Microsoft Defender for servers を使用して Azure Arc 対応サーバーをセキュリティで保護する

  • 6 分

Tailwind Traders 社は、Microsoft Defender for Cloud の強化されたセキュリティ機能について、その詳細に関心を持っています。 これらの強化されたセキュリティ機能には、脆弱性評価、ファイル整合性の監視、適応型アプリケーション制御などがあります。 このユニットでは、Azure Arc 対応サーバーと Microsoft Defender for Server を組み合わせて、さらに多くのセキュリティ機能をロック解除する方法について説明します。

Microsoft Defender for servers の概要

Microsoft Defender for servers は、Microsoft Defender for Cloud の強化されたセキュリティ機能の 1 つです。 Microsoft Defender for servers は、Azure、オンプレミス、またはマルチクラウド環境のいずれで実行されているかにかかわらず、Windows と Linux マシンに脅威検出と高度な防御を追加します。 Microsoft Defender for servers の主な利点は次のとおりです。

  • Microsoft Defender for Endpoint の統合
  • 仮想マシン行動分析 (およびセキュリティ アラート)
  • ファイルレスのセキュリティ アラート
  • 統合された Qualys 脆弱性スキャナー
  • ファイルの整合性の監視
  • アダプティブ アプリケーション制御
  • 規制コンプライアンスのダッシュボードとレポート
  • 足りない OS パッチの評価
  • セキュリティの誤った構成の評価
  • エンドポイント保護の評価
  • サードパーティの脆弱性評価

Microsoft Defender for Endpoint との統合

Microsoft Defender for servers には、Microsoft Defender for Endpoint が含まれています。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。

Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 このアラートは Defender for Cloud に表示されます。 Defender for Cloud から、Defender for Endpoint コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。 Microsoft Defender for servers を有効にすると、脆弱性、インストールされているソフトウェア、アラートに関連する Microsoft Defender for Endpoint のデータに対して、Defender for Cloud からのアクセスが許可されます。

脆弱性評価ツール

Microsoft Defender for servers には、選りすぐりの脆弱性検出および管理ツールが含まれています。 Defender for Cloud の [設定] ページでは、これらのツールをマシンにデプロイするかどうかを選択できます。 検出されたすべての脆弱性は、セキュリティの推奨事項に示されます。

  • Microsoft 脅威と脆弱性の管理: Defender for Endpoint を使用して、リアルタイムで脆弱性と不備を発見します。追加のエージェントや定期的なスキャンは必要ありません。 脅威と脆弱性の管理は、脅威の状況、機密情報、ビジネス コンテキストに基づいて脆弱性を優先度付けします。
  • Qualys による脆弱性スキャナー: ハイブリッド仮想マシンの脆弱性をリアルタイムで特定する、最先端のツールの 1 つです。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。

ファイルの整合性の監視 (FIM)

ファイルの整合性の監視 (FIM) では、攻撃を示すおそれがある変更について、オペレーティング システムとアプリケーション ソフトウェアのファイルとレジストリを調べます。 比較方式を使用して、ファイルの現在の状態がファイルの前回のスキャンと異なっているかどうかが判別されます。 この比較を使用して、有効なものであれ、疑わしいものであれ、ファイルに変更が加えられていないかを判別できます。

Microsoft Defender for servers を有効にすると、FIM を使用して、Windows ファイル、Windows レジストリ、Linux ファイルの整合性を検証できます。

適応型アプリケーション制御 (AAC)

適応型アプリケーション制御は、お使いのマシンの既知の安全なアプリケーションの許可リストを定義する、インテリジェントで自動化されたソリューションです。 適応型アプリケーション制御を構成すると、安全であると定義したアプリケーション以外のアプリケーションが実行された場合に、セキュリティ警告が表示されます。

ファイルレス攻撃の検出

ファイルレス攻撃は、ディスクベースのスキャン手法による検出を避けるために、悪意のあるペイロードをメモリに挿入します。 侵害されたプロセスのメモリ内に存続する攻撃者のペイロードにより、さまざまな悪意のあるアクティビティが実行されます。

自動メモリ フォレンジック手法は、ファイルレス攻撃の検出を使用して、ファイルレス攻撃のツールキット、手法、および動作を識別します。 このソリューションは、既定で使用可能であり、実行時にマシンを定期的にスキャンし、プロセスのメモリから分析情報を直接抽出します。 特定の分析情報には、次のものの識別が含まれます。

  • よく知られているツールキットと暗号化マイニング ソフトウェア
  • シェルコード。通常、ソフトウェアの脆弱性を悪用する場合にペイロードとして使用される小さなコードです
  • プロセスのメモリ内に挿入された悪意のある実行可能ファイル

ファイルレス攻撃の検出では、ネットワーク アクティビティなどのプロセス メタデータの記述を含む詳細なセキュリティ アラートが生成されます。 これらの詳細により、アラートのトリアージ、関連付け、およびダウンストリームの応答時間が短縮されます。