Memahami Microsoft Defender untuk server
Microsoft Defender untuk Server memberikan deteksi ancaman dan pertahanan tingkat lanjut ke komputer Windows dan Linux Anda, baik yang dijalankan di Azure, AWS, GCP, atau secara lokal. Untuk melindungi komputer di lingkungan hibrid dan multicloud, Defender untuk Cloud menggunakan Azure Arc.
Microsoft Defender untuk Server tersedia dalam dua paket.
Microsoft Defender untuk Server Paket 1 - menyebarkan Pertahanan Microsoft untuk Titik Akhir ke server Anda dan menyediakan kemampuan ini:
- Lisensi Pertahanan Microsoft untuk Titik Akhir dibebankan per jam alih-alih per seat, menurunkan biaya untuk melindungi mesin virtual hanya ketika digunakan.
- Pertahanan Microsoft untuk Titik Akhir disebarkan secara otomatis ke semua beban kerja cloud sehingga Anda tahu beban kerja tersebut terlindungi saat berputar.
- Pemberitahuan dan data kerentanan dari Pertahanan Microsoft untuk Titik Akhir ditampilkan dalam Microsoft Defender untuk Cloud
Microsoft Defender untuk Server Paket 2 (sebelumnya Defender untuk Server) - mencakup manfaat Paket 1 dan dukungan untuk semua fitur Microsoft Defender untuk Server lainnya.
Untuk mengaktifkan paket Microsoft Defender untuk Server:
Buka Pengaturan lingkungan dan pilih langganan Anda.
Jika Microsoft Defender untuk Server tidak diaktifkan, atur ke Aktif. Paket 2 dipilih secara default.
Jika Anda ingin mengubah paket Defender untuk Server:
Di kolom Paket/Harga, pilih Ubah paket. Pilih paket yang Anda inginkan dan pilih Konfirmasi.
Fitur paket
Tabel berikut ini menjelaskan apa yang disertakan dalam setiap paket pada tingkat tinggi.
| Fitur | Defender untuk Server Paket 1 | Defender untuk Server Paket 2 |
|---|---|---|
| Onboarding otomatis untuk sumber daya di Azure, AWS, GCP | Ya | Ya |
| Pengelolaan terhadap ancaman dan kerentanan Microsoft | Ya | Ya |
| Fleksibilitas untuk menggunakan Microsoft Defender untuk Cloud atau portal Pertahanan Microsoft | Ya | Ya |
| Integrasi Microsoft Defender untuk Cloud dan Microsoft Defender untuk Titik Akhir (pemberitahuan, inventaris perangkat lunak, Penilaian Kerentanan) | Ya | Ya |
| Analitik log (gratis 500 MB) | Ya | |
| Penilaian Kerentanan menggunakan Qualys | Ya | |
| Deteksi ancaman: Tingkat OS, lapisan jaringan, sarana kontrol | Ya | |
| Kontrol aplikasi adaptif | Ya | |
| Pemantauan integritas file | Ya | |
| Akses mesin virtual just-in-time | Ya | |
| Pengerasan Jaringan Adaptif | Ya |
Apa keuntungan Defender untuk server?
Kemampuan deteksi dan perlindungan ancaman yang disediakan dengan Microsoft Defender untuk Server meliputi:
Lisensi terintegrasi untuk Pertahanan Microsoft untuk Titik Akhir - Microsoft Defender untuk server menyertakan Pertahanan Microsoft untuk Titik Akhir. Sistem pertahanan tersebut menyediakan kemampuan deteksi dan respons titik akhir (EDR) yang komprehensif. Jadi, saat Anda mengaktifkan Microsoft Defender untuk Server, Anda memberikan izin kepada Defender untuk Cloud untuk mengakses data Pertahanan Microsoft untuk Titik Akhir yang terkait dengan kerentanan, perangkat lunak yang dipasang, dan pemberitahuan untuk titik akhir Anda.
