Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive Microsoft servizi di sicurezza e come interagiscono come sistema unificato per garantire la protezione tra i pilastri technology che includono identità, dispositivi, applicazioni, dati, intelligenza artificiale e infrastruttura.
La sicurezza aziendale moderna è stata spostata dalla protezione basata su perimetro a un modello integrato nel cloud basato sulle identità. Le organizzazioni devono proteggere utenti, dispositivi, applicazioni e dati in ambienti ibridi e multicloud, adattandosi continuamente alle minacce in continua evoluzione.
Microsoft fornisce un set integrato di servizi basati sul cloud che interagiscono per condividere segnali, applicare criteri coerenti, applicare controlli e coordinare il rilevamento e la risposta nell'ambiente.
Risultati della sicurezza
La sicurezza integrata Microsoft offre i risultati seguenti:
- Visibilità unificata dei segnali: i dati di telemetria vengono raccolti e centralizzati continuamente tra identità, dispositivi, applicazioni, dati e infrastruttura e convertiti in segnali centralizzati e interattivi.
- Processo decisionale basato sulle identità: le decisioni relative all'accesso e all'imposizione si basano su identità, stato del dispositivo, segnali di rischio e contesto della sessione.
- Consistent enforcement: i controlli Zero Trust vengono applicati tra endpoint, servizi cloud e applicazioni in fase di accesso e durante l'uso.
- Rilevamento e risposta integrati: i segnali e gli avvisi vengono correlati tra domini per rilevare e rispondere alle minacce come operazioni unificate.
- Validazione e miglioramento continui: i segnali di rilevamento e di rischio confluiscono nelle decisioni relative ai criteri per rafforzare la protezione nel tempo.
Servizi di sicurezza di base
I servizi di sicurezza di base si estendono su più pilastri tecnologici, ognuno dei quali contribuisce a segnali, contesto e applicazione nella piattaforma.
|
Pilastro Servizio primario |
Protezione | Portale primario |
|---|---|---|
|
Identità e accesso Microsoft Entra Microsoft Defender per identità |
Microsoft Entra controlla l'accesso per utenti, carichi di lavoro e applicazioni. Valuta i segnali di identità, dispositivo e sessione per prendere decisioni di accesso. Defender per Identity monitora l'infrastruttura ibrida di gestione delle identità per rilevare gli attacchi. |
Interfaccia di amministrazione di Microsoft Entra Portale di Microsoft Defender |
|
Dispositivi/endpoint Microsoft Defender per i punti finali Microsoft Intune |
Defender per endpoint raccoglie i dati di telemetria degli endpoint e rileva le minacce. Microsoft Intune valuta la conformità dei dispositivi e applica i criteri. |
Portale di Microsoft Defender Interfaccia di amministrazione di Microsoft Intune |
|
Posta elettronica e collaborazione Defender per Office 365 |
Protegge i servizi di collaborazione e Exchange (Microsoft Teams, SharePoint, OneDrive) da malware, collegamenti/allegati dannosi e compromissione della posta elettronica aziendale. | Portale di Microsoft Defender |
|
Data Microsoft Purview |
Applica i criteri di protezione dei dati e prevenzione della perdita dei dati (DLP) tra endpoint e servizi cloud. | Portale di Microsoft Purview |
|
Carichi di lavoro di infrastruttura/cloud Microsoft Defender per il cloud |
Migliora il comportamento di sicurezza e fornisce il rilevamento delle minacce tra carichi di lavoro cloud e ibridi. |
Portale di Microsoft Azure Portale di Microsoft Defender |
|
Networks Azure servizi di rete |
Segmentare e proteggere le reti. | Portale di Microsoft Azure |
|
Applicazioni SaaS/cloud Microsoft Defender for Cloud Apps per la sicurezza delle app cloud |
Offre visibilità sull'utilizzo delle app cloud e monitora l'attività dell'utente per rilevare il comportamento rischioso. | Portale di Microsoft Defender |
|
Postura/rischio Gestione dell'esposizione in Microsoft Security |
Identifica, assegna priorità e riduce l'esposizione tra identità, dispositivi, risorse cloud e applicazioni. | Portale di Microsoft Defender |
|
Rilevamento/risposta alle minacce Microsoft Defender XDR |
Correla i segnali tra i servizi Defender e produce eventi imprevisti unificati per l'analisi e la risposta. | Portale di Microsoft Defender |
|
Operazioni di sicurezza Microsoft Sentinel |
Aggrega i dati di telemetria da Microsoft e da fonti di terze parti per l'analisi centralizzata, l'indagine e la risposta. |
Portale di Microsoft Azure Portale di Microsoft Defender |
|
Sicurezza per sviluppatori/app Defender per DevOps (in Defender per il cloud) Sicurezza avanzata di GitHub |
Protegge codice, dipendenze e pipeline di compilazione e applica la governance della sicurezza nei flussi di lavoro DevOps. |
Portale di Microsoft Defender interfaccia GitHub |
Servizi di protezione di rete
La tabella riepiloga Azure funzionalità di rete e come si integrano direttamente con altri servizi di sicurezza. I servizi vengono configurati nel Centro sicurezza Microsoft 365.
