurezza.
Gli utenti possono ora richiedere visibilità a livello di tenant dall'amministratore globale
Se un utente non ha le autorizzazioni per visualizzare i dati del Centro sicurezza, verrà visualizzato un collegamento per richiedere le autorizzazioni all'amministratore globale dell'organizzazione. La richiesta include il ruolo desiderato e la giustificazione per il motivo per cui è necessario.
Per altre informazioni, vedere Richiedere autorizzazioni a livello di tenant quando i dati non sono sufficienti.
Aggiunte 35 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark
Azure Security Benchmark è l'iniziativa di criteri predefinita in Centro sicurezza di Azure.
Per aumentare la copertura di questo benchmark, al Centro sicurezza sono state aggiunte le 35 raccomandazioni di anteprima seguenti.
Suggerimento
Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.
Controllo di sicurezza | Nuove raccomandazioni |
---|---|
Abilita la crittografia dei dati inattivi | - Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi - Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente - La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server MySQL - La protezione dei dati BYOK (Bring Your Own Key) deve essere abilitata per i server PostgreSQL - Gli account dei servizi di intelligenza artificiale di Azure devono abilitare la crittografia dei dati con una chiave gestita dal cliente - I registri contenitori devono essere crittografati con una chiave gestita dal cliente - Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi - I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi - Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia |
Implementa le procedure consigliate per la sicurezza | - Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza - Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nella sottoscrizione - Le notifiche di posta elettronica devono essere abilitate per gli avvisi con gravità alta - Le notifiche di posta elettronica al proprietario della sottoscrizione devono essere abilitate per gli avvisi con gravità alta - Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva - Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea |
Gestire l'accesso e le autorizzazioni | - Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)' |
Proteggi le applicazioni da attacchi DDoS | - Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione - Web Application Firewall (WAF) deve essere abilitato per il servizio Frontdoor di Azure |
Limita l'accesso non autorizzato alla rete | - Il firewall deve essere abilitato in Key Vault - L'endpoint privato deve essere configurato per Key Vault - Configurazione app deve usare collegamenti privati - La cache di Azure per Redis deve risiedere all'interno di una rete virtuale - I domini di Griglia di eventi di Azure devono usare collegamenti privati - Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati - Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati - Il servizio Azure SignalR deve usare collegamenti privati - Azure Spring Cloud deve usare l'aggiunta alla rete - I registri contenitori non devono consentire l'accesso alla rete senza restrizioni - I registri contenitori devono usare collegamenti privati - L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB - L'accesso alla rete pubblica deve essere disabilitato per i server MySQL - L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL - L'account di archiviazione deve usare una connessione collegamento privato - Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale - I modelli di Image Builder per macchine virtuali devono usare un collegamento privato |
Collegamenti correlati:
- Altre informazioni su Azure Security Benchmark
- Altre informazioni su Database di Azure per MariaDB
- Altre informazioni su Database di Azure per MySQL
- Altre informazioni su Database di Azure per PostgreSQL
Esportazione in CSV dell'elenco filtrato di raccomandazioni
Nel novembre 2020 sono stati aggiunti filtri alla pagina delle raccomandazioni.
Con questo annuncio, il comportamento del pulsante Scarica in CSV è stato cambiato in modo che l'esportazione in CSV includa solo le raccomandazioni attualmente visualizzate nell'elenco filtrato.
Ad esempio, nell'immagine seguente è possibile vedere che l'elenco viene filtrato in base a due raccomandazioni. Il file CSV generato include i dettagli sullo stato di ogni risorsa interessata da queste due raccomandazioni.
Per altre informazioni, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.
Le risorse "non applicabili" sono ora segnalate come "conformi" nelle valutazioni di Criteri di Azure
In precedenza, le risorse valutate per una raccomandazione e risultavano non applicabili venivano visualizzate in Criteri di Azure come "Non conformi". Nessuna azione utente potrebbe modificare il proprio stato in "Conforme". Con questa modifica, vengono segnalate come "Conformi" per maggiore chiarezza.
L'unico effetto si vedrà in Criteri di Azure, dove il numero di risorse conformi aumenterà. Non ci sarà alcun impatto sul punteggio di sicurezza nel Centro sicurezza di Azure.
Esportazione di snapshot settimanali del punteggio di sicurezza e dei dati relativi alla conformità alle normative con l'esportazione continua (anteprima)
È stata aggiunta una nuova funzionalità di anteprima agli strumenti di esportazione continua per esportare snapshot settimanali di punteggio di sicurezza e dati di conformità alle normative.
Quando si definisce un'esportazione continua, impostare la frequenza di esportazione:
- Streaming: le valutazioni verranno inviate quando viene aggiornato lo stato di integrità di una risorsa (se non si verificano aggiornamenti, non verranno inviati dati).
- Snapshot: uno snapshot dello stato corrente di tutte le valutazioni di conformità alle normative verrà inviato ogni settimana (si tratta di una funzionalità di anteprima per gli snapshot settimanali dei punteggi sicuri e dei dati di conformità alle normative).
Altre informazioni sulle funzionalità complete di questa funzionalità sono disponibili in Esportazione continua dei dati del Centro sicurezza.
Dicembre 2020
Gli aggiornamenti di dicembre includono:
- Azure Defender per server SQL nei computer è disponibile a livello generale
- Il supporto di Azure Defender per SQL per i pool SQL dedicati di Azure Synapse Analytics è disponibile a livello generale
- Gli amministratori globali ora possono concedere autorizzazioni a livello di tenant a se stessi
- Due nuovi piani di Azure Defender: Azure Defender per DNS e Azure Defender per Resource Manager (in anteprima)
- Pagina Nuovi avvisi di sicurezza nel portale di Azure (anteprima)
- Esperienza del Centro sicurezza ottimizzata per Database SQL di Azure e Istanza gestita di SQL
- Strumenti e filtri dell'inventario degli asset aggiornati
- La raccomandazione relativa alla richiesta di certificati SSL da parte delle app Web non fa più parte del punteggio di sicurezza
- La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili
- L'esportazione continua ha nuovi tipi di dati e criteri DeployIfNotExists migliorati
Azure Defender per server SQL nei computer è disponibile a livello generale
Il Centro sicurezza di Azure prevede due piani di Azure Defender per SQL Server:
- Azure Defender per i server di database SQL di Azure: protegge i sistemi SQL Server nativi di Azure
- Azure Defender per i server SQL nei computer: estende le stesse protezioni ai server SQL in ambienti ibridi, multicloud e locali
Con questo annuncio, Azure Defender per SQL ora protegge i database e i relativi dati ovunque siano collocati.
Azure Defender per SQL include funzionalità di valutazione delle vulnerabilità. Lo strumento di valutazione delle vulnerabilità offre le seguenti funzionalità avanzate:
- Configurazione di base (novità) per affinare in modo intelligente i risultati delle analisi di vulnerabilità limitandoli a quelli che potrebbero rappresentare problemi concreti per la sicurezza. Dopo aver stabilito lo stato di sicurezza di base, lo strumento di valutazione delle vulnerabilità segnala solo le deviazioni da tale stato. I risultati corrispondenti alla base non vengono considerati problemi nelle analisi successive. In questo modo gli analisti possono dedicare la loro attenzione alle questioni importanti.
- Informazioni di benchmark dettagliate per aiutare a interpretare i risultati individuati e al motivo per cui riguardano le risorse.
- Script di correzione per mitigare i rischi identificati.
Vedere altre informazioni su Azure Defender per SQL.
Il supporto di Azure Defender per SQL per i pool SQL dedicati di Azure Synapse Analytics è disponibile a livello generale
Azure Synapse Analytics (in precedenza SQL Data Warehouse) è un servizio di analisi che riunisce funzionalità aziendali di data warehousing e analisi di Big Data. I pool SQL dedicati rappresentano le funzionalità di data warehousing aziendali di Azure Synapse. Per altre informazioni, vedere Che cos'è Azure Synapse Analytics (in precedenza SQL Data Warehouse)?
Azure Defender per SQL protegge i pool SQL dedicati con:
- Advanced Threat Protection per rilevare minacce e attacchi
- Funzionalità di valutazione delle vulnerabilità per identificare e correggere le configurazioni di sicurezza errate
Il supporto di Azure Defender per SQL per i pool SQL di Azure Synapse Analytics viene aggiunto automaticamente al bundle di database SQL di Azure nel Centro sicurezza di Azure. È disponibile una nuova scheda Azure Defender per SQL nella pagina dell'area di lavoro di Synapse nel portale di Azure.
Vedere altre informazioni su Azure Defender per SQL.
Gli amministratori globali ora possono concedere autorizzazioni a livello di tenant a se stessi
Un utente con il ruolo Amministratore globale di Azure Active Directory potrebbe avere responsabilità a livello di tenant ma non avere le autorizzazioni di Azure per visualizzare queste informazioni nell'intera organizzazione in Azure Active Directory.
Per assegnare a se stessi le autorizzazioni a livello di tenant, seguire le istruzioni riportate in Concedere autorizzazioni a livello di tenant a se stessi.
Due nuovi piani di Azure Defender: Azure Defender per DNS e Azure Defender per Resource Manager (in anteprima)
Sono state aggiunte due nuove funzionalità native del cloud per la protezione completa dell'ambiente di Azure dalle minacce.
Queste due nuove funzionalità migliorano notevolmente la resilienza dell'ambiente contro attacchi e minacce, oltre ad aumentare sensibilmente il numero di risorse di Azure protette da Azure Defender.
Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Per altre informazioni, vedi:
Azure Defender per DNS monitora continuamente tutte le query DNS delle risorse di Azure. Per altre informazioni, vedi:
Pagina Nuovi avvisi di sicurezza nel portale di Azure (anteprima)
La pagina degli avvisi di sicurezza di Centro sicurezza di Azure è stata riprogettata per fornire:
- Esperienza di valutazione migliorata per gli avvisi: per ridurre il sovraccarico di avvisi ed evidenziare più facilmente le minacce pertinenti, l'elenco include filtri personalizzabili e opzioni di raggruppamento
- Più informazioni nell'elenco di avvisi, ad esempio tattiche MITRE ATT&ACK
- Pulsante per creare avvisi di esempio: per valutare le funzionalità di Azure Defender e testare la configurazione degli avvisi (per verificare l'integrazione di SIEM, le notifiche tramite posta elettronica e le automazioni del flusso di lavoro), è possibile creare avvisi di esempio in tutti i piani di Azure Defender
- Allineamento con l'esperienza degli eventi imprevisti di Azure Sentinel: per i clienti che usano entrambi i prodotti, è ora più semplice passare da uno all'altro e combinare le informazioni che offrono
- Prestazioni più elevate per elenchi di avvisi lunghi
- Esplorazione tramite tastiera dell'elenco di avvisi
- Avvisi di Azure Resource Graph: è possibile eseguire query sugli avvisi in Azure Resource Graph, l'API di tipo Kusto per tutte le risorse. Questa funzionalità è utile anche per creare dashboard di avvisi personalizzati. Vedere altre informazioni su Azure Resource Graph.
Per accedere alla nuova esperienza, usare il collegamento 'Prova adesso' sul banner nella parte superiore della pagina Avvisi di sicurezza.
Per creare avvisi di esempio nella nuova esperienza, vedere Generare avvisi di esempio di Azure Defender.
Esperienza del Centro sicurezza ottimizzata per Database SQL di Azure e Istanza gestita di SQL
L'esperienza del Centro sicurezza in SQL consente di accedere alle funzionalità del Centro sicurezza e di Azure Defender per SQL descritte di seguito:
- Raccomandazioni sulla sicurezza: il Centro sicurezza analizza periodicamente lo stato di sicurezza di tutte le risorse di Azure connesse per identificare possibili errori di configurazione della sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità e migliorare il comportamento di sicurezza delle organizzazioni.
- Avvisi di sicurezza: servizio di rilevamento che monitora costantemente le attività di Azure SQL per individuare minacce come attacchi SQL injection, attacchi di forza bruta e abuso dei privilegi. Questo servizio attiva avvisi di sicurezza dettagliati e orientati alle azioni nel Centro sicurezza e offre opzioni per continuare le indagini con Azure Sentinel, la soluzione SIEM nativa di Microsoft Azure.
- Risultati: servizio di valutazione delle vulnerabilità che monitora continuamente le configurazioni di Azure SQL e aiuta a correggere le vulnerabilità. Le analisi di valutazione forniscono una panoramica degli stati di sicurezza di Azure SQL insieme a risultati dettagliati sulla sicurezza.
Strumenti e filtri dell'inventario degli asset aggiornati
La pagina di inventario in Centro sicurezza di Azure è stata aggiornata con le modifiche seguenti:
Guide e feedback aggiunti alla barra degli strumenti. Viene aperto un riquadro con collegamenti a informazioni e strumenti correlati.
