Microsoft ha elaborato un sistema di sicurezza con funzionalità simili ai classici XDR (eXtended Detection and Response) combinando diverse suite di lavoro, quali Microsoft Sentinel, Microsoft 365 Defender e Microsoft Defender for Cloud.
Così come i servizi con il marchio Defender proteggono rispettivamente le risorse rivolte al cliente (endpoint, app ed e-mail) e i servizi cloud (database, storage, VM server, contenitori e altro), a loro volta i servizi Sentinel forniscono una solida base SIEM da cui visualizzare e agire su avvisi contestualizzati, ricercare minacce e avviare indagini
Indice degli argomenti
Sistema XDR Microsoft: la logica d’insieme
Un ovvio vantaggio derivante dall’utilizzo di varie suite Microsoft è l’integrazione intrinseca tra le sue piattaforme cloud come Office 365 e Azure, ma il vero valore di questo sistema è che Microsoft ha dati di eventi simili disponibili per tutti i suoi clienti, rendendo più semplice, anche grazie alle capacità di machine learning, identificare comportamenti anomali all’interno delle proprie risorse aziendali
Inoltre, Microsoft offre funzionalità di automazione con Sentinel, inclusi connettori in servizi proprietari o di terze parti con app per la logica o la possibilità di inviare notifiche tramite e-mail o notifiche all’interno di Microsoft Teams.
La forza di questo sistema consiste nella grossa integrazione che Microsoft ha posto tra i suoi prodotti, creando uno scudo collaborativo all’altezza dei migliori rivali di mercato.
Cerchiamo di capire quali vantaggi comportamentali si ottengono da questo “ingranaggio” di difesa. Si tratta di un ottimo prodotto nel complesso, che si adatta a ogni azienda o ente, di piccole e medie ma anche di grosse realtà aziendali o istituzionali.
Microsoft Sentinel come orchestratore SIEM e SOAR
Microsoft Sentinel funziona come soluzione scalabile e nativa cloud che fornisce una gestione delle informazioni e degli eventi sulla sicurezza (SIEM) e un orchestrazione, automazione e risposta della sicurezza (SOAR).
Inoltre, offre analisi di sicurezza intelligenti e informazioni sulle minacce in tutta l’azienda. Con Microsoft Sentinel si ottiene un’unica soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
Microsoft Sentinel offre una visione panoramica dell’azienda e allevia lo stress derivante da attacchi sempre più sofisticati, volumi crescenti di avvisi e tempi di risoluzione lunghi.
Microsoft Sentinel eredita le pratiche di antimanomissione e immutabilità di monitoraggio di Azure. Alcune caratteristiche di questo sistema includono la raccolta dati su scala cloud tra tutti gli utenti, i dispositivi, le applicazioni e l’infrastruttura, sia on-premise che su più cloud separati.
Rileva minacce con doppia scansione, riprendendo in considerazione il rumore scartato in precedenza e riduce al minimo i falsi positivi utilizzando l’analisi di Intelligence di Microsoft sulle minacce precedentemente sconosciute.
Indaga, inoltre, sulle minacce con l’intelligenza artificiale ed effettua verifiche su attività sospette in larga scala, sfruttando immensi archivi di sicurezza informatica nelle repository di Microsoft.
È capace di rispondere rapidamente agli incidenti con l’orchestrazione integrata e l’automazione delle attività comuni.
Microsoft Sentinel incorpora in modo nativo i servizi Azure comprovati, come Log Analytics e App per la logica. Microsoft Sentinel arricchisce le indagini e il rilevamento con l’intelligenza artificiale di ultima generazione del colosso di Redmond.
Fornisce anche il flusso di Intelligence sulle minacce conosciute da Microsoft e consente di portare la propria Intelligence sulle minacce aziendali.
Bisogna ricordare, inoltre, che questo servizio supporta Azure Lighthouse, che consente ai fornitori di servizi di accedere al proprio tenant per gestire abbonamenti e gruppi di risorse delegate.
Microsoft Sentinel viene fornito con numerosi connettori di raccolta dati per soluzioni Microsoft immediatamente disponibili e che forniscono integrazione in tempo reale. Alcuni di questi connettori includono le fonti Microsoft come Microsoft Defender XDR, Microsoft Defender for Cloud, Office 365, Microsoft Defender for IoT e altro ancora. Altre tipologia di connettori per la raccolta dati provengono dalle origini dei servizi di Azure come Microsoft Entra ID, attività di Azure, archiviazione di Azure, Azure Key Vault, servizio Azure Kubernetes ed altro.
