Sécuriser des serveurs avec Azure Arc à l’aide de Microsoft Defender pour les serveurs

  • 6 minutes

Tailwind Traders s’intéresse de près aux fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud. Ces fonctionnalités de sécurité renforcée incluent des évaluations des vulnérabilités, un monitoring de l’intégrité des fichiers et des contrôles d’application adaptatifs. Dans cette unité, vous allez découvrir comment les serveurs avec Azure Arc utilisés de concert avec Microsoft Defender pour les serveurs peuvent optimiser encore plus les fonctionnalités de sécurité.

Vue d’ensemble de Microsoft Defender pour les serveurs

Microsoft Defender pour les serveurs est une des fonctionnalités de sécurité renforcée de Microsoft Defender pour le cloud. Microsoft defender pour les serveurs ajoute la détection des menaces et des défenses avancées à vos machines Windows et Linux, qu’elles s’exécutent dans Azure, localement ou dans un environnement multicloud. Les principaux avantages de Microsoft Defender pour les serveurs sont les suivants :

  • Intégration de Microsoft Defender pour point de terminaison
  • Analytique comportementale des machines virtuelles (et alertes de sécurité)
  • Alertes de sécurité sans fichier
  • Analyseur de vulnérabilités intégré Qualys
  • Monitoring d’intégrité de fichier
  • Contrôles d’application adaptative
  • Tableau de bord et rapports de conformité réglementaire
  • Évaluation des correctifs de système d’exploitation manquants
  • Évaluation des erreurs de configuration de la sécurité
  • Évaluation de la protection des points de terminaison
  • Évaluation des vulnérabilités tierces

Intégration avec Microsoft Defender pour point de terminaison

Microsoft Defender pour les serveurs inclut Microsoft Defender pour point de terminaison. Ensemble, ils offrent des fonctionnalités EDR (protection évolutive des points de terminaison) complètes.

Quand Microsoft Defender pour point de terminaison détecte une menace, il déclenche une alerte. L’alerte s’affiche dans Defender pour le cloud. À partir de Defender pour le cloud, vous pouvez également accéder à la console Defender pour point de terminaison et effectuer un examen détaillé pour découvrir l’étendue de l’attaque. Quand vous activez Microsoft Defender pour les serveurs, vous donnez à Defender pour le cloud un accès aux données de Microsoft Defender pour point de terminaison liées aux vulnérabilités, aux logiciels installés et aux alertes.

Outils d’évaluation des vulnérabilités

Microsoft Defender pour les serveurs comprend un choix d’outils de détection et de gestion des vulnérabilités. À partir des pages de paramètres de Defender pour le cloud, vous pouvez choisir de déployer ou non ces outils sur vos ordinateurs. Toutes les vulnérabilités détectées apparaissent dans une recommandation de sécurité.

  • Gestion des menaces et des vulnérabilités Microsoft : découvrez les vulnérabilités et les problèmes de configuration en temps réel avec Defender for Endpoint, sans agent ni analyse périodique supplémentaires. La gestion des menaces et des vulnérabilités permet de classer par ordre de priorité les vulnérabilités selon le paysage des menaces, les informations sensibles et le contexte métier.
  • Analyseur de vulnérabilités avec Qualys : l’un des outils majeurs permettant d’identifier des vulnérabilités en temps réel dans vos machines virtuelles hybrides. Aucune licence Qualys ni même aucun compte Qualys n’est nécessaire : tout est traité de façon continue dans Defender pour le cloud.

Monitoring de l’intégrité des fichiers

Le monitoring de l’intégrité des fichiers permet d’examiner les fichiers et les registres des systèmes d’exploitation et logiciels d’application pour déterminer s’ils contiennent des modifications susceptibles d’indiquer une attaque. Une méthode de comparaison est utilisée pour déterminer si l’état actuel du fichier est différent de la dernière analyse du fichier. Vous pouvez utiliser cette comparaison pour vérifier si des modifications suspectes ou valides ont été apportées à vos fichiers.

Quand vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser le monitoring de l’intégrité des fichiers pour vérifier l’intégrité des fichiers Windows, de vos registres Windows et des fichiers Linux.

Contrôles d’application adaptatifs

Les contrôles d’application adaptatifs constituent une solution intelligente et automatisée pour définir des listes d’autorisation d’applications reconnues comme fiables pour vos ordinateurs. Quand vous avez configuré des contrôles d’application adaptatifs, vous obtenez des alertes de sécurité si une application autre que celles que vous avez définies comme sécurisées s’exécute.

Détection des attaques sans fichier

Les attaques sans fichier injectent des charges utiles malveillantes dans la mémoire pour échapper à une détection par des techniques d’analyse de disque. La charge utile de l’attaquant est alors conservée dans la mémoire des processus compromis et effectue un large éventail d’activités malveillantes.

Avec la détection des attaques sans fichier, les techniques d’investigation automatique de la mémoire identifient les comportements, les techniques et les kits de ressources des attaques sans fichier. Cette solution, disponible par défaut, analyse régulièrement votre ordinateur au moment de l’exécution, puis extrait des insights directement de la mémoire des processus. Des insights spécifiques incluent l’identification des éléments suivants :

  • Trousses à outils et logiciels d’exploration de données de chiffrement connus
  • Code d’interpréteur de commandes, à savoir un petit morceau de code généralement utilisé comme charge utile dans l’exploitation de vulnérabilités logicielles
  • Injection d’un exécutable malveillant dans la mémoire du processus

La détection d’attaques sans fichier génère des alertes de sécurité détaillées contenant les descriptions accompagnées des métadonnées de processus, telles que l’activité réseau. Ces détails accélèrent le triage des alertes, la corrélation et le temps de réponse en aval.