Omówienie usługi Microsoft Defender dla serwerów
Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemem Windows i Linux niezależnie od tego, czy są one uruchomione na platformie Azure, AWS, GCP, czy w środowisku lokalnym. Aby chronić maszyny w środowiskach hybrydowych i wielochmurowych, Defender dla Chmury korzysta z usługi Azure Arc.
Usługa Microsoft Defender dla serwerów jest dostępna w dwóch planach:
Plan 1 usługi Microsoft Defender dla serwerów — wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na serwerach i zapewnia następujące możliwości:
- Ochrona punktu końcowego w usłudze Microsoft Defender opłaty za licencje są naliczane za godzinę zamiast miejsca, obniżając koszty ochrony maszyn wirtualnych tylko wtedy, gdy są one używane.
- Ochrona punktu końcowego w usłudze Microsoft Defender automatycznie wdraża wszystkie obciążenia w chmurze, aby wiedzieć, że są chronione podczas ich uruchamiania.
- Alerty i dane luk w zabezpieczeniach z Ochrona punktu końcowego w usłudze Microsoft Defender są wyświetlane w Microsoft Defender dla Chmury
Plan 2 usługi Microsoft Defender dla serwerów (dawniej Defender for Servers) — obejmuje korzyści z planu 1 i obsługę wszystkich innych funkcji usługi Microsoft Defender for Servers.
Aby włączyć plany usługi Microsoft Defender dla serwerów:
Przejdź do pozycji Ustawienia środowiska i wybierz swoją subskrypcję.
Jeśli usługa Microsoft Defender dla serwerów nie jest włączona, ustaw ją na wartość Włączone. Plan 2 jest domyślnie wybierany.
Jeśli chcesz zmienić plan usługi Defender for Servers:
W kolumnie Plan/Cennik wybierz pozycję Zmień plan. Wybierz żądany plan i wybierz pozycję Potwierdź.
Planowanie funkcji
W poniższej tabeli opisano, co jest zawarte w każdym planie na wysokim poziomie.
| Funkcja | Defender for Servers (Plan 1) | Defender for Servers (Plan 2) |
|---|---|---|
| Automatyczne dołączanie zasobów na platformie Azure, AWS, GCP | Tak | Tak |
| Zarządzanie zagrożeniami i lukami — Microsoft | Tak | Tak |
| Elastyczność korzystania z Microsoft Defender dla Chmury lub portalu Usługi Microsoft Defender | Tak | Tak |
| Integracja Microsoft Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender (alerty, spis oprogramowania, ocena luk w zabezpieczeniach) | Tak | Tak |
| Log-Analytics (wersja bezpłatna 500 MB) | Tak | |
| Ocena luk w zabezpieczeniach przy użyciu rozwiązania Qualys | Tak | |
| Wykrywanie zagrożeń: poziom systemu operacyjnego, warstwa sieciowa, płaszczyzna sterowania | Tak | |
| Funkcje adaptacyjnego sterowania aplikacjami | Tak | |
| Monitorowanie integralności plików | Tak | |
| Dostęp just in time do maszyny wirtualnej | Tak | |
| Adaptacyjne wzmocnienie zabezpieczeń sieci | Tak |
Jakie są zalety usługi Defender for Servers?
Funkcje wykrywania zagrożeń i ochrony dostępne w usłudze Microsoft Defender dla serwerów obejmują:
Zintegrowana licencja Ochrona punktu końcowego w usłudze Microsoft Defender — usługa Microsoft Defender dla serwerów obejmuje Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR). Po włączeniu usługi Microsoft Defender dla serwerów Defender dla Chmury uzyskuje dostęp do danych Ochrona punktu końcowego w usłudze Microsoft Defender związanych z lukami w zabezpieczeniach, zainstalowanym oprogramowaniem i alertami dla punktów końcowych.
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. Z poziomu Defender dla Chmury możesz również przestawienia się do konsoli usługi Defender dla punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
Narzędzia do oceny luk w zabezpieczeniach dla maszyn — usługa Microsoft Defender dla serwerów zawiera wybór narzędzi do odnajdywania luk w zabezpieczeniach i zarządzania maszynami. Na stronach ustawień Defender dla Chmury można wybrać narzędzia do wdrożenia na maszynach. Wykryte luki w zabezpieczeniach są wyświetlane w rekomendacji dotyczącej zabezpieczeń.
