了解适用于服务器的 Microsoft Defender
Microsoft Defender for Servers 为 Windows 和 Linux 计算机提供了威胁检测和高级防护(无论计算机是在 Azure、AWS、GCP 还是本地环境中运行)。 为了保护混合云和多云环境中的计算机,Defender for Cloud 将使用 Azure Arc。
Microsoft Defender for Servers 通过两个计划提供:
Microsoft Defender for Servers 计划 1 - 将 Microsoft Defender for Endpoint 部署到服务器并提供以下功能:
- Microsoft Defender for Endpoint 许可证按小时收费(而不是按席位),因此,仅在虚拟机使用时才提供保护,降低了成本。
- Microsoft Defender for Endpoint 将自动部署到所有云工作负载,这样你就知道它们在启动时受到了保护。
- Microsoft Defender for Endpoint 中的警报和漏洞数据显示在 Microsoft Defender for Cloud 中
Microsoft Defender for Servers 计划 2(以前的 Defender for Servers)- 包括计划 1 的优点,并支持所有其他 Microsoft Defender for Servers 功能。
启用 Microsoft Defender for Servers 计划:
转到“环境设置”,然后选择你的订阅。
如果没有启用 Microsoft Defender for Servers,将其设置为“开”。 默认情况下选择计划 2。
如果要更改 Defender for Servers 计划,请执行以下操作:
在“计划/定价”列中,选择“更改计划”。 选择所需的计划,然后选择“确认”。
计划功能
下表概括介绍了每个计划中的功能。
| 功能 | Defender for Servers 计划 1 | Defender for Servers 计划 2 |
|---|---|---|
| 在 Azure、AWS、GCP 中自动加入资源 | 是 | 是 |
| Microsoft 威胁和漏洞管理 | 是 | 是 |
| 灵活使用 Microsoft Defender for Cloud 或 Microsoft Defender 门户 | 是 | 是 |
| 集成 Microsoft Defender for Cloud 和 Microsoft Defender for Endpoint(警报、软件清单、漏洞评估) | 是 | 是 |
| 日志分析(500 MB 免费) | 是 | |
| 使用 Qualys 进行漏洞评估 | 是 | |
| 威胁检测:操作系统级别、网络层、控制平面 | 是 | |
| 自适应应用程序控制 | 是 | |
| 文件完整性监视 | 是 | |
| 实时 VM 访问 | 是 | |
| 自适应网络强化 | 是 |
Defender for Servers 有哪些优点?
Microsoft Defender for Servers 提供的威胁检测和保护功能包括:
Microsoft Defender for Endpoint 的集成许可证 - 适用于服务器的 Microsoft Defender 包括 Microsoft Defender for Endpoint。 两者共同提供全面的终结点检测和响应 (EDR) 功能。 启用 Microsoft Defender for Servers 后,Defender for Cloud 便可访问与漏洞、已安装软件和终结点警报相关的 Microsoft Defender for Endpoint 数据。
用于终结点的 Defender 在检测到威胁时会触发警报。 该警报显示在 Defender for Cloud 中。 在 Defender for Cloud 中,还可以透视 Defender for Endpoint 控制台,并执行详细调查来发现攻击范围。
用于计算机的漏洞评估工具 - Microsoft Defender for Servers 包括针对计算机的漏洞发现和管理工具选项。 从 Defender for Cloud“设置”页,可选择要部署到计算机的工具。 发现的漏洞将显示在安全建议中。
Microsoft 威胁和漏洞管理 - 使用 Microsoft Defender for Endpoint 实时发现漏洞和错误配置,无需其他代理或定期扫描。 威胁和漏洞管理根据威胁情况、组织中的检测、易受攻击设备上的敏感信息以及业务上下文,为漏洞设置优先级。
由 Qualys 提供技术支持的漏洞扫描程序 - Qualys 扫描程序是一种用于实时识别 Azure 虚拟机和混合虚拟机中漏洞的领先工具。 无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在 Defender for Cloud 内无缝执行。
