Compreender o Microsoft Defender para servidores
O Microsoft Defender for Servers fornece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux, estejam elas em execução no Azure, AWS, GCP ou localmente. Para proteger máquinas em ambientes híbridos e multicloud, o Defender for Cloud usa o Azure Arc.
O Microsoft Defender for Servers está disponível em dois planos:
Microsoft Defender for Servers Plan 1 - implanta o Microsoft Defender for Endpoint em seus servidores e fornece estes recursos:
- As licenças do Microsoft Defender for Endpoint são cobradas por hora em vez de por estação, reduzindo os custos de proteção de máquinas virtuais apenas quando elas estão em uso.
- O Microsoft Defender for Endpoint é implantado automaticamente em todas as cargas de trabalho na nuvem para que você saiba que elas estão protegidas quando são criadas.
- Alertas e dados de vulnerabilidade do Microsoft Defender for Endpoint são mostrados no Microsoft Defender for Cloud
Microsoft Defender for Servers Plan 2 (anteriormente Defender for Servers) - inclui os benefícios do Plano 1 e suporte para todos os outros recursos do Microsoft Defender for Servers.
Para habilitar os planos do Microsoft Defender for Servers:
Aceda a Definições de ambiente e selecione a sua subscrição.
Se o Microsoft Defender for Servers não estiver habilitado, defina-o como Ativado. O Plano 2 é selecionado por padrão.
Se você quiser alterar o plano do Defender for Servers:
Na coluna Plano/Preço, selecione Alterar plano. Selecione o plano desejado e selecione Confirmar.
Planejar recursos
A tabela a seguir descreve o que está incluído em cada plano em um alto nível.
Caraterística | Plano 1 do Defender for Servers | Plano 2 do Defender for Servers |
---|---|---|
Integração automática de recursos no Azure, AWS, GCP | Sim | Sim |
Gestão de ameaças e vulnerabilidades da Microsoft | Sim | Sim |
Flexibilidade para usar o Microsoft Defender for Cloud ou o portal Microsoft Defender | Sim | Sim |
Integração do Microsoft Defender for Cloud e Microsoft Defender for Endpoint (alertas, inventário de software, Avaliação de Vulnerabilidades) | Sim | Sim |
Log-analytics (500 MB grátis) | Sim | |
Avaliação de vulnerabilidade usando Qualys | Sim | |
Deteções de ameaças: nível do SO, camada de rede, plano de controlo | Sim | |
Controlos de aplicações adaptáveis | Sim | |
Monitorização da integridade do ficheiro | Sim | |
Acesso à VM just-in-time | Sim | |
Proteção de rede ajustável | Sim |
Quais são os benefícios do Defender for Servers?
Os recursos de deteção e proteção contra ameaças fornecidos com o Microsoft Defender for Servers incluem:
Licença integrada para Microsoft Defender for Endpoint - O Microsoft Defender for Servers inclui o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR). Quando você habilita o Microsoft Defender for Servers, o Defender for Cloud obtém acesso aos dados do Microsoft Defender for Endpoint relacionados a vulnerabilidades, software instalado e alertas para seus endpoints.
Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender for Cloud. No Defender for Cloud, você também pode girar para o console do Defender for Endpoint e executar uma investigação detalhada para descobrir o escopo do ataque.
Ferramentas de avaliação de vulnerabilidades para máquinas - O Microsoft Defender for Servers inclui uma variedade de ferramentas de descoberta e gerenciamento de vulnerabilidades para suas máquinas. Nas páginas de configurações do Defender for Cloud, você pode selecionar as ferramentas a serem implantadas em suas máquinas. As vulnerabilidades descobertas são mostradas em uma recomendação de segurança.
Gerenciamento de ameaças e vulnerabilidades da Microsoft - Descubra vulnerabilidades e configurações incorretas em tempo real com o Microsoft Defender for Endpoint, e sem a necessidade de outros agentes ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades de acordo com o cenário de ameaças, deteções em sua organização, informações confidenciais em dispositivos vulneráveis e o contexto de negócios.
Verificador de vulnerabilidades desenvolvido pela Qualys - O scanner Qualys é uma das principais ferramentas para a identificação em tempo real de vulnerabilidades nas suas máquinas virtuais híbridas e do Azure. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro do Defender for Cloud.
Acesso à máquina virtual (VM) just-in-time (JIT) - Os agentes de ameaças caçam ativamente máquinas acessíveis com portas de gerenciamento abertas, como RDP ou SSH. Todas as suas máquinas virtuais são alvos potenciais de um ataque. Quando uma VM é comprometida com êxito, ela é usada como ponto de entrada para atacar outros recursos em seu ambiente.
Ao habilitar o Microsoft Defender for Servers, você pode usar o acesso just-in-time VM para bloquear o tráfego de entrada para suas VMs. Manter as portas de acesso remoto fechadas até que seja necessário reduz a exposição a ataques e fornece acesso fácil para se conectar a VMs quando necessário.
