Förstå Microsoft Defender för servrar
Microsoft Defender för servrar tillhandahåller hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer oavsett om de körs i Azure, AWS, GCP eller lokalt. För att skydda datorer i hybrid- och multimolnmiljöer använder Defender för molnet Azure Arc.
Microsoft Defender för servrar finns i två planer:
Microsoft Defender for Servers Plan 1 – distribuerar Microsoft Defender för Endpoint till dina servrar och tillhandahåller följande funktioner:
- Microsoft Defender för Endpoint licenser debiteras per timme i stället för per plats, vilket sänker kostnaderna för att skydda virtuella datorer endast när de används.
- Microsoft Defender för Endpoint distribueras automatiskt till alla molnarbetsbelastningar så att du vet att de skyddas när de startas.
- Aviseringar och sårbarhetsdata från Microsoft Defender för Endpoint visas i Microsoft Defender för molnet
Microsoft Defender för servrar plan 2 (tidigare Defender för servrar) - innehåller fördelarna med plan 1 och stöd för alla andra Microsoft Defender för servrar funktioner.
Så här aktiverar du Microsoft Defender for Servers-planer:
Gå till Miljöinställningar och välj din prenumeration.
Om Microsoft Defender för servrar inte är aktiverat anger du det till På. Plan 2 är valt som standard.
Om du vill ändra defender för servrar-planen:
I kolumnen Plan/Prissättning väljer du Ändra plan. Välj den plan som du vill använda och välj Bekräfta.
Planera funktioner
I följande tabell beskrivs vad som ingår i varje plan på en hög nivå.
| Funktion | Defender för servrar, plan 1 | Defender för servrar, plan 2 |
|---|---|---|
| Automatisk registrering för resurser i Azure, AWS, GCP | Ja | Ja |
| Microsofts hantering av hot och säkerhetsrisker | Ja | Ja |
| Flexibilitet att använda Microsoft Defender för molnet- eller Microsoft Defender-portalen | Ja | Ja |
| Integrering av Microsoft Defender för molnet och Microsoft Defender för Endpoint (aviseringar, programvaruinventering, sårbarhetsbedömning) | Ja | Ja |
| Log-analytics (kostnadsfritt 500 MB) | Ja | |
| Sårbarhetsbedömning med Qualys | Ja | |
| Hotidentifieringar: OS-nivå, nätverksnivå, kontrollplan | Ja | |
| Anpassningsbara programkontroller | Ja | |
| Övervakning av filintegritet | Ja | |
| Just-in-time-åtkomst till virtuell dator | Ja | |
| Anpassningsbar nätverkshärdning | Ja |
Vilka är fördelarna med Defender för servrar?
Bland funktionerna för hotidentifiering och skydd som tillhandahålls med Microsoft Defender för servrar finns:
Integrerad licens för Microsoft Defender för Endpoint – Microsoft Defender för servrar innehåller Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för identifiering och åtgärd på slutpunkt (EDR). När du aktiverar Microsoft Defender för servrar får Defender för molnet åtkomst till de Microsoft Defender för Endpoint data som är relaterade till sårbarheter, installerad programvara och aviseringar för dina slutpunkter.
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet. Från Defender för molnet kan du också pivotleda till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att ta reda på omfattningen av attacken.
Verktyg för sårbarhetsbedömning för datorer – Microsoft Defender för servrar innehåller ett urval av verktyg för sårbarhetsidentifiering och hantering för dina datorer. På Defender för molnet inställningssidor kan du välja de verktyg som ska distribueras till dina datorer. De identifierade säkerhetsriskerna visas i en säkerhetsrekommendations.
Microsoft Hantering av hot och säkerhetsrisker – Identifiera sårbarheter och felkonfigurationer i realtid med Microsoft Defender för Endpoint och utan behov av andra agenter eller periodiska genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter enligt hotlandskapet, identifieringar i din organisation, känslig information på sårbara enheter och affärskontexten.
Sårbarhetsskanner som drivs av Qualys – Qualys-skannern är ett av de ledande verktygen för identifiering i realtid av sårbarheter i dina virtuella Azure- och hybriddatorer. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Defender för molnet.
Just-in-time-åtkomst (JIT) för virtuella datorer – Hotaktörer jagar aktivt tillgängliga datorer med öppna hanteringsportar, till exempel RDP eller SSH. Alla dina virtuella datorer är potentiella mål för en attack. När en virtuell dator har komprometterats används den som startpunkt för att attackera ytterligare resurser i din miljö.
När du aktiverar Microsoft Defender för servrar kan du använda just-in-time-åtkomst till virtuella datorer för att låsa den inkommande trafiken till dina virtuella datorer. Att hålla fjärråtkomstportar stängda tills det behövs minskar exponeringen för attacker och ger enkel åtkomst till virtuella datorer när det behövs.