Saat Pertahanan untuk Titik Akhir mendeteksi ancaman, maka ia akan memicu pemberitahuan. Pemberitahuan ditampilkan di Defender for Cloud. Dari Defender for Cloud, Anda juga dapat melakukan putaran ke konsol Defender for Endpoint, dan melakukan penyelidikan mendetail untuk mengungkap cakupan serangan.
Alat penilaian kerentanan untuk komputer - Microsoft Defender untuk Server menyertakan pilihan alat penemuan dan manajemen kerentanan untuk komputer Anda. Dari halaman pengaturan Defender untuk Cloud, Anda dapat memilih alat untuk menyebarkan ke komputer Anda. Kerentanan yang ditemukan ditampilkan dalam rekomendasi keamanan.
Manajemen ancaman dan kerentanan Microsoft - Temukan kerentanan dan kesalahan konfigurasi secara real time dengan Pertahanan Microsoft untuk Titik Akhir dengan tanpa memerlukan agen tambahan atau pemindaian berkala. Manajemen ancaman dan kerentanan memprioritaskan kerentanan berdasarkan lanskap ancaman, deteksi di organisasi Anda, informasi sensitif pada perangkat yang rentan, dan konteks bisnis.
Pemindai kerentanan yang didukung oleh Qualys - Pemindai Qualys adalah salah satu alat terkemuka untuk identifikasi kerentanan secara real time di mesin virtual Azure dan hibrida Anda. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan lancar di dalam Defender for Cloud.
Akses komputer virtual (VM) just-in-time (JIT) - Aktor ancaman secara aktif berburu komputer yang dapat diakses dengan port manajemen terbuka, seperti RDP atau SSH. Semua komputer virtual Anda adalah target potensial serangan. Saat berhasil disusupi, VM digunakan sebagai titik masuk untuk secara lebih lanjut menyerang sumber daya dalam lingkungan Anda.
Saat mengaktifkan Microsoft Defender untuk Server, Anda dapat menggunakan akses mesin virtual just-in-time untuk mengunci lalu lintas masuk ke mesin virtual Anda. Menjaga port akses jarak jauh tetap tertutup sampai diperlukan mengurangi paparan serangan dan menyediakan akses mudah untuk terhubung ke VM saat diperlukan.
Pemantauan integritas file (FIM) - Pemantauan integritas file (FIM), juga dikenal sebagai pemantauan perubahan, memeriksa file dan registri sistem operasi, perangkat lunak aplikasi, dan perubahan lainnya yang mungkin mengindikasikan serangan. Metode perbandingan digunakan untuk menentukan apakah status file saat ini berbeda dari pemindaian file terakhir. Anda dapat menggunakan perbandingan ini untuk menentukan apakah modifikasi yang valid atau mencurigakan telah dilakukan pada file Anda.
Saat Anda mengaktifkan Microsoft Defender untuk Server, Anda dapat menggunakan FIM untuk memvalidasi integritas file Windows, registri Windows, dan file Linux.
Kontrol aplikasi adaptif (AAC) - Kontrol aplikasi adaptif adalah solusi cerdas dan otomatis untuk mendefinisikan daftar aplikasi yang diizinkan yang dikenal aman untuk komputer Anda.
Setelah Anda mengaktifkan dan mengonfigurasi kontrol aplikasi adaptif, Anda akan menerima peringatan keamanan jika ada aplikasi yang berjalan berbeda dari yang telah Anda tetapkan sebagai aman.
Pengerasan jaringan adaptif (ANH) - Menerapkan grup keamanan jaringan (NSG) untuk memfilter lalu lintas ke dan dari sumber daya, meningkatkan postur keamanan jaringan Anda. Namun, masih ada beberapa kasus di mana lalu lintas aktual yang mengalir melalui NSG adalah bagian dari aturan NSG yang ditentukan. Dalam kasus ini, peningkatan postur keamanan lebih lanjut dapat dicapai dengan memperkuat aturan NSG, berdasarkan pola lalu lintas yang sebenarnya.
