Sicurezza

Migrazione di Log Analytics Agent verso Azure Monitoring Agent per continuare la log collection in Microsoft Sentinel

Microsoft nell’ultima settimana, per le organizzazioni che all’interno della propria infrastruttura stanno utilizzando Log Analytics Agent per la collezione dei log, stà mandando diverse comunicazione per procedere alla migrazione verso Azure Monitoring Agent. Il 31/8/2024 Log Analytics Agent non sarà più supportato quindi entro questa data dovrete procedere alla migrazione verso Azure Monitoring Agent (AMA). Eseguire questa migrazione significa continuare a ricevere i log dei vostri dispositivi verso Microsoft Sentinel utilizzando un servizio pienamente supportato e con i massimi standard di sicurezza disponibili sul mercato, all’interno di questo articolo vi mostrerò come procedere alla migrazione di una macchina Linux da…

access_time visibility

Autenticazione a più fattori obbligatoria per Azure e altri portali di amministrazione

Già alcuni mesi fa, nel post Update on MFA requirements for Azure sign-in – Microsoft Community Hub del 27 giugno 2024, Microsoft aveva annunciato che nel giro di qualche mese avrebbe reso obbligatorio l’uso della Multi-Factor Authentication per gli utenti che devono accedere ai portali amministrativi di Microsoft Azure, Microsoft Entra e Microsoft Intune. Un paio di giorni fa, nel post Announcing mandatory multi-factor authentication for Azure sign-in | Microsoft Azure Blog del 15 agosto 2024 è stata confermata questa scelta ed è stato reso noto sia la modalità che la tempistica con cui verrà resa obbligatoria l’autenticazione a più…

access_time visibility

Ricerca di dati di grandi dimensioni in Microsoft Sentinel? Nessun problema! Summary Rule (Preview) è la tua soluzione

La funzionalità di Summary Rule in Microsoft Sentinel attualmente è in Public Preview, ma cosa è questa nuova funzionalità introdotta dalla casa di Redmond ? Usare le Summary Rule in Microsoft Sentinel vi permette di “aggregare” un set di dati, presenti in Microsoft Sentinel, in Background e quindi senza dover ogni volta eseguire KQL (Kusto Query). I set di dati estratti con questa funzionalità vengono salvati all’interno di tabelle personalizzate che posso essere utilizzate per ottimizzare la lettura di di dati all’interno dei seguenti scenari: Analisi e report: Utili per report Aziendali annuali o mensili, oppure per analisi durante un…

access_time visibility

Utilizzare i Workbook per stimare il consumo Azure di Microsoft Sentinel

All’interno della community ho parlato molto del SIEM/SOAR di casa Redmond. Vi ho dato evidenza che il costo del servizio è basato sul consumo di una Subscription Azure, ma molte volte durante le implementazioni le organizzazioni mi pongono una domanda, direi molto più che lecita: Ma non vi è un modo per, quantomeno, stimare quanto andrò a pagare nell’arco di un mese ? La risposta a questa domanda è si è possibile avere una stima dell’utilizzo delle risorse del nostro SIEM ed in questo articolo vi spiegherò come poter sfruttare i Workbook di Sentinel per calcolare il consumo stimato. Per…

access_time visibility

Microsoft Sentinel: Log Collection Sophos Endpoint Protection (Sophos Central)

Come avrete potuto notare, all’interno della Community ho scritto diversi articoli inerenti al mondo SIEM di casa Redmond, che spaziano dal deploy della soluzione di Microsoft Sentinel, fino a guide molto specifiche su come eseguire la collezione dei log provenienti da diverse fonti e vi ho spiegato come al giorno d’oggi è di fondamentale importanza avere a disposizione più Log possibile per eseguire correlazioni degli eventi in modo puntuale. In questo articolo vorrei darvi evidenza di come poter eseguire la log collection di Sophos Central, per la componente di Endpoint Protection per poi inviare questi log all’interno di Microsoft Sentinel.…