Filtro per le sottoscrizioni aggiunto ai filtri predefiniti disponibili per le risorse.
Collegamento Apri query per aprire le opzioni di filtro correnti come query di Azure Resource Graph (in precedenza "Visualizza in Resource Graph Explorer").
Opzioni per gli operatori per ogni filtro. È ora possibile scegliere tra più operatori logici diversi da '='. Ad esempio, è possibile trovare tutte le risorse con raccomandazioni attive il cui titolo include la stringa "crittografare".
Per altre informazioni sull'inventario, vedere Esplorare e gestire le risorse con l'inventario degli asset.
La raccomandazione relativa alla richiesta di certificati SSL da parte delle app Web non fa più parte del punteggio di sicurezza
La raccomandazione "Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso" sono state spostate dal controllo di sicurezza Gestire l'accesso e le autorizzazioni (vale un massimo di 4 punti) in Implementare le procedure consigliate per la sicurezza (che non vale alcun punto).
Garantire che un'app Web richieda un certificato lo rende certamente più sicuro. Questa impostazione è tuttavia irrilevante per le app Web pubbliche. se si accede al sito tramite HTTP e non HTTPS, non si riceveranno i certificati client. Pertanto, se l'applicazione richiede i certificati client, è consigliabile non consentire le richieste all'applicazione tramite HTTP. Per altre informazioni, vedere Configurare l'autenticazione reciproca TLS per Servizio app di Azure.
Con questa modifica, la raccomandazione è ora una procedura consigliata che non influisce sul punteggio.
Per informazioni sulle raccomandazioni disponibili in ogni controllo di sicurezza, vedere Controlli di sicurezza e relative raccomandazioni.
La pagina Raccomandazioni contiene nuovi filtri per ambiente, gravità e risposte disponibili
Il Centro sicurezza di Azure monitora tutte le risorse connesse e genera raccomandazioni sulla sicurezza. Usare queste raccomandazioni per rafforzare il comportamento del cloud ibrido e tenere traccia della conformità ai criteri e agli standard pertinenti per l'organizzazione, il settore e il paese/area geografica.
L'elenco delle raccomandazioni sulla sicurezza cresce ogni mese, man mano che il Centro sicurezza continua a espandere la propria copertura e le funzionalità. Ad esempio, vedere Venti nove raccomandazioni di anteprima aggiunte per aumentare la copertura di Azure Security Benchmark.
Con l'elenco in crescita, è necessario filtrare le raccomandazioni per trovare quelle di maggiore interesse. Lo scorso novembre sono stati aggiunti i filtri alla pagina Raccomandazioni (vedere L'elenco di raccomandazioni ora include i filtri).
I filtri aggiunti questo mese forniscono le opzioni per affinare l'elenco delle raccomandazioni in base a:
Ambiente: visualizzare le raccomandazioni relative alle risorse di AWS, GCP o Azure (o qualsiasi combinazione)
Gravità: visualizzare le raccomandazioni in base alla classificazione di gravità impostata dal Centro sicurezza
Azioni di risposta: visualizzare le raccomandazioni in base alla disponibilità delle opzioni di risposta del Centro sicurezza: Correzione, Negazione e Imposizione
Suggerimento
Il filtro delle azioni di risposta sostituisce il filtro Correzione rapida disponibile (Sì/No).
Per altre informazioni su ognuna di queste opzioni di risposta, vedere:
L'esportazione continua ha nuovi tipi di dati e criteri DeployIfNotExists migliorati
Gli strumenti di esportazione continua del Centro sicurezza di Azure consentono di esportare le raccomandazioni e gli avvisi del Centro sicurezza per usarli con altri strumenti di monitoraggio nell'ambiente.
L'esportazione continua consente di personalizzare completamente gli elementi che verranno esportati e la posizione in cui verranno inseriti. Per informazioni complete, vedere Esportazione continua dei dati del Centro sicurezza.
Questi strumenti sono stati migliorati e ampliati nei modi seguenti:
I criteri DeployIfNotExists dell'esportazione continua sono stati migliorati. Ora consentono di:
Verificare se la configurazione è abilitata. Se non è abilitata, il criterio visualizza uno stato non conforme e crea una risorsa conforme. Altre informazioni sui modelli di Criteri di Azure forniti nella scheda "Distribuisci su larga scala con Criteri di Azure" in Configurare un'esportazione continua.
Supportare l'esportazione dei risultati di sicurezza. Usando i modelli di Criteri di Azure è possibile configurare l'esportazione continua in modo che includa i risultati. Questa configurazione è importante quando si esportano raccomandazioni che contengono "sottoraccomandazioni", ad esempio i risultati di analisi di valutazione delle vulnerabilità o aggiornamenti di sistema specifici per la raccomandazione "padre" "È consigliabile installare gli aggiornamenti del sistema nei computer".
Supportare l'esportazione dei dati dei punteggi di sicurezza.
Dati di valutazione della conformità con le normative aggiunti (in anteprima). È ora possibile esportare continuamente gli aggiornamenti alle valutazioni di conformità alle normative, incluse le iniziative personalizzate, in un'area di lavoro Log Analytics o in Hub eventi. Questa funzionalità non è disponibile nei cloud nazionali.
Novembre 2020
Gli aggiornamenti del mese di novembre includono quanto segue:
- Aggiunte 29 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark
- Aggiunta di NIST SP 800 171 R2 al dashboard di conformità alle normative del Centro sicurezza
- L'elenco di raccomandazioni ora include i filtri
- Esperienza di provisioning automatico migliorata ed espansa
- Punteggio di sicurezza ora disponibile nell'esportazione continua (anteprima)
- La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" ora includono sottocomendazioni
- La pagina di gestione dei criteri nel portale di Azure ora mostra lo stato delle assegnazioni di criteri predefiniti
Aggiunte 29 raccomandazioni di anteprima per aumentare la copertura di Azure Security Benchmark
Azure Security Benchmark è il set di linee guida specifiche di Microsoft per la sicurezza e la conformità basate su framework di conformità comuni. Altre informazioni su Azure Security Benchmark.
Le seguenti 29 nuove raccomandazioni di anteprima verranno aggiunte al Centro sicurezza per aumentare la copertura del benchmark.
Le raccomandazioni in anteprima non contrassegnano una risorsa come non integra e non sono incluse nei calcoli del punteggio di sicurezza. Correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima. Per altre informazioni su come rispondere a queste raccomandazioni, vedere Correzione delle raccomandazioni nel Centro sicurezza di Azure.
Controllo di sicurezza | Nuove raccomandazioni |
---|---|
Crittografare i dati in movimento | - Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL - Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL - TLS deve essere aggiornato all'ultima versione per l'app per le API - TLS deve essere aggiornato all'ultima versione per l'app per le funzioni - TLS deve essere aggiornato all'ultima versione per l'app Web - L'app per le API deve usare FTPS - L'app per le funzioni deve usare FTPS - L'app Web deve usare FTPS |
Gestire l'accesso e le autorizzazioni | - Le app Web devono richiedere un certificato SSL per tutte le richieste in ingresso - Nell'app per le API è necessario usare un'identità gestita - Nell'app per le funzioni è necessario usare un'identità gestita - Nell'app Web è necessario usare un'identità gestita |
Limita l'accesso non autorizzato alla rete | - L'endpoint privato deve essere abilitato per i server PostgreSQL - L'endpoint privato deve essere abilitato per i server MariaDB - L'endpoint privato deve essere abilitato per i server MySQL |
Abilita il controllo e la registrazione | - È necessario abilitare i log di diagnostica in Servizi app |
Implementa le procedure consigliate per la sicurezza | - La soluzione Backup di Azure deve essere abilitata per le macchine virtuali - Il backup con ridondanza geografica deve essere abilitato per Database di Azure per MariaDB - Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL - Il backup con ridondanza geografica deve essere abilitato per Database di Azure per PostgreSQL - PHP deve essere aggiornato all'ultima versione per l'app per le API - PHP deve essere aggiornato all'ultima versione per l'app Web - Java deve essere aggiornato all'ultima versione per l'app per le API - Java deve essere aggiornato all'ultima versione per l'app per le funzioni - Java deve essere aggiornato all'ultima versione per l'app Web - Python deve essere aggiornato all'ultima versione per l'app per le API - Python deve essere aggiornato all'ultima versione per l'app per le funzioni - Python deve essere aggiornato all'ultima versione per l'app Web - La conservazione dei controlli per i server SQL deve essere impostata su almeno 90 giorni |
Collegamenti correlati:
- Altre informazioni su Azure Security Benchmark
- Altre informazioni sulle app per le API di Azure
- Altre informazioni sulle app per le funzioni di Azure
- Altre informazioni sulle app Web di Azure
- Altre informazioni su Database di Azure per MariaDB
- Altre informazioni su Database di Azure per MySQL
- Altre informazioni su Database di Azure per PostgreSQL
Aggiunta di NIST SP 800 171 R2 al dashboard di conformità alle normative del Centro sicurezza
Lo standard NIST SP 800-171 R2 è ora disponibile come iniziativa predefinita per l'uso nel dashboard di conformità alle normative del Centro sicurezza di Azure. I mapping per i controlli sono descritti in Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2.
Per applicare lo standard alle sottoscrizioni e monitorare continuamente lo stato di conformità, usare le istruzioni in Personalizzare il set di standard nel dashboard di conformità alle normative.
Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
L'elenco di raccomandazioni ora include i filtri
È ora possibile filtrare l'elenco di raccomandazioni di sicurezza in base a una serie di criteri. Nell'esempio seguente l'elenco delle raccomandazioni viene filtrato per mostrare le raccomandazioni che:
- Sono disponibili a livello generale (ovvero, non in anteprima)
- Riguardano gli account di archiviazione
- Supportano la correzione rapida
Esperienza di provisioning automatico migliorata ed espansa
La funzionalità di provisioning automatico consente di ridurre il sovraccarico di gestione installando le estensioni necessarie in macchine virtuali nuove ed esistenti, in modo che possano trarre vantaggio dalle protezioni del Centro sicurezza.
Con la crescita del Centro sicurezza di Azure, sono state sviluppate più estensioni ed è ora possibile monitorare un elenco più lungo di tipi di risorsa. Gli strumenti di provisioning automatico sono ora stati espansi per supportare altre estensioni e tipi di risorse sfruttando le funzionalità di Criteri di Azure.
È ora possibile configurare il provisioning automatico di:
- Agente di Log Analytics
- (Nuovo) Criteri di Azure per Kubernetes
- (Novità) Microsoft Dependency Agent
Per altre informazioni, vedere Agenti ed estensioni di provisioning automatico da Centro sicurezza di Azure.
Punteggio di sicurezza ora disponibile nell'esportazione continua (anteprima)
Con l'esportazione continua del punteggio di sicurezza, è possibile trasmettere le modifiche del punteggio in tempo reale a Hub eventi di Azure o a un'area di lavoro Log Analytics. Usare questa funzionalità per:
- Tenere traccia del punteggio di sicurezza nel corso del tempo con report dinamici
- Esportare i dati sul punteggio di sicurezza in Azure Sentinel (o qualsiasi altro strumento SIEM)
- Integrare questi dati con qualsiasi processo che potrebbe già essere in uso per monitorare il punteggio di sicurezza nell'organizzazione
Per altre informazioni, vedere Esportazione continua dei dati del Centro sicurezza.
La raccomandazione "Gli aggiornamenti di sistema devono essere installati nei computer" ora includono sottocomendazioni
Gli aggiornamenti di sistema devono essere installati nei computer consigliati è stato migliorato. La nuova versione include sottocomendazioni per ogni aggiornamento mancante e apporta i miglioramenti seguenti:
Un'esperienza riprogettata nelle pagine del Centro sicurezza di Azure del portale di Azure. La pagina di dettagli della raccomandazione Gli aggiornamenti di sistema devono essere installati nelle macchine virtuali include l'elenco di risultati, come illustrato di seguito. Quando si seleziona un singolo risultato, viene visualizzato il riquadro dei dettagli con un collegamento alle informazioni sulla correzione e un elenco delle risorse interessate.
Dati della raccomandazione arricchiti da Azure Resource Graph. Azure Resource Graph è un servizio di Azure progettato per offrire un'esplorazione efficiente delle risorse. È possibile usare Azure Resource Graph per eseguire query su larga scala su un determinato set di sottoscrizioni, in modo da regolamentare efficacemente l'ambiente.
Per il Centro sicurezza di Azure, è possibile usare Azure Resource Graph e il linguaggio di query Kusto per eseguire query su un'ampia gamma di dati relativi alla postura di sicurezza.
