Configuration Analyzer: Analisi e ottimizzazione delle configurazioni di sicurezza in Microsoft Defender for Office 365
La sicurezza delle applicazioni e dei servizi di Office 365 è fondamentale per proteggere i dati aziendali e garantire la continuità operativa. Microsoft Defender for Office 365 offre un ampio ventaglio di strumenti avanzati per contrastare minacce come phishing, malware e attacchi di ingegneria sociale. Tra questi, uno degli strumenti più utili è il Configuration Analyzer, pensato per aiutare le aziende a mantenere una postura di sicurezza ottimale anche quando si utilizzano criteri di sicurezza personalizzati (custom policies).
Ad esempio, le Preset Security Policies di Microsoft consentono di implementare rapidamente baseline di sicurezza predefinite, conformi agli standard più elevati del settore. Tuttavia, queste politiche, pur offrendo un livello di protezione iniziale adeguato e facilmente accessibile anche a chi non possiede competenze tecniche avanzate, presentano alcune limitazioni. Una delle principali è la mancanza di flessibilità: i criteri predefiniti non possono essere modificati, costringendo molte aziende a optare per politiche personalizzate per rispondere meglio alle proprie esigenze specifiche.
NOTA: Per una panoramica più ampia sull’implementazione delle baseline di sicurezza predefinite (Preset Security) in Microsoft Defender for Office 365, vi consigliamo di consultare questa guida approfondita realizzata da Guido Imperatore.
Ma come garantire che le politiche personalizzate offrano lo stesso livello di protezione delle Preset Security Policies? È qui che entra in gioco il Configuration Analyzer, uno strumento potente e intuitivo che consente di analizzare e ottimizzare le configurazioni di sicurezza esistenti, assicurando una protezione completa per l’intero ambiente Office 365.
In questa guida, vedremo come utilizzare il Configuration Analyzer per migliorare la configurazione delle politiche di sicurezza, massimizzare la protezione e mantenere la conformità agli standard più elevati.
Cos’è Configuration Analyzer?
l Configuration Analyzer è uno strumento integrato in Microsoft Defender for Office 365 progettato per aiutare gli amministratori IT a valutare, analizzare e migliorare le configurazioni delle politiche di sicurezza. È particolarmente utile per le organizzazioni che utilizzano criteri di sicurezza personalizzati (custom policies) e desiderano assicurarsi che queste configurazioni offrano un livello di protezione ottimale, allineato alle migliori pratiche e agli standard di sicurezza di Microsoft.
Funzionalità principali di Configuration Analyzer
-
Analisi delle politiche di sicurezza
- Confronta le configurazioni attuali delle politiche personalizzate con quelle delle Preset Security Policies, come Strict e Standard.
- Evidenzia eventuali discrepanze che potrebbero compromettere la sicurezza o rappresentare una lacuna rispetto alle migliori pratiche.
-
Suggerimenti per migliorare la sicurezza
- Fornisce raccomandazioni mirate per ottimizzare i criteri, aiutando le organizzazioni a colmare le lacune senza sacrificare la flessibilità offerta dai criteri personalizzati.
-
Report dettagliati
- Genera report che mostrano lo stato attuale delle configurazioni di sicurezza, evidenziando le aree di rischio e i miglioramenti consigliati.
-
Supporto decisionale
- Facilita il processo decisionale fornendo informazioni chiare e basate su standard consolidati, aiutando gli amministratori a implementare politiche che bilanciano protezione e usabilità.
Perché è importante?
In molte organizzazioni, le Preset Security Policies offrono una protezione iniziale adeguata, ma la loro rigidità (non sono modificabili) spinge le aziende a creare criteri personalizzati per rispondere a esigenze specifiche. Tuttavia, le politiche personalizzate rischiano di essere configurate in modo non ottimale, esponendo l’organizzazione a potenziali vulnerabilità.
