Microsoft 365 Defender: sicurezza endpoint per le aziende

Latest news

Microsoft 365 Defender: la soluzione completa per la sicurezza aziendale

Microsoft 365 Defender è una piattaforma avanzata che integra quattro servizi principali per offrire funzionalità estese di rilevamento e risposta alle minacce (XDR). Grazie a questa soluzione unificata, le organizzazioni possono proteggere endpoint, strumenti di collaborazione, identità e applicazioni cloud.

I Quattro Servizi Principali

🔹 Microsoft Defender per Endpoint
Protegge computer, server e dispositivi mobili dalle minacce informatiche sfruttando sensori comportamentali, machine learning e intelligenza artificiale. Garantisce sicurezza su diverse piattaforme, tra cui Windows, macOS, Linux, Android e iOS.

🔹 Microsoft Defender per Office 365
Protegge le applicazioni di comunicazione e collaborazione di Microsoft 365, come Exchange Online, SharePoint, Teams e OneDrive, da phishing, malware e link dannosi. Blocca le minacce in tempo reale per prevenire violazioni dei dati.

🔹 Microsoft Defender for Identity
Monitora gli ambienti di identità locali (Active Directory) e cloud (Azure AD) per rilevare attività sospette, proteggendo contro il furto di credenziali e gli accessi non autorizzati.

🔹 Microsoft Defender per le Cloud App
Fornisce visibilità e controllo sulle applicazioni cloud, permettendo di gestire l’uso delle risorse aziendali, applicare politiche di sicurezza e identificare comportamenti anomali per prevenire rischi e violazioni della conformità.

Un Approccio Integrato alla Sicurezza

L’integrazione di questi servizi nella piattaforma Microsoft 365 Defender XDR consente alle organizzazioni di:

Prevenire attacchi informatici grazie a un monitoraggio costante.
Indagare su minacce avanzate con strumenti di analisi dettagliati.
Rispondere rapidamente agli incidenti con azioni automatizzate.

Disponibilità e Licenze

Microsoft 365 Defender è incluso in piani come Microsoft 365 Small Business Premium e Microsoft 365 E5. Sono disponibili anche licenze autonome per ciascun servizio e SKU aggiuntivi come E5 Security, che offrono funzionalità avanzate. Per scegliere la soluzione più adatta, è consigliabile rivolgersi a un partner Microsoft come Nexsys.

microsoft defender for endpoint

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint si estende su un vasto set di sistemi operativi, a partire da Windows 7 SP1 a Windows Server 2022, macOS, iOS, Android e le distribuzioni server Linux più popolari. Le capacità di MDE differiscono per ciascuno di questi. 

Microsoft Defender per Endpoint (MDE) è il pilastro della protezione avanzata degli endpoint all’interno di Microsoft 365 Defender. A differenza dell’antivirus integrato in Windows, MDE offre funzionalità sofisticate per la rilevazione e la risposta alle minacce.

L’Evoluzione della Protezione degli Endpoint

1️⃣ Antivirus Tradizionale
Basato su firme digitali per identificare e bloccare malware noti. Efficace, ma limitato contro nuove minacce.

2️⃣ Antivirus di Nuova Generazione (NGAV)
Utilizza euristiche, sandboxing e analisi comportamentale per rilevare malware sconosciuti senza bisogno di firme specifiche.

3️⃣ Endpoint Detection and Response (EDR)
MDE introduce un livello superiore di sicurezza, raccogliendo e analizzando dati dagli endpoint per rilevare attività sospette e fornire strumenti di risposta agli incidenti.

Perché una Soluzione EDR è Essenziale?

Gli attacchi informatici moderni non si limitano a malware tradizionali, ma sfruttano tecniche avanzate per eludere le difese, stabilire persistenza e muoversi lateralmente nella rete. Una soluzione come MDE consente di:

🔹 Correlare eventi sospetti su più dispositivi.
🔹 Automatizzare la risposta alle minacce.
🔹 Analizzare grandi quantità di dati di telemetria per una sicurezza proattiva.

Grazie all’integrazione con il cloud Azure, Microsoft Defender for Endpoint elabora e presenta queste informazioni in tempo reale, offrendo agli amministratori strumenti avanzati per proteggere l’infrastruttura aziendale.