access_time visibility

AD-ventures in offensive security – Parte 4/9 – Kerberoasting

Disclaimer: Gli strumenti e le tecniche descritte in questo articolo sono destinati esclusivamente a scopi educativi e di ricerca nel campo della sicurezza informatica. L’uso di tali strumenti e tecniche contro sistemi informatici senza il consenso esplicito del proprietario è illegale e può comportare gravi conseguenze legali. L’autore e gli editori declinano qualsiasi responsabilità per l’abuso o l’uso improprio di queste informazioni da parte degli utenti. Si consiglia vivamente di ottenere il consenso scritto prima di condurre qualsiasi tipo di test o di valutazione della sicurezza su sistemi informatici. Questo articolo è parte della serie AD-ventures: La battaglia per la sicurezza di…

access_time visibility

Bloccare un utente on-prem sfruttando i Playbook di Microsoft Sentinel

Rimediare in modo puntuale ad Incident di sicurezza all’interno della nostra infrastruttura è un’attività che ci permette di difenderci in modo proattivo da potenziali attacchi informatici sempre più sofisticati. È del tutto semplice agire in un ambiente totalmente Cloud, ma come tutti sappiamo la stragrande maggioranza delle infrastrutture sono Ibride, e quindi come possiamo difenderci nel migliore dei modi da questi attacchi quando il nostro ambiente è Ibrido ? Per darvi una risposta in modo puntuale vi invito a rileggere il mio articolo, scritto per la community, che per comodità vi riporto Automatizzare le Remediations degli incidents in Microsoft Sentinel…

access_time visibility

Custom Detection con Advanced Hunting di Microsoft Defender for Endpoint

Al giorno d’oggi, durante un attacco informatico, abbiamo bisogno, una volta capito quale processo esegue azioni malevoli, di capire su quali dispositivo esso è attivo, ma non abbiamo magari a disposizione gli strumenti necessari per eseguire questa ricerca. La casa di Redmond con la suite di Microsoft Defender for Endpoint, mette a disposizione una funzionalità veramente interessante che vi permette di eseguire delle Detection Custom per eseguire discover di Processi, Applicazioni presenti all’interno dei vostri endpoint, per poi permettervi di eseguire le opportune remediation per la mitigazione della compromissione. Microsoft Defender for Endpoint è un servizio che vi offre una…

access_time visibility

#POWERCON2024 – Evento online del 14 giugno – Disponibili le registrazioni delle sessioni

Ieri si è tenuto il primo appuntamento della nostra conferenza annuale, #POWERCON2024, un evento che unisce le menti più brillanti nel campo dell’Information Technology e dell’innovazione. Questa edizione ha visto una partecipazione senza precedenti, consolidando ulteriormente il nostro ruolo come punto di riferimento nel settore. Anche quest’anno abbiamo avuto il piacere di ospitare relatori di alto livello, provenienti da diverse discipline del settore dell’informatica, della cybersecurity e dell’innovazione. Tra i protagonisti dell’evento, sono stati trattati temi di grande attualità, spaziando dalle più recenti tendenze tecnologiche alle strategie avanzate per la sicurezza informatica, passando per le sfide e le opportunità offerte…

access_time visibility

AD-ventures in offensive security – Parte 3/9 – Unquoted Service Path

“Disclaimer: Gli strumenti e le tecniche descritte in questo articolo sono destinati esclusivamente a scopi educativi e di ricerca nel campo della sicurezza informatica. L’uso di tali strumenti e tecniche contro sistemi informatici senza il consenso esplicito del proprietario è illegale e può comportare gravi conseguenze legali. L’autore e gli editori declinano qualsiasi responsabilità per l’abuso o l’uso improprio di queste informazioni da parte degli utenti. Si consiglia vivamente di ottenere il consenso scritto prima di condurre qualsiasi tipo di test o di valutazione della sicurezza su sistemi informatici.” Questo articolo è parte della serie AD-ventures: La battaglia per la sicurezza…

access_time visibility