Обзор Microsoft Defender для серверов
Microsoft Defender для серверов предоставляет обнаружение угроз и расширенную защиту на компьютеры Windows и Linux независимо от того, работают ли они в Azure, AWS, GCP и локальной среде. Для защиты компьютеров в гибридных и многооблачных средах Defender для облака использует Azure Arc.
Microsoft Defender для серверов предоставляется в рамках двух планов:
Microsoft Defender для серверов (план 1) развертывает Microsoft Defender для конечной точки на серверах и предоставляет следующие возможности:
- Плата за лицензии на Microsoft Defender для конечной точки взимается за час, а не за место, что позволяет сократить затраты на защиту виртуальных машин только при их использовании.
- Microsoft Defender для конечной точки автоматически развертывается во всех облачных рабочих нагрузках, поэтому вы можете быть уверены в их защите при запуске.
- Оповещения и данные об уязвимостях из Microsoft Defender для конечной точки отображаются в Microsoft Defender для облака
Microsoft Defender для серверов (план 2) ( ранее Defender для серверов) включает преимущества плана 1 и поддержку всех других функций Microsoft Defender для серверов.
Чтобы включить планы Microsoft Defender для серверов, выполните следующие действия:
Перейдите к разделу Параметры среды и выберите свою подписку.
Если Microsoft Defender для серверов не включен, установите значение Вкл.. По умолчанию выбирается план 2.
Если вы хотите изменить план Defender для серверов:
В столбце План/цены выберите Изменить план. Выберите нужный план и нажмите Подтвердить.
Функции плана
В следующей таблице описано, что входит в каждый план на высоком уровне.
| Компонент | План Defender для серверов 1 | План Defender для серверов 2 |
|---|---|---|
| Автоматическое подключение к ресурсам в Azure, AWS, GCP | Да | Да |
| Управление уязвимостями и угрозами Майкрософт | Да | Да |
| Гибкость использования Microsoft Defender для облака или портала Microsoft Defender | Да | Да |
| Интеграция Microsoft Defender для облака и Microsoft Defender для конечной точки (оповещения, инвентаризация программного обеспечения, оценка уязвимостей) | Да | Да |
| Аналитика журналов (500 МБ бесплатно) | Да | |
| Оценка уязвимостей с использованием Qualys | Да | |
| Обнаружение угроз: уровень ОС, сетевой слой, уровень управления | Да | |
| Адаптивные элементы управления приложениями | Да | |
| Мониторинг целостности файлов | Да | |
| JIT-доступ к виртуальной машине | Да | |
| Адаптивная защита сети | Да |
Каковы преимущества Defender для серверов?
Microsoft Defender для серверов предоставляет следующие возможности обнаружения угроз и защиты от них:
Интегрированная лицензия для Microsoft Defender для конечной точки. Microsoft Defender для серверов включает Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования. При включении Microsoft Defender для серверов Defender для облака получает доступ к данным Microsoft Defender для конечной точки, связанным с уязвимостями, установленным программным обеспечением и оповещениями для конечных точек.
Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Defender для облака. Из Defender для облака вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.
Средства оценки уязвимостей для компьютеров — Microsoft Defender для серверов включает набор средств обнаружения уязвимостей и средств управления для компьютеров. На страницах настроек Defender для облака можно указать, следует ли развернуть эти средства на компьютерах. Обнаруженные уязвимости будут отображаться в рекомендации по безопасности.
Управление угрозами и уязвимостями Майкрософт — обнаруживайте уязвимости и неправильные настройки в режиме реального времени с помощью Microsoft Defender для конечной точки без других агентов или периодических проверок. Управление угрозами и уязвимостями определяет приоритеты уязвимостей с учетом характера угроз, их обнаружения в организации, конфиденциальных сведений на уязвимых устройствах и бизнес-контекста в целом.
Сканер уязвимостей на платформе Qualys. Сканер Qualys — это одно из передовых средств для идентификации уязвимостей в виртуальных машинах Azure и в гибридных виртуальных машинах в режиме реального времени. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Defender для облака.
JIT-доступ к виртуальным машинам. Злоумышленники активно ищут доступные компьютеры с открытыми портами управления, например RDP или SSH. Все ваши виртуальные машины являются потенциальными мишенями для атак. Если злоумышленники получают доступ к виртуальной машине, они используют ее в качестве точки входа для атак на другие ресурсы в вашей среде.
При включении Microsoft Defender для серверов вы можете использовать JIT-доступ к виртуальной машине для блокировки входящего трафика на виртуальных машинах. Поддержание портов удаленного доступа в закрытом состоянии (до наступления необходимости) уменьшает уязвимость к атакам и обеспечивает простой доступ для подключения к виртуальным машинам.