Il Configuration Analyzer colma questa lacuna, consentendo alle aziende di:
- Valutare rapidamente se i criteri personalizzati sono sufficientemente robusti.
- Migliorare la sicurezza senza rinunciare alla personalizzazione.
- Allinearsi agli standard di sicurezza senza richiedere un’elevata competenza tecnica.
Come funziona?
Il Configuration Analyzer:
- Analizza le configurazioni esistenti nel tenant.
- Confronta tali configurazioni con baseline di sicurezza predefinite.
- Fornisce raccomandazioni dettagliate su come migliorare le impostazioni personalizzate per raggiungere un livello di protezione ottimale.
In sintesi, il Configuration Analyzer è uno strumento cruciale per garantire che le configurazioni di sicurezza in Microsoft Defender for Office 365 siano efficaci, ben allineate agli standard di protezione e sufficientemente flessibili per soddisfare le esigenze specifiche delle organizzazioni.
Guida di Configuration Analyzer
Prerequisiti:
- Organization Management o Security Administrator
Accedi al portale Microsoft Defender https://security.microsoft.com e vai alla sezione Email & Collaboration
Figura 1: Interfaccia principale del portale Microsoft Defender XDR, con accesso rapido alle funzionalità di protezione per Email & Collaboration
Figura 2: Navigazione verso la sezione “Policies & Rules” in Microsoft Defender per configurare criteri di protezione
Figura 3: Schermata che mostra l’accesso alla sezione “Threat Policies” per la gestione delle configurazioni di sicurezza.
Trova il Configuration analyzer sotto Templated policies
Figura 4: Accesso al Configuration Analyzer in Defender for Office 365
In questa sezione, esploreremo le caratteristiche principali e le schede del Configuration Analyzer. Scoprirai come ti aiuta a confrontare le tue politiche di sicurezza con gli standard raccomandati e a monitorare eventuali modifiche nel tempo per garantire la conformità.
- Standard recommendations: Confronta le tue politiche di sicurezza attuali con le raccomandazioni standard. Puoi modificare i valori delle tue impostazioni per allinearle al livello delle raccomandazioni Standard.
- Strict recommendations: Confronta le tue politiche di sicurezza attuali con le raccomandazioni più restrittive. Puoi modificare i valori delle tue impostazioni per portarle al livello delle raccomandazioni Strict.
- Configuration drift analysis and history: Questa scheda aiuta a monitorare e analizzare le modifiche di configurazione nel tempo, permettendoti di identificare eventuali deviazioni dalle baseline di sicurezza stabilite. È fondamentale per mantenere configurazioni di sicurezza coerenti e garantire la conformità.
Figura 5: Schermata del Configuration Analyzer con l’elenco delle raccomandazioni Standard e Strict
In maniera del tutto automatica il configuration analyzer apre le raccomandazioni Standard che mostra il numero di impostazioni, per ciascun tipo di criterio, che necessitano di miglioramenti rispetto alla protezione Standard o Strict. I tipi di criteri possibili sono:
- Anti-spam
- Anti-phishing
- Anti-malware
- Safe Attachments (se la sottoscrizione include Microsoft Defender for Office 365)
- Safe Links (se la sottoscrizione include Microsoft Defender for Office 365)
- DKIM
- Built-in Protection (se la sottoscrizione include Microsoft Defender for Office 365)
- Outlook
Se un tipo di criterio e il relativo numero non vengono mostrati, come nel nostro caso, significa che tutte le tue politiche di quel tipo soddisfano le impostazioni raccomandate per la protezione Standard o Strict.
Figura 6: Tipologie di criteri di protezione (es. Anti-spam, Anti-phishing) con indicazione del livello di conformità rispetto agli standard raccomandati
La parte principale della scheda è una tabella che elenca le impostazioni che devono essere aggiornate. Ecco una descrizione delle colonne della tabella:
- Recommendations: Il valore dell’impostazione nel profilo di protezione Standard o Strict.
