Differenze tra Azure Security Center e Azure Sentinel

Differenze tra Azure Security Center e Azure Sentinel
Azure Security Center vs Azure Sentinel

Molti cloud architects e cloud engineers si dichiarano piuttosto confusi nel comprendere la differenza tra Azure Security Center(ASC) e Azure Sentinel.
A prima vista, i prodotti sembrano molto simili: vengono infatti entrambi offerti da Microsoft per proteggere l’infrastruttura di Azure e lavorano fianco a fianco.
Ciò che crea confusione sono i seguenti punti: l’insieme storico delle funzionalità che entrambi offrono, la funzionalità complementare che svolgono e, il più importante, il fatto di condividere un sottoinsieme di funzionalità nel ciclo di vita delle attività di cybersecurity.

Differenze tra Azure Security Center e Azure Sentinel
End-to-end Cybersecurity cycle

L’immagine qui sopra rappresenta una sequenza di alto livello di attività che si svolgono in un tipico Security Operations Center (SOC).
Sia ASC che Sentinel sono fondamentali in alcune di queste attività:
Azure Security Center svolge un ruolo vitale nelle attività di “Collect” e “Detect”.
Azure Sentinel, oltre ai primi due ruoli, svolge anche funzionalità di “Investigate” e “Respond”.

Per capire le differenze, è necessario andare in profondità su entrambi i prodotti.

Azure Security Center è un sistema unificato di gestione della sicurezza dell’infrastruttura che rafforza la posizione di sicurezza dei data center e fornisce una protezione avanzata dalle minacce attraverso i workload ibridi nel cloud, siano essi in Azure o meno, oltre che on-premises.

Azure Security Center affronta le tre sfide sulla sicurezza più urgenti:

Workload in rapida evoluzione: è sia un punto di forza che una sfida per il cloud.
Da un lato, gli utenti finali hanno la possibilità di fare di più. Dall’altro, come assicurarsi che i servizi in continua evoluzione che le persone utilizzano e creano siano conformi agli standard di sicurezza e seguano le migliori pratiche di sicurezza?
Attacchi sempre più sofisticati: ovunque vengano eseguiti i workload, gli attacchi diventano sempre più sofisticati. É fondamentale proteggere i workload pubblici nel cloud, che sono, in effetti, workload rivolti a Internet, il che può rendere l’infrastruttura ancora più vulnerabile se non si eseguono le migliori pratiche di sicurezza.
Capacità di sicurezza scarse: il numero di avvisi di sicurezza e di sistemi di allarme supera di gran lunga il numero di amministratori con il background e l’esperienza necessari per garantire la protezione degli ambienti. Essere sempre aggiornati con gli ultimi attacchi è una sfida costante, che obbliga le aziende a correre continuamente poichè il mondo della sicurezza è un fronte in continua evoluzione.

Per far fronte a queste sfide, Security Center fornisce gli strumenti per:
Rafforzare la posizione di sicurezza: valuta l’ambiente e consente di comprendere lo stato delle risorse e se sono sicure;
Protezione dalle minacce: valuta i workload e genera raccomandazioni sulla prevenzione delle minacce e avvisi di rilevamento;
Sicurezza più rapida: in Security Center, tutto viene eseguito alla velocità del cloud. Poiché è integrato in modo nativo, la distribuzione di Security Center è semplice e offre il provisioning automatico e la protezione con i servizi di Azure.

Microsoft Azure Sentinel è una soluzione scalabile, cloud native e di tipo SIEM (security information event management) e SOAR (security orchestration automated response).
Offre analisi di sicurezza intelligenti e informazioni sulle minacce in tutta l’azienda, fornendo un’unica soluzione per il rilevamento degli avvisi e la visibilità, caccia proattiva e risposta alle minacce.

Differenze tra Azure Security Center e Azure Sentinel

Funzionalità principali di Azure Sentinel
Raccolta dati su scala cloud su tutti gli utenti, i dispositivi, le applicazioni e l’infrastruttura, sia on-premises che in cloud multipli.
Rileva minacce mai rilevate in precedenza e minimizza i falsi positivi utilizzando l’analisi di Microsoft e l’intelligence sulle minacce.
Indaga sulle minacce con intelligenza artificiale e cerca attività sospette su vasta scala, sfruttando anni di lavoro sulla cybersecurity presso Microsoft.
Risponde rapidamente agli incidenti con l’automazione integrata di attività comuni.