Come funziona la protezione a più livelli di Microsoft Defender per Endpoint (MDE)

Microsoft Defender per Endpoint (MDE) adotta un approccio a più livelli per garantire una protezione completa contro le minacce informatiche. Questo processo si articola in diverse fasi, ciascuna progettata per aumentare il livello di sicurezza e ridurre al minimo i rischi. Ecco come funziona:

1. Fase iniziale: protezione locale

La prima linea di difesa si basa su regole locali del client, algoritmi avanzati, firme antivirus, euristiche e tecniche di rilevamento comportamentale. Questi strumenti analizzano i file e le attività in tempo reale per identificare potenziali minacce. Se un file sembra sospetto ma non può essere classificato come dannoso con certezza, il processo passa alla fase successiva.

2. Seconda fase: protezione cloud (MDAV)

Il servizio di protezione cloud di Microsoft Defender Antivirus (MDAV) entra in gioco per fornire ulteriori livelli di sicurezza. Questo servizio, precedentemente noto come Microsoft Advanced Protection Service (MAPS) o SpyNet, esamina i metadati del file per valutare il rischio. Ad esempio, potrebbe analizzare un eseguibile con una prevalenza molto bassa a livello globale basata sull’hash. Se il file rimane sospetto ma non è ancora classificato come una minaccia concreta, il processo procede alla fase successiva.

3. Terza fase: analisi avanzata del campione

Nella terza fase, il file sospetto viene caricato nel cloud per un’analisi più approfondita. Gli amministratori hanno il controllo su questo processo e possono impedire il caricamento di campioni che potrebbero contenere dati sensibili. Tuttavia, è importante notare che limitare gli upload riduce anche il livello di protezione. Durante questa fase, vengono valutati sia gli attributi del file che il suo comportamento. Se il file continua a essere considerato potenzialmente pericoloso, si passa alla fase finale.

4. Quarta fase: detonazione in sandbox

Se le fasi precedenti non forniscono una risposta definitiva, MDE procede con la detonazione in sandbox. In questa fase, il file viene eseguito in un ambiente isolato e sicuro per analizzare il suo comportamento durante l’esecuzione. Questo approccio consente di capire cosa fa il file piuttosto che limitarsi a valutare cosa è. La sandbox fornisce un’analisi dettagliata delle azioni del file, aiutando a identificare minacce avanzate che potrebbero sfuggire ai metodi tradizionali.

Perché è importante un approccio a più livelli?

L’approccio a più livelli di MDE garantisce una protezione completa contro minacce sempre più sofisticate. Ogni fase aggiunge un ulteriore livello di sicurezza, riducendo il rischio di falsi positivi e migliorando la capacità di rilevare e bloccare minacce sconosciute. Questo metodo è particolarmente efficace per:

  • Identificare malware zero-day: grazie all’analisi comportamentale e alla detonazione in sandbox.

  • Ridurre i falsi positivi: con un’analisi approfondita a più livelli.

  • Proteggere i dati sensibili: offrendo agli amministratori il controllo sui caricamenti dei file.

In sintesi, Microsoft Defender per Endpoint combina tecnologie locali e cloud, analisi avanzate e detonazione in sandbox per offrire una protezione proattiva e affidabile contro le minacce informatiche. Questo approccio multilivello è essenziale per garantire la sicurezza degli endpoint in un panorama di minacce in continua evoluzione.

MDAV è anche responsabile del rispetto e dell’applicazione degli indicatori di compromissione (IoC) per i device registrati. Questi sono controlli personalizzati a livello file, certificati, indirizzi IP, URL e domini.

Regole ASR per la riduzione della superficie di attacco

Le funzionalità di protezione di nuova generazione e l’EDR non possono sempre rilevare e prevenire tutte le minacce con l’urgenza di cui spesso abbiamo bisogno. Per quanto avanzate siano le capacità, notiamo ancora una latenza nell’analisi più approfondita della protezione consegnata dal cloud o nella rimozione post-incidente da parte dell’EDR in modalità di blocco.  Nel mondo reale, gli attaccanti trovano continuamente nuovi bypass, vengono scoperte vulnerabilità nel software o le configurazioni errate creano possibili “punti di accesso”.

