Grundlegendes zu Microsoft Defender für Server
Microsoft Defender für Server bietet eine Bedrohungserkennung und erweiterte Verteidigungsmechanismen für Windows- und Linux-Computer. Dabei spielt es keine Rolle, ob diese in Azure, AWS, GCP oder lokal ausgeführt werden. Zum Schutz von Rechnern in hybriden und Multicloud-Umgebungen verwendet Defender für Cloud Azure Arc.
Es gibt zwei Pläne zu Microsoft Defender für Server:
Microsoft Defender für Server-Plan 1: Stellt Microsoft Defender für Endpunkt auf Ihren Servern bereit und bietet die folgenden Funktionen:
- Lizenzen für Microsoft Defender für Endpunkt werden pro Stunde statt pro Arbeitsplatz in Rechnung gestellt. Dies führt zu Kosteneinsparungen, da Kosten für den Schutz virtueller Computer nur dann anfallen, wenn die virtuellen Computer verwendet werden.
- Microsoft Defender für Endpunkt wird automatisch für alle Cloudworkloads bereitgestellt. So wissen Sie, dass diese beim Starten geschützt sind.
- Warnungen und Sicherheitsrisikodaten aus Microsoft Defender für Endpunkt werden in Microsoft Defender für Cloud angezeigt.
Microsoft Defender für Server-Plan 2 (vormals Defender für Server) beinhaltet die Vorteile von Plan 1 sowie Unterstützung für alle anderen Features von Microsoft Defender für Server.
So aktivieren Sie die Pläne für Microsoft Defender für Server
Navigieren Sie zu Umgebungseinstellungen, und wählen Sie Ihr Abonnement aus.
Wenn Microsoft Defender für Server nicht aktiviert ist, legen Sie die Option auf Ein fest. Standardmäßig ist Plan 2 aktiviert.
Wenn Sie den Defender für Server-Plan ändern möchten:
Wählen Sie in der Spalte Plan/Pricing (Plan/Preis) die Option Plan ändern aus. Wählen Sie den gewünschten Plan und dann Bestätigen aus.
Funktionen des Plans
In der folgenden Tabelle ist allgemein beschrieben, was in jedem Plan enthalten ist.
| Funktion | Defender für Server-Plan 1 | Defender für Server-Plan 2 |
|---|---|---|
| Automatisches Onboarding für Ressourcen in Azure, AWS, GCP | Ja | Ja |
| Microsoft Bedrohungs- und Sicherheitsrisikomanagement | Ja | Ja |
| Flexibilität bei der Verwendung des Microsoft Defender für Cloud- oder Microsoft Defender-Portals | Ja | Ja |
| Integration von Microsoft Defender für Cloud und Microsoft Defender für Endpunkt (Warnungen, Softwarebestand, Sicherheitsrisikobewertung) | Ja | Ja |
| Log Analytics (500 MB kostenlos) | Ja | |
| Sicherheitsrisikobewertung mithilfe von Qualys | Ja | |
| Bedrohungserkennungen: Betriebssystemebene, Netzwerkebene, Steuerungsebene | Ja | |
| Adaptive Anwendungssteuerungen | Ja | |
| Überwachung der Dateiintegrität | Ja | |
| Just-In-Time-VM-Zugriff | Ja | |
| Adaptives Erhöhen des Netzwerkschutzes | Ja |
Welche Vorteile bietet die Nutzung von Defender für Server?
Microsoft Defender für Server bietet folgende Funktionen für Bedrohungserkennung und Schutz:
Integrierte Lizenz für Microsoft Defender für Endpunkt: Microsoft Defender für Server umfasst Microsoft Defender für Endpunkt. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung. Wenn Sie Microsoft Defender für Server aktivieren, erhält Defender für Cloud Zugriff auf die Daten von Microsoft Defender für Endpunkt, die im Zusammenhang mit Sicherheitsrisiken, installierter Software und Warnungen für Ihre Endpunkte stehen.
Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender für Cloud angezeigt. Über Defender für Cloud können Sie auch zur Defender für Endpunkt-Konsole wechseln und eine detaillierte Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln.
Tools zur Sicherheitsrisikobewertung für Computer: Microsoft Defender für Server umfasst eine Auswahl von Tools zur Ermittlung und Verwaltung von Sicherheitsrisiken für Ihre Computer. Auf den Einstellungsseiten von Defender für Cloud können Sie die Tools auswählen, die auf Ihren Computern bereitgestellt werden sollen. Die gefundenen Sicherheitsrisiken werden in einer Sicherheitsempfehlung angezeigt.