In precedenza, se si eseguivano query su questa raccomandazione in Azure Resource Graph, le uniche informazioni disponibili erano che era necessario apportare la correzione raccomandata in un computer. La query seguente della versione ottimizzata restituirà tutti gli aggiornamenti di sistema mancanti raggruppati in base al computer.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
La pagina di gestione dei criteri nel portale di Azure ora mostra lo stato delle assegnazioni di criteri predefiniti
È ora possibile verificare se alle sottoscrizioni sono assegnati o meno i criteri predefiniti del Centro sicurezza nella relativa pagina criteri di sicurezza del portale di Azure.
Ottobre 2020
Gli aggiornamenti del mese di ottobre includono quanto segue:
- Valutazione della vulnerabilità per computer locali e multicloud (anteprima)
- Aggiunta una raccomandazione per Firewall di Azure (anteprima)
- Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes - Aggiornata la raccomandazione con una correzione rapida
- Il dashboard Conformità con le normative include ora un'opzione per rimuovere gli standard
- Tabella Microsoft.Security/securityStatuses rimossa da Azure Resource Graph
Valutazione della vulnerabilità per computer locali e multicloud (anteprima)
Lo scanner di valutazione della vulnerabilità integrato di Azure Defender per server (basato su Qualys) analizza ora i server abilitati per Azure Arc.
Quando Azure Arc viene abilitato in computer non di Azure, il Centro sicurezza offre la possibilità di distribuirvi lo strumento integrato di analisi delle vulnerabilità, manualmente e su larga scala.
Con questo aggiornamento è possibile sfruttare la potenza di Azure Defender per server per consolidare il programma gestione delle vulnerabilità in tutti gli asset di Azure e non di Azure.
Funzionalità principali:
- Monitoraggio dello stato di provisioning dello strumento di analisi per la valutazione delle vulnerabilità nei computer Azure Arc
- Provisioning dell'agente di valutazione delle vulnerabilità nei computer Azure Arc Windows e Linux non protetti (manualmente e su larga scala)
- Ricezione e analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
- Esperienza unificata per macchine virtuali di Azure e computer Azure Arc
Altre informazioni sulla distribuzione dello scanner di vulnerabilità Qualys integrato nei computer ibridi.
Altre informazioni sui server abilitati per Azure Arc.
Aggiunta una raccomandazione per Firewall di Azure (anteprima)
È stata aggiunta una nuova raccomandazione per proteggere tutte le reti virtuali con Firewall di Azure.
La raccomandazione È consigliabile che le reti virtuali siano protette da Firewall di Azure consiglia di limitare l'accesso alle reti virtuali ed evitare potenziali minacce tramite Firewall di Azure.
Altre informazioni su Firewall di Azure.
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes - Aggiornata la raccomandazione con una correzione rapida
La raccomandazione Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes include ora un'opzione per la correzione rapida.
Il dashboard Conformità con le normative include ora un'opzione per rimuovere gli standard
Il dashboard Conformità con le normative del Centro sicurezza fornisce informazioni dettagliate sul comportamento di conformità in base a come vengono soddisfatti specifici controlli e requisiti.
Il dashboard include un set predefinito di standard normativi. Se uno degli standard forniti non è rilevante per l'organizzazione, è ora un processo semplice per rimuoverli dall'interfaccia utente per una sottoscrizione. Gli standard possono essere rimossi solo a livello della sottoscrizione, non nell'ambito del gruppo di gestione.
Per altre informazioni, vedere Rimuovere uno standard dal dashboard.
Rimossa la tabella Microsoft.Security/securityStatuses da Azure Resource Graph (ARG)
Azure Resource Graph è un servizio di Azure progettato per offrire un'esplorazione efficiente delle risorse con la possibilità di eseguire query su larga scala in un determinato set di sottoscrizioni in modo da poter controllare l'ambiente efficacemente.
Per il Centro sicurezza di Azure, è possibile usare Azure Resource Graph e il linguaggio di query Kusto per eseguire query su un'ampia gamma di dati relativi alla postura di sicurezza. Ad esempio:
- L'inventario delle risorse usa ARG
- È stata documentata una query ARG di esempio per informazioni su come identificare gli account senza l'autenticazione a più fattori (MFA) abilitata
All'interno di ARG sono disponibili tabelle di dati da usare nelle query.
Suggerimento
La documentazione di Azure Resource Graph descrive tutte le tabelle disponibili nella sezione Tabella di Azure Resource Graph e riferimenti sui tipi di risorsa.
Da questo aggiornamento è stata rimossa la tabella Microsoft.Security/securityStatuses . L'API securityStatuses è ancora disponibile.
La sostituzione dei dati può essere eseguita tramite la tabella Microsoft.Security/Assessments.
La principale differenza tra Microsoft.Security/securityStatuses e Microsoft.Security/Assessments è che mentre la prima mostra l'aggregazione delle valutazioni, la seconda contiene un singolo record per ognuna.
Ad esempio, Microsoft.Security/securityStatuses restituisce un risultato con una matrice di due policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Mentre Microsoft.Security/Assessments mantiene un record per ogni valutazione dei criteri come indicato di seguito:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Esempio di conversione di una query di Azure Resource Graph esistente usando securityStatuses per usare la tabella Assessments:
Query che fa riferimento a SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Query di sostituzione per la tabella Assessments:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Per altre informazioni, vedere i collegamenti seguenti:
Settembre 2020
Gli aggiornamenti del mese di settembre includono quanto segue:
- Nuovo aspetto per il Centro sicurezza
- Rilascio di Azure Defender
- Disponibilità generale di Azure Defender per Key Vault
- Disponibilità generale della protezione di Azure Defender per Archiviazione per File e ADLS Gen2
- Disponibilità generale degli strumenti di inventario delle risorse
- Possibilità di disabilitare un risultato specifico della vulnerabilità per le analisi dei registri contenitori e delle macchine virtuali
- Esentare una risorsa da una raccomandazione
- I connettori AWS e GCP nel Centro sicurezza mettono a punto un'esperienza multicloud
- Aggregazione di raccomandazioni sulla protezione dei carichi di lavoro Kubernetes
- Possibilità di esportazione continua dei risultati delle valutazioni delle vulnerabilità
- Possibilità di impedire errori di configurazione della sicurezza tramite l'applicazione di raccomandazioni durante la creazione di nuove risorse
- Miglioramento alle raccomandazioni per i gruppi di sicurezza di rete
- Deprecazione della raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" del servizio Azure Kubernetes
- Miglioramento delle notifiche tramite posta elettronica dal Centro sicurezza di Azure
- Raccomandazioni in anteprima non incluse nel punteggio di sicurezza
- Indicatore di gravità e intervallo di aggiornamento ora inclusi nelle raccomandazioni
Il Centro sicurezza ottiene un nuovo aspetto
È stata rilasciata un'interfaccia utente aggiornata per le pagine del portale del Centro sicurezza. Le nuove pagine includono una nuova pagina di panoramica e dashboard per il punteggio di sicurezza, l'inventario degli asset e Azure Defender.
La pagina di panoramica riprogettata include ora un riquadro per l'accesso al punteggio di sicurezza, all'inventario delle risorse e ai dashboard di Azure Defender. Include anche un riquadro di collegamento al dashboard di conformità alle normative.
Altre informazioni sulla pagina di panoramica.
Rilascio di Azure Defender
Azure Defender è la soluzione CWPP (Cloud Workload Protection Platform) integrata nel Centro sicurezza per offrire una protezione avanzata e intelligente dei carichi di lavoro di Azure e ibridi. Sostituisce l'opzione Standard del piano tariffario del Centro sicurezza.
Quando si abilita Azure Defender dall'area Prezzi e impostazioni del Centro sicurezza di Azure, vengono abilitati contemporaneamente tutti i piani seguenti di Defender e vengono fornite difese complete per i livelli di calcolo, dati e servizio dell'ambiente:
- Azure Defender per server
- Azure Defender per servizio app
- Azure Defender per Archiviazione
- Azure Defender per SQL
- Azure Defender per Key Vault
- Azure Defender per Kubernetes
- Azure Defender per registri contenitori
Ogni piano è illustrato separatamente nella documentazione del Centro sicurezza.
Grazie al dashboard dedicato, Azure Defender offre avvisi di sicurezza e protezione avanzata dalle minacce per macchine virtuali, database SQL, contenitori, applicazioni Web, rete e altro ancora.
Altre informazioni su Azure Defender
Disponibilità generale di Azure Defender per Key Vault
Azure Key Vault è un servizio cloud che protegge le chiavi di crittografia e i segreti, come certificati, stringhe di connessione e password.
Azure Defender per Key Vault fornisce la protezione avanzata dalle minacce nativa di Azure per Azure Key Vault, offrendo un livello aggiuntivo di intelligence sulla sicurezza. Azure Defender per Key Vault protegge quindi molte delle risorse che dipendono dagli account di Key Vault.
Il piano facoltativo è ora disponibile a livello generale. Questa funzionalità era disponibile in anteprima come "advanced threat protection for Azure Key Vault".
Le pagine di Key Vault nel portale di Azure includono ora inoltre una pagina Sicurezza dedicata per le raccomandazioni e gli avvisi del Centro sicurezza.
Per altre informazioni, vedere Azure Defender per Key Vault.
Disponibilità generale della protezione di Azure Defender per Archiviazione per File e ADLS Gen2
Azure Defender per Archiviazione rileva le attività potenzialmente dannose negli account di archiviazione di Azure. I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.
È ora disponibile a livello generale il supporto per File di Azure e Azure Data Lake Storage Gen2.
Dal 1° ottobre 2020 inizieremo a pagare per proteggere le risorse in questi servizi.
Per altre informazioni, vedere Azure Defender per Archiviazione.
Disponibilità generale degli strumenti di inventario delle risorse
La pagina di inventario delle risorse del Centro sicurezza di Azure offre una pagina singola per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.
Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità.
Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.
Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.
Possibilità di disabilitare un risultato specifico della vulnerabilità per le analisi dei registri contenitori e delle macchine virtuali
Azure Defender include rilevatori di vulnerabilità per analizzare le immagini nel Registro Azure Container e nelle macchine virtuali.
Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati.
Questa opzione è disponibile nella pagina dei dettagli delle raccomandazioni per:
- È consigliabile correggere le vulnerabilità nelle immagini del Registro Azure Container
- È consigliabile correggere le vulnerabilità nelle macchine virtuali
Esentare una risorsa da una raccomandazione
Una risorsa verrà occasionalmente elencata come non integra rispetto a una raccomandazione specifica, con una conseguente riduzione del punteggio di sicurezza, anche se si ritiene che si tratti di un errore. È possibile che sia stata corretta da un processo non rilevato dal Centro sicurezza o che l'organizzazione abbia deciso di accettare il rischio per tale risorsa specifica.
In questi casi è possibile creare una regola di esenzione e assicurare che la risorsa non sia elencata in futuro tra le risorse non integre. Queste regole possono includere giustificazioni documentate, come illustrato di seguito.
Per altre informazioni, vedere Esentare una risorsa dalle raccomandazioni e dal punteggio di sicurezza.
I connettori AWS e GCP nel Centro sicurezza mettono a punto un'esperienza multicloud
I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.
Il Centro sicurezza di Azure protegge ora i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).
Quando si esegue l'onboarding di progetti AWS e GCP nel Centro sicurezza, si integra AWS Security Hub, GCP Security Command e Centro sicurezza di Azure.
Per altre informazioni, vedere Connettere gli account AWS a Centro sicurezza di Azure e Connettere i progetti GCP a Centro sicurezza di Azure.
Aggregazione di raccomandazioni sulla protezione dei carichi di lavoro Kubernetes
Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di applicazione con il controllo ammissione di Kubernetes.
Dopo aver installato Criteri di Azure per Kubernetes nel cluster del servizio Azure Kubernetes, ogni richiesta al server API Kubernetes verrà monitorata rispetto al set predefinito di procedure consigliate prima di essere salvato in modo permanente nel cluster. È quindi possibile configurare l'applicazione delle procedure consigliate e renderle obbligatorie per i carichi di lavoro futuri.
È ad esempio possibile imporre che i contenitori con privilegi non debbano essere creati ed eventuali richieste future di creazione di tali contenitori verranno bloccate.
Per altre informazioni, vedere Procedure consigliate per la protezione dei carichi di lavoro con il controllo ammissione di Kubernetes.
Possibilità di esportazione continua dei risultati delle valutazioni delle vulnerabilità
Usare l'esportazione continua per trasmettere gli avvisi e le raccomandazioni per Hub eventi di Azure, aree di lavoro Log Analytics o Monitoraggio di Azure. È quindi possibile integrare questi dati con soluzioni di informazioni di sicurezza e gestione degli eventi, tra cui Azure Sentinel, Power BI, Esplora dati di Azure e altre ancora.
