Microsoft servizi di sicurezza

Questo articolo descrive Microsoft servizi di sicurezza e come interagiscono come sistema unificato per garantire la protezione tra i pilastri technology che includono identità, dispositivi, applicazioni, dati, intelligenza artificiale e infrastruttura.

La sicurezza aziendale moderna è stata spostata dalla protezione basata su perimetro a un modello integrato nel cloud basato sulle identità. Le organizzazioni devono proteggere utenti, dispositivi, applicazioni e dati in ambienti ibridi e multicloud, adattandosi continuamente alle minacce in continua evoluzione.

Microsoft fornisce un set integrato di servizi basati sul cloud che interagiscono per condividere segnali, applicare criteri coerenti, applicare controlli e coordinare il rilevamento e la risposta nell'ambiente.

Risultati della sicurezza

La sicurezza integrata Microsoft offre i risultati seguenti:

  • Visibilità unificata dei segnali: i dati di telemetria vengono raccolti e centralizzati continuamente tra identità, dispositivi, applicazioni, dati e infrastruttura e convertiti in segnali centralizzati e interattivi.
  • Processo decisionale basato sulle identità: le decisioni relative all'accesso e all'imposizione si basano su identità, stato del dispositivo, segnali di rischio e contesto della sessione.
  • Consistent enforcement: i controlli Zero Trust vengono applicati tra endpoint, servizi cloud e applicazioni in fase di accesso e durante l'uso.
  • Rilevamento e risposta integrati: i segnali e gli avvisi vengono correlati tra domini per rilevare e rispondere alle minacce come operazioni unificate.
  • Validazione e miglioramento continui: i segnali di rilevamento e di rischio confluiscono nelle decisioni relative ai criteri per rafforzare la protezione nel tempo.

Servizi di sicurezza di base

I servizi di sicurezza di base si estendono su più pilastri tecnologici, ognuno dei quali contribuisce a segnali, contesto e applicazione nella piattaforma.

Pilastro
Servizio primario
Protezione Portale primario
Identità e accesso

Microsoft Entra

Microsoft Defender per identità
Microsoft Entra controlla l'accesso per utenti, carichi di lavoro e applicazioni. Valuta i segnali di identità, dispositivo e sessione per prendere decisioni di accesso.

Defender per Identity monitora l'infrastruttura ibrida di gestione delle identità per rilevare gli attacchi.
Interfaccia di amministrazione di Microsoft Entra

Portale di Microsoft Defender
Dispositivi/endpoint

Microsoft Defender per i punti finali

Microsoft Intune
Defender per endpoint raccoglie i dati di telemetria degli endpoint e rileva le minacce.
Microsoft Intune valuta la conformità dei dispositivi e applica i criteri.
Portale di Microsoft Defender

Interfaccia di amministrazione di Microsoft Intune
Posta elettronica e collaborazione

Defender per Office 365
Protegge i servizi di collaborazione e Exchange (Microsoft Teams, SharePoint, OneDrive) da malware, collegamenti/allegati dannosi e compromissione della posta elettronica aziendale. Portale di Microsoft Defender
Data

Microsoft Purview
Applica i criteri di protezione dei dati e prevenzione della perdita dei dati (DLP) tra endpoint e servizi cloud. Portale di Microsoft Purview
Carichi di lavoro di infrastruttura/cloud

Microsoft Defender per il cloud
Migliora il comportamento di sicurezza e fornisce il rilevamento delle minacce tra carichi di lavoro cloud e ibridi. Portale di Microsoft Azure
Portale di Microsoft Defender
Networks

Azure servizi di rete
Segmentare e proteggere le reti. Portale di Microsoft Azure
Applicazioni SaaS/cloud

Microsoft Defender for Cloud Apps per la sicurezza delle app cloud
Offre visibilità sull'utilizzo delle app cloud e monitora l'attività dell'utente per rilevare il comportamento rischioso. Portale di Microsoft Defender
Postura/rischio

Gestione dell'esposizione in Microsoft Security
Identifica, assegna priorità e riduce l'esposizione tra identità, dispositivi, risorse cloud e applicazioni. Portale di Microsoft Defender
Rilevamento/risposta alle minacce

Microsoft Defender XDR
Correla i segnali tra i servizi Defender e produce eventi imprevisti unificati per l'analisi e la risposta. Portale di Microsoft Defender
Operazioni di sicurezza