| Servizio | Protezione | Integrazione |
|---|---|---|
| Firewall di Azure | Applica regole IP, porta e applicazione per controllare il traffico in ingresso e in uscita tra subnet, Internet e reti locali. Usa Microsoft intelligence sulle minacce per bloccare il traffico dannoso noto. | Defender per il cloud valuta il comportamento di configurazione. I log di diagnostica vengono inseriti in Monitoraggio di Azure/Log Analytics e analizzati da Microsoft Sentinel per rilevare e correlare. |
| Protezione di Azure dagli attacchi DDoS | Attenua gli attacchi a livello di applicazione, protocollo e volumetrico. Protegge le risorse con connessione Internet nelle reti virtuali (VNet) da attacchi di inondazione su larga scala. | Le metriche e i dati di telemetria degli attacchi vengono inseriti in Monitoraggio di Azure/Log Analytics e possono essere analizzati in Microsoft Sentinel. Defender per il cloud fornisce raccomandazioni sulla postura. |
| Azure VNet | Fornisce isolamento della rete, segmentazione e indirizzi IP privati per Azure risorse. Abilita la connettività controllata tra i servizi. | Defender per il cloud valuta lo stato di configurazione, inclusa l'esposizione, ad esempio i percorsi di accesso pubblico. |
| Gruppi di sicurezza di rete (NSG) | Filtra il traffico a livello di subnet e interfaccia di rete usando regole allow/deny. Limita il traffico indesiderato alle risorse. | I log di flusso NSG (tramite Monitoraggio di Azure) possono essere analizzati in Microsoft Sentinel per la visibilità e il rilevamento del traffico. Defender per il cloud valuta la configurazione delle regole NSG. |
| Web application firewall di Azure (WAF) | Protegge le applicazioni HTTP/HTTPS usando set di regole OWASP. Aiuta a prevenire attacchi Web comuni, ad esempio SQL injection e scripting tra siti (XSS). | I log WAF vengono inseriti in Monitoraggio di Azure/Log Analytics e analizzati da Microsoft Sentinel. Defender per il cloud valuta il comportamento di configurazione di WAF. |
| Frontdoor di Azure | Fornisce un punto di ingresso globale per le applicazioni Web con funzionalità di routing, accelerazione e sicurezza perimetrale. Si integra con WAF per la protezione delle applicazioni. | I log di diagnostica (Frontdoor/WAF) vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel. Defender per il cloud valuta il comportamento di configurazione. |
| gateway applicazione di Azure | Fornisce il bilanciamento del carico a livello di area con funzionalità web application firewall predefinite per proteggere e instradare il traffico delle applicazioni. | I log di accesso e WAF vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel. Defender per il cloud valuta il comportamento di configurazione e le impostazioni di esposizione. |
| Gateway VPN di Azure | Fornisce connettività IPsec/IKE crittografata tra ambienti locali e reti virtuali Azure. Protegge i dati in transito su reti pubbliche. | I log di connessione e tunnel vengono inseriti in Log Analytics e possono essere analizzati in Microsoft Sentinel. Defender per il cloud valuta il comportamento di configurazione, incluse le impostazioni di crittografia. |
| Azure ExpressRoute | Fornisce connettività privata e dedicata tra ambienti locali e Azure tramite il backbone Microsoft, evitando la rete Internet pubblica. | I dati di telemetria operativi, ad esempio BGP, lo stato del circuito, sono disponibili tramite Monitoraggio di Azure e possono essere analizzati in Microsoft Sentinel. Defender per il cloud valuta il comportamento di configurazione generale. |
| Azure Bastion | Fornisce accesso RDP e SSH sicuro alle macchine virtuali tramite un browser, eliminando la necessità di esposizione ip pubblico. | I log di diagnostica vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel. Defender per il cloud valuta la VM ridotta, ma non valuta direttamente la configurazione di Azure Bastion. |
| collegamento privato di Azure | Fornisce connettività privata ai servizi PaaS Azure e ai servizi dei clienti usando indirizzi IP privati, eliminando l'esposizione pubblica. | I log a livello di servizio (per i servizi a cui si accede tramite collegamento privato, ad esempio Archiviazione, SQL, Key Vault) vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel. Defender per il cloud valuta se i collegamenti privati vengono usati per ridurre l'esposizione. |
| Azure Network Watcher | Fornisce la diagnostica di rete, il monitoraggio e la visibilità a livello di flusso tra le risorse Azure. | I log di flusso e i dati di diagnostica di NSG vengono acquisiti in Log Analytics e possono essere analizzati in Microsoft Sentinel. Defender per il cloud valuta lo stato di configurazione delle risorse sottostanti, ad esempio le impostazioni degli NSG, piuttosto che Network Watcher direttamente. |
Flusso di lavoro di sicurezza
I servizi di sicurezza operano come una pipeline continua. I segnali vengono raccolti, valutati, applicati e usati continuamente per guidare il rilevamento e la risposta.