Gli strumenti integrati di valutazione delle vulnerabilità del Centro sicurezza restituiscono risultati sulle risorse sotto forma di raccomandazioni di utilità pratica con una raccomandazione "padre", ad esempio "È consigliabile correggere le vulnerabilità nelle macchine virtuali".
I risultati di sicurezza sono ora disponibili per l'esportazione tramite l'esportazione continua quando si selezionano le raccomandazioni e si abilita l'opzione Includi i risultati per la sicurezza.
Pagine correlate:
- Soluzione di valutazione della vulnerabilità Qualys integrata del Centro sicurezza per le macchine virtuali di Azure
- Soluzione integrata di valutazione delle vulnerabilità del Centro sicurezza per immagini del Registro Azure Container
- Esportazione continua
Possibilità di impedire errori di configurazione della sicurezza tramite l'applicazione di raccomandazioni durante la creazione di nuove risorse
Gli errori di configurazione della sicurezza sono una delle cause principali degli eventi imprevisti di sicurezza. Il Centro sicurezza consente ora di contribuire a evitare gli errori di configurazione delle nuove risorse per quanto riguarda raccomandazioni specifiche.
Questa funzionalità può contribuire alla protezione dei carichi di lavoro e alla stabilizzazione del punteggio di sicurezza.
È possibile applicare una configurazione sicura, in base a una raccomandazione specifica, in due modalità:
Usando la modalità negata di Criteri di Azure, è possibile impedire la creazione di risorse non integre
Usando l'opzione applicata, è possibile sfruttare l'effetto DeployIfNotExist di Criteri di Azure e correggere automaticamente le risorse non conformi al momento della creazione
Questa opzione è disponibile per raccomandazioni di sicurezza selezionate e si trova nella parte superiore della pagina dei dettagli delle risorse.
Per altre informazioni, vedere Impedire gli errori di configurazione con le raccomandazioni di tipo Imponi/Nega.
Miglioramento alle raccomandazioni per i gruppi di sicurezza di rete
Le raccomandazioni di sicurezza seguenti correlate ai gruppi di sicurezza di rete sono state migliorate per ridurre alcune istanze di falsi positivi.
- È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla VM
- È consigliabile chiudere le porte di gestione nelle macchine virtuali
- Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete
- Le subnet devono essere associate a un gruppo di sicurezza di rete
Deprecazione della raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" del servizio Azure Kubernetes
La raccomandazione in anteprima "I criteri di sicurezza pod devono essere definiti nei servizi Kubernetes" verrà deprecata come illustrato nella documentazione del servizio Azure Kubernetes.
La funzionalità dei criteri di sicurezza dei pod (anteprima) è impostata per la deprecazione e non sarà più disponibile dopo il 15 ottobre 2020 a favore di Criteri di Azure per il servizio Azure Kubernetes.
Dopo la deprecazione di Criteri di sicurezza dei pod (anteprima), sarà necessario disabilitare la funzionalità in eventuali cluster esistenti che usano la funzionalità deprecata per eseguire aggiornamenti futuri del cluster e mantenere il supporto tecnico di Azure.
Miglioramento delle notifiche tramite posta elettronica dal Centro sicurezza di Azure
Le aree seguenti dei messaggi di posta elettronica correlati agli avvisi di sicurezza sono state migliorate:
- Aggiunta della possibilità di inviare notifiche tramite posta elettronica sugli avvisi per tutti i livelli di gravità
- Aggiunta la possibilità di inviare notifiche agli utenti con ruoli di Azure diversi nella sottoscrizione
- Notifiche proattive per i proprietari delle sottoscrizioni per impostazione predefinita in caso di avvisi a gravità alta, con probabilità elevata di essere violazioni effettive
- Rimozione del campo relativo al numero di telefono dalla pagina di configurazione delle notifiche tramite posta elettronica
Per altre informazioni, vedere Configurare le notifiche tramite posta elettronica per gli avvisi di sicurezza.
Raccomandazioni in anteprima non incluse nel punteggio di sicurezza
Il Centro sicurezza valuta continuamente risorse, sottoscrizioni e organizzazione per rilevare problemi di sicurezza. Tutti i risultati vengono quindi aggregati in un singolo punteggio, in modo da poter capire, a colpo d'occhio, lo stato di sicurezza corrente: maggiore è il punteggio, minore è il livello di rischio identificato.
Quando vengono individuate nuove minacce, vengono resi disponibili nuovi consigli sulla sicurezza nel Centro sicurezza tramite nuove raccomandazioni. Per evitare modifiche inaspettate al punteggio di sicurezza e per offrire un periodo di tolleranza in cui è possibile esplorare le nuove raccomandazioni prima che influiscano sui punteggi, le raccomandazioni contrassegnate come Anteprima non sono più incluse nei calcoli del punteggio di sicurezza. È comunque necessario correggerle non appena possibile, in modo che possano contribuire al punteggio al termine del periodo di anteprima.
Le raccomandazioni di tipo Anteprima non contrassegnano inoltre una risorsa come "Non integra".
Esempio di una raccomandazione in anteprima:
Altre informazioni sul punteggio di sicurezza.
Indicatore di gravità e intervallo di aggiornamento ora inclusi nelle raccomandazioni
La pagina dei dettagli per le raccomandazioni include ora un indicatore dell'intervallo di aggiornamento, se rilevante, e un'indicazione chiara della gravità della raccomandazione.
Agosto 2020
Gli aggiornamenti del mese di agosto includono quanto segue:
- Inventario delle risorse: nuova visualizzazione potente del comportamento di sicurezza delle risorse
- Aggiunta del supporto per le impostazioni predefinite per la sicurezza di Azure Active Directory (per l'autenticazione a più fattori)
- Aggiunta di una raccomandazione per le entità servizio
- Valutazione delle vulnerabilità nelle VM: consolidamento di raccomandazioni e criteri
- Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa ASC_default
Inventario delle risorse: nuova visualizzazione potente del comportamento di sicurezza delle risorse
L'inventario delle risorse del Centro sicurezza, attualmente disponibile in anteprima, offre una modalità per visualizzare il comportamento di sicurezza delle risorse connesse al Centro sicurezza.
Il Centro sicurezza analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza. Fornisce quindi raccomandazioni su come correggere tali vulnerabilità. Le risorse a cui sono associate raccomandazioni in attesa verranno visualizzate nell'inventario.
È possibile usare la visualizzazione e i rispettivi filtri per esplorare i dati del comportamento di sicurezza ed eseguire altre azioni in base ai risultati.
Altre informazioni sull'inventario delle risorse.
Aggiunta del supporto per le impostazioni predefinite per la sicurezza di Azure Active Directory (per l'autenticazione a più fattori)
Il Centro sicurezza ha aggiunto il supporto completo per le impostazioni predefinite per la sicurezza, le protezioni di sicurezza delle identità gratuite di Microsoft.
Le impostazioni predefinite per la sicurezza offrono impostazioni preconfigurate per la sicurezza delle identità per proteggere l'organizzazione da attacchi comuni correlati alle identità. Le impostazioni predefinite per la sicurezza proteggono già più di 5 milioni di tenant complessivamente. 50.000 tenant sono protetti anche dal Centro sicurezza.
Il Centro sicurezza fornisce ora una raccomandazione sulla sicurezza ogni volta che identifica una sottoscrizione di Azure in cui non sono abilitate le impostazioni predefinite per la sicurezza. Fino ad ora, il Centro sicurezza ha consigliato di abilitare l'autenticazione a più fattori usando l'accesso condizionale, che fa parte della licenza Premium di Azure Active Directory (AD). Per i clienti che usano Azure AD Gratuito è ora consigliabile abilitare le impostazioni predefinite per la sicurezza.
L'obiettivo consiste nell'invitare più clienti a proteggere gli ambienti cloud tramite autenticazione a più fattori e attenuare uno dei rischi più elevati e con impatto più significativo sul punteggio di sicurezza.
Altre informazioni sulle impostazioni predefinite per la sicurezza.
Aggiunta di una raccomandazione per le entità servizio
È stata aggiunta una nuova raccomandazione per consigliare ai clienti del Centro sicurezza di usare i certificati di gestione per gestire le sottoscrizioni passando alle entità servizio.
La raccomandazione Per proteggere le sottoscrizioni è consigliabile usare le entità servizio invece dei certificati di gestione consiglia di usare le entità servizio o Azure Resource Manager per migliorare la sicurezza della gestione delle sottoscrizioni.
Altre informazioni su Oggetti applicazione ed entità servizio in Azure Active Directory.
Valutazione delle vulnerabilità nelle VM: consolidamento di raccomandazioni e criteri
Il Centro sicurezza esamina le VM per rilevare se eseguono una soluzione di valutazione delle vulnerabilità. Se non viene trovata alcuna soluzione di valutazione delle vulnerabilità, il Centro sicurezza fornisce una raccomandazione per semplificare la distribuzione.
Quando vengono trovate vulnerabilità, il Centro sicurezza fornisce una raccomandazione che riepiloga i risultati per consentire l'indagine e la correzione, se necessario.
Per assicurare un'esperienza coerente per tutti gli utenti, indipendentemente dal tipo di rilevatore usato, quattro raccomandazioni sono state combinate nelle due raccomandazioni seguenti:
Raccomandazione unificata | Descrizione delle modifiche |
---|---|
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Sostituisce le due raccomandazioni seguenti: Abilitare la soluzione di valutazione della vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys (ora deprecata) (incluso con il livello standard) La soluzione di valutazione della vulnerabilità deve essere installata nelle macchine virtuali (ora deprecate) (livelli Standard e gratuito) |
È consigliabile correggere le vulnerabilità nelle macchine virtuali | Sostituisce le due raccomandazioni seguenti: Correggere le vulnerabilità rilevate nelle macchine virtuali (basate su Qualys) (ora deprecate) Le vulnerabilità devono essere risolte da una soluzione di valutazione della vulnerabilità (ora deprecata) |
A questo punto si userà la stessa raccomandazione per distribuire l'estensione di valutazione delle vulnerabilità del Centro sicurezza o una soluzione con licenza privata ("BYOL") da un partner, ad esempio Qualys o Rapid 7.
Quando le vulnerabilità vengono trovate e segnalate al Centro sicurezza, una singola raccomandazione informerà gli utenti in merito alla disponibilità dei risultati, indipendentemente dalla soluzione di valutazione delle vulnerabilità che le ha individuate.
Aggiornamento delle dipendenze
Se sono presenti script, query o automazioni che fanno riferimento a raccomandazioni o chiavi/nomi di criteri precedenti, usare la tabella seguente per aggiornare i riferimenti:
Prima del mese di agosto 2020
Elemento consigliato | Ambito |
---|---|
Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys) Chiave: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Predefinito |
Correggere le vulnerabilità rilevate nelle macchine virtuali (con tecnologia Qualys) Chiave: 1195afff-c881-495e-9bc5-1486211ae03f |
Predefinito |
È consigliabile installare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Chiave: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
Le vulnerabilità devono essere risolte tramite una soluzione di valutazione della vulnerabilità Chiave: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
Criteri | Ambito |
---|---|
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Predefinito |
È consigliabile correggere le vulnerabilità tramite una soluzione di valutazione della vulnerabilità ID criterio: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Dal mese di agosto 2020
Elemento consigliato | Ambito |
---|---|
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Chiave: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Predefinito + BYOL |
È consigliabile correggere le vulnerabilità nelle macchine virtuali Chiave: 1195afff-c881-495e-9bc5-1486211ae03f |
Predefinito + BYOL |
Criteri | Ambito |
---|---|
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle macchine virtuali ID criterio: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Predefinito + BYOL |
Nuovi criteri di sicurezza del servizio Azure Kubernetes aggiunti all'iniziativa ASC_default
Per assicurare che i carichi di lavoro di Kubernetes siano protetti per impostazione predefinita, il Centro sicurezza aggiunge criteri e raccomandazioni per la protezione avanzata a livello di Kubernetes, incluse opzioni di imposizione con il controllo ammissione di Kubernetes.
La fase iniziale di questo progetto include un'anteprima e l'aggiunta di nuovi criteri (disabilitati per impostazione predefinita) all'iniziativa ASC_default.
È possibile ignorare questi criteri, senza impatto sull'ambiente. Se si vuole abilitarli, iscriversi all'anteprima tramite la community privata di Microsoft Cloud Security e selezionare tra le opzioni seguenti:
- Anteprima singola: per partecipare solo a questa anteprima. Indicare in modo esplicito "Analisi continua asc" come anteprima da aggiungere.