Microsoft Sentinel dispone di connettori integrati per gli ecosistemi di sicurezza e applicazioni più ampi per soluzioni non Microsoft. Si può anche utilizzare il formato classico Syslog o REST-API per connettere le origini dei dati aziendali con il sistema.
Le cartelle di lavoro vengono visualizzate in modo diverso in Microsoft Sentinel rispetto al classico monitoraggio di Azure. Microsoft Sentinel consente di creare cartelle di lavoro personalizzate sui propri dati. Il sistema viene inoltre fornito con modelli di cartelle di lavoro integrati per consentire di ottenere rapidamente informazioni approfondite sui dati non appena connesso ad un origine dati.
Queste cartelle di lavoro sono destinate agli ingegneri e agli analisti SOC di tutti i livelli per visualizzare i dati. Le cartelle di lavoro sono utilizzate al meglio per visualizzazioni di alto livello dei dati di Microsoft Sentinel e non richiedono conoscenze di programmazione, ma non è possibile integrare cartelle di lavoro con dati esterni.
Per aiutare a ridurre il rumore e abbassare al minimo il numero di avvisi da rivedere e indagare, Microsoft Sentinel utilizza l’analisi per correlare gli avvisi agli incidenti.
Gli incidenti sono gruppi di avvisi intrecciati che insieme indicano una possibile minaccia su cui è possibile indagare e risolvere. Le regole di correlazione vengono utilizzate integrate così come sono oppure utilizzate come punto di partenza per crearne le proprie.
Microsoft Sentinel fornisce inoltre regole di machine learning per mappare il comportamento della rete e quindi cercare anomalie nelle risorse. Queste analisi uniscono i punti, combinando avvisi a bassa fedeltà su diverse entità in potenziali incidenti di sicurezza ad alta affidabilità.
Questo sistema automatizza le attività comuni e semplifica l’orchestrazione della sicurezza con metodi playbook che si integrano con i servizi di Azure e gli strumenti esistenti.
La soluzione di automazione e orchestrazione di Microsoft Sentinel fornisce un’architettura altamente estensibile che consente un’automazione scalabile nella misura che emergono nuove tecnologie e minacce. Per creare i metodi playbook con App per la logica di Azure, si può scegliere da una raccolta in costante espansione con molte centinaia di connettori per vari servizi e sistemi.
Se, per esempio, si utilizza il sistema di ticketing ServiceNow, si può disporre del App per la logica di Azure per automatizzare i flussi di lavoro e aprire un ticket in ServiceNow ogni volta che viene generato un particolare avviso o incidente.
I metodi playbook sono destinati a ingegneri e analisti SOC di tutti i livelli, per automatizzare e semplificare le attività, tra cui l’inserimento, l’arricchimento, l’indagine e la correzione dei dati. I metodi playbook funzionano meglio con attività singole e ripetibili e non richiedono conoscenze di programmazione. I metodi playbook non sono adatti per catene di attività complesse ad hoc, né per documentare né per condividere prove.
Gli strumenti di indagine approfondita aiutano a comprendere l’ambito e a trovare la causa principale di una potenziale minaccia alla sicurezza. Si può scegliere un’entità nel grafico interattivo offerto dal cruscotto per interrogare il sistema su un’entità specifica e approfondire tale entità e le sue connessioni per arrivare alla causa principale della minaccia.
Microsoft Sentinel utilizza potenti strumenti di ricerca e query basati sul framework MITRE, che consentono di ricercare in modo proattivo le minacce alla sicurezza nelle origini dati della propria organizzazione prima che venga attivato un avviso e crea regole di rilevamento personalizzate in base alle query d’indagine. Quindi, mostra queste informazioni sotto forma di avvisi agli operatori che possono rispondere agli incidenti di sicurezza.
Durante le indagini crea segnalibri per tornare successivamente agli eventi interessanti, utilizza un segnalibro per condividere un evento con altri, oppure raggruppa gli eventi con altri eventi correlati per creare un incidente interessante da approfondire.