| Pipeline | Action | Attività chiave |
|---|---|---|
| Fase 1: Raccolta di segnali | I servizi di sicurezza generano dati di telemetria tra identità, dispositivi, applicazioni e infrastruttura. | - Defender per Endpoint raccoglie i dati di telemetria del dispositivo. - Microsoft Intune valuta la conformità del dispositivo. - Defender for Identity monitora le attività relative alle identità nell'ambiente locale. - Defender for Cloud Apps monitora l'attività SaaS. - Defender per il cloud monitora la configurazione e l'attività dell'infrastruttura/del carico di lavoro. |
| Fase 2: Decisioni relative ai criteri | I segnali vengono valutati per determinare le condizioni di accesso e le azioni di controllo. | Accesso condizionale di Microsoft Entra valuta il rischio di identità, l'attendibilità del dispositivo, la posizione e il contesto della sessione. |
| Fase 3: Applicazione dei controlli | I controlli di sicurezza vengono applicati tra identità, dispositivo, sessione, dati e livelli di rete. | I punti di applicazione includono: - Accesso condizionale (MFA/restrizioni) - Intune (conformità del dispositivo) -Defender for Cloud Apps (controllo delle sessioni) - Microsoft Purview (DLP) - Azure rete (restrizioni di connettività). |
| Fase 4: Rilevamento e risposta | I segnali e gli avvisi sono correlati a rilevare, analizzare e correggere le minacce. | Microsoft Defender XDR correla i segnali provenienti da tutti i prodotti Defender in incidenti unificati. Microsoft Sentinel centralizza i log, gli eventi imprevisti, la ricerca e l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR) nell'intero ambiente, incluse le origini di terze parti. |
| Anello di retroazione | I risultati del rilevamento confluiscono nelle decisioni relative ai criteri per migliorare continuamente la protezione. | I segnali di rischio e minaccia informano gli aggiornamenti dei criteri in tempo reale, abilitando la protezione adattiva e automatizzata. |
Integrazione del servizio di sicurezza
I servizi di sicurezza Microsoft si integrano attraverso più flussi che operano come una pipeline coerente, dando vita a un sistema continuo di protezione.
- Segnali (telemetria) acquisiscono attività tra identità, dispositivi, applicazioni e altre risorse.
- Il contesto (identità, comportamento del dispositivo e classificazione dei dati) arricchisce i segnali per migliorare l'accuratezza e il processo decisionale.
- I criteri definiscono l'accesso consentito o bloccato in base alle condizioni valutate.
- Le azioni applicano decisioni tramite controlli e risposte automatizzati.
Man mano che i segnali passano attraverso la piattaforma, vengono arricchiti, valutati rispetto ai criteri e agiscono su, creando un ciclo continuo di protezione e risposta.
Integrazione dei servizi
La tabella riassume il modo in cui i servizi di sicurezza utilizzano segnali e contesto da ciascun output e quali output e azioni producono.