- Programma in corso: per partecipare a questa anteprima privata e alle anteprime private future. Dovrai completare un profilo e un contratto sulla privacy.
Luglio 2020
Gli aggiornamenti del mese di luglio includono quanto segue:
- La valutazione della vulnerabilità per le macchine virtuali è ora disponibile per le immagini che non si trovano nel marketplace
- Espansione della protezione dalle minacce per Archiviazione di Azure in modo da includere File di Azure e Azure Data Lake Storage Gen2 (anteprima)
- Otto nuove raccomandazioni per abilitare le funzionalità di protezione dalle minacce
- Miglioramenti alla sicurezza dei contenitori: analisi più rapida dei registri e documentazione aggiornata
- Aggiornamento dei controlli applicazioni adattivi con una nuova raccomandazione e supporto per caratteri jolly nelle regole di percorso
- Sei criteri per la funzionalità deprecata Sicurezza dei dati avanzata SQL
Disponibilità della valutazione delle vulnerabilità per macchine virtuali per immagini non del marketplace
Quando è stata distribuita una soluzione di valutazione della vulnerabilità, il Centro sicurezza ha eseguito in precedenza un controllo di convalida prima della distribuzione. Il controllo consentiva di confermare la disponibilità di uno SKU del marketplace della macchina virtuale di destinazione.
Da questo aggiornamento, il controllo viene rimosso ed è ora possibile distribuire gli strumenti di valutazione della vulnerabilità nei computer Windows e Linux "personalizzati". Le immagini personalizzate sono immagini modificate a partire da impostazioni predefinite del marketplace.
Anche se è ora possibile distribuire l'estensione di valutazione delle vulnerabilità integrata (con tecnologia Qualys) in molti altri computer, il supporto è disponibile solo se si usa un sistema operativo elencato in Distribuire il rilevatore di vulnerabilità integrato nelle macchine virtuali di livello Standard
Altre informazioni sul rilevatore di vulnerabilità integrato per macchine virtuali (richiede Azure Defender).
Altre informazioni sull'uso della propria soluzione di valutazione delle vulnerabilità con licenza privata da Qualys o Rapid7
in Distribuzione di una soluzione di analisi delle vulnerabilità dei partner.
Espansione della protezione dalle minacce per Archiviazione di Azure in modo da includere File di Azure e Azure Data Lake Storage Gen2 (anteprima)
Threat Protection per Archiviazione di Azure rileva le attività potenzialmente dannose negli account di archiviazione di Azure. Il Centro sicurezza mostra avvisi quando rileva tentativi di accesso o di exploit degli account di archiviazione.
I dati possono essere protetti indipendentemente dal fatto che siano archiviati come contenitori BLOB, condivisioni file o data lake.
Otto nuove raccomandazioni per abilitare le funzionalità di protezione dalle minacce
Sono state aggiunte otto nuove raccomandazioni per offrire un modo semplice per abilitare le funzionalità di protezione dalle minacce del Centro sicurezza di Azure per i tipi di risorse seguenti: macchine virtuali, piani di servizio app, server di database SQL di Azure, Server SQL nei computer, account di archiviazione di Azure, cluster del servizio Azure Kubernetes, registri del Registro Azure Container e insiemi di credenziali di Azure Key Vault.
Di seguito sono elencate le nuove raccomandazioni:
- La soluzione Sicurezza dei dati avanzata deve essere abilitata nei server del database SQL di Azure
- La soluzione Sicurezza dei dati avanzata deve essere abilitata in SQL Server in macchine virtuali
- La soluzione Advanced Threat Protection deve essere abilitata nei piani di servizio app di Azure
- La soluzione Advanced Threat Protection deve essere abilitata nei registri in Registro Azure Container
- La soluzione Advanced Threat Protection deve essere abilitata negli insiemi di credenziali in Azure Key Vault
- La soluzione Advanced Threat Protection deve essere abilitata nei cluster del servizio Azure Kubernetes
- La soluzione Advanced Threat Protection deve essere abilitata negli account di archiviazione di Azure
- È consigliabile abilitare Advanced Threat Protection nelle macchine virtuali
Le raccomandazioni includono anche la capacità di correzione rapida.
Importante
La correzione in base a una di queste raccomandazioni comporterà addebiti per la protezione delle risorse rilevanti. L'applicazione degli addebiti inizierà immediatamente se sono presenti risorse correlate nella sottoscrizione corrente oppure inizierà in futuro se si aggiungono risorse in un momento successivo.
Se ad esempio non sono presenti cluster del servizio Azure Kubernetes nella sottoscrizione e si abilita la protezione dalle minacce, non verranno applicati addebiti. Se in futuro si aggiunge un cluster nella stessa sottoscrizione, il cluster verrà protetto automaticamente e l'applicazione degli addebiti avrà inizio in tale momento.
Altre informazioni sulla protezione dalle minacce nel Centro sicurezza di Azure.
Miglioramenti alla sicurezza dei contenitori: analisi più rapida dei registri e documentazione aggiornata
Come parte degli investimenti continui nel dominio della sicurezza dei contenitori, è ora disponibile nel Centro sicurezza un miglioramento significativo delle prestazioni per le analisi dinamiche di immagini dei contenitori archiviate nel Registro Azure Container. Le analisi vengono ora in genere completate in due minuti circa. In alcuni casi l'analisi potrebbe richiedere fino a 15 minuti.
Per migliorare la chiarezza e le indicazioni correlate alle funzionalità di sicurezza dei contenitori del Centro sicurezza di Azure, sono stati anche apportati aggiornamenti alle pagine della documentazione sulla sicurezza.
Aggiornamento dei controlli applicazioni adattivi con una nuova raccomandazione e supporto per caratteri jolly nelle regole di percorso
Sono stati apportati due aggiornamenti significativi alla funzionalità Controlli applicazioni adattivi:
Una nuova raccomandazione identifica un comportamento potenzialmente legittimo che non era consentito in precedenza. La nuova raccomandazione, Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate, richiede l'aggiunta di nuove regole al criterio esistente per ridurre il numero di falsi positivi negli avvisi di violazione dei controlli applicazioni adattivi.
Le regole di percorso supportano ora i caratteri jolly. A partire da questo aggiornamento, è possibile configurare le regole di percorso consentite usando i caratteri jolly. Sono supportati due scenari:
Utilizzando un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.
Uso di un carattere jolly al centro del percorso per consentire un nome di file eseguibile noto con un nome di cartella modificabile (ad esempio cartelle personali dell'utente con un file eseguibile noto, nomi di cartella generati automaticamente e così via)
Sei criteri per la funzionalità deprecata Sicurezza dei dati avanzata SQL
Verranno deprecati sei criteri correlati alla sicurezza dei dati avanzata per i computer SQL:
- I tipi di protezione di Advanced Threat Protection devono essere impostati su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
- È necessario impostare i tipi di protezione di Advanced Threat Protection su "Tutti" nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
- Le impostazioni di Sicurezza dei dati avanzata per l'istanza gestita di SQL devono contenere un indirizzo di posta elettronica per ricevere gli avvisi di sicurezza
- Le impostazioni di Sicurezza dei dati avanzata per SQL Server devono contenere un indirizzo di posta elettronica per ricevere gli avvisi di sicurezza
- Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
- Le notifiche tramite posta elettronica agli amministratori e ai proprietari della sottoscrizione devono essere abilitate nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
Altre informazioni sui criteri predefiniti.
Giugno 2020
Gli aggiornamenti del mese di giugno includono quanto segue:
- API Secure Score (anteprima)
- Sicurezza dei dati avanzata per i computer SQL (Azure, altri cloud e locali) (anteprima)
- Due nuove raccomandazioni per distribuire l'agente di Log Analytics in computer Azure Arc (anteprima)
- Nuovi criteri per creare configurazioni di esportazione continua e di automazione dei flussi di lavoro su larga scala
- Nuova raccomandazione per l'uso dei gruppi di sicurezza di rete per proteggere macchine virtuali non connesse a Internet
- Nuovi criteri per l'abilitazione della protezione dalle minacce e della sicurezza dei dati avanzata
API Secure Score (anteprima)
È ora possibile accedere al punteggio tramite l'API Secure Score, attualmente disponibile in anteprima. I metodi dell'API offrono la flessibilità necessaria per eseguire query nei dati e creare un meccanismo personalizzato per la creazione di report sui punteggi di sicurezza nel tempo. È ad esempio possibile usare l'API Secure Score per ottenere il punteggio per una sottoscrizione specifica. È anche possibile usare l'API Secure Score Controls per elencare i controlli di sicurezza e il punteggio corrente delle sottoscrizioni.
Per esempi di strumenti esterni consentiti dall'API Secure Score, vedere l'area relativa a Secure Score della community di GitHub.
Altre informazioni sul punteggio di sicurezza e i controlli di sicurezza nel Centro sicurezza di Azure.
Sicurezza dei dati avanzata per i computer SQL (Azure, altri cloud e locali) (anteprima)
La funzionalità Sicurezza dei dati avanzata per computer SQL del Centro sicurezza di Azure protegge ora i server SQL ospitati in Azure, in altri ambienti cloud e anche in computer locali. Le protezioni per i server SQL nativi di Azure vengono quindi estese in modo da supportare completamente gli ambienti ibridi.
Sicurezza dei dati avanzata offre la valutazione delle vulnerabilità e la protezione avanzata dalle minacce per i computer SQL, ovunque si trovino.
La configurazione comporta due passaggi:
Distribuzione dell'agente di Log Analytics nel computer host di SQL Server per fornire la connessione all'account Azure.
Abilitazione dell'aggregazione facoltativa della pagina dei prezzi e delle impostazioni del Centro sicurezza.
Altre informazioni sulla sicurezza dei dati avanzata per computer SQL.
Due nuove raccomandazioni per distribuire l'agente di Log Analytics in computer Azure Arc (anteprima)
Sono state aggiunte due nuove raccomandazioni per semplificare la distribuzione dell'Agente di Log Analytics nei computer Azure Arc e per assicurare che siano protetti dal Centro sicurezza di Azure:
- L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Windows (anteprima)
- L'agente di Log Analytics deve essere installato nelle macchine virtuali Azure Arc basate su Linux (anteprima)
Queste nuove raccomandazioni verranno visualizzate negli stessi quattro controlli di sicurezza che includono la raccomandazione esistente correlata, È consigliabile installare l'agente di monitoraggio nei computer: Correggi le configurazioni di sicurezza, Applica il controllo applicazioni adattivo, Applica gli aggiornamenti del sistema e Abilita Endpoint Protection.
Le raccomandazioni includono anche la funzionalità correzione rapida per accelerare il processo di distribuzione.
Per altre informazioni sul modo in cui il Centro sicurezza di Azure usa l'agente, vedere Che cos'è l'agente di Log Analytics?.
Altre informazioni sulle estensioni per i computer Azure Arc.
Nuovi criteri per creare configurazioni di esportazione continua e di automazione dei flussi di lavoro su larga scala
L'automazione dei processi di monitoraggio e risposta agli eventi imprevisti dell'organizzazione può migliorare significativamente il tempo necessario per indagare e attenuare gli eventi imprevisti relativi alla sicurezza.
Per distribuire le configurazioni di automazione nell'organizzazione, usare questi criteri "DeployIfdNotExist" predefiniti di Azure per creare e configurare le procedure di esportazione continua e automazione dei flussi di lavoro:
Le definizioni dei criteri sono disponibili in Criteri di Azure:
Obiettivo | Criteri | ID criterio |
---|---|---|
Esportazione continua in Hub eventi | Distribuire l'esportazione in Hub eventi per Centro sicurezza di Azure avvisi e raccomandazioni | cdfcce10-4578-4ecd-9703-530938e4abcb |
Esportazione continua nell'area di lavoro Log Analytics | Distribuisci esportazione nell'area di lavoro Log Analytics per gli avvisi e le raccomandazioni del Centro sicurezza di Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
Automazione dei flussi di lavoro per gli avvisi di sicurezza | Distribuisci automazione del flusso di lavoro per gli avvisi del Centro sicurezza di Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
Automazione dei flussi di lavoro per le raccomandazioni sulla sicurezza | Distribuisci automazione del flusso di lavoro per le raccomandazioni del Centro sicurezza di Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Introduzione ai modelli di automazione dei flussi di lavoro.
Per altre informazioni sull'uso dei due criteri di esportazione, vedere Configurare l'automazione del flusso di lavoro su larga scala usando i criteri forniti e Configurare un'esportazione continua.
