Zabezpečení serverů s podporou Azure Arc pomocí Microsoft Defenderu pro servery

  • 6 min

Společnost Tailwind Traders se zajímá o další funkce rozšířeného zabezpečení v programu Microsoft Defender for Cloud. Mezi tyto vylepšené funkce zabezpečení patří posouzení ohrožení zabezpečení, monitorování integrity souborů a adaptivní řízení aplikací. V této lekci se dozvíte, jak servery s podporou Azure Arc společně s Microsoft Defenderem pro servery mohou odemknout ještě více funkcí zabezpečení.

Přehled programu Microsoft Defender pro servery

Microsoft Defender pro servery je jednou z vylepšených funkcí zabezpečení v programu Microsoft Defender for Cloud. Microsoft Defender for Servers přidává do počítačů s Windows a Linuxem detekci hrozeb a pokročilou obranu bez ohledu na to, jestli běží v Azure, místně nebo v prostředí s více cloudy. Mezi základní výhody Microsoft Defenderu pro servery patří:

  • Integrace Microsoft Defenderu pro koncový bod
  • Analýza chování virtuálních počítačů (a výstrahy zabezpečení)
  • Upozornění zabezpečení bez souborů
  • Integrovaná kontrola ohrožení zabezpečení Qualys
  • Monitorování integrity souborů
  • Adaptivní řízení aplikací
  • Řídicí panel a sestavy dodržování právních předpisů
  • Chybějící posouzení oprav operačního systému
  • Posouzení chyb konfigurace zabezpečení
  • Posouzení ochrany koncových bodů
  • Posouzení ohrožení zabezpečení třetích stran

Integrace s Microsoft Defenderem pro koncový bod

Microsoft Defender for Servers zahrnuje Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).

Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud. Z Defenderu pro cloud můžete také přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku. Když povolíte Microsoft Defender for Servers, udělíte defenderu pro cloud přístup k datům Microsoft Defenderu for Endpoint související s ohroženími zabezpečení, nainstalovaným softwarem a výstrahami.

Nástroje pro posouzení ohrožení zabezpečení

Microsoft Defender for Servers zahrnuje výběr nástrojů pro zjišťování a správu ohrožení zabezpečení. Na stránkách nastavení Defenderu pro cloud si můžete vybrat, jestli se mají tyto nástroje nasadit do počítačů. Všechna zjištěná ohrožení zabezpečení se zobrazí v doporučení zabezpečení.

  • Hrozby a správa ohrožení zabezpečení Microsoftu: Zjišťování ohrožení zabezpečení a chybná konfigurace v reálném čase pomocí defenderu pro koncový bod, aniž by bylo nutné provádět další agenty nebo pravidelné kontroly. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě oblasti hrozeb, citlivých informací a obchodního kontextu.
  • Kontrola ohrožení zabezpečení založená na Qualys: Jedním z předních nástrojů pro identifikaci ohrožení zabezpečení v reálném čase ve vašich hybridních virtuálních počítačích. Nepotřebujete licenci Qualys ani účet Qualys; Vše se bezproblémově zpracovává v programu Defender for Cloud.

Monitorování integrity souborů (FIM)

Monitorování integrity souborů (FIM) zkoumá soubory a registry operačních systémů a aplikačního softwaru na změny, které by mohly naznačovat útok. Metoda porovnání se používá k určení, jestli se aktuální stav souboru liší od poslední kontroly souboru. Toto porovnání můžete použít k určení, jestli byly v souborech provedeny platné nebo podezřelé změny.

Když povolíte Program Microsoft Defender for Servers, můžete pomocí FIM ověřit integritu souborů Windows, registrů Windows a linuxových souborů.

Adaptivní řízení aplikací (AAC)

Adaptivní řízení aplikací je inteligentní a automatizované řešení pro definování seznamu povolených aplikací známých bezpečných pro vaše počítače. Když jste nakonfigurovali adaptivní řízení aplikací, získáte výstrahy zabezpečení, pokud se některá aplikace spouští jinak než ty, které jste definovali jako bezpečné.

Detekce útoků bez souborů

Útoky bez souborů vkládají do paměti škodlivé datové části, aby se zabránilo detekci pomocí technik prohledávání na základě disků. Datová část útočníka pak přetrvává v paměti ohrožených procesů a provádí širokou škálu škodlivých aktivit.

Díky detekci útoků bez souborů automatizované forenzní techniky paměti identifikují sady nástrojů pro útoky bez souborů, techniky a chování. Toto řešení, které je k dispozici ve výchozím nastavení, pravidelně kontroluje váš počítač za běhu a extrahuje přehledy přímo z paměti procesů. Mezi konkrétní přehledy patří identifikace:

  • Známé sady nástrojů a kryptografický software
  • Shellcode, což je malá část kódu, která se obvykle používá jako datová část při využívání ohrožení zabezpečení softwaru
  • Vložený škodlivý spustitelný soubor do paměti procesu

Detekce útoků bez souborů generuje podrobné výstrahy zabezpečení, které obsahují popisy s metadaty procesů, jako je aktivita sítě. Tyto podrobnosti urychlují třídění výstrah, korelaci a dobu odezvy podřízené.