Protección de servidores habilitados para Azure Arc con Microsoft Defender para servidores

  • 6 minutos

Tailwind Traders está interesado en más características de seguridad mejoradas de Microsoft Defender for Cloud. Estas características de seguridad mejoradas incluyen evaluaciones de vulnerabilidades, supervisión de la integridad de los archivos y controles de aplicaciones adaptables. En esta unidad, aprenderá cómo los servidores habilitados para Azure Arc junto con Microsoft Defender para servidores pueden desbloquear aún más funciones de seguridad.

Información sobre Microsoft Defender para servidores

Microsoft Defender para servidores es una de las características de seguridad mejoradas de Microsoft Defender for Cloud. Microsoft Defender para servidores agrega detección de amenazas y defensas avanzadas a las máquinas Windows y Linux, tanto si se ejecutan en Azure, en el entorno local como en un entorno de varias nubes. Entre las principales ventajas de Microsoft Defender para servidores se incluyen las siguientes:

  • Integración de Microsoft Defender para punto de conexión
  • Análisis del comportamiento de máquinas virtuales (y alertas de seguridad)
  • Alertas de seguridad sin archivos
  • Detector de vulnerabilidades integrado de Qualys
  • Supervisión de la integridad de los archivos
  • Controles de aplicación adaptables
  • Panel e informes de cumplimiento normativo
  • Evaluación de revisiones de SO que faltan
  • Evaluación de configuraciones de seguridad incorrectas
  • Evaluación de EndPoint Protection
  • Evaluación de vulnerabilidades de terceros

Integración con Microsoft Defender para punto de conexión

Microsoft Defender para servidores incluye Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión.

Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud. En Defender for Cloud, también puede dinamizar hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque. Al habilitar Microsoft Defender para servidores, se proporciona a Defender for Cloud acceso a los datos de Microsoft Defender para punto de conexión relacionados con vulnerabilidades, software instalado y alertas.

Herramientas de evaluación de vulnerabilidad

Microsoft Defender para servidores incluye una selección de herramientas de administración y detección de vulnerabilidades. En las páginas de configuración de Defender for Cloud, puede elegir si quiere implementar estas herramientas en las máquinas. Las vulnerabilidades detectadas se mostrarán en una recomendación de seguridad.

  • Administración de amenazas y vulnerabilidades de Microsoft: detecte vulnerabilidades y configuraciones incorrectas en tiempo real con Defender para punto de conexión, sin necesidad de más agentes ni exámenes periódicos. Administración de amenazas y vulnerabilidades prioriza las vulnerabilidades en función del panorama de amenazas, la información confidencial y el contexto empresarial.
  • Detector de vulnerabilidades basado en Qualys: una de las principales herramientas para la identificación de vulnerabilidades en tiempo real en máquinas virtuales híbridas. No necesita una licencia ni una cuenta de Qualys, ya que todo se administra de forma fluida en Defender for Cloud.

Supervisión de la integridad de los archivos (FIM)

La supervisión de la integridad de los archivos (FIM) examina los archivos y registros de los sistemas operativos y el software de la aplicación en busca de cambios que puedan indicar un ataque. Para determinar si el estado actual del archivo es diferente del último examen del archivo, se usa un método de comparación. Puede aprovechar esta comparación para determinar si se han realizado modificaciones sospechosas o válidas en los archivos.

Una vez que se habilita Microsoft Defender para servidores, puede usar FIM para validar la integridad de los archivos de Windows, los registros de Windows y los archivos de Linux.

Controles de aplicaciones adaptables (AAC)

Los controles de aplicaciones adaptables son una solución inteligente y automatizada para definir listas de permitidos de aplicaciones seguras conocidas para las máquinas. Cuando haya configurado controles de aplicaciones adaptables, se obtienen alertas de seguridad si se ejecuta alguna aplicación que no sea la que ha definido como segura.

Detección de ataques sin archivos

Los ataques sin archivos insertan cargas malintencionadas en la memoria para evitar la detección mediante técnicas de análisis basadas en disco. Luego, la carga del atacante se conserva dentro de la memoria de los procesos en peligro y realiza una amplia variedad de actividades malintencionadas.

Con la detección de ataques sin archivos, las técnicas forense de memoria automatizadas identifican kits de herramientas, técnicas y comportamientos de los ataques sin archivos. Esta solución, disponible de forma predeterminada, examina periódicamente la máquina en tiempo de ejecución y extrae conclusiones directamente de la memoria de los procesos. Las conclusiones específicas incluyen la identificación de:

  • Kits de herramientas conocidas y software de minería de datos de cifrado.
  • Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
  • Archivo ejecutable malintencionado insertado en la memoria de proceso.

La detección de ataques sin archivos genera alertas de seguridad detalladas que incluyen descripciones con los metadatos de proceso, como la actividad de red. Estos detalles aceleran la evaluación de prioridades de alertas, la correlación y el tiempo de respuesta descendente.