Compreender o Microsoft Defender para servidores

Concluído

O Microsoft Defender for Servers fornece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux, estejam elas em execução no Azure, AWS, GCP ou localmente. Para proteger máquinas em ambientes híbridos e multicloud, o Defender for Cloud usa o Azure Arc.

O Microsoft Defender for Servers está disponível em dois planos:

  • Microsoft Defender for Servers Plan 1 - implanta o Microsoft Defender for Endpoint em seus servidores e fornece estes recursos:

    • As licenças do Microsoft Defender for Endpoint são cobradas por hora em vez de por estação, reduzindo os custos de proteção de máquinas virtuais apenas quando elas estão em uso.
    • O Microsoft Defender for Endpoint é implantado automaticamente em todas as cargas de trabalho na nuvem para que você saiba que elas estão protegidas quando são criadas.
    • Alertas e dados de vulnerabilidade do Microsoft Defender for Endpoint são mostrados no Microsoft Defender for Cloud
  • Microsoft Defender for Servers Plan 2 (anteriormente Defender for Servers) - inclui os benefícios do Plano 1 e suporte para todos os outros recursos do Microsoft Defender for Servers.

Para habilitar os planos do Microsoft Defender for Servers:

Aceda a Definições de ambiente e selecione a sua subscrição.

Se o Microsoft Defender for Servers não estiver habilitado, defina-o como Ativado. O Plano 2 é selecionado por padrão.

Se você quiser alterar o plano do Defender for Servers:

Na coluna Plano/Preço, selecione Alterar plano. Selecione o plano desejado e selecione Confirmar.

Planejar recursos

A tabela a seguir descreve o que está incluído em cada plano em um alto nível.

Caraterística Plano 1 do Defender for Servers Plano 2 do Defender for Servers
Integração automática de recursos no Azure, AWS, GCP Sim Sim
Gestão de ameaças e vulnerabilidades da Microsoft Sim Sim
Flexibilidade para usar o Microsoft Defender for Cloud ou o portal Microsoft Defender Sim Sim
Integração do Microsoft Defender for Cloud e Microsoft Defender for Endpoint (alertas, inventário de software, Avaliação de Vulnerabilidades) Sim Sim
Log-analytics (500 MB grátis) Sim
Avaliação de vulnerabilidade usando Qualys Sim
Deteções de ameaças: nível do SO, camada de rede, plano de controlo Sim
Controlos de aplicações adaptáveis Sim
Monitorização da integridade do ficheiro Sim
Acesso à VM just-in-time Sim
Proteção de rede ajustável Sim

Quais são os benefícios do Defender for Servers?

Os recursos de deteção e proteção contra ameaças fornecidos com o Microsoft Defender for Servers incluem:

  • Licença integrada para Microsoft Defender for Endpoint - O Microsoft Defender for Servers inclui o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR). Quando você habilita o Microsoft Defender for Servers, o Defender for Cloud obtém acesso aos dados do Microsoft Defender for Endpoint relacionados a vulnerabilidades, software instalado e alertas para seus endpoints.

    Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender for Cloud. No Defender for Cloud, você também pode girar para o console do Defender for Endpoint e executar uma investigação detalhada para descobrir o escopo do ataque.

  • Ferramentas de avaliação de vulnerabilidades para máquinas - O Microsoft Defender for Servers inclui uma variedade de ferramentas de descoberta e gerenciamento de vulnerabilidades para suas máquinas. Nas páginas de configurações do Defender for Cloud, você pode selecionar as ferramentas a serem implantadas em suas máquinas. As vulnerabilidades descobertas são mostradas em uma recomendação de segurança.

  • Gerenciamento de ameaças e vulnerabilidades da Microsoft - Descubra vulnerabilidades e configurações incorretas em tempo real com o Microsoft Defender for Endpoint, e sem a necessidade de outros agentes ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades de acordo com o cenário de ameaças, deteções em sua organização, informações confidenciais em dispositivos vulneráveis e o contexto de negócios.

  • Verificador de vulnerabilidades desenvolvido pela Qualys - O scanner Qualys é uma das principais ferramentas para a identificação em tempo real de vulnerabilidades nas suas máquinas virtuais híbridas e do Azure. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro do Defender for Cloud.

  • Acesso à máquina virtual (VM) just-in-time (JIT) - Os agentes de ameaças caçam ativamente máquinas acessíveis com portas de gerenciamento abertas, como RDP ou SSH. Todas as suas máquinas virtuais são alvos potenciais de um ataque. Quando uma VM é comprometida com êxito, ela é usada como ponto de entrada para atacar outros recursos em seu ambiente.

    Ao habilitar o Microsoft Defender for Servers, você pode usar o acesso just-in-time VM para bloquear o tráfego de entrada para suas VMs. Manter as portas de acesso remoto fechadas até que seja necessário reduz a exposição a ataques e fornece acesso fácil para se conectar a VMs quando necessário.

