使用 Microsoft Defender for Servers 保护已启用 Azure Arc 的服务器
Tailwind Traders 对更多 Microsoft Defender for Cloud 的增强安全功能感兴趣。 这些增强的安全功能包括漏洞评估、文件完整性监视和自适应应用程序控制。 本单元将介绍如何将已启用 Azure Arc 的服务器与 Microsoft Defender for Servers 配合使用,一起解锁更多安全功能。
Microsoft Defender for Servers 概述
适用于服务器的 Microsoft Defender 是 Microsoft Defender for Cloud 的增强安全功能之一。 Microsoft Defender for Servers 为 Windows 和 Linux 计算机添加了威胁检测和高级防护,无论它们是在 Azure、本地还是多云环境中运行。 Microsoft Defender for Servers 的核心优势包括:
- Microsoft Defender for Endpoint 集成
- 虚拟机行为分析(和安全警报)
- 无文件安全警报
- 集成 Qualys 漏洞扫描程序
- 文件完整性监视
- 自适应应用程序控制
- 合规性仪表板和报表
- 缺少 OS 修补程序评估
- 安全配置错误评估
- 终结点保护评估
- 第三方漏洞评估
与 Microsoft Defender for Endpoint 集成
Microsoft Defender for Servers 包括 Microsoft Defender for Endpoint。 两者共同提供全面的终结点检测和响应 (EDR) 功能。
用于终结点的 Defender 在检测到威胁时会触发警报。 该警报显示在 Defender for Cloud 中。 在 Defender for Cloud 中,还可以转至 Defender for Endpoint 控制台,并执行详细调查来发现攻击范围。 启用 Microsoft Defender for Servers 时,可让 Defender for Cloud 访问与漏洞、已安装软件和警报相关的 Microsoft Defender for Endpoint 数据。
漏洞评估工具
Microsoft Defender for Servers 包括一系列可供选择的漏洞发现和管理工具。 在 Defender for Cloud 的设置页中,可以选择是否将这些工具部署到计算机。 发现的所有漏洞都将显示在安全建议中。
- Microsoft 威胁和漏洞管理:使用 Defender for Endpoint 实时发现漏洞和错误配置,无需使用更多的代理或定期扫描。 威胁和漏洞管理能根据威胁情况、敏感信息和业务上下文确定漏洞的优先级。
- Qualys 支持的漏洞扫描程序:在实时识别混合虚拟机中的漏洞方面,这是行业领先的工具之一。 你无需具备 Qualys 许可证,甚至也不需要 Qualys 帐户;所有操作都在 Defender for Cloud 内无缝执行。
文件完整性监视 (FIM)
文件完整性监视 (FIM) 检查操作系统和应用程序软件的文件和注册表,从而发现能表示遭到攻击的更改。 将使用比较方法来确定当前文件状态是否不同于上次扫描该文件时的状态。 可以使用这种比较来确定文件是否发生了有效或可疑的修改。
启用 Microsoft Defender for Servers 时,可以使用 FIM 来验证 Windows 文件、Windows 注册表和 Linux 文件的完整性。
自适应应用程序控制 (AAC)
自适应应用程序控制是一种自动化智能解决方案,用于为计算机定义包含已知安全应用程序的允许列表。 配置自适应应用程序控制后,如果运行的应用程序不是你定义的安全应用程序,则会收到安全警报。
无文件攻击检测
无文件攻击将恶意有效负载注入内存,以避免被基于磁盘的扫描技术检测到。 之后,攻击者的有效负载会持久保存在遭到入侵的进程的内存中,执行各种恶意活动。
自动内存取证技术使用无文件攻击检测来识别无文件攻击工具包、方法和行为。 这个解决方案在默认情况下是可用的,它会在运行时定期扫描计算机,并直接从进程的内存中提取见解。 特定见解包括对以下内容的识别:
- 常见工具包和加密挖掘软件
- Shellcode 是一小段代码,通常用作利用软件漏洞的有效负载
- 进程内存中注入的恶意可执行文件
无文件攻击检测功能会生成详细的安全警报,其中包括相关描述和进程元数据,例如网络活动数据。 这些详细信息可以加快警报会审、关联和下游响应时间。