Azure Sentinel svolge più ruoli tra cui la ricerca, i playbook automatizzati e le risposte agli incidenti, nonché l’assistenza sulle indagini manuali sugli incidenti.
D’altro canto, Azure Security Center è un’ottima fonte di consigli, avvisi e diagnostica che possono essere utilizzati da Azure Sentinel per fornire analisi e avvisi sempre migliori sugli incidenti. Pertanto, entrambi i prodotti devono essere utilizzati in un SOC ben progettato.
Di seguito è illustrato l’intero processo e, in particolare, dove Azure Sentinel e ASC svolgono il proprio ruolo.

Differenze tra Azure Security Center e Azure Sentinel

Security Center è una delle molte fonti di informazioni sulla protezione dalle minacce da cui Azure Sentinel raccoglie i dati per creare una visuale per l’intera organizzazione.
Microsoft consiglia ai clienti che usano Azure di utilizzare l’Azure Security Center per la protezione dalle minacce di workload come VM, SQL, Archiviazione e IoT.
In pochi clic possono connettere Azure Security Center ad Azure Sentinel. Una volta che i dati del Security Center si trovano in Azure Sentinel, i clienti possono combinarli con altre fonti come firewall, utenti e dispositivi, per la caccia proattiva e la mitigazione delle minacce con query avanzate e la potenza dell’intelligenza artificiale.

Differenze tra Azure Security Center e Azure Sentinel

Per ridurre la confusione e semplificare l’esperienza utente, due delle prime funzionalità simili a SIEM nel Security Center, ovvero il flusso di indagini negli avvisi di sicurezza e gli avvisi personalizzati, verranno rimosse nel prossimo futuro. I singoli avvisi rimarranno nel Security Center e saranno equivalenti sia per gli avvisi di sicurezza sia per gli avvisi personalizzati in Azure Sentinel.
Microsoft continuerà ad investire sia in Azure Security Center che in Azure Sentinel. Azure Security Center continuerà ad essere il sistema unificato di gestione della sicurezza dell’infrastruttura per la gestione della sicurezza cloud e la protezione del workload cloud. Azure Sentinel continuerà a concentrarsi su SIEM.


Le informazioni presenti in questo post, sono prese dall’articolo: What is the difference between Azure Security Center and Azure Sentinel?.

Azure AD Connect: l’upgrade non si riflette nel portale di Office 365

La versione 1.3.20 di Azure AD Connect è stata velocemente sostituita dalla versione 1.3.21.0 per poter sistemare una serie di vulnerabilità. Quest’ultima, però, sembra mostrare qualche comportamento inaspettato per le aziende che lo stanno utilizzando.

La situazione
Prendiamo come esempio il seguente scenario.
– Avete un ambiente Active Directory Domain Services (AD DS) e sincronizzate gli oggetti ad un tenant Azure AD facendo leva su Azure AD Connet, il prodotto gratuito di Microsoft per le Hybrid Identity, che permette di sincronizzare oggetti e attributi dall’ambiente Active Directory Domain Services (AD DS) on premises e dalle directory compatibili LDAP v3-ad Azure Active Directory. Avete licenziato Azure AD Premium e sfruttare Azure AD Connect Health per gestire l’implementazione delle Hybrid Identity.

– Avete recentemente aggiornato Azure AD Connect alla versione 1.3.21.0
– Determinate la versione di Azure AD Connect dal portale di Office 365:
1. Dal browser, navigate fino al portale di Office 365;
2. Effettuate il sign in con un account con privilegi amministrativi. Se richiesto e disponibile, effettuate la multi-factor authentication;
3. Nel menù in alto a sinistra, cliccate Admin;
4. L’Azure Active Directory admin center si apre in una nuova tab o finestra;
5. Dal menù di navigazione sulla sinistra, cliccate su click on Azure Active Directory;
6. Nel menù di navigazione secondaria di Azure Active Directory, cliccate su Azure AD Connect;
7. Nella finestra principale di Azure AD Connect seguite il link ad Azure AD Connect Health;
8. Nel menù di navigazione secondaria di Azure AD Connect, cliccate Sync services;
9. Nella finestra principale, cliccate sul nome del tenant di Azure AD per entrare nelle sue proprietà;
10. Nel pannello del tenant Azure AD Connect Health, cliccate su Azure Active Directory Connect Servers;
11. Nel pannello Server List, cliccate il nome del Windows Server sul quale avete recentemente aggiornato Azure AD Connect;
12. Nella sezione server, cliccate sulla sezione Properties.

La problematica
Il portale di Office 365 non riflette la versione aggiornata, anche se Azure AD Connect si è aggiornato correttamente.

