Sicurezza

Microsoft Intune: dynamic groups con Microsoft Graph e PowerShell

Nel lavoro quotidiano con Microsoft Intune, i gruppi a membership dinamica di Microsoft Entra ID sono uno strumento fondamentale per automatizzare l’assegnazione di applicazioni e criteri, riducendo attività manuali e rischi di inconsistenza. Tuttavia, la membership dinamica può valutare esclusivamente gli attributi disponibili sull’oggetto dispositivo in Entra ID. Questo significa che nativamente non è possibile creare regole basate direttamente su informazioni che risiedono sui client, come l’inventario software installato. Un caso tipico è la richiesta “includi nel gruppo tutti i pc che hanno Google Chrome installato“. Per quanto comune, non esiste una condizione nativa del tipo “installedApps contains Chrome“. In…

access_time visibility

Microsoft Sentinel: il beneficio delle Watchlist

Le watchlist in Microsoft Sentinel consentono agli analisti di sicurezza di correlare e arricchire in modo efficiente i dati degli eventi. Questa funzionalità offre in modo flessibile per gestire i dati di riferimento, ad esempio elenchi di asset critici / di valore elevato o dipendenti che hanno dato le dimissioni. Integrare le watchlist nelle regole di rilevamento, nella ricerca delle minacce e nei flussi di lavoro di risposta per ridurre i falsi positivi e rispondere alle minacce informatiche nel più breve tempo possibile. Le watchlist vengono “archiviate” in Microsoft sentinel in una tabella con l’associazione nome e valore, e vengono…

access_time visibility

Microsoft Defender for Endpoint: Custom Data Collection (Preview)

All’interno della community ho parlato in diverse guide di Microsoft Defender for Endpoint e di come esso in modo sinergico si integra con tutto l’ecosistema di Security Microsoft per proteggere le organizzazioni dai più sofisticati attacchi informatici. Oggi vorrei parlavi di una funzionalità, attualmente in Preview, che Microsoft ha rilasciato per la componente di Microsoft Defender for Endpoint, ovvero “Custom Data Collection”. La Custom Data Collection consente alle organizzazioni di espandere e personalizzare la raccolta di dati di telemetria oltre alle configurazioni predefinite per supportare le esigenze specializzate di ricerca delle minacce e monitoraggio della sicurezza. Questa funzionalità consente ai…

access_time visibility

Microsoft Purview: Endpoint DLP Just-in-Time Protection

All’interno della community abbiamo già parlato della componente di Endpoint Data Loss Prevention di Microsoft Purview e di come essa aiuti le organizzazioni a evitare la perdita o fuga di dati aziendali verso persone non autorizzate che potrebbero poi farne un uso improprio, a tal proposito vi lascio il link con la descrizione e la guida per implementare tale funzionalità Microsoft Purview: Endpoint Data Loss Prevention (DLP) – ICT Power Ma se i criteri non hanno completato ancora la valutazione cosa succede ai nostri dati? In questo articolo vi spiegherò proprio questo, e come attraverso la funzionalità di Just-in-Time Protection…

access_time visibility

Introduzione a Cluster-Aware Updating (CAU) in Windows Server

La gestione degli aggiornamenti in ambienti Windows Server Failover Cluster è da sempre una delle attività più delicate per chi amministra infrastrutture critiche. Patch di sicurezza, aggiornamenti cumulativi e driver sono indispensabili per mantenere i sistemi protetti e supportati, ma applicarli senza impattare sulla disponibilità dei servizi richiede pianificazione, competenze e finestre di manutenzione complesse da gestire. Cluster-Aware Updating (CAU) nasce proprio per rispondere a questa esigenza: automatizzare il processo di aggiornamento dei nodi di un cluster senza interrompere i carichi di lavoro, sfruttando le funzionalità native di failover e migrazione dei ruoli. Introdotta a partire da Windows Server 2012…

access_time visibility

MBAM End of Support: cosa cambia e come spostare l’encryption per BitLocker su Intune