- Policy: Nome del criterio interessato che contiene l’impostazione.
- Policy group/setting name: Il nome dell’impostazione che richiede la tua attenzione.
- Policy type: Tipo di criterio tra Anti-spam, Anti-phishing, Anti-malware, Safe Links, o Safe Attachments.
- Current configuration: Il valore corrente dell’impostazione.
- Last modified: La data dell’ultima modifica apportata ai criteri.
- Status: In genere, questo valore è Not started.
Figura 7: Descrizione delle colonne della tabella del Configuration Analyzer
Per filtrare le voci, seleziona Filter. Nel pannello dei filtri che si apre, sono disponibili i seguenti filtri:
- Anti-spam
- Anti-phishing
- Anti-malware
- Safe Attachments
- Safe Links
- ATP Built-in Protection rule
- DKIM
- Outlook
Figura 8: Filtro per criterio Configuration analyzer
Nella scheda Standard protection o Strict protection del Configuration Analyzer, seleziona una voce cliccando in qualsiasi punto della riga, eccetto sulla casella di controllo accanto al nome della raccomandazione. Nel pannello dei dettagli che si apre, sono disponibili le seguenti informazioni:
- Policy: Il nome del criterio interessato.
- Why?: Informazioni sul motivo per cui consigliamo il valore per l’impostazione.
- L’impostazione specifica da modificare e il valore in cui modificarla.
- View policy: Il collegamento consente di accedere al riquadro a comparsa dei dettagli dei criteri interessati nel portale di Microsoft Defender in cui è possibile aggiornare manualmente l’impostazione.
- Un link a Recommended settings for EOP and Microsoft Defender for Office 365 security. Il link fornisce le impostazioni consigliate per proteggere le organizzazioni utilizzando Exchange Online Protection (EOP) e Microsoft Defender for Office 365, suddivise in livelli Standard e Strict, per migliorare la sicurezza contro le minacce. Include configurazioni dettagliate per antispam, antimalware e altre funzionalità di protezione.
Figura 9: Vista della dashboard “Configuration Drift Analysis”, utilizzata per monitorare le modifiche alle configurazioni di sicurezza rispetto agli standard
Come intervenire su un’impostazione di criterio raccomandata
Nella scheda Standard protection o Strict protection del Configuration Analyzer, seleziona una voce spuntando la casella accanto al nome della raccomandazione. Le seguenti azioni saranno disponibili nella pagina:
- Apply recommendation: Se la raccomandazione richiede più passaggi, questa opzione sarà disattivata. Selezionando questa azione, si aprirà una finestra di conferma (con l’opzione per non visualizzarla di nuovo).
- View policy: Viene visualizzato il riquadro a comparsa dei dettagli dei criteri interessati nel portale di Microsoft Defender in cui è possibile aggiornare manualmente l’impostazione.
- Export: Esporta la raccomandazione selezionata in un file .csv. È inoltre possibile esportare le raccomandazioni dopo aver selezionato più raccomandazioni o dopo aver selezionato tutte.
- Refresh: Utile per visualizzare il numero ridotto di raccomandazioni e la rimozione della riga aggiornata dai risultati dopo aver aggiornato automaticamente o manualmente l’impostazione.
Figura 10: Dettaglio delle azioni possibili
Se decidi di accettare il suggerimento seleziona e clicca su Apply recommendation
Figura 11: Applicazione raccomandazione selezionata in Configuration Analyzer
Figura 12: Finestra di conferma per l’applicazione di una raccomandazione selezionata
Quando selezioni questa azione, si apre una finestra di conferma (con l’opzione di non visualizzarla più). Se clicchi su OK, si verificano le seguenti azioni:
- L’impostazione viene aggiornata al valore consigliato.
- La raccomandazione è ancora selezionata, ma l’unica azione disponibile è Refresh.
- Lo Status cambia in Complete.