Nuova raccomandazione per l'uso dei gruppi di sicurezza di rete per proteggere macchine virtuali non connesse a Internet
Il controllo di sicurezza "Implementa le procedure consigliate per la sicurezza" include ora la nuova raccomandazione seguente:
- Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete
Una raccomandazione esistente, Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete, non distingueva tra le macchine virtuali connesse a Internet e non connesse a Internet. Veniva generata per entrambi i tipi di VM una raccomandazione con gravità alta se una VM non era assegnata a un gruppo di sicurezza di rete. Questa nuova raccomandazione separa le macchine virtuali non connesse a Internet per ridurre i falsi positivi ed evitare avvisi con gravità elevata non necessari.
Nuovi criteri per l'abilitazione della protezione dalle minacce e della sicurezza dei dati avanzata
Le nuove definizioni di criteri seguenti sono state aggiunte all'iniziativa Predefinita del Centro sicurezza di Azure e sono progettate per facilitare l'abilitazione della protezione dalle minacce o della sicurezza dei dati avanzata per i tipi di risorse pertinenti.
Le definizioni dei criteri sono disponibili in Criteri di Azure:
Altre informazioni sulla protezione dalle minacce nel Centro sicurezza di Azure.
Maggio 2020
Gli aggiornamenti del mese di maggio includono quanto segue:
- Regole di eliminazione degli avvisi (anteprima)
- La valutazione della vulnerabilità della macchina virtuale è ora disponibile a livello generale
- Modifiche all'accesso Just-In-Time (JIT) alle macchine virtuali
- Le raccomandazioni personalizzate sono state spostate in un controllo di sicurezza separato
- È stato aggiunto un interruttore per visualizzare le raccomandazioni nei controlli o come elenco semplice
- Il controllo di sicurezza "Implementa le procedure consigliate per la sicurezza" è stato espanso
- I criteri personalizzati con metadati personalizzati sono ora disponibili a livello generale
- Funzionalità di analisi dei dump di arresto anomalo del sistema di migrazione al rilevamento degli attacchi senza file
Regole di eliminazione degli avvisi (anteprima)
Questa nuova funzionalità, attualmente in anteprima, semplifica le attività correlate agli avvisi. Usare regole per nascondere automaticamente gli avvisi noti come innocui o correlati alle normali attività dell'organizzazione. In questo modo è possibile concentrarsi sulle minacce più pertinenti.
Gli avvisi che corrispondono alle regole di eliminazione abilitate vengono comunque generati, ma il loro stato viene impostato su Ignorato. È possibile visualizzare lo stato nel portale di Azure o accedere agli avvisi di sicurezza del Centro sicurezza.
Le regole di eliminazione definiscono i criteri per cui gli avvisi devono essere automaticamente ignorati. In genere, si usa una regola di eliminazione per:
eliminare gli avvisi identificati come falsi positivi
eliminare gli avvisi che vengono attivati troppo spesso per essere utili
Sono disponibili altre informazioni sull'eliminazione degli avvisi dalla protezione dalle minacce del Centro sicurezza di Azure.
La valutazione delle vulnerabilità delle macchine virtuali è ora disponibile a livello generale
Il livello standard del Centro sicurezza include ora una valutazione integrata delle vulnerabilità per le macchine virtuali, senza costi aggiuntivi. Questa estensione è supportata da Qualys, ma segnala i risultati direttamente al Centro sicurezza. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza.
La nuova soluzione può analizzare continuamente le macchine virtuali per individuare le vulnerabilità e presentare i risultati nel Centro sicurezza.
Per distribuire la soluzione, usare la nuova raccomandazione per la sicurezza:
"Abilitare la soluzione di valutazione delle vulnerabilità predefinita nelle macchine virtuali (con tecnologia Qualys)"
Sono disponibili altre informazioni sulla valutazione delle vulnerabilità integrata del Centro sicurezza per le macchine virtuali.
Modifiche all'accesso JIT (just-in-time) alle macchine virtuali
Il Centro sicurezza include una funzionalità opzionale per proteggere le porte di gestione delle macchine virtuali. Questa funzionalità garantisce una difesa contro la forma più comune di attacchi di forza bruta.
Questo aggiornamento apporta le seguenti modifiche a questa funzionalità:
La raccomandazione che consiglia di abilitare JIT in una macchina virtuale è stata rinominata. In precedenza, "Il controllo di accesso alla rete JUST-in-time deve essere applicato alle macchine virtuali" è ora: "Le porte di gestione delle macchine virtuali devono essere protette con il controllo di accesso alla rete JUST-in-time".
La raccomandazione viene attivata solo se sono presenti porte di gestione aperte.
Sono disponibili altre informazioni sulla funzionalità di accesso JIT.
Le raccomandazioni personalizzate sono state spostate in un controllo di sicurezza distinto
Un controllo di sicurezza introdotto con il punteggio di sicurezza avanzato è stato "Implementare le procedure consigliate per la sicurezza". Tutti i consigli personalizzati creati per le sottoscrizioni sono stati inseriti automaticamente in tale controllo.
Per semplificare l'individuazione delle raccomandazioni personalizzate, le abbiamo spostate in un controllo di sicurezza dedicato, "Raccomandazioni personalizzate". Questo controllo non ha alcun impatto sul punteggio di sicurezza.
Altre informazioni sui controlli di sicurezza sono disponibili in Enhanced secure score (preview) in Azure Security Center (Punteggio di sicurezza migliorato (anteprima) nel Centro sicurezza di Azure).
Interruttore aggiunto per visualizzare le raccomandazioni nei controlli o come elenco semplice
I controlli di sicurezza sono gruppi logici di raccomandazioni correlate alla sicurezza. Riflettono le superfici di attacco vulnerabili. Un controllo è un insieme di raccomandazioni per la sicurezza, con istruzioni che consentono di implementare tali raccomandazioni.
Per verificare immediatamente in che modo l'organizzazione protegge ogni singola superficie di attacco, esaminare i punteggi per ogni controllo di sicurezza.
Per impostazione predefinita, le raccomandazioni vengono visualizzate nei controlli di sicurezza. Da questo aggiornamento è inoltre possibile visualizzarle come elenco. Per visualizzarle come semplici elenchi ordinati in base allo stato di integrità delle risorse interessate, usare il nuovo interruttore di raggruppamento per controlli. L'interruttore è in cima all'elenco nel portale.
I controlli di sicurezza, e questo interruttore, fanno parte della nuova esperienza di assegnazione dei punteggi di sicurezza. Ricordarsi di inviare feedback dall'interno del portale.
Altre informazioni sui controlli di sicurezza sono disponibili in Enhanced secure score (preview) in Azure Security Center (Punteggio di sicurezza migliorato (anteprima) nel Centro sicurezza di Azure).
Controllo di sicurezza espanso "Implement security best practices" (Implementa procedure consigliate per la sicurezza)
Un controllo di sicurezza introdotto con il punteggio di sicurezza avanzato è "Implementare le procedure consigliate per la sicurezza". Quando una raccomandazione è in questo controllo, non influisce sul punteggio di sicurezza.
Con questo aggiornamento, tre raccomandazioni sono state spostate dai controlli in cui erano originariamente posizionate e inserite in questo controllo di procedure consigliate. Ciò è dovuto al fatto che il rischio di queste tre raccomandazioni è risultato inferiore a quello inizialmente previsto.
Sono state introdotte due nuove raccomandazioni aggiunte a questo controllo.
Le tre raccomandazioni spostate sono:
- La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di lettura per la sottoscrizione (in origine, il controllo "Abilita MFA")
- Gli account esterni con autorizzazioni di lettura devono essere rimossi dalla sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)
- Deve essere designato un massimo di 3 proprietari per la sottoscrizione (in origine, il controllo "Manage access and permissions") (Gestisci accesso e autorizzazioni)
Le due nuove raccomandazioni aggiunte al controllo sono:
È consigliabile installare l'estensione Configurazione guest nelle macchine virtuali Windows (anteprima): l'uso di Configurazione guest di Criteri di Azure fornisce la visibilità all'interno delle macchine virtuali per le impostazioni di server e applicazioni (solo Windows).
È consigliabile abilitare Windows Defender Exploit Guard nei computer (anteprima) - Windows Defender Exploit Guard sfrutta i vantaggi di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows).
Per altre informazioni su Windows Defender Exploit Guard, vedere Creare e distribuire criteri di Exploit Guard.
Per altre informazioni sui controlli di sicurezza, vedere Punteggio di sicurezza migliorato (anteprima).
I criteri personalizzati con metadati personalizzati sono ora disponibili a livello generale
I criteri personalizzati fanno ora parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità alle normative. Questa funzionalità è ora disponibile a livello generale e consente di estendere la copertura della valutazione della sicurezza dell'organizzazione nel Centro sicurezza.
Creare un'iniziativa personalizzata in Criteri di Azure, aggiungervi criteri ed eseguirne l'onboarding per Centro sicurezza di Azure e visualizzarla come raccomandazioni.
È stata anche aggiunta la possibilità di modificare i metadati delle raccomandazioni personalizzate. Le opzioni dei metadati includono gravità, procedure di correzione, informazioni sulle minacce e altro ancora.
Sono disponibili altre informazioni sull'ottimizzazione delle raccomandazioni personalizzate con informazioni dettagliate.
Migrazione delle funzionalità di analisi dei dump di arresto anomalo al rilevamento di attacchi senza file
Le funzionalità di rilevamento delle analisi dei dump di arresto anomalo di Windows sono state integrate nel rilevamento degli attacchi senza file. L'analisi del rilevamento degli attacchi senza file offre versioni migliorate degli avvisi di sicurezza seguenti per i computer Windows: individuazione dell'inserimento del codice, rilevamento del modulo Windows mascheramento, individuazione del codice della shell e segmento di codice sospetto rilevato.
Alcuni vantaggi di questa transizione:
Rilevamento proattivo e tempestivo di malware: l'approccio di analisi dei dump di arresto anomalo prevedeva l'attesa che si verificasse un arresto anomalo e quindi l'esecuzione dell'analisi per individuare gli artefatti dannosi. L'uso del rilevamento di attacchi senza file consente di identificare in modo proattivo le minacce in memoria durante l'esecuzione.
Avvisi avanzati: gli avvisi di sicurezza dal rilevamento di attacchi senza file includono miglioramenti non disponibili con l'analisi dei dump di arresto anomalo, come le informazioni sulle connessioni di rete attive.
Aggregazione di avvisi: quando l'analisi dei dump di arresto anomalo rilevava più schemi di attacco in un singolo evento di arresto, attivava più avvisi di sicurezza. Il rilevamento di attacchi senza file combina tutti gli schemi di attacco identificati dallo stesso processo in un singolo avviso, eliminando la necessità di correlare più avvisi.
Riduzione dei requisiti nell'area di lavoro Log Analytics: i dump di arresto anomalo contenenti dati potenzialmente sensibili non verranno più caricati nell'area di lavoro Log Analytics.
Aprile 2020
Gli aggiornamenti del mese di aprile includono quanto segue:
- I pacchetti di conformità dinamica sono ora disponibili a livello generale
- Raccomandazioni per le identità ora incluse nel livello gratuito di Centro sicurezza di Azure
I pacchetti di conformità dinamici sono ora disponibili a livello generale
Il dashboard di conformità alle normative del Centro sicurezza di Azure include ora pacchetti di conformità dinamici (ora disponibili a livello generale) per tenere traccia di altri standard di settore e normativi.
È possibile aggiungere pacchetti di conformità dinamici alla sottoscrizione o al gruppo di gestione dalla pagina dei criteri di sicurezza del Centro sicurezza. Quando viene caricato uno standard o un benchmark, viene visualizzato nel dashboard di conformità alle normative insieme ai dati di conformità associati mappati come valutazioni. È anche possibile scaricare un report di riepilogo per gli standard caricati.
Ora è possibile aggiungere standard come:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official e UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (novità) (una rappresentazione più completa di Azure CIS 1.1.0)
Inoltre, è stato aggiunto di recente Azure Security Benchmark, le linee guida specifiche di Azure, create da Microsoft per le procedure consigliate per la sicurezza e la conformità basate su framework di conformità comuni. Nel dashboard verranno supportati altri standard non appena saranno disponibili.
Sono disponibili altre informazioni sulla personalizzazione del set di standard nel dashboard di conformità alle normative.
Raccomandazioni per l'identità ora incluse nel livello gratuito del Centro sicurezza di Azure
Sono ora disponibili a livello generale raccomandazioni di sicurezza relative a identità e accesso nel livello gratuito del Centro sicurezza di Azure. Questa operazione rientra nell'impegno volto a rendere gratuite le funzionalità CSPM (Cloud Security Posture Management). Fino ad ora, queste raccomandazioni erano disponibili solo nel piano tariffario standard.