Microsoft Bedrohungs- und Sicherheitsrisikomanagement: Entdecken Sie mit Microsoft Defender für Endpunkt Sicherheitsrisiken und Fehlkonfigurationen in Echtzeit, ohne dass weitere Agents oder regelmäßige Überprüfungen erforderlich sind. Beim Bedrohungs- und Sicherheitsrisikomanagement werden die Sicherheitsrisiken basierend auf der Bedrohungsumgebung, den Erkennungen in Ihrer Organisation, der Vertraulichkeit der Informationen auf anfälligen Geräten und dem geschäftlichen Kontext priorisiert.
Überprüfung auf Sicherheitsrisiken von Qualys: Der Scanner von Qualys ist eines der führenden Tools für die Echtzeiterkennung von Sicherheitsrisiken auf Ihren Azure- und Hybrid-VMs. Sie benötigen weder eine Qualys-Lizenz noch ein Qualys-Konto – die Abwicklung erfolgt nahtlos in Defender für Cloud.
Just-In-Time-Zugriff (JIT) auf virtuellen Computer (VM): Bedrohungsakteure suchen aktiv nach zugänglichen Computern mit offenen Verwaltungsports, z. B. für RDP oder SSH. Alle Ihre virtuellen Computer sind potenzielle Ziele für Angriffe. Wenn eine VM erfolgreich kompromittiert wurde, wird sie als Einstiegspunkt verwendet, um weitere Ressourcen in Ihrer Umgebung anzugreifen.
Wenn Sie Microsoft Defender für Server aktivieren, können Sie Just-In-Time-VM-Zugriff verwenden, um eingehenden Datenverkehr auf Ihren VMs zu blockieren. Indem Sie die Ports für den Fernzugriff geschlossen halten, bis sie benötigt werden, verringern Sie die Anfälligkeit für Angriffe und ermöglichen bei Bedarf einen einfachen Zugriff auf die VMs.
Überwachung der Dateiintegrität: Die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM), auch als Änderungsüberwachung bezeichnet, untersucht unter anderem Dateien und Registrierungen des Betriebssystems sowie Anwendungen auf Änderungen, die auf einen Angriff hindeuten. Eine Vergleichsmethode wird verwendet, um zu bestimmen, ob der aktuelle Status der Datei sich von der letzten Überprüfung der Datei unterscheidet. Sie können diesen Vergleich nutzen, um zu bestimmen, ob gültige oder verdächtige Änderungen an Ihren Dateien vorgenommen wurden.
Wenn Sie Microsoft Defender für Server aktivieren, können Sie mithilfe von FIM die Integrität von Windows-Dateien, Windows-Registrierungen und Linux-Dateien überprüfen.
Adaptive Anwendungssteuerungen: Adaptive Anwendungssteuerungen sind eine intelligente und automatisierte Lösung zum Definieren von Positivlisten bekannter, sicherer Anwendungen für Ihre Computer.
Nachdem Sie adaptive Anwendungssteuerungen aktiviert und konfiguriert haben, erhalten Sie Sicherheitswarnungen, wenn eine Anwendung ausgeführt wird, die nicht als sicher definiert ist.
Adaptive Netzwerkhärtung (ANH): Der Einsatz von Netzwerksicherheitsgruppen (NSGs) zum Filtern von ein- und ausgehendem Datenverkehr für Ressourcen verbessert den Sicherheitsstatus Ihres Netzwerks. Es gibt jedoch Situationen, in denen es sich bei dem Datenverkehr, der die NSG durchläuft, um eine Teilmenge der definierten NSG-Regeln handelt. In diesen Fällen lässt sich der Sicherheitsstatus durch eine Härtung der NSG-Regeln auf der Grundlage tatsächlicher Datenverkehrsmuster noch weiter verbessern.
Die adaptive Netzwerkhärtung liefert Empfehlungen zur weiteren Härtung der NSG-Regeln. Dabei kommt ein Machine Learning-Algorithmus zum Einsatz, der Faktoren wie tatsächlichen Datenverkehr, bekannte vertrauenswürdige Konfiguration und die Threat Intelligence sowie weitere Anzeichen einer Kompromittierung berücksichtigt. ANH stellt anschließend Empfehlungen bereit, um Datenverkehr nur von bestimmten IP-Adressen und Porttupeln zuzulassen.
