Schützen von Azure Arc-fähigen Servern mit Microsoft Defender für Server

  • 6 Minuten

Tailwind Traders ist an den erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud interessiert. Zu diesen erweiterten Sicherheitsfeatures gehören Sicherheitsrisikobewertungen, die Überwachung der Dateiintegrität und die adaptive Anwendungssteuerung. In dieser Lerneinheit erfahren Sie, wie Azure Arc-fähige Server in Kombination mit Microsoft Defender für Server noch mehr Sicherheitsfeatures zur Verfügung stellt.

Übersicht über Microsoft Defender für Server

Microsoft Defender für Server ist eines der erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud. Microsoft Defender für Server bietet eine Bedrohungserkennung und erweiterte Verteidigungsmechanismen für Windows- und Linux-Computer. Dabei spielt es keine Rolle, ob diese in Azure, lokal oder in einer Multi-Cloud-Umgebung ausgeführt werden. Hauptvorteile von Microsoft Defender für Server:

  • Integration in Microsoft Defender für Endpunkt
  • Virtual Machine-Verhaltensanalysen (und Sicherheitswarnungen)
  • Dateilose Sicherheitswarnungen
  • Integrierte Lösung zur Überprüfung auf Sicherheitsrisiken von Qualys
  • Überwachung der Dateiintegrität
  • Adaptive Anwendungssteuerungen
  • Dashboard und Berichte zur Einhaltung gesetzlicher Bestimmungen
  • Fehlende Bewertung von BS-Patches
  • Bewertung von Sicherheitsfehlkonfigurationen
  • Bewertung von Endpoint Protection
  • Sicherheitsrisikobewertung durch Drittanbieter

Integration in Microsoft Defender für Endpunkt

Microsoft Defender für Server enthält Microsoft Defender für Endpoint. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.

Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender für Cloud angezeigt. Über Defender für Cloud können Sie auch zur Defender für Endpunkt-Konsole wechseln und eine gründliche Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln. Wenn Sie Microsoft Defender für Server aktivieren, erteilen Sie Defender für Cloud Zugriff auf die Microsoft Defender for Endpoint-Daten im Zusammenhang mit Sicherheitsrisiken, installierter Software und Warnungen.

Tools zur Sicherheitsrisikobewertung

Microsoft Defender für Server bietet verschiedene Tools zur Ermittlung und Verwaltung von Sicherheitsrisiken. Auf den Einstellungsseiten von Defender für Cloud können Sie auswählen, ob Sie diese Tools auf Ihren Computern bereitstellen möchten. Alle gefundenen Sicherheitsrisiken werden in einer Sicherheitsempfehlung angezeigt.

  • Bedrohungs- und Sicherheitsrisikomanagement von Microsoft: Mit Defender for Endpoint können Sie Sicherheitsrisiken und Fehlkonfigurationen in Echtzeit ermitteln. Dafür sind keine weiteren Agents oder regelmäßigen Scans nötig. Das Bedrohungs- und Sicherheitsrisikomanagement priorisiert Sicherheitsrisiken je nach Bedrohungslandschaft, vertraulichen Daten oder Geschäftskontext.
  • Qualys-Scanner für Sicherheitsrisiken: Dieser Scanner ist eines der führenden Tools für die Echtzeiterkennung von Sicherheitsrisiken auf Hybrid-VMs. Sie benötigen keine Qualys-Lizenz und kein Qualys-Konto. Alles wird nahtlos in Defender for Cloud verarbeitet.

Dateiintegritätsüberwachung (FIM)

Die Dateiintegritätsüberwachung (FIM) untersucht Dateien und Registrierungen von Betriebssystemen und Anwendungssoftware auf Änderungen, die auf einen Angriff hindeuten könnten. Eine Vergleichsmethode wird verwendet, um zu bestimmen, ob der aktuelle Status der Datei sich von der letzten Überprüfung der Datei unterscheidet. Sie können diesen Vergleich nutzen, um zu bestimmen, ob gültige oder verdächtige Änderungen an Ihren Dateien vorgenommen wurden.

Wenn Sie Microsoft Defender für Server aktivieren, können Sie mithilfe von FIM die Integrität von Windows-Dateien, Windows-Registrierungen und Linux-Dateien überprüfen.

Adaptive Anwendungssteuerung (AAC)

Die adaptive Anwendungssteuerung ist eine intelligente und automatisierte Lösung für die Erstellung von Positivlisten mit bekanntermaßen sicheren Anwendungen für Ihre Computer. Wenn Sie adaptive Anwendungssteuerungen konfiguriert haben, erhalten Sie Sicherheitswarnungen, wenn eine Anwendung ausgeführt wird, die nicht zu denjenigen gehört, die Sie als sicher definiert haben.

Erkennung dateiloser Angriffe

Dateilose Angriffe injizieren schädliche Payload in den Arbeitsspeicher, um die Erkennung durch datenträgerbasierte Scanverfahren zu verhindern. Die Nutzlast des Angreifers nistet sich im Arbeitsspeicher von kompromittierten Prozessen ein und führt ein breites Spektrum an schädlichen Aktivitäten aus.

Die Erkennung dateiloser Angriffe erkennt dank automatisierter forensischer Techniken für den Arbeitsspeicher Toolkits, Techniken und Verhaltensweisen im Zusammenhang mit dateilosen Angriffen. Diese standardmäßig verfügbare Lösung scannt Ihren Computer regelmäßig zur Laufzeit und extrahiert Erkenntnisse direkt aus dem Arbeitsspeicher der Prozesse. Zu den spezifischen Erkenntnissen zählt die Ermittlung der folgenden Elemente:

  • Bekannte Toolkits und Kryptografieminingsoftware
  • Shellcode, ein kurzer Codeabschnitt, der normalerweise als Payload beim Missbrauch von Softwaresicherheitsrisiken verwendet wird
  • Injektion bösartiger ausführbarer Dateien in den Prozessspeicher

Bei der Erkennung dateiloser Angriffe werden ausführliche Sicherheitswarnungen generiert, die Beschreibungen mit Prozessmetadaten (etwa zur Netzwerkaktivität) enthalten. Diese Details beschleunigen die Warnungsselektion und die Korrelation und verkürzen die Downstream-Antwortzeit.