Ed ecco dove entra in gioco la riduzione della superficie di attacco (ASR). ASR si riferisce a una serie di funzionalità che limitano lo scopo disponibile dei punti di ingresso per gli attacchi. Si pensi ad ASR come ad un controllo dello scopo delle operazioni consentite su un dispositivo, siano esse maliziose o meno. Altri fornitori possono fare riferimento a questo tipo di mitigazione come un sistema di prevenzione delle intrusioni host (HIPS). Le funzionalità disponibili in questa serie includono un insieme di regole di riduzione della superficie di attacco, accesso controllato alle cartelle (CFA), protezione dagli exploit e protezione della rete e del web. Possiamo anche considerare le funzionalità SmartScreen, come parte di questo gruppo.

m365 defender for endpoint

Protezione per macOS

Sebbene possa sembrare strano, Microsoft offre effettivamente capacità di protezione degli endpoint basati su macOS. A causa di alcune differenze evidenti tra Windows e macOS, non c’è una completa parità di funzionalità. Ad esempio MDE non offre su Mac la possibilità di applicare le regole ASR. Tuttavia, include un antivirus preventivo con protezione da PUA, protezione in tempo reale, scansione malware, elementi di controllo dei dispositivi e azioni di risposta dei dispositivi. Grazie alle capacità di EDR, macOS fornisce anche dati di telemetria a Microsoft 365 Defender per la gestione delle vulnerabilità di Microsoft Defender, avvisi, incidenti e ricerca avanzata.

Protezione per Server Linux

MDE non mette a disposizione funzionalità di protezione per Sistemi Operativi Client Linux, ma rende disponibile ad un set di SO Server Linux le funzionalità di protezione avanzate. Tra le distribuzioni server Linux supportate, vi sono:

• Red Hat Enterprise Linux (RHEL) 6.7+
• SUSE Enterprise Server 12+
• Ubuntu 16+ LTS

• Amazon Linux 2
• CentOS 6.7+
• Debian 9+
• Fedora 33+
• Oracle Linux 7.2+

Proprio come con macOS, la distribuzione di MDE per Linux fornisce telemetria EDR, Gestione delle vulnerabilità di Microsoft Defender e un motore antivirus/antimalware Next-gen.

Protezione per iOS e Android

Su iOS e Android, MDE è considerato un sistema di difesa dalle minacce attive nel mondo “mobile” (MTD). Sia su Android che su iOS, vengono fornite segnalazioni di vulnerabilità a Microsoft 365 Defender, avvisi e protezione web, come ad esempio gli utenti che cliccano su link di phishing. Su iOS, è in grado di rilevare se i dispositivi sono stati sottoposti a jailbreak, mentre sui dispositivi Android è possibile effettuare una scansione per individuare app dannose. Microsoft Tunnel è una capacità di rete privata virtuale (VPN) disponibile per entrambe le piattaforme.

microsoft defender for business

Microsoft Defender for 365

Gli attacchi che sfruttano il canale di comunicazione email rappresentano uno dei modi più comuni per gli attaccanti per distribuire malware in entrata o per effettuare un cosiddetto “initial access”. Utilizzando attacchi di phishing e compromissione delle email aziendali (BEC), una email può soddisfare tutti i requisiti in termini di essere priva di malware, autenticata dal sistema di nome di dominio (DNS) e “pulita” dal controllo sulla reputazione, ma comunque riuscire a superare le protezioni, al fine di effettuare l’exploit.

Negli ambienti Microsoft 365, Exchange Online Protection (EOP) è il gateway protettivo e il livello di sicurezza predefinito che le email devono “attraversare”. È disponibile per le caselle di posta di Exchange Online, ma può supportare anche gli ambienti Exchange ibridi e può essere licenziato per i server di posta in locale, anche se non sono server Exchange. Fondamentalmente, EOP protegge dalle email che non superano i controlli di reputazione, autenticazione DNS, malware, spam, phishing e email grigie/bulk.