La soluzione
Si tratta di un comportamento inaspettato.
Per risolverlo, dovete importare il modulo AdSync ed eseguire il comando
Set-ADSyncDirSyncConfiguration sul Windows Server su cui è in esecuzione Azure AD Connect.

Eseguite questi passaggi per risolvere il problema su ognuna delle installazioni Azure AD Connect in uso:
– Loggatevi all’interno del Windows Server su cui è in esecuzione Azure AD Connect.
– Aprite una finestra Windows PowerShell.
– Eseguite la seguente linea di comando:
Import-Module ADSync

– In seguito, eseguite questo comando:
Set-ADSyncDirSyncConfiguration -AnchorAttribute “”

– Chiudete la finestra Windows PowerShell.
– Eseguite il sign out.

Effettuate gli step indicati qui sopra su ogni Windows Server su cui è in esecuzione Azure AD Connect all’interno del vostro ambiente quando sono presenti una o più installazioni Staging Mode Azure AD Connect.


Le informazioni presenti in questo post, sono prese dall’articolo: KnowledgeBase: Azure AD Connect upgrade is not reflected in the Office 365 Portal

Azure Sentinel: il SIEM cloud-nativo che rafforza le vostre difese

Azure Sentinel il SIEM nativo del cloud che potenzia le vostre difese

Il Machine learning potenziato con l’intelligenza artificiale risponde molto bene alle sfide cyber che vediamo oggigiorno.
Assieme, forniscono ai nostri cyber defenders le capacità di identificare, rilevare e bloccare i malware, praticamente in maniera istantanea.

Se combinate, forniscono ai security admins la funzionalità per prevenire la conflittualità dei task e separare il segnale dai rumori permettendo di dare priorità ai task più critici. Per questo, oggi siamo felici di annunciarvi che Azure Sentinel, un SIEM cloud-nativo che fornisce strumenti di security analytics intelligenti e scalabili per aziende di tutte le dimensioni e carichi di lavoro, è in general availability.

L’obiettivo di Microsoft è rimasto il medesimo rispetto al lancio di Azure Sentinel, risalente a Febbraio: quello di potenziare i team di security operations di modo che abbiano maggiori strumenti per migliorare la posizione di sicurezza dei suoi clienti.
Le soluzioni tradizionali di Security Information ed Event Management (SIEM) non hanno tenuto il passo del cambiamento digitale.
Si sente spesso dire dai clienti che passano più tempo nello sviluppo e maintenance di soluzioni SIEM: questo li rende incapaci di gestire in maniera appropriata il volume di dati o l’agilità degli avversari.

Le ultime ricerche ci dicono che il 70% delle aziende continua ad ancorare operazioni ed analytics di sicurezza con sistemi SIEM, mentre l’82% è impegnato a spostare un gran volume di applicazioni e carichi di lavoro nel cloud pubblico. Le tecnologie di security analytics ed operations devono avvicinarsi ed aiutare i security analysts ad affrontare le complessità, i ritmi e la portata delle loro responsabilità. Per poter raggiungere uno scenario di questo tipo, il 65% delle aziende sta già sfruttando nuove tecnologie per l’automazione e l’orchestrazione dei processi, mentre il 51% ha adottato strumenti di security analytics assieme ad algoritmi di machine learning.
È questo il motivo per cui Microsoft ha sviluppato Azure Sentinel un SIEM re-inventato nel cloud per rispondere alle moderne sfide in campo security analytics.

Imparare assieme
Quando Microsoft ha fatto uscire la public preview di Azure Sentinel, l’entusiasmo era tantissimo, soprattutto per la possibilità di avere visibilità ed ottenere risultati grazie alla modalità unica in cui Azure Sentinel stava aiutando le organizzazioni e i defender su base giornaliera.
Ha lavorato a stretto braccio con i partner, ascoltando, imparando ed accordandosi su diverse cose. Sono arrivati feedback da parte di 12.000 clienti e più di 2 petabyte di analisi dati, il che ha permesso di analizzare ed entrare nel dettaglio di un ampio set di dati complessi e diversificati. Tutto questo ha un punto comune: il desiderio di potenziare le barriere difensive per renderle più agili ed efficaci in ambito cybersecurity.

Il lavoro con RapidDeploy offre un esempio calzante di come Azure Sentinel stia portando a compimento questa sfida impegnativa.
RapidDeploy crea sistemi di invio operatori cloud-based che aiuta i primi soccorritori ad agire velocemente per proteggere i cittadini. C’è molto in gioco e la piattaforma cloud-nativa dell’azienda dev’essere protetta da un ampio raggio di minacce cibernetiche. Così, quando RapidDeploy ha implementato il sistema SIEM, ha scelto Azure Sentinel, uno dei primi sistemi SIEM cloud-native al mondo.

