Microsoft Defender XDR: sicurezza informatica

Microsoft Defender XDR è una applicazione molto importante incluso nella suite di applicazioni per ufficio Microsoft 365 in grado di controllare e gestire la sicurezza informatica. Questa applicazione è in grado di adoperare gli avvisi integrati riguardanti le identità, gli endpoint, le applicazioni presenti sul sistema, la posta elettronica e gli strumenti per la collaborazione. Nello specifico è in grado di creare una valida analisi e la conseguente risposta a tutte le minacce che si possono verificare durante il funzionamento della piattaforma.

Con Microsoft Defender XDR è possibile ottenere una sicurezza completa poiché è in grado di controllare tutto il sistema in un modo da poter controllare tutti gli elementi che possono potenzialmente essere un problema per la sicurezza informatica. Inoltre è necessario comprendere che questa applicazione è non solo facile da installare ma anche interessante nel suo funzionamento, in seguito verrà evidenziato tutto il processo in modo da poter avere un buon livello di siscurezza informatica.

Quali sono i passi per l’installazione e la configurazione dell’app Microsoft Defender XDR?

Vi sono alcune operazioni che devono essere seguite prima di poter adoperare questa applicazione. È quindi necessario prendere in considerazione una serie di operazioni in modo da poter avere la sicurezza che non ci sono problemi durante la sua esecuzione.

Cosa significa il XDR in Microsoft Defender XDR?

Prima di partire con la procedura di questa applicazione è necessario comprendere quali sono le sue potenzialità complete in modo da poter determinare tutte le caratteristiche del software in modo da poterlo comprendere in tutte le sue parti.

Ebbene nell’introduzione si è parlato per sommi capi delle funzionalità ma ora è importante comprendere cosa significa il “XDR”. In primo luogo è necessario comprendere che si tratta di un acronimo che sta per “extended detection and response” e comprende la categoria di applicazioni SaaS, Software as a Service, che offrono una sicurezza olistica e semplificata basandosi su procedure abbastanza facili da mettere in pratica cosa che certamente aiuta gli utenti che si devono occupare della sicurezza della propria infrastruttura informatica della piattaforma che deve essere amministrata. Questa soluzione risulta essere molto importante perché sono sempre più usati gli strumenti multicloud ed ibridi e proprio per questo motivo sono importanti strumenti di protezione proattiva.

Il sistema XDR rappresenta un sistema ad ampio raggio in modo da poter rilevare tutte le possibili problematiche inerenti la sicurezza informatica. Questo tipo di applicazioni vanno a comprendere tutte le potenziali fonti di attacchi come i server, gli endpoint, le e-mail, le applicazioni e moltissimi altri componenti della piattaforma. Questo sistema si basa sulla prevenzione, rilevamento, indagine e risposta per fornire tutti gli strumenti per mettere in sicurezza il sistema potendo contare su una serie di buone pratiche per mantenere la sicurezza informatica.

Attivare Microsoft Defender XDR: tutti i passi che devono essere eseguiti prima di poter adoperare l’applicazione.

In primo luogo è necessario assicurarsi che si abbia una licenza valida per Defender anche se è opportuno ricordare che una licenza per Microsoft 365 comprende una serie di applicazioni tra le quali è presente anche quella della famosa applicazione riguardo la sicurezza informatica.

Sono presenti inoltre una serie di licenze che possono integrare il proprio pacchetto, un esempio molto interessante è rappresentato dalla presenza di altre licenze sulla sicurezza come Microsoft 365 E5. Questa tipologia ha il costo è di circa 58 euro ma permette di avere un importante serie di applicazioni e di funzionalità per la sicurezza e la conformità. Nello specifico riesce ad offrire una serie di contromisure contro gli attacchi informatici ed il furto delle identità.

Inoltre con l’aiuto di Power BI riesce a garantire una migliorare la protezione dei dati in qualsiasi situazione ci si trovi. È comunque importante ricordare che in questa licenza non è presente Teams. Oltre a tutte le versioni di Microsoft Defender soprattutto Microsoft Defender per Endpoint, Microsoft Defender per Applicazioni Cloud e Microsoft Defender per Identità vi sono anche applicazioni come Microsoft Purview eDiscovery e Azure Information Protection piano 2 .

