Principy Microsoft Defenderu pro servery
Microsoft Defender for Servers poskytuje detekci hrozeb a pokročilou ochranu počítačů s Windows a Linuxem bez ohledu na to, jestli běží v Azure, AWS, GCP nebo místně. K ochraně počítačů v hybridních a multicloudových prostředích používá Defender for Cloud Azure Arc.
Microsoft Defender for Servers je k dispozici ve dvou plánech:
Microsoft Defender for Servers Plan 1 – nasadí Microsoft Defender for Endpoint na vaše servery a poskytuje tyto funkce:
- Licence Microsoft Defenderu pro koncové body se účtují každou hodinu místo na sedadlo, čímž se snižují náklady na ochranu virtuálních počítačů jenom v případě, že se používají.
- Microsoft Defender for Endpoint se automaticky nasadí do všech cloudových úloh, abyste věděli, že jsou při spuštění chráněné.
- Výstrahy a data ohrožení zabezpečení z Microsoft Defenderu pro koncový bod se zobrazují v programu Microsoft Defender for Cloud.
Microsoft Defender for Servers Plan 2 (dříve Defender for Servers) – zahrnuje výhody plánu 1 a podporu pro všechny ostatní funkce Microsoft Defenderu pro servery.
Povolení plánů Microsoft Defenderu pro servery:
Přejděte do nastavení prostředí a vyberte své předplatné.
Pokud není povolený Program Microsoft Defender pro servery, nastavte ho na Zapnuto. Ve výchozím nastavení je vybraný plán 2.
Pokud chcete změnit plán Defenderu pro servery:
Ve sloupci Plán/Ceny vyberte Změnit plán. Vyberte požadovaný plán a vyberte Potvrdit.
Plánování funkcí
Následující tabulka popisuje, co je součástí každého plánu na vysoké úrovni.
| Funkce | Defender for Servers Plan 1 | Defender for Servers Plan 2 |
|---|---|---|
| Automatické onboarding pro prostředky v Azure, AWS, GCP | Ano | Yes |
| Správa hrozeb a ohrožení zabezpečení Microsoftu | Ano | Yes |
| Flexibilita při používání portálu Microsoft Defender for Cloud nebo Microsoft Defender | Ano | Yes |
| Integrace programu Microsoft Defender for Cloud a Microsoft Defender for Endpoint (výstrahy, inventář softwaru, posouzení ohrožení zabezpečení) | Ano | Yes |
| Log-Analytics (zdarma 500 MB) | Ano | |
| Posouzení ohrožení zabezpečení s využitím Qualys | Ano | |
| Detekce hrozeb: úroveň operačního systému, síťová vrstva, řídicí rovina | Ano | |
| Adaptivní řízení aplikací | Ano | |
| Monitorování integrity souborů | Ano | |
| Přístup k virtuálnímu počítači za běhu | Ano | |
| Adaptivní posilování zabezpečení sítě | Ano |
Jaké jsou výhody Defenderu pro servery?
Funkce detekce hrozeb a ochrany poskytované v programu Microsoft Defender pro servery zahrnují:
Integrovaná licence pro Microsoft Defender for Endpoint – Microsoft Defender pro servery zahrnuje Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR). Když povolíte Microsoft Defender for Servers, získá Defender for Cloud přístup k datům Microsoft Defenderu for Endpoint, která souvisejí s ohroženími zabezpečení, nainstalovaným softwarem a výstrahami pro vaše koncové body.
Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud. V programu Defender for Cloud můžete také přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku.
Nástroje pro posouzení ohrožení zabezpečení pro počítače – Microsoft Defender for Servers zahrnuje výběr nástrojů pro zjišťování a správu ohrožení zabezpečení pro vaše počítače. Na stránkách nastavení Defenderu pro cloud můžete vybrat nástroje, které chcete nasadit do počítačů. Zjištěná ohrožení zabezpečení se zobrazují v doporučení zabezpečení.
Hrozby a správa ohrožení zabezpečení Microsoftu – Zjišťování ohrožení zabezpečení a chybná konfigurace v reálném čase pomocí programu Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení v závislosti na oblasti hrozeb, detekci ve vaší organizaci, citlivé informace na ohrožených zařízeních a obchodní kontext.
Kontrola ohrožení zabezpečení založená na technologii Qualys – Skener Qualys je jedním z předních nástrojů pro identifikaci ohrožení zabezpečení v reálném čase ve vašich virtuálních počítačích Azure a hybridních virtuálních počítačích. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bez problémů zpracovává v programu Defender for Cloud.
Přístup k virtuálnímu počítači podle potřeby (JIT) – Aktéři hrozeb aktivně proaktivní vyhledávání přístupových počítačů s otevřenými porty pro správu, jako je RDP nebo SSH. Všechny virtuální počítače jsou potenciálními cíli útoku. Když dojde k úspěšnému ohrožení zabezpečení virtuálního počítače, použije se jako vstupní bod k útoku na další prostředky ve vašem prostředí.
Když povolíte Microsoft Defender for Servers, můžete pomocí přístupu k virtuálním počítačům za běhu uzamknout příchozí provoz do virtuálních počítačů. Udržování portů vzdáleného přístupu uzavřených, dokud není potřeba omezit vystavení útokům, a poskytuje snadný přístup pro připojení k virtuálním počítačům v případě potřeby.