  • Monitoramento de integridade de arquivos (FIM) - O monitoramento de integridade de arquivos (FIM), também conhecido como monitoramento de alterações, examina arquivos e registros do sistema operacional, software de aplicativo e outros em busca de alterações que possam indicar um ataque. Um método de comparação é usado para determinar se o estado atual do arquivo é diferente da última verificação do arquivo. Pode usar esta comparação para determinar se foram feitas modificações válidas ou suspeitas nos seus ficheiros.

    Ao habilitar o Microsoft Defender for Servers, você pode usar o FIM para validar a integridade de arquivos do Windows, seus registros do Windows e arquivos do Linux.

  • Controles de aplicativos adaptáveis (AAC) - Os controles de aplicativos adaptáveis são uma solução inteligente e automatizada para definir listas de permissões de aplicativos seguros conhecidos para suas máquinas.

    Depois de habilitar e configurar controles de aplicativo adaptáveis, você receberá alertas de segurança se algum aplicativo for executado diferente daqueles que você definiu como seguros.

  • Proteção de rede adaptativa (ANH) - A aplicação de grupos de segurança de rede (NSG) para filtrar o tráfego de e para recursos melhora a postura de segurança da rede. No entanto, ainda pode haver alguns casos em que o tráfego real que flui através do NSG é um subconjunto das regras NSG definidas. Nesses casos, melhorar ainda mais a postura de segurança pode ser alcançado endurecendo as regras do NSG, com base nos padrões de tráfego reais.

    A proteção de rede adaptativa fornece recomendações para endurecer ainda mais as regras do NSG. Ele usa um algoritmo de aprendizado de máquina que leva em conta o tráfego real, a configuração confiável conhecida, a inteligência de ameaças e outros indicadores de comprometimento. ANH então fornece recomendações para permitir o tráfego apenas de IP específico e tuplas de porta.

  • Proteção de host do Docker - O Microsoft Defender for Cloud identifica contêineres não gerenciados hospedados em IaaS, Linux VMs ou outras máquinas Linux que executam contêineres Docker. O Defender for Cloud avalia continuamente as configurações desses contêineres. Em seguida, compara-os com o Center for Internet Security (CIS) Docker Benchmark. O Defender for Cloud inclui todo o conjunto de regras do CIS Docker Benchmark e alerta você se seus contêineres não satisfizerem nenhum dos controles.

  • Deteção de ataques sem arquivo - Os ataques sem arquivos injetam cargas maliciosas na memória para evitar a deteção por técnicas de varredura baseadas em disco. A carga útil do atacante persiste na memória de processos comprometidos e executa uma ampla gama de atividades maliciosas.

    Com a deteção de ataques sem arquivos, as técnicas forenses de memória automatizadas identificam kits de ferramentas, técnicas e comportamentos de ataque sem arquivos. Esta solução verifica periodicamente a sua máquina em tempo de execução e extrai informações diretamente da memória dos processos. Informações específicas incluem a identificação de:

    • Kits de ferramentas bem conhecidos e software de mineração de criptografia
    • Shellcode - um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
    • Executável malicioso injetado na memória do processo

    A deteção de ataques sem arquivos gera alertas de segurança detalhados que incluem descrições com metadados de processo, como atividade de rede. Esses detalhes aceleram a triagem de alertas, a correlação e o tempo de resposta a jusante. Essa abordagem complementa as soluções EDR baseadas em eventos e fornece maior cobertura de deteção.

  • Alertas auditados do Linux e integração do agente do Log Analytics (somente Linux) - O sistema auditado consiste em um subsistema no nível do kernel, que é responsável pelo monitoramento das chamadas do sistema. Ele os filtra por um conjunto de regras especificado e grava mensagens para eles em um soquete. O Defender for Cloud integra funcionalidades do pacote auditado no agente do Log Analytics. Esta integração permite a recolha de eventos auditados em todas as distribuições Linux suportadas, sem quaisquer pré-requisitos.

    O agente do Log Analytics para Linux coleta registros auditados e os enriquece e agrega em eventos. O Defender for Cloud adiciona continuamente novas análises que usam sinais Linux para detetar comportamentos maliciosos na nuvem e em máquinas Linux locais. Semelhante aos recursos do Windows, essas análises incluem testes que verificam processos suspeitos, tentativas de entrada duvidosas, carregamento de módulos do kernel e outras atividades. Essas atividades podem indicar que uma máquina está sob ataque ou foi violada.

Como o Defender for Servers coleta dados?

Para Windows, o Microsoft Defender for Cloud integra-se com os serviços do Azure para monitorizar e proteger as suas máquinas baseadas no Windows. O Defender for Cloud apresenta os alertas e sugestões de correção de todos esses serviços em um formato fácil de usar.

Para Linux, o Defender for Cloud coleta registros de auditoria de máquinas Linux usando auditado, uma das estruturas de auditoria Linux mais comuns.

Para cenários híbridos e multicloud, o Defender for Cloud integra-se com o Azure Arc para garantir que essas máquinas que não são do Azure sejam vistas como recursos do Azure.