Docker-Hosthärtung: Microsoft Defender für Cloud identifiziert nicht verwaltete Container, die auf IaaS-Linux-VMs oder anderen Linux-Computern gehostet werden, auf denen Docker-Container ausgeführt werden. Defender für Cloud bewertet kontinuierlich die Konfigurationen dieser Container. Anschließend werden sie mit dem Docker-Benchmark von Center for Internet Security (CIS) verglichen. Defender für Cloud umfasst den gesamten Regelsatz des CIS-Docker-Benchmarks und benachrichtigt Sie, sobald Ihre Container eine der Kontrollen nicht bestehen.
Erkennung dateiloser Angriffe: Bei dateilosen Angriffen werden schädliche Nutzlasten in den Arbeitsspeicher injiziert, um die Erkennung durch Verfahren zur datenträgerbasierten Überprüfung zu verhindern. Die Nutzlast des Angreifers nistet sich im Arbeitsspeicher von kompromittierten Prozessen ein und führt ein breites Spektrum an schädlichen Aktivitäten aus.
Die Erkennung dateiloser Angriffe erkennt dank automatisierter forensischer Techniken für den Arbeitsspeicher Toolkits, Techniken und Verhaltensweisen im Zusammenhang mit dateilosen Angriffen. Diese Lösung überprüft zur Laufzeit in regelmäßigen Abständen Ihren Computer und extrahiert Erkenntnisse direkt aus dem Arbeitsspeicher von Prozessen. Zu den spezifischen Erkenntnissen zählt die Ermittlung der folgenden Elemente:
- Bekannte Toolkits und Kryptografieminingsoftware
- Shellcode, ein kurzer Codeabschnitt, der normalerweise als Payload bei der Ausnutzung eines Softwaresicherheitsrisikos verwendet wird
- Injektion bösartiger ausführbarer Dateien in den Prozessspeicher
Bei der Erkennung dateiloser Angriffe werden ausführliche Sicherheitswarnungen generiert, die Beschreibungen mit Prozessmetadaten (etwa zur Netzwerkaktivität) enthalten. Diese Details beschleunigen die Warnungsselektion und die Korrelation und verkürzen die Downstream-Antwortzeit. Dieser Ansatz dient zur Ergänzung ereignisbasierter EDR-Lösungen und ermöglicht ein größeres Erkennungsspektrum.
Integration von Linux-auditd-Warnungen mit dem Log Analytics-Agent (nur Linux): Beim auditd-System handelt es sich um ein Subsystem auf Kernelebene, das Systemaufrufe überwacht. Es filtert sie nach einem angegebenen Regelsatz und schreibt entsprechende Meldungen in einen Socket. Defender für Cloud integriert Funktionen aus dem auditd-Paket im Log Analytics-Agent. Diese Integration ermöglicht das Sammeln von auditd-Ereignissen in allen unterstützten Linux-Distributionen ohne weitere Bedingungen.
Der Log Analytics-Agent für Linux sammelt überwachte Datensätze und erweitert und aggregiert sie zu Ereignissen. In Defender für Cloud werden ständig neue Analysen hinzugefügt, die Linux-Signale verwenden, um schädliches Verhalten auf cloudbasierten und lokalen Linux-Computern zu erkennen. Diese Analysen umfassen ähnlich wie bei Windows-Funktionen Tests, die auf verdächtige Prozesse und Anmeldeversuche, das Laden von Kernmodulen sowie andere Aktivitäten überprüfen. Diese Aktivitäten können darauf hindeuten, dass ein Computer angegriffen wird oder kompromittiert wurde.
Wie sammelt Defender für Server Daten?
Unter Windows wird Microsoft Defender für Cloud zur Überwachung und zum Schutz Ihrer Windows-basierten Computer in Azure-Dienste integriert. Defender für Cloud stellt Warnungen und Behebungsvorschläge aus allen diesen Diensten in einem benutzerfreundlichen Format dar.
Unter Linux sammelt Defender für Cloud Überwachungsdatensätze von Linux-Computern mithilfe von „auditd“, einem der gängigsten Linux-Überwachungsframeworks.
Für Hybrid- und Multicloudszenarien lässt sich Defender für Cloud in Azure Arc integrieren, um sicherzustellen, dass diese Nicht-Azure-Computer als Azure-Ressourcen angesehen werden.