OMS Security: Threat Intelligence

Tra le varie funzionalità offerte da Operations Management Suite (OMS) c’è la possibilità di attivare la solution denominata Security & Compliance che consente di identificare, valutare e mitigare potenziali rischi di security sui nostri sistemi. La solution è possibile attivarla facilmente con pochi passaggi:

  1. Accedo al portale OMS e seleziono il tile “Solutions Gallery”
Figura 1 – Step 1: attivazione solution Security & Compliance
  1. Tra le varie soluzioni offerte ho la possibilità di aggiungere “Security & Compliance” che al momento comprende le solution “Antimalware Assessment” e “Security and Audit
Figura 2 – Step 2: attivazione solution Security & Compliance
  1. Seleziono il Workspace OMS e premendo il pulsante Create la solution viene aggiunta e resa disponibile per essere utilizzata
Figura 3 – Step 3: attivazione solution Security & Compliance

In seguito all’attivazione della solution OMS si collegherà ai sistemi con l’agente installato per effettuare un security assessment che può richiedere inizialmente anche alcune ore, per poi riportare i dati elaborati nel portale. La solution è in grado di esaminare sia macchine Windows che sistemi Linux e aiuta a proteggere l’infrastrutture sia essa on-premises o nel cloud. In questo articolo approfondiremo il funzionamento del meccanismo di Threat Intelligence.

Figura 4 – Architettura Threat Intelligence

Threat Intelligence ricopre un ruolo fondamentale nell’ambito della soluzione di security di OMS grazie a una correlazione pressoché in tempo reale dei dati raccolti nel repository OMS con le informazioni provenienti dai principali vendor di soluzioni di Threat Intelligence e con i dati forniti dai centri di sicurezza Microsoft. Non dimentichiamoci che Microsoft lavora costantemente per proteggere i propri servizi nel cloud ed ha pertanto una visibilità unica e molto estesa delle minacce che possono affliggere potenzialmente i nostri sistemi. Fornendo questa funzionalità Microsoft consente ai propri clienti di beneficiare facilmente della sua conoscenza per proteggere le risorse, rilevare gli attacchi ed agire agli stessi con una rapida risposta senza dover ricorrere a complessi scenari di integrazione.

Threat Intelligence è in grado di fornire le seguenti informazioni che consentono ai team di security di effettuare le dovute azioni e di capire l’eventuale livello di compromissione dei propri sistemi:

  • Rileva la natura dell’attacco
  • Determina l’intento dell’attacco, utile per capire se si tratta di un attacco mirato alla propria organizzazione per acquisire informazioni specifiche oppure se si tratta di un attacco casuale e massivo
  • Identifica da dove deriva l’attacco
  • Intercetta eventuali sistemi compromessi e riporta i server che effettuano traffico considerato malevole verso l’esterno
  • Riporta quali file sono stati eventualmente acceduti

Per accedere alle informazioni di Threat Intelligence nella dashboard principale del portale OMS è necessario selezionare il tile “Security and Audit”:

Figura 5 – Tile Security and Audit

Nella dashboard “Security and Audit” è presente la sezione Threat Intelligence in seguito riportata:

Figura 6 – Informazioni di Threat Intelligence

Nel tile Server with outbound malicious traffic vengono segnalati i sistemi server monitorati che stanno generando traffico malevole verso Internet. Nel caso vengano segnalati sistemi in questo tile è opportuno intraprendere immediatamente dei rimedi.

Nel tile Detected threat types viene mostrato un summary dei threat rilevati recentemente:

Figura 7 – Tile Detected threat types

 Selezionando il tile è inoltre possibile ottenere maggiori dettagli a riguardo:

Figura 8 – Dettagli relative al threat rilevato

Threat Intelligence mette a disposizione anche la visualizzazione della mappa degli attacchi che consente di identificare velocemente da quale parte del globo vengono effettuati. Le frecce di colore arancione segnalano la presenza di traffico maligno in ingresso, mentre le frecce di colore rosso evidenziano traffico maligno in uscita verso determinate location. Selezionando una freccia specifica si ottengono ulteriori dettagli in merito alla fonte dell’attacco:

Figura 9 – Threat Intelligence map

Conclusioni

Rilevare potenziali attacchi e rispondere in modo rapido ed efficace a incidenti di security che avvengono nel proprio ambiente è di fondamentale importanza. Attivando la solution “Security & Compliance” di Microsoft Operations Management Suite (OMS) è possibile utilizzare la funzionalità di Threat Intelligence per rendere più efficace la propria strategie in ambito security ed avere a disposizione un potente strumento in grado di ridurre al minimo l’entità di potenziali incidenti di security. Per chi è interessato ad approfondire ulteriormente questa e altre funzionalità di OMS ricordo che è possibile provare la soluzione OMS gratuitamente.

A proposito di Francesco Molfese

Francesco Molfese ha conseguito la laurea triennale in Ingegneria Informatica presso l’Università degli Studi di Modena e Reggio Emilia nel 2004. Nel 2005 inizia la sua esperienza lavorativa nel settore ICT in ambito sistemistico. Durante il 2006 segue un percorso formativo che termina con il raggiungimento della certificazione "Microsoft Certified Systems Engineer". Presso l'azienda dove lavora, ricopre il ruolo di Senior Consultant e si occupa in particolare di virtualizzazione, gestione, sicurezza e protezione dell'infrastruttura. Segue inoltre la progettazione e l’implementazione di architetture cloud in particolare per i Service Provider. Dal 2006 è stato coinvolto in diverse implementazioni di sistemi di management, ha seguito numerosi progetti per la sicurezza e protezione dei dati aziendali ed ha implementato svariati sistemi di virtualizzazione. Tutte queste attività sono state svolte su clienti che spaziano da alcune centinaia di sistemi fino a diverse migliaia. Nel 2009 ottiene la certificazione "Microsoft Certified IT Professional - Enterprise Administrator" (MCITP) e dal 2012 detiene la qualifica di "Microsoft Certified Trainer" (MCT). A Ottobre 2016 Microsoft gli assegna il titolo Most Valuable Professional (MVP) nella specializzazione "Cloud and Datacenter Management".

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Time limit is exhausted. Please reload CAPTCHA.