Piuttosto che sostituire EOP, Microsoft Defender for Office 365 integra e si sovrappone ad esso. MDO fornisce funzionalità più avanzate per proteggere contro minacce che non rientrano nello “scope” coperto da EOP. Dopo che le minacce sono state prevenute o identificate, MDO offre capacità investigative aggiuntive e mezzi per rispondere che non sono disponibili in EOP o Exchange Online. MDO si estende anche nell’ecosistema più ampio di Office 365, con servizi di sicurezza per carichi di lavoro come SharePoint Online, OneDrive for Business, Teams e applicazioni Office 365.

Protezione mail in ingresso

Microsoft Defender for Office 365 (MDO) supporta le seguenti funzionalità relativamente alla protezione delle mail in ingresso:

  1. Protezione avanzata contro il phishing: identifica e blocca in modo proattivo le email di phishing, inclusi tentativi sofisticati di ingannare gli utenti.
  2. Analisi comportamentale avanzata: utilizza l’analisi comportamentale per rilevare modelli di comportamento sospetto nelle email in arrivo.
  3. Integrazione con l’intelligenza delle minacce: si integra con servizi di intelligenza delle minacce per identificare e bloccare le email provenienti da fonti note di attacchi.
  4. Protezione contro email dannose e sconosciute: fornisce protezione contro le email dannose e sconosciute utilizzando tecniche avanzate di rilevamento delle minacce.
  5. Filtraggio avanzato per i connettori: applica filtri avanzati ai connettori per garantire che solo le email sicure e attendibili vengano inoltrate alla posta in arrivo degli utenti.
  6. Gestione delle regole di accesso: gestisce regole di accesso avanzate per controllare quali email vengono consentite e quali vengono bloccate in base a criteri specifici.
  7. Rilevamento e rimozione dei malware: identifica e rimuove i malware dalle email in arrivo prima che possano causare danni ai sistemi.
  8. Blocco delle email di spam: filtra e blocca le email di spam indesiderate prima che raggiungano gli utenti.
  9. Protezione delle informazioni sensibili: identifica e protegge le informazioni sensibili nelle email in arrivo per prevenire perdite di dati.
  10. Monitoraggio del traffico email: monitora il traffico email in tempo reale per individuare eventuali attività sospette o anomale.
  11. Gestione delle reputazioni degli indirizzi IP: Valuta la reputazione degli indirizzi IP mittenti per identificare e bloccare fonti sospette di email.
  12. Analisi dei collegamenti: analizza e verifica i collegamenti nelle email in arrivo per identificare eventuali collegamenti dannosi o sospetti.

Protezione sui contenuti

Le funzionalità di MDO (Microsoft Defender for Office 365) vengono applicate se rientrano nel campo di applicazione del destinatario.

La funzione Safe Attachments di MDO offre una protezione aggiuntiva contro file dannosi che potrebbero essere sfuggiti agli scanner antimalware di Exchange Online Protection (EOP). Gli allegati vengono caricati in un ambiente di sandbox cloud e analizzati. Se vengono individuati comportamenti sospetti durante l’esecuzione, il file viene identificato come potenzialmente pericoloso. Questo livello di sicurezza aggiuntivo, sebbene introduca una certa latenza nella consegna delle email, può essere mitigato abilitando la funzione “Dynamic Delivery”, che consente di recapitare le email con un’anteprima del file e successivamente allegare il file completo solo se risulta sicuro.

Safe Links è invece una funzionalità in grado di riscrivere gli URL nelle email per indirizzare i clic attraverso safelinks.protection.outlook.com. Questo garantisce una scansione degli URL al momento del clic, proteggendo gli utenti da siti web potenzialmente dannosi. Ad esempio, un sito web innocuo al momento della consegna dell’email potrebbe diventare pericoloso successivamente. La scansione al momento del clic è in grado di rilevare tale rischio. Inoltre, è possibile registrare gli accessi agli URL riscritti, fornendo un’utile traccia nelle indagini di sicurezza.