Мониторинг целостности файлов (FIM). Эта функция, которая также называется мониторингом изменений, анализирует файлы и реестры в операционной системе, приложениях и других компонентах, чтобы обнаруживать потенциальные атаки. Метод сравнения позволяет определить, отличается ли текущее состояние файла от состояния на момент последней проверки. Такое сравнение позволяет узнать, вносились ли в файлы допустимые или подозрительные изменения.
Включив Microsoft Defender для серверов, вы можете использовать функцию FIM для проверки целостности файлов Windows и Linux, а также реестров Windows.
Адаптивные элементы управления приложениями — это интеллектуальное и автоматизированное решение для определения списка разрешений с известными приложениями для компьютеров.
После включения и настройки адаптивных элементов управления приложениями вы сможете получать оповещения безопасности при запуске в системе приложений, которые не были определены вами как безопасные.
Адаптивная защита сети (ANH). Использование групп безопасности сети (NSG) позволяет фильтровать входящий и исходящий трафик ресурсов и улучшает состояние сетевой безопасности. Но в некоторых случаях фактический трафик, проходящий через группу безопасности сети, является подмножеством определенных правил NSG. Чтобы улучшить состояние безопасности в таком случае, можно ужесточить правила NSG с учетом фактического распределения трафика.
Адаптивная защита сети предоставляет рекомендации по усилению правил групп безопасности сети. Она использует алгоритм машинного обучения, который учитывает фактический трафик, известную доверенную конфигурацию, аналитику угроз и другие показатели компрометации. Затем ANH предоставляет рекомендации по разрешению трафика только с определенных IP-адресов и кортежей портов.
Защита узлов Docker — Microsoft Defender для облака выявляет неуправляемые контейнеры, размещенные на виртуальных машинах IaaS Linux или других компьютерах Linux с контейнерами Docker. Defender для облака постоянно оценивает конфигурации этих контейнеров. Затем он сравнивает их с эталонным контейнером Docker для Центра Интернет-безопасности (CIS). Defender для облака применяет весь набор правил эталонного контейнера Docker для CIS и выдает предупреждения, если контейнеры не соответствуют любому из этих элементов управления.
Обнаружение бесфайловых атак — при бесфайловых атаках вредоносный атакующий код внедряется в память, чтобы избежать обнаружения инструментами проверки дисков. Атакующий код сохраняется в памяти скомпрометированных процессов и выполняет широкий спектр вредоносных действий.
При обнаружении атак такого рода используются автоматизированные средства криминалистического анализа, которые позволяют выявить наборы средств, методики и поведение, применяемые для осуществления бесфайловых атак. Это решение периодически проверяет компьютер во время выполнения и извлекает аналитические сведения непосредственно из памяти процессов. Такие аналитические сведения включают данные об идентификации:
- хорошо известных наборов средств и программного обеспечения для майнинга криптовалют;
- кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения и эксплуатации уязвимости программного обеспечения;
- внедренных вредоносных исполняемых файлов в память процесса.
Функция обнаружения бесфайловых атак создает подробные оповещения безопасности, содержащие описание с дополнительными метаданными процесса, например о сетевой активности. Эти сведения позволяют ускорить рассмотрение оповещений, корреляцию и время реагирования в нисходящем направлении. Такой подход дополняет решения EDR на основе событий, а также расширяет охват при обнаружении.
Интеграция оповещений auditd в Linux с агентом Log Analytics (только для Linux).. Система auditd включает подсистему уровня ядра, которая отвечает за мониторинг системных вызовов. Она фильтрует их по указанному набору правил и записывает для них сообщения в сокет. Defender для облака интегрирует функциональные возможности пакета auditd в агент Log Analytics. Эта интеграция обеспечивает сбор событий аудита во всех поддерживаемых дистрибутивах Linux без каких бы то ни было обязательных компонентов.
Агент Log Analytics для Linux собирает проверенные аудитом записи, дополняет их и объединяет в события. В Defender для облака постоянно добавляется новая аналитика, которая использует сигналы Linux для обнаружения вредоносного поведения на облачных и локальных компьютерах с Linux. Как и в случае с Windows, эти аналитические данные включают тесты для проверки подозрительных процессов, сомнительных попыток входа, загрузки модуля ядра и других действий. Эти действия могут указывать на то, что компьютер атакуют злоумышленники либо он взломан.
Как Defender для облака собирает данные?
В Windows Microsoft Defender для облака интегрируется со службами Azure, чтобы обеспечить мониторинг и защиту компьютеров под управлением Windows. Defender для облака предоставляет оповещения и рекомендации по исправлению изо всех этих служб в удобном формате.
В Linux Defender для облака собирает записи аудита с компьютеров Linux, используя auditd — одну из наиболее распространенных платформ аудита в Linux.
В гибридных и многооблачных сценариях Defender для облака интегрируется с Azure Arc, чтобы не связанные с Azure компьютеры могли отображаться как ресурсы Azure.