Abilitare la gestione del comportamento di sicurezza dei dati per gli archivi dati di Azure

Questo articolo illustra come abilitare la gestione del comportamento di sicurezza dei dati in Microsoft Defender per il cloud. La gestione del comportamento di sicurezza dei dati consente di individuare e classificare i dati sensibili, identificare i rischi e classificare in ordine di priorità la correzione. Prima di iniziare, esaminare i prerequisiti in questo articolo.

Prima di iniziare

Prima di abilitare la gestione del comportamento di sicurezza dei dati, esaminare i prerequisiti seguenti:

  • Prima di abilitare la gestione del comportamento di sicurezza dei dati, esaminare il supporto e i prerequisiti.
  • Quando si abilita Defender CSPM o Defender per i piani di archiviazione, l'estensione di individuazione dei dati sensibili viene abilitata automaticamente. È possibile disabilitare questa impostazione se non si vuole usare la gestione del comportamento di sicurezza dei dati, ma è consigliabile usare la funzionalità per ottenere il massimo valore da Defender per il cloud.
  • I dati sensibili vengono identificati in base alle impostazioni di riservatezza dei dati in Defender per il cloud. È possibile personalizzare le impostazioni di riservatezza dei dati per identificare i dati che l'organizzazione considera sensibili.
  • Sono necessarie fino a 24 ore per visualizzare i risultati di una prima individuazione dopo aver abilitato la funzionalità.

Abilitare in Defender CSPM (Azure)

Seguire questa procedura per abilitare la gestione del comportamento di sicurezza dei dati. Non dimenticare di esaminare le autorizzazioni necessarie prima di iniziare.

  1. Passare a Microsoft Defender per il cloud>Impostazioni ambiente.

  2. Selezionare la sottoscrizione pertinente di Azure.

  3. Per il piano di Defender CSPM selezionare lo stato On.

    Se Defender CSPM è già attivo, selezionare Impostazioni nella colonna Copertura del monitoraggio del piano Defender CSPM e assicurarsi che il componente Individuazione dei dati sensibili sia impostato sullo stato Attivato.

  4. Quando l'individuazione dei dati sensibili viene attivata On in Defender CSPM, il supporto verrà automaticamente incorporato per i tipi di risorse aggiuntivi man mano che si espande l'intervallo di tipi di risorse supportati.

Abilitare in Defender CSPM (AWS)

Prima di iniziare in AWS

Completare i controlli seguenti prima di abilitare la gestione del comportamento di sicurezza dei dati per Amazon Web Services (AWS):

  • Non dimenticare di: esaminare i requisiti per l'individuazione di AWS e le autorizzazioni necessarie.
  • Verificare che non siano presenti criteri che bloccano la connessione ai bucket Amazon S3.
  • Per le istanze di Amazon Relational Database Service (RDS), la crittografia del servizio di gestione delle chiavi AWS tra account è supportata, ma altri criteri di accesso del Servizio di gestione delle chiavi potrebbero impedire l'accesso.

Abilitare per le risorse AWS

Configurare bucket S3 e istanze RDS

Per abilitare la scansione dei bucket S3 e delle istanze RDS:

  1. In Defender per il cloud passare a Invironment settings e selezionare il connettore AWS.
  2. Attiva Defender CSPM con Individuazione di dati sensibili.
  3. Procedere con le istruzioni per scaricare il modello CloudFormation ed eseguirlo in AWS.

L'individuazione automatica dei bucket S3 nell'account AWS viene avviata automaticamente.

Per i bucket S3, lo scanner di Defender per il cloud viene eseguito nel tuo account AWS e si collega ai bucket S3.

Per le istanze RDS, il rilevamento verrà avviato una volta attivato Rilevamento dei dati sensibili. Lo scanner userà lo snapshot automatizzato più recente per un'istanza, creerà uno snapshot manuale nell'account di origine e lo copierà in un ambiente isolato di proprietà di Microsoft nella stessa regione.

Lo snapshot viene utilizzato per creare un'istanza attiva, che viene avviata, sottoposta a scansione e quindi immediatamente eliminata (insieme allo snapshot copiato).

Solo i risultati dell'analisi vengono segnalati dalla piattaforma di analisi.

Diagramma che illustra la piattaforma di scansione RDS.

Verifica della presenza di criteri di blocco S3

Se il processo di abilitazione non funziona a causa di un criterio bloccato, verificare quanto segue:

  • Assicurarsi che la policy del bucket S3 non blocchi la connessione. Nel bucket AWS S3, seleziona la scheda Autorizzazioni> Policy del bucket. Controllare i dettagli dei criteri per assicurarsi che il servizio scanner Microsoft Defender per il cloud in esecuzione nel account Microsoft in AWS non sia bloccato.
  • Assicurarsi che non siano presenti criteri SCP che bloccano la connessione al bucket S3. Ad esempio, i criteri SCP potrebbero bloccare le chiamate API di lettura all'area AWS in cui è ospitato il bucket S3.
  • Verificare che queste chiamate API necessarie siano consentite dai criteri SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Verificare che il criterio SCP consenta le chiamate all'area AWS us-east-1, ovvero l'area predefinita per le chiamate API.

Abilitare il monitoraggio basato sui dati in Defender per Archiviazione

Il rilevamento delle minacce per i dati sensibili è abilitato per impostazione predefinita quando il componente di individuazione dei dati sensibili è abilitato nel Defender per il piano di archiviazione. Per informazioni dettagliate, vedere Rilevamento delle minacce ai dati sensibili in Defender per Archiviazione.

Note

Se si disattiva Defender CSPM, vengono analizzate solo le risorse Archiviazione di Azure.

Passo successivo

Esaminare i rischi per la sicurezza nei dati

  • Last updated on