Penguatan jaringan adaptif memberikan rekomendasi untuk lebih menguatkan aturan NSG. Fitur ini menggunakan algoritme pembelajaran mesin yang memperhitungkan lalu lintas aktual, konfigurasi tepercaya yang diketahui, inteligensi ancaman, dan indikator kompromi lainnya. Fitur ini kemudian memberikan rekomendasi untuk mengizinkan lalu lintas hanya dari tupel IP dan port tertentu.
Penguatan host Docker - Microsoft Defender untuk Cloud mengidentifikasi kontainer tidak terkelola yang dihosting di Mesin Virtual Linux Infrastruktur Sebagai Layanan, atau mesin Linux lain yang menjalankan kontainer Docker. Defender untuk Cloud terus menilai konfigurasi kontainer ini. Security Center kemudian membandingkannya dengan Tolok Ukur Docker Pusat Keamanan Internet (CIS). Defender for Cloud menyertakan seluruh aturan CIS Docker Benchmark dan memberi tahu Anda jika kontainer Anda tidak memenuhi salah satu kontrol.
Deteksi serangan tanpa file - Serangan tanpa file menyuntikkan payload berbahaya ke dalam memori untuk menghindari deteksi dengan teknik pemindaian berbasis disk. Payload penyerang kemudian bertahan dalam memori proses yang disusupi dan melakukan berbagai aktivitas berbahaya.
Dengan deteksi serangan tanpa file, teknik forensik memori otomatis mengidentifikasi kotak alat, teknik, dan perilaku serangan tanpa file. Solusi ini secara berkala memindai komputer Anda saat runtime, dan mengekstrak wawasan langsung dari memori proses. Wawasan khusus meliputi identifikasi:
- Kotak alat terkenal dan perangkat lunak penambangan kripto
- Shellcode, sepotong kecil kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
- Tindakan berbahaya yang diinjeksi yang dapat dieksekusi dalam memori proses
Deteksi serangan tanpa file menghasilkan pemberitahuan keamanan terperinci yang berisi deskripsi dengan metadata proses seperti aktivitas jaringan. Rincian ini mempercepat triase pemberitahuan, korelasi, dan waktu respons hilir. Pendekatan ini melengkapi solusi EDR berbasis peristiwa, dan memberikan peningkatan cakupan deteksi.
Pemberitahuan auditd Linux dan integrasi agen Analisis Log (khusus Linux) - Sistem auditd terdiri dari subsistem tingkat kernel, yang bertanggung jawab untuk memantau panggilan sistem. Ini memfilternya dengan seperangkat aturan tertentu, dan menulis pesan untuk mereka ke soket. Defender for Cloud mengintegrasikan fungsionalitas dari paket auditd dalam agen Log Analytics. Integrasi ini memungkinkan pengumpulan peristiwa auditd di semua distribusi Linux yang didukung, tanpa prasyarat apa pun.
Agen Analisis Log untuk Linux mengumpulkan rekaman auditd serta memperkaya dan menggabungkannya ke dalam peristiwa. Defender for Cloud terus menambahkan analitik baru yang menggunakan sinyal Linux untuk mendeteksi perilaku berbahaya di cloud dan mesin Linux lokal. Mirip dengan kemampuan Windows, analitik ini mencakup pengujian yang memeriksa proses yang mencurigakan, upaya masuk yang meragukan, pemuatan modul kernel, dan aktivitas lainnya. Aktivitas ini dapat mengindikasikan bahwa komputer sedang diserang atau telah dilanggar.
Bagaimana Defender untuk server mengumpulkan data?
Untuk Windows, Microsoft Defender for Cloud terintegrasi dengan layanan Azure untuk memantau dan melindungi mesin berbasis Windows Anda. Defender for Cloud menampilkan pemberitahuan dan saran remediasi dari semua layanan ini dalam format yang mudah digunakan.
Untuk Linux, Defender for Cloud mengumpulkan catatan audit dari mesin Linux dengan menggunakan auditd, salah satu kerangka kerja audit Linux yang paling banyak digunakan.
Untuk skenario hibrid dan multi-cloud, Defender untuk Cloud terintegrasi dengan Azure Arc untuk memastikan mesin non-Azure ini dilihat sebagai sumber daya Azure.