实时 (JIT) 虚拟机 (VM) 访问 - 威胁制造者会主动搜寻设有开放管理端口(如 RDP 或 SSH)的可访问计算机。 你的所有虚拟机都是潜在的攻击目标。 VM 在被成功入侵后将会用作进一步攻击环境中资源的入口点。
启用 Microsoft Defender for Servers 后,可使用实时 VM 访问权限来锁定传入到 VM 的入站流量。 在需要时保持远程访问端口关闭可减少遭受攻击的风险,并在需要时轻松访问以连接到 VM。
文件完整性监视 (FIM) - 文件完整性监视 (FIM) 也称为更改监视,它可以检查操作系统、应用程序软件和其他组件的文件和注册表,确定它们是否发生了可能表示遭受攻击的更改。 将使用比较方法来确定当前文件状态是否不同于上次扫描该文件时的状态。 可以使用这种比较来确定文件是否发生了有效或可疑的修改。
启用 Microsoft Defender for Servers 时,可以使用 FIM 来验证 Windows 文件、Windows 注册表和 Linux 文件的完整性。
自适应应用程序控制 (AAC) - 自适应应用程序控制是一种智能和自动化的解决方案,用于为计算机定义已知安全的应用程序的允许列表。
启用并配置了自适应应用程序控制后,如果有任何应用程序运行,而该应用程序不是你定义的安全应用程序,你将收到安全警报。
自适应网络强化 (ANH) - 应用网络安全组 (NSG) 来筛选往返资源的流量,改善网络安全状况。 但是,仍然可能存在一些这样的情况:通过 NSG 流动的实际流量是所定义 NSG 规则的子集。 在这些情况下,可以根据实际流量模式强化 NSG 规则,从而进一步改善安全状况。
自适应网络强化为进一步强化 NSG 规则提供了建议。 它使用机器学习算法,这种算法会将实际流量、已知受信任的配置、威胁情报和其他泄露迹象都考虑在内。 然后,它提供建议以仅允许来自特定 IP 和端口元组的流量。
Docker 主机强化 - Microsoft Defender for Cloud 会标识 IaaS Linux VM 上或运行 Docker 容器的其他 Linux 计算机上承载的非托管容器。 Defender for Cloud 持续评估这些容器的配置。 然后,它会将其与 Internet 安全中心 (CIS) 的 Docker 基准进行比较。 Defender for Cloud 包括 CIS Docker 基准的整个规则集,如果容器不满足任何控制要求,则发出警报。
无文件攻击检测 - 无文件攻击将恶意有效负载注入内存,以绕过通过基于磁盘的扫描技术进行的检测。 之后,攻击者的有效负载会持久保存在遭到入侵的进程的内存中,执行各种恶意活动。
自动内存取证技术使用无文件攻击检测来识别无文件攻击工具包、方法和行为。 此解决方案会定期在运行时扫描计算机,并直接从进程的内存中提取见解。 特定见解包括对以下内容的识别:
- 常见工具包和加密挖掘软件
- Shellcode - 通常用作利用软件漏洞的有效负载的一小段代码。
- 进程内存中注入的恶意可执行文件
无文件攻击检测功能会生成详细的安全警报,其中包括相关描述和进程元数据,例如网络活动数据。 这些详细信息可以加快警报会审、关联和下游响应时间。 此方法是对基于事件的 EDR 解决方案的补充,并扩大了检测范围。
Linux auditd 警报和 Log Analytics 代理集成(仅 Linux) - auditd 系统包含一个负责监视系统调用的内核级子系统。 该子系统会按照指定的规则集筛选这些调用,并将针对这些调用生成的消息写入到套接字。 Defender for Cloud 在 Log Analytics 代理中集成了 auditd 包的功能。 通过这种集成,无需满足任何先决条件,就能在所有受支持的 Linux 发行版中收集 auditd 事件。
适用于 Linux 的 Log Analytics 代理会收集 auditd 记录,扩充这些记录并将其聚合到事件中。 Defender for Cloud 会持续添加新分析功能,这些功能可以使用 Linux 信号来检测云和本地 Linux 计算机上的恶意行为。 与 Windows 功能类似,这些分析包括检查可疑进程、可疑登录尝试、内核模块加载和其他活动的测试。 这些活动可能表示计算机正在受到攻击或已遭入侵。
Defender for Servers 如何收集数据?
针对 Windows,Microsoft Defender for Cloud 与 Azure 服务集成,可以监视和保护基于 Windows 的计算机。 Defender for Cloud 以易用的格式提供来自所有这些服务的警报和修正建议。
Microsoft Defender for Cloud 使用 auditd(最常见的 Linux 审核框架之一)从 Linux 计算机收集审核记录。
对于混合和多云场景,Defender for Cloud 与 Azure Arc 集成,确保将这些非 Azure 计算机被视为 Azure 资源。