Microsoft EDR

Il sistema di protezione degli endpoint è Microsoft Defender (X)EDR, per ogni sede è stato creato un gruppo security che comprende alcuni o tutti i componenti del servizio calcolo e reti locale.

L'accesso alla piattaforma è tramite il portale https://security.microsoft.com le credenziali di accesso sono quelle dell'account Microsoft365. Al fine di assegnare ad ogni security group i device di sua compentenza è stato necessario definire un metodo per la loro identificazione. Purtroppo non è stato possibile applicare filtri relativi ad indirizzi IP o hostname in quanto per questi ultimi non esiste una naming convention ne a livello di struttura ne tanto meno di Ente.

Quindi abbiamo utilizzato il parametro tag che va assegnato in maniera manuale o automatica mediante delle regole basate sull’indirizzamento IP pubblico delle varie strutture. Queste regole tuttavia non possono coprire eventuali reti private tipiche di configurazioni NAT.

È estremamente importante che la definizione dei tag sia regolamentata con molta attenzione, pena, il totale caos sul sistema. Per ogni struttura si è definito un tag:

• AC
• Bari
• Bologna
• Cagliari
• Catania
• Cnaf
• Ferrara
• Firenze
• Genova
• LNF
• LNGS
• LNL
• LNS
• Lecce
• MIB
• Milano
• Napoli
• Padova
• Pavia
• Perugia
• Pisa
• Presid
• Roma1
• Roma2
• Roma3
• TIFPA
• Torino
• Trieste

Quando è necessario specificarlo, il tag, va scritto come riportato nella lista.

Istruzioni per i vari sistemi operativi:

• Windows 10/11
• macOS
• Windows Server (fonte Microsoft)
• Linux (fonte Microsoft)

Pacchetti d'installazione e script di onboarding:

• Windows 10/11
• macOS
• Windows Server 2012R2 -> 2016
• Windows Server 2019 -> 2022
• Linux Server