Microsoft Zarządzanie zagrożeniami i lukami — odnajdywanie luk w zabezpieczeniach i błędów konfiguracji w czasie rzeczywistym przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania innych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach ustala priorytety luk w zabezpieczeniach zgodnie z krajobrazem zagrożeń, wykryciami w organizacji, poufnymi informacjami na urządzeniach podatnych na zagrożenia i kontekstem biznesowym.
Skaner luk w zabezpieczeniach obsługiwany przez firmę Qualys — skaner Qualys jest jednym z wiodących narzędzi do identyfikacji luk w zabezpieczeniach w czasie rzeczywistym na platformie Azure i hybrydowych maszynach wirtualnych. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane wewnątrz Defender dla Chmury.
Dostęp just in time (JIT) do maszyny wirtualnej — aktorzy zagrożeń aktywnie polować na dostępne maszyny z otwartymi portami zarządzania, takimi jak RDP lub SSH. Wszystkie maszyny wirtualne są potencjalnymi celami ataku. Po pomyślnym naruszeniu zabezpieczeń maszyny wirtualnej jest ona używana jako punkt wejścia w celu ataku na dalsze zasoby w danym środowisku.
Po włączeniu usługi Microsoft Defender dla serwerów możesz użyć dostępu just in time do blokowania ruchu przychodzącego do maszyn wirtualnych. Utrzymywanie zamkniętych portów dostępu zdalnego do czasu zmniejszenia narażenia na ataki i zapewnia łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby.
Monitorowanie integralności plików (FIM) — monitorowanie integralności plików (FIM), znane również jako monitorowanie zmian, badanie plików i rejestrów systemu operacyjnego, oprogramowania aplikacji i innych pod kątem zmian, które mogą wskazywać na atak. Metoda porównania służy do określenia, czy bieżący stan pliku różni się od ostatniego skanowania pliku. Tego porównania można użyć do określenia, czy w plikach wprowadzono prawidłowe lub podejrzane modyfikacje.
Po włączeniu usługi Microsoft Defender dla serwerów można użyć programu FIM do weryfikowania integralności plików systemu Windows, rejestrów systemu Windows i plików systemu Linux.
Funkcje adaptacyjnego sterowania aplikacjami (AAC) — funkcje adaptacyjnego sterowania aplikacjami to inteligentne i zautomatyzowane rozwiązanie do definiowania list dozwolonych znanych aplikacji bezpiecznych dla maszyn.
Po włączeniu i skonfigurowaniu adaptacyjnych mechanizmów kontroli aplikacji otrzymujesz alerty zabezpieczeń, jeśli każda aplikacja działa inaczej niż te, które zostały zdefiniowane jako bezpieczne.
Adaptacyjne wzmocnienie zabezpieczeń sieci (ANH) — stosowanie sieciowych grup zabezpieczeń w celu filtrowania ruchu do i z zasobów zwiększa poziom zabezpieczeń sieci. Jednak nadal może istnieć kilka przypadków, w których rzeczywisty ruch przepływujący przez sieciową grupę zabezpieczeń jest podzbiorem zdefiniowanych reguł sieciowej grupy zabezpieczeń. W takich przypadkach można jeszcze bardziej poprawić stan zabezpieczeń, wzmacniając reguły sieciowej grupy zabezpieczeń na podstawie rzeczywistych wzorców ruchu.
Adaptacyjne wzmacnianie zabezpieczeń sieci zawiera zalecenia dotyczące dalszego wzmacniania reguł sieciowej grupy zabezpieczeń. Używa algorytmu uczenia maszynowego, który wpływa na rzeczywisty ruch, znaną zaufaną konfigurację, analizę zagrożeń i inne wskaźniki naruszenia. Usługa ANH udostępnia następnie zalecenia dotyczące zezwalania na ruch tylko z określonych krotki adresów IP i portów.