Esempi di raccomandazioni relative a identità e accesso includono:
- "La funzionalità MFA deve essere abilitata per gli account con autorizzazioni di proprietario per la sottoscrizione".
- "Deve essere designato un massimo di 3 proprietari per la sottoscrizione".
- "Gli account deprecati devono essere rimossi dalla sottoscrizione".
Se si hanno sottoscrizioni nel piano tariffario gratuito, il punteggio di sicurezza corrispondente sarà influenzato da questa modifica, in quanto non sono state precedentemente valutate in termini di sicurezza dell'accesso e delle identità.
Marzo 2020
Gli aggiornamenti di marzo includono:
- L'automazione del flusso di lavoro è ora disponibile a livello generale
- Integrazione di Centro sicurezza di Azure con Windows Admin Center
- Protezione per servizio Azure Kubernetes
- Miglioramento dell'esperienza JUST-in-time
- Due raccomandazioni sulla sicurezza per le applicazioni Web deprecate
L'automazione del flusso di lavoro è ora disponibile a livello generale
La funzionalità di automazione del flusso di lavoro del Centro sicurezza di Azure è ora disponibile a livello generale. È possibile usarla per attivare automaticamente le app per la logica negli avvisi di sicurezza e nelle raccomandazioni. Sono inoltre disponibili trigger manuali per gli avvisi e tutte le raccomandazioni per le quali è disponibile l'opzione di correzione rapida.
Ogni programma di sicurezza include più flussi di lavoro per la risposta agli eventi imprevisti. Questi processi possono includere la notifica a stakeholder di rilievo, l'avvio di un processo di gestione delle modifiche e l'applicazione di procedure di correzione specifiche. Gli esperti di sicurezza raccomandano di automatizzare quante più procedure possibili. L'automazione riduce il sovraccarico e può migliorare la sicurezza garantendo che i passaggi del processo vengano eseguiti rapidamente, in modo coerente e in base ai requisiti predefiniti.
Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.
Sono disponibili altre informazioni sulla creazione di app per la logica.
Integrazione del Centro sicurezza di Azure con Windows Admin Center
È ora possibile spostare i server Windows locali da Windows Admin Center direttamente al Centro sicurezza di Azure. Il Centro sicurezza diventa quindi il punto centrale in cui visualizzare le informazioni di sicurezza per tutte le risorse Windows Admin Center, inclusi i server locali, le macchine virtuali e carichi di lavoro PaaS aggiuntivi.
Dopo aver spostato un server da Windows Admin Center a Centro sicurezza di Azure, potrai:
- Visualizzare gli avvisi di sicurezza e le raccomandazioni nell'estensione del Centro sicurezza di Windows Admin Center.
- Visualizzare il comportamento di sicurezza e recuperare informazioni dettagliate aggiuntive dei server gestiti di Windows Admin Center nel Centro sicurezza all'interno del portale di Azure (o tramite un'API).
Sono disponibili altre informazioni su come integrare il Centro sicurezza di Azure con Windows Admin Center.
Protezione per il servizio Azure Kubernetes
Il Centro sicurezza di Azure espande le funzionalità di sicurezza dei contenitori per proteggere il servizio Azure Kubernetes.
Kubernetes è una piattaforma open source molto diffusa, che ora è uno standard di settore per l'orchestrazione dei contenitori. Nonostante questa implementazione diffusa, non è ancora possibile comprendere come proteggere un ambiente Kubernetes. Per difendere le aree di attacco di un'applicazione aggiunta a un contenitore, è necessario avere una certa esperienza per garantire che l'infrastruttura sia configurata in modo sicuro e costantemente monitorata per potenziali minacce.
La difesa del Centro sicurezza include:
- Individuazione e visibilità: individuazione continua delle istanze gestite del servizio Azure Kubernetes all'interno delle sottoscrizioni registrate nel Centro sicurezza.
- Raccomandazioni sulla sicurezza: raccomandazioni utili per la conformità alle procedure consigliate sulla sicurezza per il servizio Azure Kubernetes. Questi consigli sono inclusi nel punteggio di sicurezza per assicurarsi che siano considerati come parte del comportamento di sicurezza dell'organizzazione. Un esempio di raccomandazione correlata al servizio Azure Kubernetes potrebbe essere visualizzato è "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
- Protezione dalle minacce: grazie all'analisi continua della distribuzione del servizio Azure Kubernetes, il Centro sicurezza avvisa l'utente in merito a minacce e attività dannose rilevate a livello di host e del cluster del servizio.
Sono disponibili altre informazioni sull'integrazione del servizio Azure Kubernetes con il Centro sicurezza.
Sono disponibili altre informazioni sulle funzionalità di sicurezza dei contenitori nel Centro sicurezza.
Esperienza JIT migliorata
Le funzionalità, l'operazione e l'interfaccia utente per gli strumenti JIT di Centro sicurezza di Azure che proteggono le porte di gestione sono state migliorate nel modo seguente:
- Campo di giustificazione: quando si richiede l'accesso a una macchina virtuale tramite la pagina JIT del portale di Azure, è disponibile un nuovo campo facoltativo per immettere una giustificazione per la richiesta. Le informazioni immesse in questo campo possono essere rilevate nel log attività.
- Pulizia automatica di regole JIT ridondanti: ogni volta che si aggiorna un criterio JIT, viene eseguito automaticamente uno strumento di pulizia per verificare la validità dell'intero set di regole. Lo strumento cerca eventuali mancate corrispondenze tra le regole nei criteri e le regole nel gruppo di sicurezza di rete. Se lo strumento di pulizia rileva una mancata corrispondenza, determina la cause e, se l'operazione è sicura, rimuove le regole incorporate che non sono più necessarie. Lo strumento di pulizia non elimina mai le regole create dall'utente.
Sono disponibili altre informazioni sulla funzionalità di accesso JIT.
Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora deprecate
Due raccomandazioni sulla sicurezza per le applicazioni Web sono ora considerate deprecate:
È consigliabile applicare la protezione avanzata alle regole per le applicazioni Web nei gruppi di sicurezza di rete IaaS (Criterio correlato: le regole dei gruppi di sicurezza di rete per le applicazioni Web in IaaS devono essere rafforzate)
L'accesso ai Servizi app deve essere limitato (Criterio correlato: l'accesso alle servizio app deve essere limitato [anteprima])
Queste raccomandazioni non verranno più visualizzate nel relativo elenco del Centro sicurezza. I criteri correlati non verranno più inclusi nell'iniziativa denominata "Criteri predefiniti del Centro sicurezza".
Febbraio 2020
Rilevamento di attacchi senza file per Linux (anteprima)
Dal momento che gli utenti malintenzionati impiegano metodi sempre più sofisticati per evitare il rilevamento, il Centro sicurezza di Azure estende il rilevamento degli attacchi senza file a Linux, oltre che a Windows. Gli attacchi senza file sfruttano le vulnerabilità del software, introducono payload dannosi in processi di sistema benigni e si nascondono nella memoria. Queste tecniche:
- riducono al minimo o eliminano del tutto le tracce di malware sul disco
- riducono notevolmente le probabilità di rilevamento da parte di soluzioni di analisi dei malware basate su disco
Per contrastare questa minaccia, il Centro sicurezza di Azure ha rilasciato il rilevamento degli attacchi senza file per Windows nell'ottobre 2018 e ora ha esteso questa funzionalità anche a Linux.
Gennaio 2020
Punteggio di sicurezza migliorato (anteprima)
Una versione migliorata della funzionalità di punteggio di sicurezza del Centro sicurezza di Azure è ora disponibile in anteprima. In questa versione, più raccomandazioni vengono raggruppate nei controlli di sicurezza che riflettono meglio le superfici di attacco vulnerabili, limitando ad esempio l'accesso alle porte di gestione.
Acquisire familiarità con le modifiche apportate al punteggio di sicurezza durante la fase di anteprima e determinare altre correzioni che consentiranno di proteggere ulteriormente l'ambiente.
Altre informazioni sul punteggio di sicurezza avanzato (anteprima).
Novembre 2019
Gli aggiornamenti del mese di novembre includono quanto segue:
- Protezione dalle minacce per Azure Key Vault nelle aree di America del Nord (anteprima)
- Protezione dalle minacce per Archiviazione di Azure include lo screening della reputazione malware
- Automazione del flusso di lavoro con App per la logica (anteprima)
- Correzione rapida per le risorse in blocco disponibili a livello generale
- Analizzare le immagini del contenitore per individuare le vulnerabilità (anteprima)
- Altri standard di conformità alle normative (anteprima)
- Protezione dalle minacce per servizio Azure Kubernetes (anteprima)
- Valutazione della vulnerabilità della macchina virtuale (anteprima)
- Sicurezza dei dati avanzata per i server SQL in Azure Macchine virtuali (anteprima)
- Supporto per i criteri personalizzati (anteprima)
- Estensione della copertura Centro sicurezza di Azure con la piattaforma per community e partner
- Integrazioni avanzate con esportazione di raccomandazioni e avvisi (anteprima)
- Eseguire l'onboarding di server locali nel Centro sicurezza da Windows Admin Center (anteprima)
Protezione dalle minacce per Azure Key Vault nelle aree America del Nord (anteprima)
Azure Key Vault è un servizio essenziale per la protezione dei dati e il miglioramento delle prestazioni delle applicazioni cloud che offre la possibilità di gestire in modo centralizzato chiavi, segreti, chiavi crittografiche e criteri nel cloud. Poiché Azure Key Vault archivia dati sensibili e aziendali critici, richiede la massima sicurezza per gli insiemi di credenziali delle chiavi e i dati archiviati.
il supporto di Centro sicurezza di Azure per La protezione dalle minacce per Azure Key Vault offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli insiemi di credenziali delle chiavi. Questo nuovo livello di protezione consente ai clienti di affrontare le minacce agli insiemi di credenziali delle chiavi senza dover essere esperti di sicurezza o dover gestire sistemi di monitoraggio della sicurezza. La funzionalità è in anteprima pubblica nelle aree dell'America del Nord.
La protezione dalle minacce per Archiviazione di Azure include lo screening della reputazione del malware
La protezione dalle minacce per Archiviazione di Azure offre nuovi rilevamenti basati su Microsoft Threat Intelligence per il rilevamento di caricamenti di malware in Archiviazione di Azure tramite l'analisi della reputazione hash e l'accesso sospetto da un nodo di uscita Tor attivo (anonimizzazione proxy). È ora possibile visualizzare i malware rilevati negli account di archiviazione usando il Centro sicurezza di Azure.
Automazione del flusso di lavoro con App per la logica (anteprima)
Le organizzazioni con sicurezza gestita a livello centralizzato e IT/operazioni implementano processi di flusso di lavoro interni per condurre le azioni necessarie all'interno dell'organizzazione quando le discrepanze vengono individuate nei propri ambienti. In molti casi, questi flussi di lavoro sono processi ripetibili e l'automazione può semplificare significativamente i processi all'interno dell'organizzazione.
Attualmente viene introdotta una nuova funzionalità del Centro sicurezza che consente ai clienti di creare configurazioni di automazione sfruttando App per la logica di Azure e di creare criteri che li attiveranno automaticamente in base a risultati del certificato del servizio app specifici, ad esempio raccomandazioni o avvisi. App per la logica di Azure può essere configurato in modo da eseguire qualsiasi azione personalizzata supportata dalla vasta community di connettori di App per la logica oppure da usare uno dei modelli forniti dal Centro sicurezza, ad esempio l'invio di un messaggio di posta elettronica o l'apertura di un ticket ServiceNow™.
Per altre informazioni sulle funzionalità automatiche e manuali del Centro sicurezza per l'esecuzione dei flussi di lavoro, vedere Automazione del flusso di lavoro.
Per informazioni sulla creazione di app per la logica, vedere App per la logica di Azure.
Correzione rapida per le risorse bulk disponibili a livello generale
Con le numerose attività fornite a un utente come parte del punteggio di sicurezza, può essere difficile correggere efficacemente i problemi in una flotta di grandi dimensioni.
Usare correzione rapida per correggere errori di configurazione della sicurezza, correggere le raccomandazioni su più risorse e migliorare il punteggio di sicurezza.
Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.
La correzione rapida è attualmente disponibile a livello generale come parte della pagina Consigli del Centro sicurezza.
Analizzare le immagini del contenitore per le vulnerabilità (anteprima)
Il Centro sicurezza di Azure può ora analizzare le immagini del contenitore in Registro Azure Container per individuare eventuali vulnerabilità.
L'analisi delle immagini funziona analizzando il file dell'immagine del contenitore e quindi controllando se sono presenti vulnerabilità note (con tecnologia Qualys).