Chi può attivare una licenza Microsoft Defender XDR?

Per riuscire a garantire un buon livello di sicurezza è necessario attivare Defender XDR ma il problema è che non tutti possono attivare questa applicazione perché solo i seguenti ruoli possono attivare questa licenza:

• amministratore della sicurezza;
• operatore della sicurezza;
• amministratore globale;
• ruolo con autorizzazioni di lettura globali;
• ruolo con autorizzazioni di lettura della sicurezza;
• amministratore dati di conformità;
• amministratore di conformità;
• Amministratore dell’applicazione;
• Amministratore applicazione cloud.

Quali sono i servizi che vengono supportati da Microsoft Defender XDR

Microsoft Defender XDR è in grado di aggregare tutti i dati dei vari servizi che sono supportati e distribuiti. Andrà ad elaborare e memorizzare tutti i dati in modo da poter offrire una risposta centralizzata alle varie problematiche che possono avvenire nel corso del lavoro.

Tutte queste operazioni vengono svolte in completa autonomia in modo da non influenzare in alcun modo gli altri processi. Si ha quindi la possibilità di ottenere un sistema centralizzato per il controllo del sistema senza pesare sugli assetti della piattaforma informatica. Alla base del sistema di sicurezza di Microsoft Defender XDR c’è l’archiviazione e l’elaborazione dei dati in modo automatico nella stessa posizione occupata da Microsoft Defender per Endpoint ma se non si dovesse avere questa applicazione viene cercata una nuova posizione all’interno del data center all’interno della posizione occupata dai servizi di sicurezza attivi di Microsoft 365.

Quando viene selezionata la posizione comunque viene visualizzata nella schermata. È possibili comunque ottenere il supporto tecnico dagli utenti di Microsoft semplicemente andando su “Serve Assistenza?”, visionare le domande frequenti rilasciate dal colosso informatico statunitense ed altri importanti canali per reperire informazioni necessarie per colmare qualsiasi problema.

I servizi che sono rilasciati con Microsoft Defender XDR

Mediante questa applicazione è possibile ottenere una serie di interessanti applicazioni incentrate sulla sicurezza:

• Microsoft Defender per endpoint: questa suite sulla sicurezza si basa su sensori comportamentali molto potenti, una analisi approfondita del cloud ed un controllo molto approfondito delle minacce;
• Microsoft Defender per Office 365: sono presenti una serie di controlli sulle applicazioni e dati di Office 365 inoltre permette di avere un controllo totale sulle caselle di posta elettronica senza dimenticare gli strumenti di collaborazione;
• Microsoft Defender per identità: vi sono una serie di minacce avanzate provenienti dalla rete inoltre lavorando in concerto con i segnali di Active Directory riesce a creare un sistema di protezione da moltissimi tipi di minacce. Per concludere è in grado di trovare e bloccare le identità compromesse in modo da non
• Microsoft Defender for Cloud Apps: questa applicazione è molto importante per riuscire a creare una rete di protezione da tutte le possibili problematiche inerenti la sicurezza.

Come adoperare le applicazioni Microsoft Defender XDR per il cloud

Un elemento molto importante per garantire una sicurezza completa del sistema è necessario che Defender sia in grado ad accedere a tutte le applicazioni della piattaforma. In sostanza tutte le applicazioni possono in teoria creare delle falle al sistema creando non pochi problemi in termini di dati. Proprio per questo motivo non è possibile non adoperare Defender in quanto è in grado di preservare la sicurezza dell’infrastruttura informatica mantenendo intatte le funzionalità delle applicazioni che sono presenti sul cloud. Solo però gli amministratori globali e gli amministratori di sicurezza in Microsoft Entra ID o Microsoft 365 tenendo comunque presente che questi amministratori possono comunque amministrare anche le applicazioni presenti sul cloud. Non c’è alcun tipo di problema riguardo le licenze poiché queste sono già incluse in Microsoft 365. è comunque importante determinare tutti gli utenti che devono essere messi nelle condizioni di operare in questo settore in modo tale che possano essere rilasciate le dovute licenze.