Monitorování integrity souborů (FIM) – Monitorování integrity souborů (FIM), označované také jako monitorování změn, prozkoumá soubory a registry operačního systému, aplikačního softwaru a další informace o změnách, které by mohly znamenat útok. Metoda porovnání se používá k určení, jestli se aktuální stav souboru liší od poslední kontroly souboru. Toto porovnání můžete použít k určení, jestli byly v souborech provedeny platné nebo podezřelé změny.
Když povolíte Program Microsoft Defender for Servers, můžete pomocí FIM ověřit integritu souborů Windows, registrů Windows a linuxových souborů.
Adaptivní řízení aplikací (AAC) – Adaptivní řízení aplikací je inteligentní a automatizované řešení pro definování seznamu povolených aplikací pro vaše počítače.
Jakmile povolíte a nakonfigurujete adaptivní řízení aplikací, získáte výstrahy zabezpečení, pokud se spustí jiná aplikace než ta, která jste definovali jako bezpečná.
Adaptivní posílení zabezpečení sítě (ANH) – Použití skupin zabezpečení sítě (NSG) k filtrování provozu do a z prostředků zlepšuje stav zabezpečení sítě. V některých případech ale může dojít k tomu, že skutečný provoz procházející skupinou zabezpečení sítě je podmnožinou definovaných pravidel NSG. V těchto případech je možné dále zlepšit stav zabezpečení posílením pravidel NSG na základě skutečných vzorů provozu.
Adaptivní posílení zabezpečení sítě poskytuje doporučení k dalšímu posílení pravidel NSG. Používá algoritmus strojového učení, který ovlivňuje skutečný provoz, známou důvěryhodnou konfiguraci, analýzu hrozeb a další indikátory ohrožení. ANH pak poskytuje doporučení, která umožňují provoz jenom z konkrétních IP adres a řazených kolekcí členů portů.
Posílení zabezpečení hostitele Dockeru – Microsoft Defender pro cloud identifikuje nespravované kontejnery hostované na virtuálních počítačích S Linuxem IaaS nebo jiných linuxových počítačích s kontejnery Dockeru. Defender for Cloud průběžně vyhodnocuje konfigurace těchto kontejnerů. Pak je porovná s srovnávacím testem Dockeru Center for Internet Security (CIS). Defender for Cloud zahrnuje celou sadu pravidel srovnávacího testu CIS Dockeru a upozorní vás, pokud vaše kontejnery nevyhovují žádnému z ovládacích prvků.
Detekce útoků bez souborů – Útoky bez souborů vkládají do paměti škodlivé datové části, aby se zabránilo detekci pomocí technik prohledávání na základě disků. Datová část útočníka pak přetrvává v paměti ohrožených procesů a provádí širokou škálu škodlivých aktivit.
Díky detekci útoků bez souborů automatizované forenzní techniky paměti identifikují sady nástrojů pro útoky bez souborů, techniky a chování. Toto řešení pravidelně kontroluje počítač za běhu a extrahuje přehledy přímo z paměti procesů. Mezi konkrétní přehledy patří identifikace:
- Známé sady nástrojů a kryptografický software
- Shellcode – malá část kódu se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
- Vložený škodlivý spustitelný soubor do paměti procesu
Detekce útoků bez souborů generuje podrobné výstrahy zabezpečení, které obsahují popisy s metadaty procesů, jako je aktivita sítě. Tyto podrobnosti urychlují třídění výstrah, korelaci a dobu odezvy podřízené. Tento přístup doplňuje řešení EDR založená na událostech a poskytuje zvýšené pokrytí detekce.
Auditované výstrahy Linuxu a integrace agenta Log Analytics (jenom Linux) – Auditovaný systém se skládá ze subsystému na úrovni jádra, který zodpovídá za monitorování systémových volání. Filtruje je podle zadané sady pravidel a zapisuje zprávy do soketu. Defender for Cloud integruje funkce z auditovaného balíčku v rámci agenta Log Analytics. Tato integrace umožňuje shromažďování auditovaných událostí ve všech podporovaných distribucích Linuxu bez jakýchkoli požadavků.
Agent Log Analytics pro Linux shromažďuje auditované záznamy a rozšiřuje je a agreguje do událostí. Defender for Cloud průběžně přidává nové analýzy, které používají linuxové signály k detekci škodlivého chování na cloudových a místních počítačích s Linuxem. Tyto analýzy se podobat funkcím Windows zahrnují testy, které kontrolují podezřelé procesy, pochybné pokusy o přihlášení, načítání modulu jádra a další aktivity. Tyto aktivity můžou znamenat, že počítač je napadený nebo byl porušen.
Jak Defender for Servers shromažďuje data?
V případě Windows se Microsoft Defender for Cloud integruje se službami Azure, které monitorují a chrání počítače s Windows. Defender for Cloud prezentuje návrhy upozornění a nápravy ze všech těchto služeb ve snadno použitelném formátu.
V případě Linuxu shromažďuje Defender for Cloud záznamy auditu z počítačů s Linuxem pomocí auditovaných systémů, které jsou jednou z nejběžnějších architektur auditování Linuxu.
V případě hybridních a multicloudových scénářů se Defender pro cloud integruje se službou Azure Arc, aby se zajistilo, že se tyto počítače mimo Azure považují za prostředky Azure.