Proteger servidores habilitados para Azure Arc com o Microsoft Defender para Servidores

  • 6 minutos

A Tailwind Traders está interessada em mais recursos de segurança aprimorada do Microsoft Defender para Nuvem. Esses recursos de segurança aprimorada incluem avaliações de vulnerabilidades, monitoramento de integridade de arquivo e controles de aplicativos adaptáveis. Nesta unidade, você aprenderá como os servidores habilitados para Azure Arc junto com o Microsoft Defender para Servidores podem oferecer ainda mais funcionalidades de segurança.

Visão geral do Microsoft Defender para Servidores

O Microsoft Defender for Servers é um dos recursos de segurança aprimorados do Microsoft Defender para Nuvem. O Microsoft Defender para Servidores adiciona detecção de ameaças e defesas avançadas aos computadores Windows e Linux, em execução local, no Azure ou em um ambiente de várias nuvens. Os principais benefícios do Microsoft Defender para Servidores incluem:

  • Integração ao Microsoft Defender para Ponto de Extremidade
  • Análise comportamental de máquina virtual (e alertas de segurança)
  • Alertas de segurança sem arquivo
  • Verificador de vulnerabilidade Qualys integrado
  • Monitoramento de integridade do arquivo
  • Controles de aplicativo adaptáveis
  • Painel e relatórios de conformidade regulatória
  • Avaliação de patches ausente do sistema operacional
  • Avaliação de configurações incorretas de segurança
  • Avaliação da proteção de ponto de extremidade
  • Avaliação de vulnerabilidades de terceiros

Integração ao Microsoft Defender para Ponto de Extremidade

O Microsoft Defender para Servidores inclui o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR).

Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem. No Defender para Nuvem, você pode acessar o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque. Ao habilitar o Microsoft Defender para Servidores, você permite que o Defender para Nuvem acesse os dados do Microsoft Defender para Ponto de Extremidade relacionados a vulnerabilidades, softwares instalados e alertas.

Ferramentas de avaliação de vulnerabilidades

O Microsoft Defender para Servidores inclui uma opção de ferramentas de descoberta e gerenciamento de vulnerabilidades. Nas páginas de configurações do Defender para Nuvem, você pode escolher se deseja implantar essas ferramentas nos computadores. Todas as vulnerabilidades descobertas serão mostradas em uma recomendação de segurança.

  • Gerenciamento de Ameaças e Vulnerabilidades da Microsoft: descubra vulnerabilidades e configurações incorretas em tempo real com o Defender para Ponto de Extremidade, sem precisar de mais agentes ou verificações periódicas. O Gerenciamento de Ameaças e Vulnerabilidades prioriza as vulnerabilidades com base no panorama de ameaças, em informações confidenciais e no contexto dos negócios.
  • Verificador de vulnerabilidades da plataforma Qualys: uma das principais ferramentas para a identificação de vulnerabilidades em máquinas virtuais híbridas em tempo real. Você não precisa de uma licença do Qualys nem de uma conta do Qualys, pois tudo é processado diretamente no Defender para Nuvem.

FIM (monitoramento de integridade de arquivo)

O FIM (monitoramento de integridade de arquivo) examina arquivos e registros de sistemas operacionais e software de aplicativos para encontrar alterações que possam indicar um ataque. Um método de comparação é usado para determinar se o estado atual do arquivo é diferente da última verificação do arquivo. Você pode aproveitar essa comparação para determinar se foram feitas alterações válidas ou suspeitas nos seus arquivos.

Ao habilitar o Microsoft Defender para Servidores, você pode usar o FIM para validar a integridade de arquivos do Windows, Registros do Windows e arquivos do Linux.

AAC (controles de aplicativos adaptáveis)

Os controles de aplicativos adaptáveis são uma solução inteligente e automatizada para definir listas de permitidos com aplicativos considerados seguros para os computadores. Ao configurar os controles de aplicativos adaptáveis, você obterá alertas de segurança quando for executado algum aplicativo além daqueles que você definiu como seguros.

Detecção de ataques sem arquivos

Os ataques sem arquivos injetam payloads mal-intencionados na memória para evitar a detecção por técnicas de verificação baseadas em disco. Depois, o conteúdo do invasor persiste na memória de processos comprometidos e executa uma ampla gama de atividades mal-intencionadas.

Com a detecção de ataques sem arquivos, as técnicas forenses de memória automatizada identificam os toolkits, as técnicas e os comportamentos de ataques sem arquivos. Essa solução, disponível por padrão, verifica o computador periodicamente em tempo de execução e extrai insights diretamente da memória de processos. Os insights específicos incluem a identificação de:

  • Kits de ferramentas conhecidos e programas de software de mineração de criptografia
  • O shellcode, que é uma pequena parte do código geralmente usada como o payload na exploração de vulnerabilidades de software
  • Executável mal-intencionado injetado na memória do processo

A detecção de ataque sem arquivos gera alertas de segurança detalhados que incluem descrições com metadados de processo, como a atividade de rede. Esses detalhes aceleram a triagem de alertas, a correlação e o tempo de resposta downstream.