La suite Microsoft Defender nel sistema XDR Microsoft
Microsoft Defender XDR è una suite di difesa aziendale unificata pre e post violazione che coordina in modo nativo rilevamento, prevenzione, indagine e risposta su endpoint, identità, posta elettronica e applicazioni per fornire protezione integrata contro attacchi sofisticati.
La coordinazione di Microsoft Defender XDR orchestra a Defender for Endpoint che è una piattaforma unificata per protezione preventiva, rilevamento post-violazione, indagini automatizzate e risposta.
Include anche Microsoft Defender Vulnerability Management che offre visibilità continua delle risorse, valutazioni intelligenti basate sul rischio e strumenti di correzione integrati per aiutare i team IT e di sicurezza a stabilire le priorità e ad affrontare le vulnerabilità critiche e le configurazioni errate all’interno dell’organizzazione.
Agisce assieme a Defender per Office 365 che protegge la propria organizzazione dalle minacce dannose poste da messaggi e-mail, collegamenti (URL) e strumenti di collaborazione.
Orchestra anche l’identità con Defender for Identity e Microsoft Entra ID Protection, vediamoli singolarmente:
- Microsoft Defender for Identity è una soluzione di sicurezza basata su Cloud che sfrutta i segnali di Active Directory locali per identificare, rilevare e indagare su minacce avanzate, identità compromesse e azioni interne dannose dirette all’organizzazione.
- La protezione Microsoft Entra ID utilizza le conoscenze acquisite da Microsoft dalla propria posizione nelle organizzazioni, nello spazio consumer con account Microsoft e nei giochi con Xbox per proteggere i propri utenti. Microsoft Defender per Cloud Apps è una soluzione cross-SaaS completa che offre visibilità approfondita, controlli avanzati dei dati e protezione avanzata dalle minacce alle proprie App Cloud.
L’esclusivo livello di integrazione tra prodotti di Microsoft Defender XDR potenzia i singoli componenti del servizio per aiutare a proteggersi dagli attacchi e a coordinare le risposte difensive tra i servizi attraverso la condivisione dei segnali e azioni automatizzate.
Questa suite raccoglie la storia completa dell’attacco attraverso avvisi sul prodotto, comportamenti e contesto per i team di sicurezza unendo i dati su avvisi, eventi sospetti e risorse colpite agli “incidenti”.
Inoltre, automatizza la risposta alla compromissione attivando l’autoriparazione per le risorse interessate attraverso la riparazione automatizzata. Queste elaborazioni consentono al proprio IT di sicurezza di eseguire indagini dettagliate sulle minacce verso gli endpoint e dati di Office.
Per concludere questa panoramica di Microsoft Defender XDR, vediamo alcune delle funzionalità incluse:
- Un pannello di controllo unico per più prodotti nel portale di Microsoft Defender per una visualizzazione centrale di tutte le informazioni su rilevamenti, risorse interessate, azioni automatizzate intraprese e prove correlate in un’unica coda e in un unico riquadro nel cruscotto. Esso è una coda di incidenti combinati per aiutare i professionisti IT di sicurezza a concentrarsi su ciò che è critico garantendo che l’intero ambito dell’attacco, le risorse interessate e le azioni di riparazione automatizzate siano raggruppate ed evidenziate in modo tempestivo.
- Una risposta automatica alle minacce in quanto le informazioni critiche sulle minacce vengono condivise in tempo reale tra i prodotti Microsoft Defender XDR per contribuire a fermare la progressione di un attacco. L’autoriparazione per dispositivi, identità utente e caselle di posta compromessi di Microsoft Defender XDR, infatti, utilizza azioni automatiche e metodi playbook basati sull’intelligenza artificiale per riportare le risorse interessate in uno stato sicuro. Microsoft Defender XDR sfrutta le funzionalità di riparazione automatica dei prodotti della suite per garantire che tutte le risorse interessate relative a un incidente vengano riparate automaticamente ove possibile.
- Indagine approfondita sulle minacce tra più prodotti, ovvero gli IT preposti alla sicurezza possono sfruttare le proprie conoscenze organizzative per cercare segnali di compromissione creando le proprie query personalizzate sui dati grezzi raccolti dai vari prodotti di protezione. Microsoft Defender XDR fornisce accesso basato su query a 30 giorni di segnali grezzi cronologici e dati di avviso su endpoint e dati di Defender per Office 365.