Quali sono le migliori procedure per il mantenimento della sicurezza online con Microsoft Defender XDR?

È necessario prendere in considerazione l’integrazione dell’applicazione Defender per il cloud e Microsoft Defender XDR per endpoint poiché permette di adoperare il Cloud Discovery oltre alla propria rete aziendale ed i gataway Web sicuri. La cosa molto interessante è che con le varie informazioni combinate sull’utente ed il dispositivo è possibile determinare i dispositivi e gli utenti che potenzialmente possono rappresentare un possibile rischio per la piattaforma.

È inoltre possibile determinare quali applicazioni sono in uso dagli utenti individuati ed analizzare in modo ancor più approfondito l’intero portale dell’organizzazione. Il suo funzionamento è abbastanza semplice perché grazie al Cloud Discovery è possibile analizzare tutti i log del traffico che vengono raccolti da Defender per endpoint riuscendo in questo modo a valutare ed identificare tutte le applicazioni cloud in modo da fornire le informazione riguardo la conformità e la sicurezza del sistema. Un importante elemento di questa funzionalità è la possibilità di rilevare l’uso da parte degli utenti di applicazioni non preventivamente approvate dagli amministratori.

Per la configurazione è importante determinare i criteri per individuare le applicazioni in modo da identificare proattivamente le applicazioni che possono nascondere dei rischi o che comunque non risultino essere conformi. In questo modo è possibile riuscire a creare uno scudo abbastanza robusto contro molte tipologie di attacchi provenienti dalla rete. Nello specifico è necessario prendere in considerazione che i criteri per la scoperta ed il tracciamento delle applicazioni rendono molto più agevole l’individuazione delle applicazioni e la loro gestione in modo efficiente all’interno dell’organizzazione.

La creazione quindi dei criteri per la ricezione di avvisi quando vengono rilevate nuove applicazioni potenzialmente rischiose, con volumi elevati o semplicemente non conformi possono essere un ottimo modo per la far procedere il lavoro in una piattaforma stabile e sicura.

Il problema è che spesso non pochi utenti tendono a concedere le autorizzazioni Oauth in modo causale alle applicazioni di terze parti allo scopo di accedere alle informazioni. Il problema sostanziale di questo modo di operare è che venga, in maniera completamente fortuita, concesso l’accesso a tutti i dati su altre applicazioni basate sul cloud. L’amministratore non riesce a vedere queste applicazioni rendendo molto complicato determinare il rapporto beneficio rischio. Se infatti da una parte queste app potrebbero rendere più veloce la produttività dall’altra ci potrebbe essere un rischio per la sicurezza abbastanza elevato.

Com’è possibile limitare il più possibile l’esposizione dei dati della piattaforma?

Come accennato in precedenza, Microsoft Defender XDR è in grado di offrire una serie di interessanti strumenti per Micreosoft 365 perché è in grado non solo di controllare le operazioni degli utenti ma anche perché riesce a garantire le azioni per la governance. Vi sono una serie di operazioni che possono essere prese in considerazione:

• la protezione dei dowload di dati sensibili da dispositivi non gestiti o che possono essere richiosi: per mettere in sicurezza l’accesso condizionale è necessaio adoperare il controllo delle applicazioni in modo da gestire le i controlli nelle applicazioni SaaS, Software as a Service. È possibile quindi gestire le le sessioni per controllare quelle che possono portare ad un alto rischio informatico oppure che non hanno una scarsa attendibilità. È inoltre possibile bloccare tutti i download dagli utenti che non adoperano i dispositivi conformi della piattaforma. Questa pratica permette di migliorare la sicurezza bloccando tutte le possibili perdite di dati sensibili;
• mantenere protetta la collaborazione con gli utenti esterni: la protezione della collaborazione in determinato ambiente è determinata dalla creazione di criteri di sessione per il monitoraggio delle sessioni tra gli utenti sia interni sia esterni. In questo modo è possibile controllare la sessione tra tutti gli utenti, informandoli del monitoraggio delle attività per mantenere un buon livello di trasparenza. Questa pratica inoltre permette anche di limitare specifiche attività che possono nascondere dei problemi di sicurezza. Per concludere è importante ricordare che la creazione dei criteri delle sessioni per il monitoraggio delle attività andando quindi a scegliere non solo le applicazioni ma anche gli utenti.
• Rilevare tutte le minacce provenienti dalla rete: mediante i criteri di rilevamento anatomia è possibile avere una completa vista del comportamento degli utenti e delle entità. Questa tipologia di criteri vengono attivati in automatico una volta che viene rilevato un comportamento anomalo all’interno dell’ambiente che si sta usando. C’è inoltre la possibilità di identificare gli indirizzi IP dopo aver impostato i loro intervalli. Dopo aver effettuato questa operazione è possibile determinare l’analisi e la visualizzazione degli avvisi e dei log. Con l’aggiunta di questi intervalli è possibile nello stesso tempo ridurre i rilevamenti per i falsi positivi sia migliorare l’esattezza degli avvisi. Il problema è che è consigliabile effettuare questa operazione perché se si decide di non inserire gli indirizzi IP si potrebbe avere un numero decisamente maggiore di avvisi da analizzare e con essi anche i falsi positivi. Un altro elemento molto importante è la rilevazione dell’area geografica da dove l’utente sta operando. In effetti è importante notare che se un utente risulta connesso da luoghi non comuni potrebbe essere un rischio abbastanza importante per la sicurezza della piattaforma. Le notifiche quindi possono essere uno strumento necessario per prevenire qualsiasi attacco programmato o in corso. Per concludere bisogna notare che esiste un altro criterio molto importante per riuscire a mettere in sicurezza la propria piattaforma: app Oauth. Mediante questo mezzo è possibile controllare il comportamento degli utenti ed in particolare quando l’app Oauth va a soddisfare alcuni specifici criteri.

Le indagini forensi con l’audit trail delle attività in Microsoft Defender XDR

In questo caso gli avvisi vengono attivati nel momento in cui alcune delle attività non risultano essere conformi ad i criteri stabiliti, queste sono: l’accesso, l’amministratore oppure l’utente. È quindi necessario effettuare delle indagini analizzando tutti gli avvisi per riuscire a comprendere se vi sono delle possibili minacce nell’ambiente che in quel momento è in uso. È molto semplice operare con gli avvisi in quanto è sufficiente selezionarlo dalla pagina Avvisi quindi esaminarlo col audit trail andando a controllare tutte le attività relative all’avviso.

Con questa funzionalità è possibile avere una vista completa delle attività dello stesso tipo, della stessa posizione e dello stesso IP in modo da poter determinare la storia completa di un avviso. È importante tenere presente che comunque è possibile effettuare delle analisi più complete in modo da poter venire a capo di qualsiasi problematica. Se invece si decide di non prendere nella dovuta considerazione gli avvisi è importante comprendere almeno perché c’è un numero così elevato di avvisi. Solo in questo modo è possibile accertarsi che questi siano davvero falsi positivi o di scarsa importanza.

La protezione dei servizi IaaS e le applicazioni personalizzate in Microsoft Defender XDR

Le connessioni cloud possono portare ad una serie di problemi sulla sicurezza informatica andando a creare delle problematiche abbastanza serie in termini di lavoro e di dati sensibili. Mediante Defender XDR è possibile migliorare sensibilmente la sicurezza informatica per rilevare le possibili minacce. Mediante la gestione di tutte le attività amministrative e l’accesso a tutti i servizi.

Nella fattispecie è possibile rilevare utenti con privilegi che usano software dannoso, attacchi di forza bruta ed altre minacce che possono nascondersi nella rete. Per fare in modo da avere una vista completa di tutte le applicazioni la scelta migliore è quella di allinearle in modo da poter ottenere una vista complessiva di tutti gli elementi che vanno ad interessate un utente.