Inzicht in Microsoft Defender voor servers
Microsoft Defender voor Servers biedt detectie van bedreigingen en geavanceerde verdediging voor uw Windows- en Linux-machines, ongeacht of ze worden uitgevoerd in Azure, AWS, GCP of on-premises. Voor het beveiligen van machines in hybride omgevingen en omgevingen met meerdere clouds gebruikt Defender voor Cloud Azure Arc.
Microsoft Defender voor Servers is beschikbaar in twee abonnementen:
Microsoft Defender voor Servers Plan 1: implementeert Microsoft Defender voor Eindpunt op uw servers en biedt deze mogelijkheden:
- Microsoft Defender voor Eindpunt licenties per uur in rekening worden gebracht in plaats van per stoel, waardoor de kosten voor het beveiligen van virtuele machines alleen worden verlaagd wanneer ze in gebruik zijn.
- Microsoft Defender voor Eindpunt wordt automatisch geïmplementeerd voor alle cloudworkloads, zodat u weet dat ze worden beveiligd wanneer ze worden uitgevoerd.
- Waarschuwingen en gegevens over beveiligingsproblemen van Microsoft Defender voor Eindpunt worden weergegeven in Microsoft Defender voor Cloud
Microsoft Defender voor Servers Plan 2 (voorheen Defender voor Servers): bevat de voordelen van Abonnement 1 en ondersteuning voor alle andere functies van Microsoft Defender voor Servers.
De Microsoft Defender for Servers-abonnementen inschakelen:
Ga naar Omgevingsinstellingen en selecteer uw abonnement.
Als Microsoft Defender voor Servers niet is ingeschakeld, stelt u deze in op Aan. Plan 2 is standaard geselecteerd.
Als u het Defender for Servers-abonnement wilt wijzigen:
Selecteer Het abonnement wijzigen in de kolom Plan/prijzen. Selecteer het gewenste plan en selecteer Bevestigen.
Functies plannen
In de volgende tabel wordt beschreven wat er in elk plan op hoog niveau is opgenomen.
| Functie | Defender for Servers Plan 1 | Defender for Servers Plan 2 |
|---|---|---|
| Automatische onboarding voor resources in Azure, AWS, GCP | Ja | Ja |
| Bedreigings- en beveiligingsmanagement van Microsoft | Ja | Ja |
| Flexibiliteit voor het gebruik van Microsoft Defender voor Cloud- of Microsoft Defender-portal | Ja | Ja |
| Integratie van Microsoft Defender voor Cloud en Microsoft Defender voor Eindpunt (waarschuwingen, software-inventarisatie, evaluatie van beveiligingsproblemen) | Ja | Ja |
| Log-analytics (gratis 500 MB) | Ja | |
| Evaluatie van beveiligingsproblemen met Qualys | Ja | |
| Detectie van bedreigingen: besturingssysteemniveau, netwerklaag, besturingsvlak | Ja | |
| Adaptieve toepassingsregelaars | Ja | |
| Bestandsintegriteit controleren | Ja | |
| Just-In-Time-VM-toegang | Ja | |
| Adaptieve netwerkbeveiliging | Ja |
Wat zijn de voordelen van Defender for Servers?
De mogelijkheden voor detectie en beveiliging van bedreigingen die worden geleverd met Microsoft Defender voor Servers zijn onder andere:
Geïntegreerde licentie voor Microsoft Defender voor Eindpunt - Microsoft Defender voor Servers bevat Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR). Wanneer u Microsoft Defender voor Servers inschakelt, krijgt Defender voor Cloud toegang tot de Microsoft Defender voor Eindpunt gegevens die betrekking hebben op beveiligingsproblemen, geïnstalleerde software en waarschuwingen voor uw eindpunten.
Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud. Vanuit Defender voor Cloud kunt u ook naar de Defender voor Eindpunt-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Hulpprogramma's voor evaluatie van beveiligingsproblemen voor computers : Microsoft Defender voor Servers bevat een keuze uit hulpprogramma's voor detectie en beheer van beveiligingsproblemen voor uw computers. Op de pagina's met instellingen van Defender voor Cloud kunt u de hulpprogramma's selecteren die u op uw computers wilt implementeren. De gedetecteerde beveiligingsproblemen worden weergegeven in een beveiligingsaanaanveling.
Microsoft-beheer van bedreigingen en beveiligingsproblemen : detecteer beveiligingsproblemen en onjuiste configuraties in realtime met Microsoft Defender voor Eindpunt en zonder dat andere agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen volgens het bedreigingslandschap, detecties in uw organisatie, gevoelige informatie op kwetsbare apparaten en de bedrijfscontext.
Scanner voor beveiligingsproblemen mogelijk gemaakt door Qualys : de Qualys-scanner is een van de toonaangevende hulpprogramma's voor realtime identificatie van beveiligingsproblemen in uw Azure- en hybride virtuele machines. U hebt geen Qualys-licentie of zelfs een Qualys-account nodig. Alles wordt naadloos verwerkt binnen Defender voor Cloud.
Just-in-time-VM-toegang (JIT): makers van bedreigingen jagen actief op toegankelijke machines met open beheerpoorten, zoals RDP of SSH. Al uw virtuele machines zijn potentiële doelen voor een aanval. Wanneer het lukt een VM aan te tasten, wordt deze gebruikt als ingangspunt om verdere resources in uw omgeving aan te vallen.
Wanneer u Microsoft Defender voor Servers inschakelt, kunt u Just-In-Time-VM-toegang gebruiken om het binnenkomende verkeer naar uw VM's te vergrendelen. Door poorten voor externe toegang gesloten te houden totdat deze nodig zijn, vermindert u de blootstelling aan aanvallen en hebt u eenvoudig toegang tot VM's wanneer dat nodig is.
FIM (File Integrity Monitoring): met bestandsintegriteitscontole (FIM), ook wel bekend als wijzigingscontrole, worden bestanden en registers van het besturingssysteem, toepassingssoftware en andere gecontroleerd op wijzigingen die mogelijk duiden op een aanval. Er wordt een vergelijkingsmethode gebruikt om te bepalen of de huidige toestand van het bestand anders is dan bij de laatste scan van het bestand. U kunt deze vergelijking gebruiken om te bepalen of er geldige of verdachte wijzigingen zijn aangebracht in uw bestanden.
Wanneer u Microsoft Defender voor Servers inschakelt, kunt u FIM gebruiken om de integriteit van Windows-bestanden, uw Windows-registers en Linux-bestanden te valideren.
Adaptieve toepassingsregelaars (AAC): adaptieve toepassingsregelaars zijn een intelligente en geautomatiseerde oplossing voor het definiëren van acceptatielijsten van bekende veilige toepassingen voor uw machines.
Nadat u adaptieve toepassingsbesturingselementen hebt ingeschakeld en geconfigureerd, krijgt u beveiligingswaarschuwingen als andere toepassingen worden uitgevoerd dan de toepassingen die u hebt gedefinieerd als veilig.
Adaptive Network Hardening (ANH): het toepassen van netwerkbeveiligingsgroepen (NSG) om het verkeer van en naar resources te filteren, verbetert uw netwerkbeveiligingspostuur. Maar er kunnen toch nog enkele gevallen zijn waarin het werkelijke verkeer dat via de NSG stroomt een subset is van de gedefinieerde NSG-regels. In dergelijke gevallen kunt u het beveiligingspostuur verder verbeteren door de NSG-regels te versterken op basis van de werkelijke verkeerspatronen.
Adaptieve netwerkbeveiliging biedt aanbevelingen om de NSG-regels verder te beveiligen. Het maakt gebruik van een machine learning-algoritme dat factoren in werkelijk verkeer, bekende vertrouwde configuratie, bedreigingsinformatie en andere indicatoren van inbreuk. ANH biedt vervolgens aanbevelingen om alleen verkeer van specifieke IP- en poort tuples toe te staan.