Microsoft Sentinel
Aggrega i dati di telemetria da Microsoft e da fonti di terze parti per l'analisi centralizzata, l'indagine e la risposta. Portale di Microsoft Azure
Portale di Microsoft Defender
Sicurezza per sviluppatori/app

Defender per DevOps (in Defender per il cloud)
Sicurezza avanzata di GitHub
Protegge codice, dipendenze e pipeline di compilazione e applica la governance della sicurezza nei flussi di lavoro DevOps. Portale di Microsoft Defender
interfaccia GitHub

Servizi di protezione di rete

La tabella riepiloga Azure funzionalità di rete e come si integrano direttamente con altri servizi di sicurezza. I servizi vengono configurati nel Centro sicurezza Microsoft 365.

Servizio Protezione Integrazione
Firewall di Azure Applica regole IP, porta e applicazione per controllare il traffico in ingresso e in uscita tra subnet, Internet e reti locali. Usa Microsoft intelligence sulle minacce per bloccare il traffico dannoso noto. Defender per il cloud valuta il comportamento di configurazione.

I log di diagnostica vengono inseriti in Monitoraggio di Azure/Log Analytics e analizzati da Microsoft Sentinel per rilevare e correlare.
Protezione di Azure dagli attacchi DDoS Attenua gli attacchi a livello di applicazione, protocollo e volumetrico. Protegge le risorse con connessione Internet nelle reti virtuali (VNet) da attacchi di inondazione su larga scala. Le metriche e i dati di telemetria degli attacchi vengono inseriti in Monitoraggio di Azure/Log Analytics e possono essere analizzati in Microsoft Sentinel.

Defender per il cloud fornisce raccomandazioni sulla postura.
Azure VNet Fornisce isolamento della rete, segmentazione e indirizzi IP privati per Azure risorse. Abilita la connettività controllata tra i servizi. Defender per il cloud valuta lo stato di configurazione, inclusa l'esposizione, ad esempio i percorsi di accesso pubblico.
Gruppi di sicurezza di rete (NSG) Filtra il traffico a livello di subnet e interfaccia di rete usando regole allow/deny. Limita il traffico indesiderato alle risorse. I log di flusso NSG (tramite Monitoraggio di Azure) possono essere analizzati in Microsoft Sentinel per la visibilità e il rilevamento del traffico.

Defender per il cloud valuta la configurazione delle regole NSG.
Web application firewall di Azure (WAF) Protegge le applicazioni HTTP/HTTPS usando set di regole OWASP. Aiuta a prevenire attacchi Web comuni, ad esempio SQL injection e scripting tra siti (XSS). I log WAF vengono inseriti in Monitoraggio di Azure/Log Analytics e analizzati da Microsoft Sentinel.

Defender per il cloud valuta il comportamento di configurazione di WAF.
Frontdoor di Azure Fornisce un punto di ingresso globale per le applicazioni Web con funzionalità di routing, accelerazione e sicurezza perimetrale. Si integra con WAF per la protezione delle applicazioni. I log di diagnostica (Frontdoor/WAF) vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel.

Defender per il cloud valuta il comportamento di configurazione.
gateway applicazione di Azure Fornisce il bilanciamento del carico a livello di area con funzionalità web application firewall predefinite per proteggere e instradare il traffico delle applicazioni. I log di accesso e WAF vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel.

Defender per il cloud valuta il comportamento di configurazione e le impostazioni di esposizione.
Gateway VPN di Azure Fornisce connettività IPsec/IKE crittografata tra ambienti locali e reti virtuali Azure. Protegge i dati in transito su reti pubbliche. I log di connessione e tunnel vengono inseriti in Log Analytics e possono essere analizzati in Microsoft Sentinel.

Defender per il cloud valuta il comportamento di configurazione, incluse le impostazioni di crittografia.
Azure ExpressRoute Fornisce connettività privata e dedicata tra ambienti locali e Azure tramite il backbone Microsoft, evitando la rete Internet pubblica. I dati di telemetria operativi, ad esempio BGP, lo stato del circuito, sono disponibili tramite Monitoraggio di Azure e possono essere analizzati in Microsoft Sentinel.

Defender per il cloud valuta il comportamento di configurazione generale.
Azure Bastion Fornisce accesso RDP e SSH sicuro alle macchine virtuali tramite un browser, eliminando la necessità di esposizione ip pubblico. I log di diagnostica vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel.

