Proteggere i server abilitati per Azure Arc con Microsoft Defender per server

  • 6 minuti

Tailwind Traders è interessato ad altre funzionalità di sicurezza avanzate di Microsoft Defender for Cloud. Queste funzionalità di sicurezza avanzate includono valutazioni della vulnerabilità, monitoraggio dell'integrità dei file e controlli delle applicazioni adattivi. In questa unità si apprenderà come i server abilitati per Azure Arc insieme a Microsoft Defender per server possono sbloccare ancora più funzionalità di sicurezza.

Panoramica su Microsoft Defender per server

Microsoft Defender per server è una delle funzionalità di sicurezza avanzate di Microsoft Defender for Cloud. Microsoft Defender per server aggiunge il rilevamento delle minacce e le difese avanzate ai computer Windows e Linux, indipendentemente dal fatto che siano in esecuzione in Azure, in locale o in un ambiente multi-cloud. I vantaggi principali di Microsoft Defender per server includono:

  • Integrazione di Microsoft Defender per endpoint
  • Analisi comportamentale delle macchine virtuali (e avvisi di sicurezza)
  • Avvisi di sicurezza senza file
  • Rilevatore di vulnerabilità Qualys integrato
  • Monitoraggio dell'integrità dei file
  • Controlli applicazioni adattivi
  • Dashboard e report di conformità alle normative
  • Valutazione delle patch del sistema operativo mancanti
  • Valutazione degli errori di configurazione della sicurezza
  • Valutazione della protezione endpoint
  • Valutazione della vulnerabilità di terze parti

Integrazione con Microsoft Defender per endpoint

Microsoft Defender per server include Microsoft Defender per endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete.

Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender for Cloud. In Defender for Cloud è anche possibile passare alla console di Microsoft Defender per endpoint e svolgere un'indagine dettagliata per individuare l'ambito dell'attacco. Quando si abilita Microsoft Defender per server, si concede a Defender for Cloud l'accesso ai dati di Microsoft Defender per endpoint correlati a vulnerabilità, software installato e avvisi.

Strumenti di valutazione della vulnerabilità

Microsoft Defender per server include una scelta di strumenti di individuazione e gestione delle vulnerabilità. Dalle pagine delle impostazioni di Defender for Cloud è possibile scegliere se distribuire questi strumenti nei computer. Tutte le vulnerabilità individuate verranno visualizzate in una raccomandazione per la sicurezza.

  • Gestione di minacce e vulnerabilità Microsoft: consente di individuare vulnerabilità e configurazioni errate in tempo reale con Defender per endpoint, senza la necessità di più agenti o analisi periodiche. Le gestione delle minacce e della vulnerabilità assegnano priorità alle vulnerabilità in base al panorama delle minacce, alle informazioni sensibili e al contesto aziendale.
  • Rilevatore di vulnerabilità basato su Qualys: uno degli strumenti principali per l'identificazione in tempo reale delle vulnerabilità nelle macchine virtuali ibride. Non è necessaria una licenza né un account Qualys: tutto viene gestito facilmente all'interno di Defender per il cloud.

Monitoraggio dell'integrità dei file (FIM)

Monitoraggio dell'integrità dei file esamina i file e i registri dei sistemi operativi e il software applicativo per individuare le modifiche che potrebbero indicare un attacco. Viene usato un metodo di confronto per determinare se lo stato corrente del file è diverso rispetto all'ultima analisi. È possibile usare questo confronto per stabilire se sono state apportate modifiche sospette o valide ai file.

Quando si abilita Microsoft Defender per server, è possibile usare Monitoraggio dell'integrità dei file per convalidare l'integrità dei file di Windows, dei registri di Windows e dei file di Linux.

Controlli applicazioni adattivi (AAC)

I controlli applicazioni adattivi sono una soluzione intelligente e automatizzata per definire elenchi di applicazioni note sicure consentite per i computer. Dopo la configurazione dei controlli applicazioni adattivi, si riceveranno avvisi di sicurezza se viene eseguita un'applicazione non inclusa nell'elenco di applicazioni definite come sicure.

Rilevamento di attacco senza file

Gli attacchi senza file inseriscono payload dannosi nella memoria per evitare il rilevamento da parte delle tecniche di analisi basate su disco. Il payload dell'utente malintenzionato persiste nella memoria dei processi compromessi ed esegue numerose attività dannose.

Con il rilevamento degli attacchi senza file, tecnologie automatizzate di analisi forense della memoria identificano i toolkit, le tecniche e i comportamenti degli attacchi senza file. Questa soluzione, disponibile per impostazione predefinita, analizza periodicamente il computer in fase di esecuzione ed estrae informazioni dettagliate direttamente dalla memoria dei processi. Le informazioni dettagliate specifiche includono l'identificazione di:

  • Toolkit noti e software di crypto mining
  • Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento delle vulnerabilità software
  • Codice eseguibile dannoso inserito nella memoria dei processi

Il rilevamento di attacchi senza file genera avvisi di sicurezza dettagliati che includono descrizioni con metadati sul processo, ad esempio l'attività di rete. Questi dettagli accelerano il processo di valutazione degli avvisi, la correlazione e il tempo di risposta downstream.