Övervakning av filintegritet (FIM) – Övervakning av filintegritet (FIM), även kallat ändringsövervakning, undersöker filer och register över operativsystem, programprogramvara och andra för ändringar som kan tyda på en attack. En jämförelsemetod används för att avgöra om filens aktuella tillstånd skiljer sig från den senaste genomsökningen av filen. Du kan använda den här jämförelsen för att avgöra om giltiga eller misstänkta ändringar har gjorts i dina filer.
När du aktiverar Microsoft Defender för servrar kan du använda FIM för att verifiera integriteten för Windows-filer, dina Windows-register och Linux-filer.
Anpassningsbara programkontroller (AAC) – Anpassningsbara programkontroller är en intelligent och automatiserad lösning för att definiera tillåtna listor över kända och säkra program för dina datorer.
När du har aktiverat och konfigurerat anpassningsbara programkontroller får du säkerhetsaviseringar om något annat program körs än de som du definierade som säkra.
Adaptiv nätverkshärdning (ANH) – Användning av nätverkssäkerhetsgrupper (NSG) för att filtrera trafik till och från resurser förbättrar nätverkssäkerheten. Det kan dock fortfarande finnas vissa fall där den faktiska trafik som flödar genom NSG är en delmängd av NSG-reglerna som definierats. I dessa fall kan du förbättra säkerhetsstatusen ytterligare genom att skärpa NSG-reglerna baserat på de faktiska trafikmönstren.
Anpassningsbar nätverkshärdning ger rekommendationer för att ytterligare förstärka NSG-reglerna. Den använder en maskininlärningsalgoritm som tar hänsyn till faktisk trafik, känd betrodd konfiguration, hotinformation och andra indikatorer för kompromettering. ANH ger sedan rekommendationer för att endast tillåta trafik från specifika IP- och porttupplar.
Docker-värdhärdning – Microsoft Defender för molnet identifierar ohanterade containrar som finns på virtuella IaaS Linux-datorer eller andra Linux-datorer som kör Docker-containrar. Defender för molnet utvärderar kontinuerligt konfigurationerna av dessa containrar. Den jämför dem sedan med Docker Benchmark för Center for Internet Security (CIS). Defender för molnet innehåller hela regeluppsättningen för CIS Docker Benchmark och varnar dig om dina containrar inte uppfyller någon av kontrollerna.
Fillös attackidentifiering – Fillösa attacker matar in skadliga nyttolaster i minnet för att undvika identifiering av diskbaserade genomsökningstekniker. Angriparens nyttolast bevaras sedan i minnet av komprometterade processer och utför en mängd olika skadliga aktiviteter.
Med fillös attackidentifiering identifierar automatiserade minnestekniska tekniker fillösa attackverktyg, tekniker och beteenden. Den här lösningen söker regelbundet igenom datorn vid körning och extraherar insikter direkt från processernas minne. Specifika insikter omfattar identifiering av:
- Välkända verktyg och programvara för kryptoutvinning
- Shellcode – en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Inmatad skadlig körbar fil i processminnet
Identifiering av fillösa attacker genererar detaljerade säkerhetsaviseringar som innehåller beskrivningar med processmetadata, till exempel nätverksaktivitet. Den här informationen påskyndar aviseringstriage, korrelation och nedströms svarstid. Den här metoden kompletterar händelsebaserade EDR-lösningar och ger ökad identifieringstäckning.
Linux-granskningsaviseringar och Log Analytics-agentintegrering (endast Linux) – Det granskade systemet består av ett undersystem på kernelnivå som ansvarar för övervakning av systemanrop. Den filtrerar dem efter en angiven regeluppsättning och skriver meddelanden för dem till en socket. Defender för molnet integrerar funktioner från det granskade paketet i Log Analytics-agenten. Den här integreringen möjliggör insamling av granskade händelser i alla Linux-distributioner som stöds, utan några krav.
Log Analytics-agenten för Linux samlar in granskade poster och berikar och aggregerar dem till händelser. Defender för molnet lägger kontinuerligt till ny analys som använder Linux-signaler för att identifiera skadliga beteenden på molnbaserade och lokala Linux-datorer. I likhet med Windows-funktioner omfattar dessa analyser tester som söker efter misstänkta processer, tvivelaktiga inloggningsförsök, inläsning av kernelmoduler och andra aktiviteter. Dessa aktiviteter kan tyda på att en dator antingen är under attack eller har brutits.
Hur samlar Defender för servrar in data?
För Windows integreras Microsoft Defender för molnet med Azure-tjänster för att övervaka och skydda dina Windows-baserade datorer. Defender för molnet presenterar aviseringar och reparationsförslag från alla dessa tjänster i ett lättanvänt format.
För Linux samlar Defender för molnet in granskningsposter från Linux-datorer med hjälp av auditd, ett av de vanligaste Linux-granskningsramverken.
För hybrid- och multimolnscenarier integreras Defender för molnet med Azure Arc för att säkerställa att dessa datorer som inte är Azure-datorer ses som Azure-resurser.