Wzmacnianie zabezpieczeń hosta platformy Docker — Microsoft Defender dla Chmury identyfikuje niezarządzane kontenery hostowane na maszynach wirtualnych IaaS z systemem Linux lub innych maszynach z systemem Linux z uruchomionymi kontenerami platformy Docker. Defender dla Chmury stale ocenia konfiguracje tych kontenerów. Następnie porównuje je z testem porównawczym platformy Docker Center for Internet Security (CIS). Defender dla Chmury zawiera cały zestaw reguł testu porównawczego platformy Docker ciS i ostrzega Użytkownika, jeśli kontenery nie spełniają żadnego z kontrolek.
Wykrywanie ataków bez plików — ataki bez plików wprowadzają złośliwe ładunki do pamięci, aby uniknąć wykrywania przez techniki skanowania opartego na dyskach. Ładunek osoby atakującej jest następnie utrwalany w pamięci naruszonych procesów i wykonuje szeroką gamę złośliwych działań.
Dzięki wykrywaniu ataków bez plików zautomatyzowane techniki śledcze pamięci identyfikują bez plików zestawy narzędzi do ataków, techniki i zachowania. To rozwiązanie okresowo skanuje maszynę w czasie wykonywania i wyodrębnia szczegółowe informacje bezpośrednio z pamięci procesów. Szczegółowe informacje obejmują identyfikację:
- Dobrze znane zestawy narzędzi i oprogramowanie do wyszukiwania kryptograficznego
- Shellcode — mały fragment kodu zwykle używany jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Wstrzyknięty złośliwy plik wykonywalny w pamięci procesu
Wykrywanie ataków bez plików generuje szczegółowe alerty zabezpieczeń, które zawierają opisy z metadanymi procesu, takimi jak aktywność sieci. Te szczegóły przyspieszają klasyfikację alertów, korelację i czas odpowiedzi podrzędnej. To podejście uzupełnia rozwiązania EDR oparte na zdarzeniach i zapewnia zwiększone pokrycie wykrywania.
Alerty inspekcji systemu Linux i integracja agenta usługi Log Analytics (tylko system Linux) — system inspekcji składa się z podsystemu na poziomie jądra, który jest odpowiedzialny za monitorowanie wywołań systemu. Filtruje je według określonego zestawu reguł i zapisuje komunikaty dla nich do gniazda. Defender dla Chmury integruje funkcje z pakietu poddanego inspekcji w ramach agenta usługi Log Analytics. Ta integracja umożliwia zbieranie zdarzeń inspekcji we wszystkich obsługiwanych dystrybucjach systemu Linux bez żadnych wymagań wstępnych.
Agent usługi Log Analytics dla systemu Linux zbiera rekordy inspekcji i wzbogaca i agreguje je w zdarzenia. Defender dla Chmury stale dodaje nowe analizy, które używają sygnałów systemu Linux do wykrywania złośliwych zachowań na maszynach z systemem Linux w chmurze i na lokalnych maszynach z systemem Linux. Podobnie jak w przypadku funkcji systemu Windows, te analizy obejmują testy sprawdzające podejrzane procesy, wątpliwe próby logowania, ładowanie modułu jądra i inne działania. Te działania mogą wskazywać, że maszyna jest atakowana lub została naruszona.
W jaki sposób usługa Defender for Servers zbiera dane?
W przypadku systemu Windows Microsoft Defender dla Chmury integruje się z usługami platformy Azure w celu monitorowania i ochrony maszyn z systemem Windows. Defender dla Chmury przedstawia alerty i sugestie korygowania ze wszystkich tych usług w łatwym do użycia formacie.
W przypadku systemu Linux Defender dla Chmury zbiera rekordy inspekcji z maszyn z systemem Linux przy użyciu inspekcji, jednej z najpopularniejszych platform inspekcji systemu Linux.
W przypadku scenariuszy hybrydowych i wielochmurowych Defender dla Chmury integruje się z usługą Azure Arc, aby upewnić się, że te maszyny spoza platformy Azure są postrzegane jako zasoby platformy Azure.