Monitoramento de integridade de arquivos (FIM) - O monitoramento de integridade de arquivos (FIM), também conhecido como monitoramento de alterações, examina arquivos e registros do sistema operacional, software de aplicativo e outros em busca de alterações que possam indicar um ataque. Um método de comparação é usado para determinar se o estado atual do arquivo é diferente da última verificação do arquivo. Pode usar esta comparação para determinar se foram feitas modificações válidas ou suspeitas nos seus ficheiros.
Ao habilitar o Microsoft Defender for Servers, você pode usar o FIM para validar a integridade de arquivos do Windows, seus registros do Windows e arquivos do Linux.
Controles de aplicativos adaptáveis (AAC) - Os controles de aplicativos adaptáveis são uma solução inteligente e automatizada para definir listas de permissões de aplicativos seguros conhecidos para suas máquinas.
Depois de habilitar e configurar controles de aplicativo adaptáveis, você receberá alertas de segurança se algum aplicativo for executado diferente daqueles que você definiu como seguros.
Proteção de rede adaptativa (ANH) - A aplicação de grupos de segurança de rede (NSG) para filtrar o tráfego de e para recursos melhora a postura de segurança da rede. No entanto, ainda pode haver alguns casos em que o tráfego real que flui através do NSG é um subconjunto das regras NSG definidas. Nesses casos, melhorar ainda mais a postura de segurança pode ser alcançado endurecendo as regras do NSG, com base nos padrões de tráfego reais.
A proteção de rede adaptativa fornece recomendações para endurecer ainda mais as regras do NSG. Ele usa um algoritmo de aprendizado de máquina que leva em conta o tráfego real, a configuração confiável conhecida, a inteligência de ameaças e outros indicadores de comprometimento. ANH então fornece recomendações para permitir o tráfego apenas de IP específico e tuplas de porta.
Proteção de host do Docker - O Microsoft Defender for Cloud identifica contêineres não gerenciados hospedados em IaaS, Linux VMs ou outras máquinas Linux que executam contêineres Docker. O Defender for Cloud avalia continuamente as configurações desses contêineres. Em seguida, compara-os com o Center for Internet Security (CIS) Docker Benchmark. O Defender for Cloud inclui todo o conjunto de regras do CIS Docker Benchmark e alerta você se seus contêineres não satisfizerem nenhum dos controles.
Deteção de ataques sem arquivo - Os ataques sem arquivos injetam cargas maliciosas na memória para evitar a deteção por técnicas de varredura baseadas em disco. A carga útil do atacante persiste na memória de processos comprometidos e executa uma ampla gama de atividades maliciosas.
Com a deteção de ataques sem arquivos, as técnicas forenses de memória automatizadas identificam kits de ferramentas, técnicas e comportamentos de ataque sem arquivos. Esta solução verifica periodicamente a sua máquina em tempo de execução e extrai informações diretamente da memória dos processos. Informações específicas incluem a identificação de:
- Kits de ferramentas bem conhecidos e software de mineração de criptografia
- Shellcode - um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Executável malicioso injetado na memória do processo
A deteção de ataques sem arquivos gera alertas de segurança detalhados que incluem descrições com metadados de processo, como atividade de rede. Esses detalhes aceleram a triagem de alertas, a correlação e o tempo de resposta a jusante. Essa abordagem complementa as soluções EDR baseadas em eventos e fornece maior cobertura de deteção.
Alertas auditados do Linux e integração do agente do Log Analytics (somente Linux) - O sistema auditado consiste em um subsistema no nível do kernel, que é responsável pelo monitoramento das chamadas do sistema. Ele os filtra por um conjunto de regras especificado e grava mensagens para eles em um soquete. O Defender for Cloud integra funcionalidades do pacote auditado no agente do Log Analytics. Esta integração permite a recolha de eventos auditados em todas as distribuições Linux suportadas, sem quaisquer pré-requisitos.
O agente do Log Analytics para Linux coleta registros auditados e os enriquece e agrega em eventos. O Defender for Cloud adiciona continuamente novas análises que usam sinais Linux para detetar comportamentos maliciosos na nuvem e em máquinas Linux locais. Semelhante aos recursos do Windows, essas análises incluem testes que verificam processos suspeitos, tentativas de entrada duvidosas, carregamento de módulos do kernel e outras atividades. Essas atividades podem indicar que uma máquina está sob ataque ou foi violada.
Como o Defender for Servers coleta dados?
Para Windows, o Microsoft Defender for Cloud integra-se com os serviços do Azure para monitorizar e proteger as suas máquinas baseadas no Windows. O Defender for Cloud apresenta os alertas e sugestões de correção de todos esses serviços em um formato fácil de usar.
Para Linux, o Defender for Cloud coleta registros de auditoria de máquinas Linux usando auditado, uma das estruturas de auditoria Linux mais comuns.
Para cenários híbridos e multicloud, o Defender for Cloud integra-se com o Azure Arc para garantir que essas máquinas que não são do Azure sejam vistas como recursos do Azure.