Microsoft, recentemente, si è incontrato con Alex Kreilein, Chief Information Security Officer di RapidDeploy.
Ecco quanto ha condiviso: “Abbiamo costruito una piattaforma che aiuta a salvare vite. Lo fa riducendo il tempo di risposta agli incidenti e migliorando l’incolumità dei primi soccorritori aumentando la loro conoscenza situazionale”

Ora RapidDeploy utilizza la completa visibilità, la risposta automatica, il deployment veloce ed un basso costo totale di ownership in Azure Sentinel per aiutare a salvaguardare il sistema di sicurezza pubblico.
Con molti SIEMs, il deployment può portare via mesi” ha dichiarato Kreilein. “Per implementare Azure Sentinel ci sono voluti pochi minuti – una volta cliccato sul pulsante deployment, il lavoro è fatto.

Scoprite ancora di più sulla collaborazione di Microsoft con RapidDeploy, da qui: RapidDeploy helps first responders defend public safety with Azure Sentinel.

Azure Sentinel il SIEM nativo del cloud che potenzia le vostre difese

Un altro fantastico esempio di azienda che ha ottenuto ottimi risultati con Azure Sentinel è ASOS.
In qualità di uno dei più grandi fashion retailer al mondo, ASOS è conscia di rappresentare uno dei primi obiettivi dei cybercrimini. L’azienda ha un’ampiezza di funzioni di sicurezza notevole su 5 teams e 2 siti ma, in passato, le è risultato difficile ottenere una visuale comprensiva delle attività di cyberthreat.
Ora, utilizzando Azure Sentinel, ha creato una panoramica dall’alto in grado di visionare qualsiasi cosa di cui abbia bisogno per rilevare le minacce in anticipo, permettendo di salvaguardare business e clienti in maniera proattiva. E,come risultato, ha dimezzato il tempo di risoluzione.

“Le minacce là fuori sono tantissime” ha detto Stuart Gregg, Cyber Security Operations Lead di ASOS.
“Vi sono minacce interne, account compromessi, minacce ai siti web e ai dati dei clienti e anche minacce di sicurezza a livello fisico. Cerchiamo costantemente di difendere noi stessi e di essere più proattivi in tutto quello che facciamo”.

ASOS, essendo già fruitore di servizi Azure, ha identificato in Azure Sentinel una piattaforma che potesse aiutarla ad unificare i dati in maniera facile e veloce. Si trattava di dati di sicurezza provenienti da Azure Security Center ed Azure Active Directory (Azure AD), assieme a dati provenienti da Microsoft 365.
Il risultato è una visione comprensiva dell’intero panorama di minacce.

“Abbiamo trovato in Azure Sentinel uno strumento facile da impostare ed ora non siamo obbligati a spostare i dati su sistemi separati” ha dichiarato Gregg. “Possiamo letteralmente cliccare un paio di bottoni ed avere sottomano tutti i dati di sicurezza in Azure Sentinel.”

Azure Sentinel il SIEM nativo del cloud che potenzia le vostre difese

Scoprite di più su come ASOS ha tratto beneficio da Azure Sentinel: ASOS centralizes security operations, tackles cyberthreats with Azure Sentinel.

Quelli illustrati sono solo due esempi di come Azure Sentinel stia aiutando le aziende a processare i dati e la telemetria in alert di sicurezza azionabili per effettuare investigazioni ed ottenere risposte. Vi è una GitHub community di partecipanti, partner ed esperti Microsoft che stanno condividendo nuovi connettori, scoperte, query e playbook di automation.

Grazie a questi design partner, Microsoft ha continuato ad investire nell’innovazione di Azure Sentinel: iniziando, ad esempio, dalla possibilità di connettersi a qualsiasi sorgente dati, sia essa on-premises, su Azure o su altri cloud.
Continuerà ad aggiungere nuovi connettori a diverse sorgenti e rilevamenti basati sul machine-learning.
Azure Sentinel integrerà anche il servizio Azure Lighthouse che abiliterà i service providers ed i clienti enterprise a visualizzare le istanze di Azure Sentinel su diversi tenant di Azure.

