L’integrazione tra Azure Security Center e Microsoft Defender ATP

Francesco MolfeseAzure Security Center, Enterprise Security, Microsoft Defender Advanced Threat Protection

Microsoft Defender Advanced Threat Protection (MDATP) è una piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza. In questo articolo viene approfondito come Azure Security Center (ASC) è in grado di integrarsi con questa piattaforma e quali sono gli aspetti da tenere in considerazione per unire le differenti potenzialità e contemplare in modo efficace la protezione dei server.

Microsoft Defender Advanced Threat Protection (MDATP)

Si riportano le principali caratteristiche della soluzione Microsoft Defender Advanced Threat Protection:

  • Sensori avanzati di rilevamento post-violazione: grazie ai sensori di Microsoft Defender ATP per server Windows è possibile raccogliere una vasta gamma di segnali comportamentali.
  • Possibilità di effettuare controlli post-violazione sfruttando le potenzialità del cloud: Microsoft Defender ATP è in grado di adattarsi rapidamente alle mutevoli minacce in quanto utilizza l’Intelligent Security Graph con segnali provenienti da Windows, Azure ed Office. Grazie a questo potente meccanismo è possibile rispondere rapidamente alle minacce sconosciute.
  • Threat intelligence: Microsoft Defender ATP genera alerts quando identifica strumenti, tecniche e procedure utilizzate degli aggressori. La soluzione utilizza dati generati dai “cacciatori” di minacce e dai team di sicurezza Microsoft, arricchiti dall’intelligence fornita dalla collaborazione con differenti partner in ambito sicurezza.

La console di Microsoft Defender Advanced Threat Protection (MDATP) è accessibile a questo indirizzo.

Caratteristiche e vantaggi dell’integrazione

ASC si integra con MDATP per fornire funzionalità complete di Endpoint Detection and Response (EDR). Grazie a questa integrazione è possibile usufruire delle seguenti funzionalità:

  • Onboarding automatizzato: attivata l’integrazione viene abilitato automaticamente il sensore di Microsoft Defender ATP per i server Windows monitorati da Security Center (ad eccezione dei sistemi Windows Server 2019, per i quali è necessario compiere delle configurazioni specifiche). I sistemi Windows Server monitorati da Azure Security Center saranno presenti anche nella console di Microsoft Defender ATP.
  • Nella console di Azure Security Center saranno visualizzati anche gli alerts di Windows Defender ATP, in modo da mantenere tutte le segnalazioni in un’unica console centralizzata. Per effettuare un’analisi di dettaglio delle segnalazioni è comunque consigliato accedere alla console di Microsoft Defender ATP, che fornisce ulteriori informazioni come i grafici degli incidenti. Dalla stessa console è anche possibile visualizzare per un sistema specifico la sequenza temporale di tutti i comportamenti rilevati, per un periodo storico fino a sei mesi.

Abilitazione dell’integrazione tra ASC e MDATP

Per abilitare questa integrazione è necessario utilizzare Azure Security Center (ASC) nel tier Standard, che include la licenza per attivare MDATP sui sistemi server.

  • Per le macchine virtuali in Azure è necessario avere il tier standard di ASC a livello di subscription:
Figura 1 – Attivazione tier standard di ASC a livello di subscription per VMs in Azure
  • Per le macchine virtuali che non risiedono in Azure, ma on-premises oppure in altri cloud, è sufficiente abilitare il tier standard di ASC a livello di workspace:
Figura 2 – Attivazione tier standard di ASC a livello di workspace per VMs non in Azure

Inoltre, è necessario abilitare la seguente impostazione da Azure Security Center:

Figura 3 – Abilitazione dell’integrazione tra ASC e MDATP

Per consultare le diverse possibilità per effettuare l’onboarding dei server è possibile accedere a questo documento Microsoft.

Quando si utilizza Azure Security Center per monitorare i server, viene creato automaticamente anche un tenant di Microsoft Defender ATP (di default in Europa). Se la soluzione Microsoft Defender ATP viene utilizzata prima di usare Azure Security Center, i dati verranno archiviati nella posizione specificata durante la creazione del tenant, anche se si effettua l’integrazione con ASC in un secondo momento. La posizione in cui vengono archiviati i dati non è possibile modificarla post deployment, ma se risulta necessario spostare i dati in un’altra posizione geografica occorre contattare il Supporto Microsoft.

Figura 4 – Data Storage retention

 

Rilevazione delle minacce

In presenza di questa integrazione, a fronte di una rilevazione di una minaccia da parte di MDATP, viene generato anche un alerts in Azure Security Center, che diventa la console centralizzata per la raccolta delle segnalazioni di security.

Figura 5 – SecurityAlert presente nel workspace di ASC

Le informazioni relative all’alert possono essere inviate anche per mail tramite Action Group:

Figura 6 – Segnalazione ricevuta tramite mail da ASC a fronte di una rilevazione di una minaccia

Per indagare in modo approfondito l’alert è possibile accedere al portale Microsoft Defender Security Center, dove si troveranno i relativi dettagli.

Figura 7 – Dettagli dell’alert dal portale Microsoft Defender Security Center

Conclusioni

Azure Security Center (ASC) e Microsoft Defender Advanced Threat Protection (MDATP) sono due soluzioni distinte, ma con importanti relazioni, sia per quanto riguarda gli aspetti relativi al licensing che per la gestione operativa della sicurezza dei sistemi server. Grazie a questa semplice integrazione è possibile gestire l’onboarding dei sistemi ed includere anche le segnalazioni di MDATP in ASC, in modo da poter monitorare in modo efficace il proprio ambiente e rispondere al meglio alle minacce di sicurezza sui sistemi server.