| Servizio | Consuma | Risultati |
|---|---|---|
| Microsoft Entra ID |
Segnali: attività di autenticazione (accessi, eventi di rischio). Stato di conformità del dispositivo da Microsoft Intune. Context: contesto del dispositivo per le decisioni di accesso di Defender per endpoint. Contesto della sessione per le decisioni di accesso da Defender for Cloud Apps. |
Azioni: decisioni relative all'accesso condizionale (consentire, bloccare, limitare, richiedere controlli). |
| Microsoft Intune |
Segnali: inventario dei dispositivi gestiti, integrità, stato di conformità. Context: associazione di identità da Microsoft Entra ID. |
Outputs: comportamento di conformità del dispositivo a Microsoft Entra ID. Log di controllo dei dispositivi in Microsoft Sentinel. |
| Microsoft Purview |
Signals: dati aziendali in Microsoft 365, app SaaS e sistemi locali. Contesto: classificazione dei dati (etichette di riservatezza, ispezione del contenuto, attività utente). |
Outputs: avvisi del rischio insider e della protezione dalla perdita di dati (DLP) per Defender XDR. Log di conformità e controllo per Microsoft Sentinel. Azioni: applicazione di DLP su endpoint (Defender for Endpoint) e sessioni (Defender for Cloud Apps). |
| Defender per Endpoint |
Segnali: telemetria degli endpoint (processo, file, attività di rete). Context: Microsoft Entra ID (contesto di identità). Microsoft Intune (comportamento del dispositivo). Microsoft Purview (criteri DLP). |
Outputs: avvisi degli endpoint e dati di telemetria per Defender XDR e Microsoft Sentinel. Azioni: applicazione di misure sugli endpoint (isolamento del dispositivo, blocco, bonifica). |
| Defender per Identità | Signals: segnali di identità Active Directory. | Output: avvisi delle minacce di identità per Defender XDR e Microsoft Sentinel. |
| Defender for Cloud Apps |
Segnali: attività dell'app SaaS (utilizzo cloud). Telemetria di rete e shadow IT da Defender for Endpoint. Context: contesto di sessione e autenticazione da Microsoft Entra ID. Criteri DLP di Microsoft Purview. |
Outputs: avvisi delle app cloud per Defender XDR e Microsoft Sentinel. Azioni: imposizione della sessione (blocco, monitoraggio, limitazione dell'accesso). |
| Defender per il cloud |
Signals: informazioni sull'operazione delle risorse da Azure. Telemetria di server e carichi di lavoro di Defender for Endpoint. Contesto: configurazione e comportamento delle risorse. |
Outputs: avvisi di sicurezza e informazioni dettagliate sul comportamento per Defender XDR e Microsoft Sentinel. |
| Gestione dell'esposizione alla sicurezza Microsoft |
Signals: punteggi di rischio dei dispositivi di Defender for Endpoint. Risultati dell'inventario delle risorse cloud, del comportamento, dell'esposizione e della superficie di attacco da Defender per il cloud. L'inventario delle identità e i segnali di rischio provenienti da Microsoft Entra. Inventario, rischio e utilizzo delle app SaaS da Defender for Cloud Apps. Contesto: esposizione unificata e correlazione dei rischi. |
Outputs: informazioni dettagliate sull'esposizione e correlazioni dei rischi a Microsoft XDR e Microsoft Sentinel. |
| Defender XDR | Signals: avvisi provenienti da Defender per endpoint (dispositivi), Defender per identità (segnali di identità), Defender per Office 365 (posta elettronica e collaborazione), Defender for Cloud Apps (attività SaaS/app). Segnali aggiuntivi provenienti da Microsoft Purview (DLP, rischio Insider, classificazione dei dati), Microsoft Entra ID Protection (segnali di rischio di identità) e Defender per il cloud (comportamento del carico di lavoro/cloud). |
Outputs: avvisi correlati, incidenti in Microsoft Sentinel. Azioni: risposta automatica tra domini. |
| Microsoft Sentinel | Segnali: avvisi, log, telemetria da Defender XDR, Microsoft Purview, servizi cloud e altre origini proprietarie o di terze parti. |
Output: analisi, indagini e incidenti. Azioni: risposta automatica con i playbook. |
| Microsoft Security Copilot |
Signals: eventi imprevisti e avvisi provenienti da Microsoft Sentinel e Defender XDR. Context: dati sensibili e contesto di rischio insider da Microsoft Purview. Contesto di esposizione di Microsoft Security Exposure Management. |
Output: riepiloghi delle indagini, raccomandazioni, informazioni dettagliate guidate dall'intelligenza artificiale. Actions: azioni di risposta guidate indirizzate tramite flussi di lavoro Microsoft Sentinel e Defender XDR. |
Passaggi successivi
- Per iniziare, con una valutazione Zero Trust del tuo attuale livello di sicurezza.
- Segui il nostro modello di adozione strutturato per iniziare il percorso di adozione di Zero Trust.
- Approfondisci i risultati chiave in ambito sicurezza per i leader aziendali tramite i nostri scenari aziendali di adozione. Per iniziare, implementare soluzioni tecniche per soluzioni aziendali e pilastri tecnologici, ad esempio dati e dispositivi.