Infine, gli amministratori di Exchange Online possono personalizzare il percorso della posta attraverso il loro ambiente utilizzando le regole di trasporto. Queste regole, noto anche come ETR o regole di flusso della posta, consentono di applicare azioni specifiche in base a condizioni predeterminate. Le regole di trasporto forniscono un controllo dettagliato sulla posta in entrata e in uscita, consentendo di implementare misure come il bypass del filtraggio dello spam, la copia automatica, l’aggiunta di avvisi per i mittenti esterni e il rifiuto delle email.

microsoft defender for identity

Microsoft Defender for Identity

MDI, o Microsoft Defender for Identity, offre funzionalità di protezione per le identità ibride delle organizzazioni e rappresenta un’evoluzione rispetto ad Advanced Threat Analytics (ATA). A differenza di ATA, MDI opera principalmente come servizio cloud, alleviando gran parte del carico infrastrutturale affrontato dagli amministratori. In questa sezione, approfondiremo le sfide affrontate da MDI e i suoi meccanismi operativi.

Active Directory, nonostante sia un pilastro dell’IT aziendale, presenta rischi significativi. Mentre l’AD on-premises rimane pervasivo, il suo sviluppo è stagnato negli ultimi anni con lo spostamento del focus di Microsoft verso Azure, Microsoft 365 e risorse basate su cloud. Nonostante la sua utilità, l’AD può essere difficile da gestire, accumulando spesso decenni di modifiche senza adeguate considerazioni sulla sicurezza. Questa complessità, unita a impostazioni di sicurezza predefinite scadenti e a configurazioni errate, rende l’AD suscettibile all’exploit da parte di attori minacciosi che cercano di stabilire persistenza e dominio del dominio.

Uno dei possibili punti di vulnerabilità è rappresentato dai servizi di Active Directory Federation Services (ADFS), che consentono la funzionalità di single sign-on. Sebbene la raccomandazione attuale sia quella di migrare da ADFS ad Azure AD, l’ampia diffusione di ADFS lo rende vulnerabile ad attacchi, come dimostrato dall’incidente di SolarWinds del 2020. Gli attaccanti hanno sfruttato un attacco Golden SAML per compromettere le chiavi ADFS, concedendo accesso illimitato ai servizi integrati con ADFS, incluso Office 365.

Queste vulnerabilità di Active Directory sono esattamente le minacce che MDI è progettato per contrastare, fornendo avvisi e capacità di risposta. Una volta deployati i sensori sui server Domain Controller, Federation Server e Certification Authority, quest’ultimi inviano dati di telemetria al servizio cloud di MDI. Il tipo di informazioni raccolte e caricate include i log eventi di Windows (incluse le tracce eventi per Windows), il traffico di rete e le modifiche e le attività degli oggetti AD, come l’autenticazione. È anche possibile estendere la protezione delle identità ai sistemi VPN inoltrando gli eventi di contabilità RADIUS.

Il servizio cloud che riceve i segnali di MDI è integrato con il Microsoft Intelligence Security Graph (MISG). Il MISG collega l’ampia gamma di servizi di raccolta di telemetria di Microsoft per la scoperta di minacce guidata da machine learning e big data. Il servizio cloud elabora gli eventi e li presenta agli amministratori della sicurezza nel portale Microsoft 365 Defender. Gli eventi possono essere isolati o raggruppati in incidenti.

Per ridurre al minimo il rumore non utile e i falsi positivi, gli avvisi di MDI, quando appropriato, passano attraverso un periodo di apprendimento. Ad esempio, nella fase di ricognizione, un attaccante può enumerare l’AD interrogando il servizio per scoprire i membri dei gruppi. Gli amministratori possono anche fare regolarmente questo come parte del normale svolgimento delle attività. Per distinguere tra comportamenti normali e anomali, le istanze di MDI non segnalano attività di enumerazione fino a quando non è concluso un periodo di apprendimento di trenta giorni. Le linee guida comportamentali stabilite per gli utenti aiutano MDI a presentare attività potenzialmente rischiose agli amministratori.

La capacità di MDI di segnalare comportamenti anomali viene ulteriormente migliorata dall’etichettatura degli account sensibili e dall’implementazione di honeytokens. Gli honeytokens sono utenti o oggetti computer di AD che non verranno mai utilizzati da utenti reali e esistono per attirare gli attaccanti. Qualsiasi attività di accesso da un honeytoken crea un avviso e deve essere indagata. Allo stesso modo, gli account sensibili sono quelli le cui segnalazioni dovrebbero essere prioritarie. Questi account sono spesso etichettati automaticamente in base all’appartenenza a gruppi altamente privilegiati, come Domain Admins, ma possono anche essere configurati manualmente.