Metti al sicuro la tua azienda
Ora che Azure Sentinel si è spostato dalla versione public preview alla general availability, non c’è momento migliore per sperimentare come possa aiutare il vostro business.
I sistemi di SIEM on-prem tradizionali, richiedono una combinazione di costi di infrastruttura e software, da affiancare poi ad impegni annuali o contratti inflessibili. Microsoft sta rimuovendo questi punti dolenti: Azure Sentinel è uno strumento cost-effective, con fatturazione prevedibile ed impegno flessibile.

I costi di infrastruttura sono ridotti poichè potete automaticamente scalare le risorse all’occorrenza e pagare per quanto utilizzate.
In questo modo, potete risparmiare fino al 60% rispetto al pricing pay-as-you-go, sfruttando i diversi livelli di riserva di capienza.
Riceverete fatture mensili ed avrete la flessibilità di modificare l’impegno di capienza ogni 31 gg.
Per di più, porterete i dati dei log di audit di Office 365, gli Azure activity logs e gli alert provenienti dalle soluzioni Microsoft Threat Protection senza costi aggiuntivi.


Le informazioni presenti in questo post, sono prese dall’articolo: Azure Sentinel—the cloud-native SIEM that empowers defenders is now generally available.

Acquistare i Nomi di Dominio con Azure App Service Domain

Acquistare i Nomi di Dominio con Azure App Service Domain

C’è una funzionalità all’interno di Microsoft Azure per l’acquisto degli Internet Domain Names che non è molto conosciuta.
Con la feature Azure App Service Domain, potete acquistare e gestire i vostri nomi di dominio, direttamente all’interno di Microsoft Azure.
Questa funzionalità, che a maggior parte degli utenti non conosce, fornisce un’integrazione tra il Domain Name management e Microsoft Azure che può essere utilizzata per mantenere la gestione delle vostre applicazioni e siti web esclusivamente all’interno dell’ecosistema Microsoft Azure.

App Service Domain
Una veloce ricerca all’interno dell’Azure Marketplace direttamente dal portale Microsoft Azure, vi permetterà di trovare il servizio.
Nonostante venga brandizzato come componente di App Service, in realtà è un servizio separato e che può essere utilizzato singolarmente.

Acquistare il nome di Dominio con Azure App Service Domain

Non dovrete per forza avere una web app Azure App Service per poter utilizzare la feature.
Potete sfruttarla per registrare un nome di dominio esattamente come fareste con qualsiasi altro provider di domain name.

Per iniziare la registrazione di un nome di dominio, dovete effettuare una ricerca sui domain name disponibili.
Dopo aver inserito il nome di dominio che vorreste registrare, l’interfaccia App Service Domain nel portale Azure, mostrerà una lista di nomi di dominio suggeriti, basati sulla ricerca da voi appena effettuata.

Acquistare il nome di Dominio con Azure App Service Domain

Una volta selezionato il nome di dominio da registrare, dovrete inserire le informazioni di contatto, privacy protection ed accettare i legal terms.
Dovrete anche specificare un Azure Resource Group per organizzare l’App Service Domain; proprio come per tutte le altre risorse Azure.
Dopo aver effettuato queste operazioni, potete proseguire e “Creare” l’App Service Domain che registrerà il nome di dominio per conto vostro e lo renderà gestibile all’interno di Microsoft Azure.

Pricing
Il servizio Azure App Service Domain abilita l’acquisto e la gestione di domini custom all’interno di Microsoft Azure.
Il pricing per i domini acquistati tramite questo servizio è di $11.99 USD all’anno, Privacy Protection inclusa.

Non sono supportati tutti i domini top-level (TLD).
Azure App Service Domains è impostato per rivendere tramite GoDaddy e solo i seguenti TLD sono al momento disponibili:
.com
.net
.co.uk
.nl
.in
.org.uk
.co.in

Per poter utilizzare il servizio, dovete assicurarvi di avere disabilitato i limiti di spesa sulle vostre Sottoscrizioni Azure e di aver configurato un metodo di pagamento.
Questo significa che una sottoscrizione Free Trial o altre tipologie di Azure Subscription con credito gratuito, non possono essere utilizzate per acquistare i nomi di dominio.

Perchè utilizzare App Service Domain?
É molto frequente che le aziende utilizzino diversi provider di domain name per registrare e mantenere un nome di dominio Internet.
Il servizio App Service Domain all’interno di Microsoft Azure aggiunge un’altra opzione di tipo “Azure-native”.
Questo significa che potete gestire gli Internet domain names per i workload delle vostre applicazioni all’interno di Microsoft Azure proprio come avete sempre fatto con gli altri servizi utilizzati per creare i workload delle vostre app.


Le informazioni presenti in questo post, sono prese dall’articolo: Buy Domain Names with Azure App Service Domain.