Defender per il cloud valuta la VM ridotta, ma non valuta direttamente la configurazione di Azure Bastion.
collegamento privato di Azure Fornisce connettività privata ai servizi PaaS Azure e ai servizi dei clienti usando indirizzi IP privati, eliminando l'esposizione pubblica. I log a livello di servizio (per i servizi a cui si accede tramite collegamento privato, ad esempio Archiviazione, SQL, Key Vault) vengono inseriti in Log Analytics e analizzati da Microsoft Sentinel.

Defender per il cloud valuta se i collegamenti privati vengono usati per ridurre l'esposizione.
Azure Network Watcher Fornisce la diagnostica di rete, il monitoraggio e la visibilità a livello di flusso tra le risorse Azure. I log di flusso e i dati di diagnostica di NSG vengono acquisiti in Log Analytics e possono essere analizzati in Microsoft Sentinel.

Defender per il cloud valuta lo stato di configurazione delle risorse sottostanti, ad esempio le impostazioni degli NSG, piuttosto che Network Watcher direttamente.

Flusso di lavoro di sicurezza

I servizi di sicurezza operano come una pipeline continua. I segnali vengono raccolti, valutati, applicati e usati continuamente per guidare il rilevamento e la risposta.

Pipeline Action Attività chiave
Fase 1: Raccolta di segnali I servizi di sicurezza generano dati di telemetria tra identità, dispositivi, applicazioni e infrastruttura. - Defender per Endpoint raccoglie i dati di telemetria del dispositivo.
- Microsoft Intune valuta la conformità del dispositivo.
- Defender for Identity monitora le attività relative alle identità nell'ambiente locale.
- Defender for Cloud Apps monitora l'attività SaaS.
- Defender per il cloud monitora la configurazione e l'attività dell'infrastruttura/del carico di lavoro.
Fase 2: Decisioni relative ai criteri I segnali vengono valutati per determinare le condizioni di accesso e le azioni di controllo. Accesso condizionale di Microsoft Entra valuta il rischio di identità, l'attendibilità del dispositivo, la posizione e il contesto della sessione.
Fase 3: Applicazione dei controlli I controlli di sicurezza vengono applicati tra identità, dispositivo, sessione, dati e livelli di rete. I punti di applicazione includono:
- Accesso condizionale (MFA/restrizioni)
- Intune (conformità del dispositivo)
-Defender for Cloud Apps (controllo delle sessioni)
- Microsoft Purview (DLP)
- Azure rete (restrizioni di connettività).
Fase 4: Rilevamento e risposta I segnali e gli avvisi sono correlati a rilevare, analizzare e correggere le minacce. Microsoft Defender XDR correla i segnali provenienti da tutti i prodotti Defender in incidenti unificati.

Microsoft Sentinel centralizza i log, gli eventi imprevisti, la ricerca e l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR) nell'intero ambiente, incluse le origini di terze parti.
Anello di retroazione I risultati del rilevamento confluiscono nelle decisioni relative ai criteri per migliorare continuamente la protezione. I segnali di rischio e minaccia informano gli aggiornamenti dei criteri in tempo reale, abilitando la protezione adattiva e automatizzata.

Integrazione del servizio di sicurezza

I servizi di sicurezza Microsoft si integrano attraverso più flussi che operano come una pipeline coerente, dando vita a un sistema continuo di protezione.

  • Segnali (telemetria) acquisiscono attività tra identità, dispositivi, applicazioni e altre risorse.
  • Il contesto (identità, comportamento del dispositivo e classificazione dei dati) arricchisce i segnali per migliorare l'accuratezza e il processo decisionale.
  • I criteri definiscono l'accesso consentito o bloccato in base alle condizioni valutate.
  • Le azioni applicano decisioni tramite controlli e risposte automatizzati.

Man mano che i segnali passano attraverso la piattaforma, vengono arricchiti, valutati rispetto ai criteri e agiscono su, creando un ciclo continuo di protezione e risposta.

Integrazione dei servizi

La tabella riassume il modo in cui i servizi di sicurezza utilizzano segnali e contesto da ciascun output e quali output e azioni producono.

Servizio Consuma Risultati
Microsoft Entra ID Segnali: attività di autenticazione (accessi, eventi di rischio). Stato di conformità del dispositivo da Microsoft Intune.