Microsoft Defender for Cloud, un’app imprescindibile per l’XDR
Microsoft Defender for Cloud è una piattaforma di protezione delle applicazioni nativa per il Cloud (CNAPP) costituita da misure e pratiche di sicurezza progettate per proteggere le applicazioni basate su Cloud da varie minacce e vulnerabilità informatiche.
Defender for Cloud combina alcune funzionalità specifiche come quella di essere una soluzione per le operazioni di sicurezza dello sviluppo (DevSecOps) che unifica la gestione della sicurezza a livello di codice in ambienti multicloud e con più pipeline, una soluzione CSPM (Security Postura Management) sul Cloud che evidenzia le azioni che è possibile intraprendere per prevenire le violazioni, una piattaforma di protezione dei carichi di lavoro Cloud (CWPP) con protezioni specifiche per server, contenitori, storage, database e altri carichi di lavoro.
Defender for Cloud aiuta a incorporare le best practices di sicurezza nelle prime fasi del processo di sviluppo del software, o DevSecOps. Si possono proteggere i vari ambienti di gestione del codice e le pipeline del codice e ottenere informazioni dettagliate sullo stato di sicurezza del proprio ambiente di sviluppo da un’unica posizione.
Defender for Cloud consente ai team IT di sicurezza di gestire la sicurezza DevOps in ambienti multi-pipeline. Le applicazioni odierne richiedono consapevolezza della sicurezza a livello di codice, infrastruttura e runtime per garantire che le applicazioni distribuite siano protette dagli attacchi.
I principi di sicurezza proattivi richiedono l’implementazione di pratiche di sicurezza che proteggano i carichi di lavoro dalle minacce.
Le protezioni dei carichi di lavoro Cloud (CWP) forniscono consigli specifici per i carichi di lavoro che guidano ai giusti controlli di sicurezza per proteggere i propri carichi di lavoro, infatti, quando il proprio ambiente è minacciato, gli avvisi di sicurezza indicano immediatamente la natura e la gravità della minaccia in modo da poter pianificare la risposta.
Dopo aver identificato una minaccia nell’ambiente, è necessario rispondere rapidamente per limitare il rischio per le proprie risorse.
Vantaggi del sistema XDR Microsoft
Avere un unico pannello di controllo per tutti i servizi di sicurezza Microsoft rende tutto molto più semplice. Un analista di sicurezza può servirsi da un unico portale e vedere tutto in un’unica vista.
L’integrazione di tutto in un unico portale è un enorme vantaggio. Questo può essere un vantaggio se non si considerano i cruscotti secondari, di cui parliamo di seguito.
Molte volte le configurazioni richiedono molto più tempo del previsto infatti non c’è niente da dire come prodotto complessivo ma lo scarso supporto iniziale potrebbe complicare le tempistiche di configurazione per un azienda che appena inizia il suo percorso con il XDR Microsoft.
Con l’arrivo di Security Copilot, come partner, ci si aspetta un supporto integrato GDAP in modo da poter effettivamente vedere il magnifico Security Copilot quanto meno per gli abbonati premium.
Microsoft da sempre pretende che si acquistino contratti di supporto premium. Anche se tali si definiscono supporto professionale, molte volte le risposte ricevute da questo tipo di supporto non corrispondono alle aspettative del prezzo pagato dall’abbonamento.
Dal punto di vista dei cruscotti di Microsoft 365 XDR, dicevamo, il vantaggio principale è avere a che fare con un unico dashboard centralizzato che offre la visibilità olistica tanto desiderata dalle organizzazioni ma, nonostante ciò, l’abbondanza di cruscotti secondari e sotto aree all’interno del cruscotto principale può creare confusione, anche se ad analisi completato, tecnicamente tutto torna e ha senso.
Conclusioni
Conoscere Microsoft è conoscere il suo sistema XDR, essa ha alle spalle l’esperienza di un azienda leader nel settore dell’informatica e conta con un esperienza conosciuta da tutti. Ciò che un azienda come Microsoft ha imparato negli anni è garanzia di funzionalità per i suoi prodotti, ciò non toglie che esiste un certo margine di miglioramento dal punto di vista dell’assistenza se non si possiede un abbonamento premium con cui contare.