Figura 13: Status dopo l’applicazione della raccomandazione in Configuration Analyzer
Effettuando il refresh l’impostazione suggerita non sarà più in lista riducendo di fatto il numero delle raccomandazioni.
Qualora volessi avere un controllo sul valore dell’impostazione puoi applicare manualmente il suggerimento, magari inserendo un valore intermedio, per esempio, con l’opzione View policy:
Figura 14: Visualizzare il criterio a cui fa riferimento la raccomandazione in Configuration Analyzer
Figura 15: Modifica del criterio per cambiare l’impostazione manualmente
Valore esistente 15, consigliato 30, impostato 25
Figura 16: Cambio valore dell’impostazione all’interno del criterio
Configuration drift analysis and history
consente di monitorare e analizzare le modifiche alle impostazioni di sicurezza nel tempo, aiutando a identificare eventuali discrepanze rispetto alle configurazioni stabilite. Ecco le principali funzionalità:
- Monitoraggio delle modifiche: La scheda traccia e mostra le modifiche alle politiche di sicurezza, evidenziando qualsiasi variazione che potrebbe aver compromesso la conformità agli standard di sicurezza.
- Storia delle modifiche: Permette di visualizzare la cronologia delle modifiche, fornendo una panoramica di come le configurazioni siano cambiate nel tempo e se le impostazioni siano state allineate a quelle raccomandate.
- Identificazione delle deviazioni: Analizza le differenze tra le configurazioni correnti e quelle raccomandate, rendendo più facile rilevare eventuali deviazioni dalle baseline di sicurezza.
Questa scheda è fondamentale per garantire la coerenza delle politiche di sicurezza e mantenere la conformità continua.
NOTA: Unified Auditing deve essere abilitato. Trovi una guida qui
Questa scheda ti consente di monitorare le modifiche alle tue politiche di sicurezza e come tali modifiche si confrontano con le impostazioni Standard o Strict. Per impostazione predefinita, vengono visualizzate le seguenti informazioni:
- Last modified
- Modified by
- Setting Name
- Policy: Il nome del criterio interessato.
- Type: Anti-spam, Anti-phishing, Anti-malware, Safe Links, o Safe Attachments.
- Configuration change: Il valore precedente e il nuovo valore dell’impostazione
- Configuration drift: Il valore Increase o Decrease che indica l’aumento o la diminuzione della sicurezza dell’impostazione rispetto all’impostazione Standard o Strict consigliata.
Figura 17: Dashboard di Configuration Drift Analysis con evidenziate le modifiche apportate alle configurazioni di sicurezza
Esporta un report utilizzando la funzione “Export” in formato CSV.
Figura 18: Export del report Configuration drift analysis and history
Formatta il report esportato in formato Excel
Figura 19: Report in formato Excel
Conclusioni
Il Configuration Analyzer di Microsoft Defender for Office 365 rappresenta una soluzione strategica per ottimizzare e mantenere elevata la sicurezza del proprio ambiente Office 365. Grazie alla capacità di analizzare e confrontare le configurazioni personalizzate con le baseline di sicurezza standard, lo strumento permette di:
- Identificare rapidamente eventuali lacune nella configurazione;
- Implementare miglioramenti mirati senza sacrificare la flessibilità;
- Monitorare le modifiche nel tempo per garantire una conformità costante.
Questo approccio proattivo consente alle organizzazioni di ridurre i rischi legati a vulnerabilità da configurazioni errate, migliorare la postura di sicurezza e allinearsi alle best practices consolidate.
In un panorama di minacce in costante evoluzione, l’uso regolare del Configuration Analyzer non solo semplifica la gestione delle politiche di sicurezza, ma fornisce anche una garanzia operativa fondamentale per la protezione di dati e servizi aziendali. Si consiglia di integrare lo strumento nelle operazioni di sicurezza quotidiane e di formare il personale amministrativo affinché utilizzi al meglio le sue funzionalità avanzate.