Servers met Azure Arc beveiligen met Microsoft Defender for Servers

  • 6 minuten

Tailwind Traders is geïnteresseerd in meer van de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud. Deze verbeterde beveiligingsfuncties omvatten evaluaties van beveiligingsproblemen, bewaking van bestandsintegriteit en adaptieve toepassingsbeheer. In deze les leert u hoe servers met Azure Arc samen met Microsoft Defender for Servers nog meer beveiligingsfunctionaliteit kunnen ontgrendelen.

Overzicht van Microsoft Defender voor Servers

Microsoft Defender voor servers is een van de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud. Microsoft Defender voor Servers voegt bedreigingsdetectie en geavanceerde verdediging toe aan uw Windows- en Linux-machines, ongeacht of ze worden uitgevoerd in Azure, on-premises of in een omgeving met meerdere clouds. De belangrijkste voordelen van Microsoft Defender voor Servers zijn:

  • integratie van Microsoft Defender voor Eindpunt
  • Gedragsanalyse van virtuele machine (en beveiligingswaarschuwingen)
  • Bestandsloze beveiligingswaarschuwingen
  • Geïntegreerde Qualys-scanner voor beveiligingsproblemen
  • Bestandsintegriteit controleren
  • Adaptieve toepassingsregelaars
  • Dashboard en rapporten voor naleving van regelgeving
  • Evaluatie van ontbrekende OS-patches
  • Evaluatie van onjuiste beveiligingsconfiguratie
  • Evaluatie van eindpuntbeveiliging
  • Evaluatie van beveiligingsproblemen van derden

Integratie met Microsoft Defender voor Eindpunt

Microsoft Defender voor Servers bevat Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).

Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud. Vanuit Defender voor Cloud kunt u ook naar de Defender voor Eindpunt-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken. Wanneer u Microsoft Defender voor Servers inschakelt, geeft u Defender voor Cloud toegang tot de Microsoft Defender voor Eindpunt gegevens met betrekking tot beveiligingsproblemen, geïnstalleerde software en waarschuwingen.

Hulpprogramma's voor evaluatie van beveiligingsproblemen

Microsoft Defender voor Servers bevat een keuze uit hulpprogramma's voor detectie en beheer van beveiligingsproblemen. Op de pagina's met instellingen van Defender voor Cloud kunt u kiezen of u deze hulpprogramma's op uw computers wilt implementeren. Alle gedetecteerde beveiligingsproblemen worden weergegeven in een beveiligingsaanaanveling.

  • Microsoft Threat and Vulnerability Management: Ontdek beveiligingsproblemen en onjuiste configuraties in realtime met Defender voor Eindpunt, zonder dat er meer agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap, gevoelige informatie en bedrijfscontext.
  • Scanner voor beveiligingsproblemen mogelijk gemaakt door Qualys: een van de toonaangevende hulpprogramma's voor realtime identificatie van beveiligingsproblemen in uw hybride virtuele machines. U hebt geen Qualys-licentie of zelfs een Qualys-account nodig; alles wordt naadloos binnen Defender voor Cloud verwerkt.

Bewaking van bestandsintegriteit (FIM)

Fim (File Integrity Monitoring) onderzoekt bestanden en registers van besturingssystemen en toepassingssoftware op wijzigingen die kunnen duiden op een aanval. Er wordt een vergelijkingsmethode gebruikt om te bepalen of de huidige toestand van het bestand anders is dan bij de laatste scan van het bestand. U kunt deze vergelijking gebruiken om te bepalen of er geldige of verdachte wijzigingen zijn aangebracht in uw bestanden.

Wanneer u Microsoft Defender voor Servers inschakelt, kunt u FIM gebruiken om de integriteit van Windows-bestanden, uw Windows-registers en Linux-bestanden te valideren.

Adaptieve toepassingsregelaars (AAC)

Adaptieve toepassingsregelaars zijn een intelligente en geautomatiseerde oplossing voor het definiëren van acceptatielijsten van bekende veilige toepassingen voor uw machines. Wanneer u adaptieve toepassingsregelaars hebt geconfigureerd, krijgt u beveiligingswaarschuwingen als andere toepassingen worden uitgevoerd dan de toepassingen die u hebt gedefinieerd als veilig.

Detectie van bestandsloze aanvallen

Bestandsloze aanvallen injecteren schadelijke nettoladingen in het geheugen om detectie door schijfgebaseerde scantechnieken te voorkomen. De payload van de aanvaller blijft vervolgens achter in het geheugen met aangetaste processen en kan allerlei schadelijke activiteiten uitvoeren.

Met detectie van bestandsloze aanvallen detecteren geautomatiseerde forensische technieken de toolkits, technieken en gedragingen van bestandsloze aanvallen. Deze oplossing, die standaard beschikbaar is, scant uw machine regelmatig tijdens runtime en haalt rechtstreeks inzichten uit het geheugen van processen op. Specifieke inzichten zijn de identificatie van:

  • Bekende toolkits en software voor crypto-mining
  • Shellcode, een klein stukje code dat doorgaans wordt gebruikt als de nettolading bij het misbruiken van beveiligingsproblemen in software
  • Schadelijk uitvoerbaar bestand dat wordt geïnjecteerd in het procesgeheugen

Detectie van bestandsloze aanvallen genereert gedetailleerde beveiligingswaarschuwingen met beschrijvingen met procesmetagegevens, zoals netwerkactiviteit. Deze details versnellen de triage van waarschuwingen, correlatie en downstreamresponstijd.