Zabezpieczanie serwerów z obsługą usługi Azure Arc za pomocą usługi Microsoft Defender dla serwerów

  • 6 min

Firma Tailwind Traders interesuje się większą częścią rozszerzonych funkcji zabezpieczeń Microsoft Defender dla Chmury. Te ulepszone funkcje zabezpieczeń obejmują oceny luk w zabezpieczeniach, monitorowanie integralności plików i adaptacyjne mechanizmy kontroli aplikacji. W tej lekcji dowiesz się, jak serwery z obsługą usługi Azure Arc wraz z usługą Microsoft Defender dla serwerów mogą odblokować jeszcze więcej funkcji zabezpieczeń.

Omówienie usługi Microsoft Defender dla serwerów

Usługa Microsoft Defender dla serwerów to jedna z ulepszonych funkcji zabezpieczeń Microsoft Defender dla Chmury. Usługa Microsoft Defender dla serwerów dodaje funkcje wykrywania zagrożeń i zaawansowanej ochrony maszyn z systemem Windows i Linux niezależnie od tego, czy są uruchomione na platformie Azure, lokalnie, czy w środowisku z wieloma chmurami. Podstawowe zalety usługi Microsoft Defender dla serwerów obejmują:

  • integracja Ochrona punktu końcowego w usłudze Microsoft Defender
  • Analiza behawioralna maszyny wirtualnej (i alerty zabezpieczeń)
  • Alerty zabezpieczeń bez plików
  • Zintegrowany skaner luk w zabezpieczeniach qualys
  • Monitorowanie integralności plików
  • Funkcje adaptacyjnego sterowania aplikacjami
  • Pulpit nawigacyjny zgodności z przepisami i raporty
  • Brak oceny poprawek systemu operacyjnego
  • Ocena błędów konfiguracji zabezpieczeń
  • Ocena programu Endpoint Protection
  • Ocena luk w zabezpieczeniach innych firm

Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender

Usługa Microsoft Defender dla serwerów obejmuje Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).

Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. Z poziomu Defender dla Chmury możesz również przestawienia się do konsoli usługi Defender for Endpoint i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku. Po włączeniu usługi Microsoft Defender dla serwerów możesz udzielić Defender dla Chmury dostępu do danych Ochrona punktu końcowego w usłudze Microsoft Defender związanych z lukami w zabezpieczeniach, zainstalowanym oprogramowaniem i alertami.

Narzędzia do oceny luk w zabezpieczeniach

Usługa Microsoft Defender dla serwerów zawiera wybór narzędzi do odnajdywania luk w zabezpieczeniach i zarządzania nimi. Na stronach ustawień Defender dla Chmury można wybrać, czy wdrożyć te narzędzia na maszynach. Wszystkie wykryte luki w zabezpieczeniach zostaną wyświetlone w rekomendacji dotyczącej zabezpieczeń.

  • Microsoft Zarządzanie zagrożeniami i lukami: odnajdywanie luk w zabezpieczeniach i błędów konfiguracji w czasie rzeczywistym za pomocą usługi Defender for Endpoint bez konieczności wykonywania większej liczby agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie krajobrazu zagrożeń, poufnych informacji i kontekstu biznesowego.
  • Skaner luk w zabezpieczeniach obsługiwany przez firmę Qualys: jeden z wiodących narzędzi do identyfikacji luk w zabezpieczeniach na maszynach wirtualnych hybrydowych w czasie rzeczywistym. Nie potrzebujesz licencji Qualys, a nawet konta Qualys; wszystko jest bezproblemowo obsługiwane wewnątrz Defender dla Chmury.

Monitorowanie integralności plików (FIM)

Monitorowanie integralności plików (FIM) analizuje pliki i rejestry systemów operacyjnych i oprogramowania aplikacji pod kątem zmian, które mogą wskazywać na atak. Metoda porównania służy do określenia, czy bieżący stan pliku różni się od ostatniego skanowania pliku. Tego porównania można użyć do określenia, czy w plikach wprowadzono prawidłowe lub podejrzane modyfikacje.

Po włączeniu usługi Microsoft Defender dla serwerów można użyć programu FIM do weryfikowania integralności plików systemu Windows, rejestrów systemu Windows i plików systemu Linux.

Funkcje adaptacyjnego sterowania aplikacjami (AAC)

Funkcje adaptacyjnego sterowania aplikacjami to inteligentne i zautomatyzowane rozwiązanie do definiowania listy dozwolonych znanych aplikacji bezpiecznych dla maszyn. Po skonfigurowaniu adaptacyjnych mechanizmów kontroli aplikacji będziesz otrzymywać alerty zabezpieczeń, jeśli każda aplikacja działa inaczej niż te, które zostały zdefiniowane jako bezpieczne.

Wykrywanie ataków bez plików

Ataki bez plików wprowadzają złośliwe ładunki do pamięci, aby uniknąć wykrywania przez techniki skanowania opartego na dyskach. Ładunek osoby atakującej jest następnie utrwalany w pamięci naruszonych procesów i wykonuje szeroką gamę złośliwych działań.

Dzięki wykrywaniu ataków bez plików zautomatyzowane techniki śledcze pamięci identyfikują bez plików zestawy narzędzi do ataków, techniki i zachowania. To rozwiązanie, dostępne domyślnie, okresowo skanuje maszynę w czasie wykonywania i wyodrębnia szczegółowe informacje bezpośrednio z pamięci procesów. Szczegółowe informacje obejmują identyfikację:

  • Dobrze znane zestawy narzędzi i oprogramowanie do wyszukiwania kryptograficznego
  • Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystywaniu luk w zabezpieczeniach oprogramowania
  • Wstrzyknięty złośliwy plik wykonywalny w pamięci procesu

Wykrywanie ataków bez plików generuje szczegółowe alerty zabezpieczeń, które zawierają opisy z metadanymi procesu, takimi jak aktywność sieci. Te szczegóły przyspieszają klasyfikację alertów, korelację i czas odpowiedzi podrzędnej.