Introduzione Se in azienda utilizzate ancora MBAM (Microsoft BitLocker Administration and Monitoring), siete in buona compagnia. Per anni è stato lo standard enterprise per la gestione di BitLocker con portale self-service, helpdesk, compliance e soprattutto escrow delle recovery key in modo centralizzato. Ma ora la musica sta cambiando, definitivamente: il supporto esteso di MBAM arriva al capolinea il 14 aprile 2026. Considerando che siamo appena entrati nel 2026 e la scadenza è fissata al 14 aprile, mancano ormai pochi mesi: abbastanza per migrare con metodo, troppo pochi per rimandare al prossimo trimestre. Questo articolo è pensato per voi IT admin…

access_time visibility

Microsoft Sentinel: Bloccare Brute Force IP in Azure VM

Microsoft Sentinel, la piattaforma SIEM e SOAR di casa Redmond, consente alle organizzazioni di centralizzare la raccolta dei log, correlare eventi provenienti da sorgenti eterogenee e automatizzare i processi di risposta agli incidenti di sicurezza. Grazie a un’architettura cloud-native e all’integrazione nativa con l’ecosistema Microsoft, Sentinel permette di ottenere una visibilità completa sullo stato della sicurezza, riducendo i tempi di rilevamento e mitigazione delle minacce. Attraverso funzionalità avanzate di analisi, orchestrazione e automazione, le aziende possono reagire in modo rapido ed efficace a incidenti di sicurezza critici, migliorando sensibilmente la postura di sicurezza complessiva e ottimizzando il lavoro dei team…

access_time visibility

Quando Kerberos smette di essere indulgente. L’addio a RC4

Ci sono cambiamenti che arrivano con un annuncio ufficiale, una roadmap ben evidenziata, una slide rossa che dice breaking change. Poi ci sono quelli che arrivano come una variazione di tono: nessuno se ne accorge subito, ma dopo un po’ l’aria è diversa. L’aggiornamento di Windows di gennaio 2026 è uno di questi. Nessun servizio cade, nessuna autenticazione che smette di funzionare. Eppure, nel cuore dei Domain Controller, qualcosa smette di essere concesso per abitudine. Microsoft ha avviato il ritiro progressivo di RC4 da Kerberos introducendo meccanismi che rendono osservabile un comportamento fino a oggi implicito. RC4 e Kerberos: una…

access_time visibility

Microsoft Purview: Optical Character Recognition (OCR)

L’analisi OCR (Optical Character Recognition) consente a Microsoft Purview di analizzare le immagini alla ricerca di informazioni riservate. L’analisi OCR è una funzionalità facoltativa e deve essere abilita a livello di Tenant. Una volta abilitata, si selezionano le posizioni in cui si desidera analizzare le immagini. L’analisi di queste ultime è disponibile per i seguenti Workload / Servizi: Exchange SharePoint OneDrive Teams Windows macOS Dopo aver configurato le impostazioni dei record e la gestione dei rischi Insider (IRM) vengono applicati alle immagini e al contenuto basato su testo, ad esempio, supponiamo di aver configurato il contenuto DLP contenente informazioni riservate…

access_time visibility

Phishing OAuth e 2FA bypassata

In questo mese (gennaio 2026) lo YouTuber italiano Andrea Galeazzi, noto per le recensioni tech, ha subito il furto del suo account Google e dei suoi canali YouTube a causa di un attacco informatico. Gli hacker sono riusciti a prendere il controllo totale del suo profilo nel giro di pochi secondi, nonostante Galeazzi avesse attiva l’autenticazione a due fattori (2FA). Questo caso clamoroso dimostra come una e-mail di phishing ben congegnata (in questo caso realizzata con l’aiuto dell’intelligenza artificiale) e un falso meccanismo di autorizzazione OAuth possano ingannare anche utenti esperti, aggirando le difese tradizionali come la 2FA. Cos’è successo…

access_time visibility