L'analisi viene attivata automaticamente quando si effettua il push di nuove immagini del contenitore in Registro Azure Container. Le vulnerabilità rilevate verranno visualizzate come raccomandazioni del Centro sicurezza e incluse nel punteggio di sicurezza insieme alle informazioni su come applicare patch per ridurre la superficie di attacco consentita.
Standard aggiuntivi di conformità con le normative (anteprima)
Il dashboard per la conformità con le normative fornisce informazioni approfondite sul comportamento di conformità in base alle valutazioni del Centro sicurezza. Il dashboard mostra il modo in cui l'ambiente è conforme ai controlli e ai requisiti designati da standard normativi specifici e da benchmark di settore e fornisce consigli per la gestione di questi requisiti.
Il dashboard di conformità alle normative ha finora supportato quattro standard predefiniti: Azure CIS 1.1.0, PCI-DSS, ISO 27001 e SOC-TSP. Viene ora annunciata la versione di anteprima pubblica di standard supportati aggiuntivi: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM e UK Official insieme al SERVIZIO sanitario nazionale britannico. Sta anche rilasciando una versione aggiornata di Azure CIS 1.1.0, che include più controlli dello standard e un miglioramento dell'estendibilità.
Protezione dalle minacce per il servizio Azure Kubernetes (anteprima)
Kubernetes sta diventando rapidamente il nuovo standard per la distribuzione e la gestione del software nel cloud. Pochi utenti hanno un'esperienza completa con Kubernetes e molti si concentrano solo sulla progettazione e l'amministrazione generali e danno uno sguardo rapido all'aspetto della sicurezza. Per garantire la sicurezza, l'ambiente Kubernetes deve essere configurato con cura, assicurandosi che non siano aperte porte della superficie di attacco incentrate sul contenitore per gli utenti malintenzionati. Il Centro sicurezza sta espandendo il supporto nello spazio del contenitore a uno dei servizi dalla crescita più rapida in Azure: il servizio Azure Kubernetes.
Le nuove funzionalità di questa versione di anteprima pubblica includono:
- Individuazione e visibilità : individuazione continua delle istanze del servizio Azure Kubernetes gestite nelle sottoscrizioni registrate del Centro sicurezza.
- Raccomandazioni per il punteggio di sicurezza: elementi interattivi che consentono ai clienti di rispettare le procedure consigliate per la sicurezza per il servizio Azure Kubernetes e aumentare il punteggio di sicurezza. Le raccomandazioni includono elementi come "Il controllo degli accessi in base al ruolo deve essere usato per limitare l'accesso a un cluster del servizio Kubernetes".
- Rilevamento delle minacce: analisi basata su host e cluster, ad esempio "Un contenitore con privilegi rilevato".
Valutazione della vulnerabilità della macchina virtuale (anteprima)
Le applicazioni installate in macchine virtuali possono spesso avere vulnerabilità che potrebbero causare una violazione della macchina virtuale. Si annuncia che il livello standard del Centro sicurezza include una valutazione della vulnerabilità predefinita per le macchine virtuali senza costi aggiuntivi. La valutazione della vulnerabilità, basata su Qualys nell'anteprima pubblica, consentirà di analizzare continuamente tutte le applicazioni installate in una macchina virtuale per trovare applicazioni vulnerabili e presentare i risultati nell'esperienza del portale del Centro sicurezza. Il Centro sicurezza si occupa di tutte le operazioni di distribuzione in modo che non sia necessario alcun lavoro aggiuntivo da parte dell'utente. In futuro si prevede di fornire opzioni di valutazione della vulnerabilità per supportare le esigenze aziendali specifiche dei clienti.
Altre informazioni sulle valutazioni della vulnerabilità per le macchine virtuali di Azure.
Sicurezza dei dati avanzata per i server SQL in macchine virtuali di Azure (anteprima)
il supporto di Centro sicurezza di Azure per la protezione dalle minacce e la valutazione delle vulnerabilità per i database SQL in esecuzione nelle macchine virtuali IaaS è ora disponibile in anteprima.
La valutazione della vulnerabilità è un servizio facile da configurare che consente di individuare, verificare e contribuire alla correzione di vulnerabilità potenziali dei database. Offre visibilità sul comportamento di sicurezza come parte del punteggio di sicurezza e include i passaggi per risolvere i problemi di sicurezza e migliorare le fortificazioni del database.
Advanced Threat Protection rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare il server SQL. Monitora in modo continuo il database in caso di attività sospette e fornisce avvisi di sicurezza orientati all'azione su modelli di accesso ai database anomali. Questi avvisi forniscono dettagli sulle attività sospette e azioni consigliate per l'analisi e la mitigazione della minaccia.
Supporto per criteri personalizzati (anteprima)
Il Centro sicurezza di Azure supporta ora criteri personalizzati (in anteprima).
I clienti Microsoft attendono da tempo la possibilità di estendere la copertura attuale della valutazione della sicurezza nel Centro sicurezza con le proprie valutazioni della sicurezza in base ai criteri creati in Criteri di Azure. Con il supporto per i criteri personalizzati, l'estensione della copertura è ora possibile.
Questi nuovi criteri faranno parte delle raccomandazioni del Centro sicurezza, del punteggio di sicurezza e del dashboard degli standard di conformità con le normative. Con il supporto per i criteri personalizzati, è ora possibile creare un'iniziativa personalizzata in Criteri di Azure, quindi aggiungerla come criterio nel Centro sicurezza e visualizzarla come raccomandazione.
Estensione della copertura del Centro sicurezza di Azure con piattaforma per community e partner
Usare il Centro sicurezza per ricevere raccomandazioni non solo da Microsoft, ma anche da soluzioni esistenti di partner quali Check Point, Tenable e CyberArk con molte altre integrazioni in arrivo. Il semplice flusso di onboarding del Centro sicurezza può connettere le soluzioni esistenti al Centro sicurezza, consentendo di visualizzare le raccomandazioni relative al comportamento di sicurezza in un'unica posizione, eseguire report unificati e sfruttare tutte le funzionalità del Centro sicurezza in base alle raccomandazioni predefinite e dei partner. È anche possibile esportare le raccomandazioni del Centro sicurezza nei prodotti partner.
Altre informazioni su Microsoft Intelligent Security Association.
Integrazioni avanzate con l'esportazione di raccomandazioni e avvisi (anteprima)
Per abilitare gli scenari di livello aziendale al centro sicurezza, è ora possibile usare gli avvisi e le raccomandazioni del Centro sicurezza in posizioni aggiuntive, ad eccezione del portale di Azure o dell'API. Questi possono essere esportati direttamente in un hub eventi e nelle aree di lavoro Log Analytics. Ecco alcuni flussi di lavoro che è possibile creare con queste nuove funzionalità:
- Con l'esportazione nell'area di lavoro Log Analytics è possibile creare dashboard personalizzati con Power BI.
- Con l'esportazione in Hub eventi, sarà possibile esportare gli avvisi e le raccomandazioni del Centro sicurezza nei SIEM di terze parti, in una soluzione di terze parti o in Azure Esplora dati.
Eseguire l'onboarding di server locali nel Centro sicurezza da Windows Admin Center (anteprima)
Windows Admin Center è un portale di gestione per i server Windows non distribuiti in Azure, che offre diverse funzionalità di gestione di Azure, ad esempio backup e aggiornamenti di sistema. Microsoft ha recentemente aggiunto la possibilità di eseguire l'onboarding di questi server non Azure, in modo che siano protetti dal certificato del servizio app direttamente dall'esperienza di Windows Admin Center.
Gli utenti possono ora eseguire l'onboarding di un server WAC per Centro sicurezza di Azure e abilitare la visualizzazione degli avvisi di sicurezza e delle raccomandazioni direttamente nell'esperienza di Windows Admin Center.
Settembre 2019
Gli aggiornamenti del mese di settembre includono quanto segue:
- Gestione delle regole con miglioramenti ai controlli applicazioni adattivi
- Controllare la raccomandazione di sicurezza dei contenitori usando Criteri di Azure
Gestione delle regole con i miglioramenti apportati ai controlli applicazioni adattivi
L'esperienza di gestione delle regole per le macchine virtuali che usano i controlli applicazioni adattivi è stata migliorata. I controlli applicazioni adattivi del Centro sicurezza di Azure consentono di controllare quali applicazioni possono essere eseguite nelle macchine virtuali. Oltre a un miglioramento generale per la gestione delle regole, un nuovo vantaggio consiste nella possibilità di controllare quali tipi di file verranno protetti quando si aggiunge una nuova regola.
Altre informazioni sull'applicazione di controlli applicazioni adattivi.
Controllare la raccomandazione sulla sicurezza del contenitore usando Criteri di Azure
Centro sicurezza di Azure consiglio di correggere le vulnerabilità nella sicurezza dei contenitori può ora essere abilitato o disabilitato tramite Criteri di Azure.
Per visualizzare i criteri di sicurezza abilitati, dal Centro sicurezza aprire la pagina Criteri di sicurezza.
Agosto 2019
Gli aggiornamenti del mese di agosto includono quanto segue:
- Accesso JIT (Just-In-Time) alle macchine virtuali per Firewall di Azure
- Correzione con un solo clic per aumentare il comportamento di sicurezza (anteprima)
- Gestione tra tenant
Accesso just-in-time (JIT) alla macchina virtuale per Firewall di Azure
L'accesso just-in-time alla macchina virtuale per Firewall di Azure è ora disponibile a livello generale. Usarlo per proteggere gli ambienti protetti da Firewall di Azure in aggiunta agli ambienti protetti con gruppo di sicurezza di rete.
L'accesso JIT alla macchina virtuale riduce l'esposizione agli attacchi volumetrici di rete, fornendo l'accesso controllato alle macchine virtuali solo quando necessario, usando le regole di Firewall di Azure e il gruppo di sicurezza di rete.
Quando si abilita JIT per le macchine virtuali, si crea un criterio che determina le porte da proteggere, per quanto tempo devono rimanere aperte e gli indirizzi IP approvati da cui è possibile accedere a queste porte. Questo criterio consente di mantenere il controllo sulle operazioni che gli utenti possono eseguire quando richiedono l'accesso.
Le richieste vengono registrate nel log attività di Azure, in modo che sia possibile monitorare e controllare facilmente l'accesso. La pagina JIT consente anche di identificare rapidamente le macchine virtuali esistenti in cui è abilitato JIT e le macchine virtuali in cui è consigliabile usare JIT.
Altre informazioni su Firewall di Azure.
Correzione con un solo clic per migliorare il comportamento di sicurezza (anteprima)
Il punteggio di sicurezza è uno strumento che consente di valutare le condizioni di sicurezza del carico di lavoro. Esamina i consigli sulla sicurezza e assegna a ciascuno un livello di priorità che indica quali consigli implementare per primi. Questo è utile per trovare le vulnerabilità della sicurezza più gravi e stabilire le priorità di indagine.
Per semplificare la correzione di errori di configurazione della sicurezza e contribuire a migliorare rapidamente il punteggio di sicurezza, è stata aggiunta una nuova funzionalità che consente di correggere una raccomandazione su una maggior parte delle risorse in un singolo clic.
Questa operazione consente di selezionare le risorse a cui si vuole applicare la correzione e di avviare un'azione di correzione che configurerà l'impostazione per conto dell'utente.
Gestione tra tenant
Il Centro sicurezza supporta ora scenari di gestione tra tenant come parte di Azure Lighthouse. Questo consente di ottenere visibilità e gestire il comportamento di sicurezza di più tenant nel Centro sicurezza.
Informazioni sulle esperienze di gestione tra tenant.
Luglio 2019
Aggiornamenti alle raccomandazioni sulle risorse di rete
Il Centro sicurezza di Azure ha lanciato nuove raccomandazioni sulle risorse di rete e ne sono state migliorate alcune esistenti. Ora, l'uso del Centro sicurezza garantisce una maggiore protezione della rete per le risorse.
2019 giugno
Protezione avanzata adattiva della rete : disponibile a livello generale
Una delle maggiori superfici di attacco per i carichi di lavoro in esecuzione nel cloud pubblico sono le connessioni da e verso la rete Internet pubblica. I clienti Microsoft hanno difficoltà a capire quali regole del gruppo di sicurezza di rete (NSG) devono essere applicate per assicurarsi che i carichi di lavoro di Azure siano disponibili solo per gli intervalli di origine richiesti. Con questa funzionalità, il Centro sicurezza apprende i modelli del traffico di rete e di connettività dei carichi di lavoro di Azure e fornisce indicazioni sulle regole del gruppo di sicurezza di rete per le macchine virtuali con connessione Internet. Questo consente ai clienti di configurare meglio i criteri di accesso alla rete e di limitare l'esposizione agli attacchi.