Condividi tramite


Criteri di sicurezza in Defender per il cloud

I criteri di sicurezza in Microsoft Defender per il cloud sono costituiti da standard di sicurezza e raccomandazioni che consentono di migliorare il comportamento di sicurezza del cloud.

Gli standard di sicurezza definiscono regole, condizioni di conformità per tali regole e azioni (effetti) da intraprendere se le condizioni non vengono soddisfatte. Defender per il cloud valuta le risorse e i carichi di lavoro rispetto agli standard di sicurezza abilitati nelle sottoscrizioni di Azure, negli account Amazon Web Services (AWS) e nei progetti Google Cloud Platform (GCP). In base a queste valutazioni, le raccomandazioni sulla sicurezza forniscono passaggi pratici per risolvere i problemi di sicurezza.

Standard di sicurezza

Gli standard di sicurezza in Defender per il cloud provengono da queste origini:

  • Microsoft Cloud Security Benchmark (MCSB): lo standard MCSB viene applicato per impostazione predefinita quando si esegue l'onboarding degli account cloud in Defender. Il punteggio di sicurezza si basa sulla valutazione rispetto ad alcune raccomandazioni mcsb.

  • Standard di conformità alle normative: quando si abilita uno o più piani di Defender per il cloud, è possibile aggiungere standard da un'ampia gamma di programmi di conformità normativi predefiniti.

  • Standard personalizzati: è possibile creare standard di sicurezza personalizzati in Defender per il cloud e quindi aggiungere raccomandazioni predefinite e personalizzate a tali standard personalizzati in base alle esigenze.

Gli standard di sicurezza in Defender per il cloud si basano su iniziative Criteri di Azure o sulla piattaforma nativa Defender per il cloud. Attualmente, gli standard di Azure sono basati su Criteri di Azure. Gli standard AWS e GCP sono basati su Defender per il cloud.

Usare gli standard di sicurezza

Ecco le operazioni che è possibile eseguire con gli standard di sicurezza in Defender per il cloud:

  • Modificare il MCSB predefinito per la sottoscrizione: quando si abilita Defender per il cloud, il McSB viene assegnato automaticamente a tutte le sottoscrizioni registrate Defender per il cloud. Altre informazioni sulla gestione dello standard MCSB.

  • Aggiungere standard di conformità alle normative: se sono abilitati uno o più piani a pagamento, è possibile assegnare standard di conformità predefiniti per valutare le risorse di Azure, AWS e GCP. Altre informazioni sull'assegnazione di standard normativi.

  • Aggiungere standard personalizzati: se è abilitato almeno un piano a pagamento di Defender, è possibile definire nuovi standard personalizzati e raccomandazioni personalizzate nel portale di Defender per il cloud. È quindi possibile aggiungere raccomandazioni a tali standard.

Standard personalizzati

Gli standard personalizzati vengono visualizzati insieme agli standard predefiniti nel dashboard Conformità alle normative.

Le raccomandazioni derivate dalle valutazioni rispetto agli standard personalizzati vengono visualizzate insieme alle raccomandazioni degli standard predefiniti. Gli standard personalizzati possono contenere raccomandazioni predefinite e personalizzate.

Raccomandazioni personalizzate

L'uso di raccomandazioni personalizzate basate su Linguaggio di query Kusto (KQL) è l'approccio consigliato ed è supportato per tutti i cloud, ma richiede l'abilitazione del piano CSPM di Defender. Con questi consigli, è possibile specificare un nome univoco, una descrizione, passaggi di correzione, gravità e standard pertinenti. Si aggiunge la logica di raccomandazione con KQL. Un editor di query fornisce un modello di query predefinito che è possibile modificare oppure è possibile scrivere la query KQL.

In alternativa, tutti i clienti di Azure possono eseguire l'onboarding delle iniziative personalizzate Criteri di Azure come raccomandazioni personalizzate (approccio legacy).

Per altre informazioni, vedere Creare standard di sicurezza personalizzati e consigli in Microsoft Defender per il cloud.

Suggerimenti per la sicurezza

Defender per il cloud periodicamente e continuamente analizza e valuta lo stato di sicurezza delle risorse protette in base agli standard di sicurezza definiti, per identificare potenziali errori di configurazione e punti deboli della sicurezza. Defender per il cloud fornisce quindi raccomandazioni in base ai risultati della valutazione.

Ogni raccomandazione fornisce le informazioni seguenti:

  • Breve descrizione del problema
  • Procedura di correzione per l'implementazione della raccomandazione
  • Risorse interessate
  • Livello di rischio
  • Fattori di rischio
  • Percorsi di attacco

Ogni raccomandazione in Defender per il cloud ha un livello di rischio associato che rappresenta il modo in cui il problema di sicurezza è sfruttabile e interessata nell'ambiente in uso. Il motore di valutazione dei rischi tiene conto di fattori quali l'esposizione a Internet, la riservatezza dei dati, le possibilità di spostamento laterale e la correzione del percorso di attacco. È possibile classificare in ordine di priorità le raccomandazioni in base ai livelli di rischio.

Importante

La priorità dei rischi non influisce sul punteggio di sicurezza.

Esempio

Lo standard MCSB è un'iniziativa Criteri di Azure che include più controlli di conformità. Uno di questi controlli è "Gli account di archiviazione devono limitare l'accesso alla rete usando le regole di rete virtuale".

Defender per il cloud valuta continuamente le risorse. Se trova un elemento che non soddisfa questo controllo, le contrassegna come non conformi e attiva una raccomandazione. In questo caso, le linee guida sono la protezione avanzata degli account Archiviazione di Azure che non sono protetti con regole di rete virtuale.

Passaggi successivi