Context: contesto del dispositivo per le decisioni di accesso di Defender per endpoint. Contesto della sessione per le decisioni di accesso da Defender for Cloud Apps.
Azioni: decisioni relative all'accesso condizionale (consentire, bloccare, limitare, richiedere controlli).
Microsoft Intune Segnali: inventario dei dispositivi gestiti, integrità, stato di conformità.

Context: associazione di identità da Microsoft Entra ID.
Outputs: comportamento di conformità del dispositivo a Microsoft Entra ID. Log di controllo dei dispositivi in Microsoft Sentinel.
Microsoft Purview Signals: dati aziendali in Microsoft 365, app SaaS e sistemi locali.

Contesto: classificazione dei dati (etichette di riservatezza, ispezione del contenuto, attività utente).
Outputs: avvisi del rischio insider e della protezione dalla perdita di dati (DLP) per Defender XDR. Log di conformità e controllo per Microsoft Sentinel.

Azioni: applicazione di DLP su endpoint (Defender for Endpoint) e sessioni (Defender for Cloud Apps).
Defender per Endpoint Segnali: telemetria degli endpoint (processo, file, attività di rete).

Context: Microsoft Entra ID (contesto di identità). Microsoft Intune (comportamento del dispositivo). Microsoft Purview (criteri DLP).
Outputs: avvisi degli endpoint e dati di telemetria per Defender XDR e Microsoft Sentinel.

Azioni: applicazione di misure sugli endpoint (isolamento del dispositivo, blocco, bonifica).
Defender per Identità Signals: segnali di identità Active Directory. Output: avvisi delle minacce di identità per Defender XDR e Microsoft Sentinel.
Defender for Cloud Apps Segnali: attività dell'app SaaS (utilizzo cloud). Telemetria di rete e shadow IT da Defender for Endpoint.

Context: contesto di sessione e autenticazione da Microsoft Entra ID. Criteri DLP di Microsoft Purview.
Outputs: avvisi delle app cloud per Defender XDR e Microsoft Sentinel.

Azioni: imposizione della sessione (blocco, monitoraggio, limitazione dell'accesso).
Defender per il cloud Signals: informazioni sull'operazione delle risorse da Azure. Telemetria di server e carichi di lavoro di Defender for Endpoint.

Contesto: configurazione e comportamento delle risorse.
Outputs: avvisi di sicurezza e informazioni dettagliate sul comportamento per Defender XDR e Microsoft Sentinel.
Gestione dell'esposizione alla sicurezza Microsoft Signals: punteggi di rischio dei dispositivi di Defender for Endpoint. Risultati dell'inventario delle risorse cloud, del comportamento, dell'esposizione e della superficie di attacco da Defender per il cloud. L'inventario delle identità e i segnali di rischio provenienti da Microsoft Entra. Inventario, rischio e utilizzo delle app SaaS da Defender for Cloud Apps.

Contesto: esposizione unificata e correlazione dei rischi.
Outputs: informazioni dettagliate sull'esposizione e correlazioni dei rischi a Microsoft XDR e Microsoft Sentinel.
Defender XDR Signals: avvisi provenienti da Defender per endpoint (dispositivi), Defender per identità (segnali di identità), Defender per Office 365 (posta elettronica e collaborazione), Defender for Cloud Apps (attività SaaS/app). Segnali aggiuntivi provenienti da Microsoft Purview (DLP, rischio Insider, classificazione dei dati), Microsoft Entra ID Protection (segnali di rischio di identità) e Defender per il cloud (comportamento del carico di lavoro/cloud). Outputs: avvisi correlati, incidenti in Microsoft Sentinel.

Azioni: risposta automatica tra domini.
Microsoft Sentinel Segnali: avvisi, log, telemetria da Defender XDR, Microsoft Purview, servizi cloud e altre origini proprietarie o di terze parti. Output: analisi, indagini e incidenti.

Azioni: risposta automatica con i playbook.
Microsoft Security Copilot Signals: eventi imprevisti e avvisi provenienti da Microsoft Sentinel e Defender XDR.

Context: dati sensibili e contesto di rischio insider da Microsoft Purview. Contesto di esposizione di Microsoft Security Exposure Management.
Output: riepiloghi delle indagini, raccomandazioni, informazioni dettagliate guidate dall'intelligenza artificiale.

Actions: azioni di risposta guidate indirizzate tramite flussi di lavoro Microsoft Sentinel e Defender XDR.

Passaggi successivi