Az - Defender

Reading time: 7 minutes

Microsoft Defender for Cloud

Microsoft Defender for Cloud è una soluzione completa di gestione della sicurezza che copre Azure, ambienti on-premises e multi-cloud. È classificata come una Cloud-Native Application Protection Platform (CNAPP), combinando Cloud Security Posture Management (CSPM) e Cloud Workload Protection (CWPP). Il suo scopo è aiutare le organizzazioni a trovare misconfigurazioni e punti deboli nelle risorse cloud, rafforzare la postura di sicurezza complessiva e proteggere i carichi di lavoro dalle minacce in evoluzione su Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), configurazioni ibride on-premises e altro ancora.

In termini pratici, Defender for Cloud valuta continuamente le tue risorse rispetto alle migliori pratiche e agli standard di sicurezza, fornisce un dashboard unificato per la visibilità e utilizza la rilevazione avanzata delle minacce per avvisarti di attacchi. I principali vantaggi includono una visione unificata della sicurezza attraverso i cloud, raccomandazioni attuabili per prevenire violazioni e protezione integrata dalle minacce che può ridurre il rischio di incidenti di sicurezza. Supportando AWS e GCP e altre piattaforme SaaS in modo nativo e utilizzando Azure Arc per i server on-premises, garantisce che tu possa gestire la sicurezza in un unico posto per tutti gli ambienti.

Key Features

• Recommendations: Questa sezione presenta un elenco di raccomandazioni di sicurezza attuabili basate su valutazioni continue. Ogni raccomandazione spiega le misconfigurazioni o le vulnerabilità identificate e fornisce passaggi di rimedio, così sai esattamente cosa correggere per migliorare il tuo punteggio di sicurezza.
• Attack Path Analysis: Attack Path Analysis mappa visivamente i potenziali percorsi di attacco attraverso le tue risorse cloud. Mostrando come le vulnerabilità si collegano e potrebbero essere sfruttate, ti aiuta a comprendere e interrompere questi percorsi per prevenire violazioni.
• Security Alerts: La pagina degli avvisi di sicurezza ti notifica di minacce in tempo reale e attività sospette. Ogni avviso include dettagli come gravità, risorse interessate e azioni raccomandate, assicurando che tu possa rispondere rapidamente a problemi emergenti.
• Le tecniche di rilevamento si basano su intelligence sulle minacce, analisi comportamentale e rilevamento delle anomalie.
• È possibile trovare tutti gli avvisi possibili in https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference. Basandosi sul nome e sulla descrizione, è possibile sapere cosa sta cercando l'avviso (per bypassarlo).
• Inventory: Nella sezione Inventory, trovi un elenco completo di tutti gli asset monitorati nei tuoi ambienti. Fornisce una visione immediata dello stato di sicurezza di ciascuna risorsa, aiutandoti a individuare rapidamente asset non protetti o a rischio che necessitano di rimedio.
• Cloud Security Explorer: Cloud Security Explorer offre un'interfaccia basata su query per cercare e analizzare il tuo ambiente cloud. Ti consente di scoprire rischi di sicurezza nascosti ed esplorare relazioni complesse tra le risorse, migliorando le tue capacità complessive di ricerca delle minacce.
• Workbooks: I Workbooks sono report interattivi che visualizzano i tuoi dati di sicurezza. Utilizzando modelli predefiniti o personalizzati, ti aiutano a monitorare le tendenze, tracciare la conformità e rivedere le modifiche nel tuo punteggio di sicurezza nel tempo, rendendo più facili le decisioni di sicurezza basate sui dati.
• Community: La sezione Community ti connette con colleghi, forum di esperti e guide alle migliori pratiche. È una risorsa preziosa per apprendere dalle esperienze degli altri, trovare suggerimenti per la risoluzione dei problemi e rimanere aggiornato sugli ultimi sviluppi di Defender for Cloud.
• Diagnose and Solve Problems: Questo hub di risoluzione dei problemi ti aiuta a identificare e risolvere rapidamente problemi relativi alla configurazione o alla raccolta dei dati di Defender for Cloud. Fornisce diagnosi guidate e soluzioni per garantire che la piattaforma funzioni in modo efficace.
• Security Posture: La pagina della Security Posture aggrega il tuo stato di sicurezza complessivo in un unico punteggio di sicurezza. Fornisce informazioni su quali aree del tuo cloud sono forti e dove sono necessari miglioramenti, fungendo da rapido controllo della salute del tuo ambiente.
• Regulatory Compliance: Questo dashboard valuta quanto bene le tue risorse aderiscono agli standard di settore e ai requisiti normativi. Mostra punteggi di conformità rispetto a benchmark come PCI DSS o ISO 27001, aiutandoti a individuare lacune e monitorare il rimedio per le audit.
• Workload Protections: Workload Protections si concentra sulla sicurezza di specifici tipi di risorse (come server, database e contenitori). Indica quali piani di Defender sono attivi e fornisce avvisi e raccomandazioni personalizzate per ciascun carico di lavoro per migliorare la loro protezione. È in grado di trovare comportamenti malevoli in risorse specifiche.
• Questa è anche l'opzione per Enable Microsoft Defender for X che puoi trovare in alcuni servizi.
• Data and AI Security (Preview): In questa sezione di anteprima, Defender for Cloud estende la sua protezione a archivi di dati e servizi AI. Sottolinea le lacune di sicurezza e monitora i dati sensibili, assicurando che sia i tuoi repository di dati che le piattaforme AI siano protetti contro le minacce.
• Firewall Manager: Il Firewall Manager si integra con Azure Firewall per darti una visione centralizzata delle tue politiche di sicurezza di rete. Semplifica la gestione e il monitoraggio delle distribuzioni del firewall, garantendo l'applicazione coerente delle regole di sicurezza attraverso le tue reti virtuali.
• DevOps Security: DevOps Security si integra con le tue pipeline di sviluppo e i repository di codice per incorporare la sicurezza all'inizio del ciclo di vita del software. Aiuta a identificare vulnerabilità nel codice e nelle configurazioni, assicurando che la sicurezza sia integrata nel processo di sviluppo.

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM) scansiona e mappa continuamente gli asset esposti a Internet della tua organizzazione—inclusi domini, sottodomini, indirizzi IP e applicazioni web—per fornire una visione completa e in tempo reale della tua impronta digitale esterna. Sfrutta tecniche di crawling avanzate, partendo da semi di scoperta noti, per scoprire automaticamente sia gli asset gestiti che quelli shadow IT che altrimenti potrebbero rimanere nascosti. EASM identifica configurazioni rischiose come interfacce amministrative esposte, bucket di archiviazione accessibili pubblicamente e servizi vulnerabili a diversi CVE, consentendo al tuo team di sicurezza di affrontare questi problemi prima che vengano sfruttati. Inoltre, il monitoraggio continuo può anche mostrare cambiamenti nell'infrastruttura esposta confrontando diversi risultati di scansione, in modo che l'amministratore possa essere a conoscenza di ogni cambiamento effettuato. Fornendo informazioni in tempo reale e inventari dettagliati degli asset, Defender EASM consente alle organizzazioni di monitorare e tracciare continuamente i cambiamenti nella loro esposizione esterna. Utilizza un'analisi basata sul rischio per dare priorità ai risultati in base alla gravità e ai fattori contestuali, assicurando che gli sforzi di rimedio siano concentrati dove contano di più. Questo approccio proattivo non solo aiuta a scoprire vulnerabilità nascoste, ma supporta anche il miglioramento continuo della tua postura di sicurezza complessiva avvisandoti di eventuali nuove esposizioni man mano che emergono.