MDI può individuare i percorsi di movimento laterale, evidenziando gli utenti sensibili e i potenziali percorsi di movimento laterale che portano ai loro account. Le informazioni sono presentate in un’interfaccia visiva e intuitiva, in modo da poter esaminare potenziali attacchi, come il pass the hash. Uno degli ingredienti chiave per questa rilevazione di movimento laterale è la capacità di MDI di interrogare gli amministratori locali dei dispositivi di dominio utilizzando SAM-R, in modo da rimanere aggiornati su questo metodo di attacco.

Fino al 2022, le capacità di MDI erano limitate a evidenziare i dettagli delle attività sospette agli amministratori, che avrebbero poi risolto eventuali compromissioni separatamente. Questo è cambiato con l’aggiunta degli account azione. Questi account di servizio possono essere utilizzati per risposte automatizzate come la disattivazione degli account, la modifica dell’appartenenza ai gruppi e il ripristino delle password quando vengono attivati determinati tipi di avvisi. Ora capisci che MDI viene distribuito nel tuo dominio AD on-premises per difendere l’infrastruttura di identità ibrida.

microsoft defender for cloud apps

Microsoft Defender for Cloud Apps

La direzione intrapresa è chiara: le applicazioni e i servizi stanno migrando verso il cloud. Questo si può osservare nell’ampia adozione di Software-as-a-Service (SaaS) come Microsoft 365, Salesforce, Slack e Google Workplace, e nelle piattaforme Platform-as-a-Service (PaaS) e Infrastructure-as-a-Service (IaaS) come Azure e Amazon Web Services (AWS).

Il grande vantaggio di questi servizi cloud è che consentono a individui e organizzazioni di rimanere produttivi ovunque si trovino e di solito indipendentemente dal dispositivo che utilizzano. La sfida che ciò impone è quella di garantirne la sicurezza. Se non posso mettere le mani sull’infrastruttura o sul back-end di un servizio, come posso fidarmi, monitorarlo e proteggerlo? La stessa domanda si pone per gli utenti che accedono alle nostre app e servizi su dispositivi che non gestiamo, come nei casi di bring-your-own-device (BYOD) o di utenti esterni ospiti.

MDA è un cloud access security broker (CASB) che può essere sfruttato per affrontare queste sfide. In questa sezione, imparerai sulle capacità di MDA come servizio di audit, governance e protezione.

Microsoft Defender for Cloud Apps può individuare l’uso delle applicazioni, sia quelle gestite che quelle non ufficiali, con la sua capacità di Cloud Discovery. Per dati sempre aggiornati e accurati, i rapporti continui possono integrare la telemetria di rete da diversi tipi di fonti di dati. I dispositivi incorporati in MDE possono trasmettere direttamente da essi. I gateway web sicuri (SWG) come Zscaler possono essere integrati. I dispositivi di rete come i firewall possono caricare i log tramite un raccoglitore di log. Come operazione ad hoc, è possibile caricare rapporti istantanei anziché rapporti continui.

Con i dati ingestiti, le capacità di scoperta vengono potenziate dal Catalogo delle app cloud gestito da Microsoft. Si tratta di un inventario di oltre 30.000 servizi, siti web e app. Per ogni voce del catalogo, troverai informazioni che aiutano a stabilire la sua idoneità e il rischio per il tuo ambiente:

  • Informazioni generali: Queste includono il tipo di servizio fornito, i domini utilizzati, la sede principale e la prevalenza/popolarità mondiale
  • Informazioni sulla sicurezza: Queste includono il supporto per l’autenticazione multi-fattore, SAML, l’uso della crittografia dei dati a riposo e i log di audit
  • Informazioni sulla conformità: Queste includono gli standard ISO, i requisiti legali come l’Health Insurance Portability and Accountability Act (HIPAA), i livelli FedRAMP e le posizioni Safe Harbor per il trasferimento di dati transfrontaliero
  • Informazioni legali: Queste includono la conservazione della proprietà dei dati per i contenuti caricati, la conservazione dei dati quando il servizio termina e le dichiarazioni di conformità al Regolamento generale sulla protezione dei dati (GDPR)