Docker-hostbeveiliging: Microsoft Defender voor Cloud identificeert niet-beheerde containers die worden gehost op IaaS Linux-VM's of andere Linux-machines waarop Docker-containers worden uitgevoerd. Defender voor Cloud continu de configuraties van deze containers beoordeelt. Vervolgens worden ze vergeleken met de Docker-benchmark van het CIS (Center for Internet Security). Defender voor Cloud bevat de volledige regelset van de CIS Docker-benchmark en waarschuwt u als uw containers niet voldoen aan een van de besturingselementen.
Detectie van bestandsloze aanvallen : bestandsloze aanvallen injecteren schadelijke nettoladingen in het geheugen om detectie te voorkomen door scantechnieken op basis van schijven. De payload van de aanvaller blijft vervolgens achter in het geheugen met aangetaste processen en kan allerlei schadelijke activiteiten uitvoeren.
Met detectie van bestandsloze aanvallen detecteren geautomatiseerde forensische technieken de toolkits, technieken en gedragingen van bestandsloze aanvallen. Deze oplossing scant uw machine periodiek tijdens runtime, en extraheert inzichten rechtstreeks uit het geheugen van processen. Specifieke inzichten zijn de identificatie van:
- Bekende toolkits en software voor crypto-mining
- Shellcode: een klein stukje code dat doorgaans wordt gebruikt als nettolading bij het misbruiken van een beveiligingsprobleem met software.
- Schadelijk uitvoerbaar bestand dat wordt geïnjecteerd in het procesgeheugen
Detectie van bestandsloze aanvallen genereert gedetailleerde beveiligingswaarschuwingen met beschrijvingen met procesmetagegevens, zoals netwerkactiviteit. Deze details versnellen de triage van waarschuwingen, correlatie en downstreamresponstijd. Deze aanpak vormt een aanvulling op EDR-oplossingen op basis van gebeurtenissen en biedt een betere detectiedekking.
Integratie van Linux-auditd-waarschuwingen en Log Analytics-agent (alleen Linux): het auditd-systeem bestaat uit een subsysteem op kernelniveau, dat verantwoordelijk is voor het bewaken van systeemaanroepen. Het filtert ze met een opgegeven regelset en schrijft berichten voor ze naar een socket. Defender voor Cloud integreert functies van het gecontroleerde pakket binnen de Log Analytics-agent. Met deze integratie kunnen auditd-gebeurtenissen in alle ondersteunde Linux-distributies worden verzameld, zonder dat hiervoor vereisten gelden.
Log Analytics-agent voor Linux verzamelt gecontroleerde records en verrijkt en aggregert deze in gebeurtenissen. Defender voor Cloud voegt continu nieuwe analyses toe die Gebruikmaken van Linux-signalen om schadelijk gedrag op cloud- en on-premises Linux-machines te detecteren. Net als bij Windows-mogelijkheden zijn deze analyses tests die controleren op verdachte processen, dubieuze aanmeldingspogingen, kernelmodule laden en andere activiteiten. Deze activiteiten kunnen erop wijzen dat een machine wordt aangevallen of al is aangetast.
Hoe verzamelt Defender for Servers gegevens?
Voor Windows kan Microsoft Defender voor Cloud worden geïntegreerd met Azure-services om uw Windows-machines te bewaken en te beveiligen. Defender voor Cloud geeft de waarschuwingen en herstelsuggesties van al deze services weer in een gebruiksvriendelijke indeling.
Voor Linux verzamelt Defender voor Cloud auditrecords van Linux-machines met behulp van gecontroleerde, een van de meest voorkomende Linux-controleframeworks.
Voor hybride en multicloudscenario's integreert Defender voor Cloud met Azure Arc om ervoor te zorgen dat deze niet-Azure-machines worden gezien als Azure-resources.