Attraverso il dashboard di Cloud Discovery e le pagine delle App scoperte e delle Risorse scoperte, gli amministratori di MDA vengono quindi presentati con come l’attività di rete misura rispetto al Catalogo delle App Cloud. Come imparerai nel Capitolo 20, possono anche essere generati avvisi personalizzati. A ciascuna app viene assegnato un punteggio di rischio, e gli amministratori possono approfondire ulteriormente su quanti dati sono passati, da chi, da quale IP e su quali dispositivi.

Gli amministratori possono procedere a contrassegnare le app come approvate o non approvate, che, a seconda della configurazione, possono vietare l’accesso tramite MDE, gateway web sicuri o l’appliance di rete.

Indagine In questa sezione, esamineremo alcune capacità investigative di MDA. MDA ti consentirà di indagare sull’attività dell’app in tutto il tuo ambiente cloud e di tenere traccia dei privilegi di quelle app. Connessione delle app I connettori delle app sono un metodo fondamentale per utilizzare MDA per gestire la sicurezza del cloud. Questa capacità è disponibile per un insieme di servizi cloud gestiti da Microsoft e utilizza le API di quei servizi per acquisire attività o addirittura effettuare rimedi.

L’elenco dei servizi supportati continua a crescere, e gli amministratori sono incoraggiati a fare suggerimenti a Microsoft. Esempi popolari di connettori di app supportati includono AWS, Dropbox, Google Workspace, Okta, Salesforce, ServiceNow, Slack e Workday. Per ciascuno di questi, sono supportate più di un’istanza. Come ci si potrebbe aspettare, Office 365 (che include Azure AD come connettore di app) e Azure sono supportati, anche se solo una singola istanza.

A seconda delle API disponibili, il livello di capacità cambia per ogni connettore di app. Ad esempio, la maggior parte delle app supporta la segnalazione delle attività amministrative, come le azioni che solo gli utenti privilegiati all’interno di quei servizi possono eseguire, che sono quindi di particolare interesse per la sicurezza. Sono attese anche tipologie di attività specifiche dell’app. Ad esempio, il tipo di attività che Dropbox segnalerà (ad esempio, creazione e modifica di file) sarà diverso da Azure (ad esempio, creazione e modifica di macchine virtuali).

Indagine sulle app

Dopo aver configurato i connettori dell’app, diventano disponibili opzioni di indagine. Il registro delle attività di MDA è il luogo per queste informazioni, che riporta dettagli sulle attività a livello di riga, da chi e quando. È possibile compilare filtri avanzati, permettendoti di approfondire ciò di cui hai veramente bisogno in base alle attività, agli utenti, alle date, alle posizioni e ad altre proprietà. Il registro delle attività presenta anche dati dalle policy di sessione, di cui parleremo a breve. Per le app supportate, come Office 365, la pagina dei file fornisce una capacità investigativa simile ma a livello di file anziché di attività. Ad esempio, potresti utilizzare filtri avanzati per trovare file di OneDrive for Business con collaboratori specifici, con un’etichetta di sensibilità specifica o per livello di accesso. La pagina Utenti e account fornisce funzionalità simili in tutte le app connesse per le identità degli utenti, basate su proprietà come account amministrativi, appartenenza a gruppi o domini.

Sicurezza dell’app OAuth

Per le app che utilizzano Azure AD come provider di identità, l’autorizzazione alle risorse e alle applicazioni è controllata da OAuth. Ad esempio, è possibile registrare un servizio SaaS di gestione del calendario come app OAuth che ha i permessi OAuth per accedere e leggere i profili degli utenti, con accesso completo ai calendari degli utenti. Altri esempi possono includere il controllo sulle caselle di posta, i contatti e gli account utente. Il vantaggio per gli attaccanti è che possono ottenere accesso incontrollato e persistente a tali risorse se manipolano qualcuno affinché assegni i permessi. Perché preoccuparsi di rintracciare le tue credenziali e bypassare l’autenticazione a più fattori, quando puoi semplicemente concedere i diritti di accesso a me? Inoltre, l’uso potrebbe non attivare processi convenzionali che abbiamo in atto per identificare il rischio, come IP non riconosciuti, perché non c’è un’autenticazione interattiva. Per aiutare con questo problema, MDA offre due servizi: uno incluso e l’altro un’opzione aggiuntiva a pagamento. Inclusa in MDA c’è la capacità di gestire le app OAuth. Questo si integra non solo con Azure AD ma anche con altre app connesse che consentono la delega dei permessi, come Google Workspace. Le app a cui sono stati assegnati i permessi sono presentate con dati su chi l’ha fatto e quali permessi sono disponibili. Per facilitare la rilevazione del rischio e la risposta, i permessi sono riassunti in un indicatore di livello di autorizzazione, da basso a alto. La prevalenza mondiale (uso della comunità) è anche presentata come rara, non comune o comune. Combinando questi dati, è più facile individuare le app potenzialmente rischiose: quelle rare ma che cercano permessi molto protetti. L’opzione aggiuntiva a pagamento è la governance delle app. Il principale vantaggio della governance delle app rispetto alla gestione standard delle app OAuth di MDA è una revisione continua dell’accesso alle risorse e il monitoraggio di comportamenti rischiosi più avanzati. Oltre alle funzionalità integrate, gli amministratori possono visualizzare dati come le metriche di caricamento e scaricamento di posta e file nel tempo, per vedere come sta cambiando l’uso. Ad esempio, potrebbe essere sospetto se il traffico aumenta improvvisamente: l’app è stata compromessa? Consente anche di identificare le app con privilegi eccessivi, ovvero quelle a cui sono stati assegnati permessi ma non utilizzati. Questo può consentire di apportare modifiche, riducendo la superficie di attacco.

Le policy di MDA sono ciò che alimenta le capacità di avviso e controllo del servizio. A un livello elevato, le policy possono essere descritte come “se accade questo, fai quello”. Esempi di policy predefinite includono:

  • Consenso app OAuth pericoloso: questo crea un avviso se viene autorizzata un’app OAuth potenzialmente pericolosa. Ad esempio, una che Microsoft ha riscontrato in un attacco di phishing.
  • Attività di ransomware: questa analizza le estensioni e la velocità di caricamento dei file e genera un avviso se indicativi di ransomware.
  • Attività da indirizzi IP anonimi: questa esamina l’indirizzo IP di origine dell’attività e, se contrassegnato come appartenente a un servizio di anonimizzazione, come una VPN, crea un avviso.
microsoft 365 defender

Conoscere Microsoft Defender: formazione per la sicurezza aziendale.

Per coloro che desiderano approfondire le proprie competenze sulla gestione degli endpoint in ambiente Microsoft 365, Nexsys offre il corso di formazione professionale MD-102 Microsoft 365 Endpoint Administrator, un’opportunità di formazione tecnica completa per gli specialisti IT, progettata per equipaggiarli con le competenze necessarie per gestire in modo sicuro gli endpoint all’interno di un’organizzazione.

Questo percorso fornisce una formazione teorica e pratica approfondita, consentendo ai partecipanti di assumere il ruolo cruciale di amministratore degli endpoint. L’obiettivo principale è quello di garantire la gestione efficace dei computer, dispositivi mobili e altri dispositivi connessi, attraverso l’utilizzo di strumenti avanzati come Microsoft Intune, Autopilot, Configuration Manager, Defender ed Entra ID.

Durante il corso, i partecipanti svilupperanno competenze essenziali per implementare politiche di sicurezza robuste, facilitare la distribuzione e configurazione dei dispositivi e proteggere gli endpoint dalle minacce informatiche. Il corso si impegna a offrire un ambiente di apprendimento efficace e supportato, permettendo ai partecipanti di acquisire conoscenze pratiche pronte per essere applicate sul campo lavorativo. Per saperne di più, contattaci.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

Please enable JavaScript in your browser to complete this form.
My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy. 

AccettaRifiutaPersonalizza