Entender o Microsoft Defender para servidores
O Microsoft Defender para Servidores fornece detecção de ameaças e defesas avançadas aos computadores Windows e Linux, em execução local, AWS, GCP ou no local. Para proteger computadores em ambientes híbridos e de várias nuvens, o Defender para Nuvem usa o Azure Arc.
O Microsoft Defender para Servidores está disponível em dois planos:
Microsoft Defender para Servidores Plano 1 – implanta Microsoft Defender para Ponto de Extremidade em seus servidores e fornece estes recursos:
- Microsoft Defender para Ponto de Extremidade licenças são cobradas por hora em vez de por estação, redução dos custos para proteger máquinas virtuais somente quando elas estão em uso.
- O Microsoft Defender para Ponto de Extremidade é implantado automaticamente em todas as cargas de trabalho de nuvem para que você saiba que elas são protegidas quando elas são giradas.
- Alertas e dados de vulnerabilidade Microsoft Defender para Ponto de Extremidade são mostrados em Microsoft Defender para Nuvem
Plano 2 do Microsoft Defender para Servidores (antigo Defender para Servidores) – inclui os benefícios do Plano 1 e o suporte para todos os outros recursos do Microsoft Defender para Servidores.
Para habilitar os planos do Microsoft Defender para Servidores:
Acesse as configurações de ambiente e selecione sua assinatura.
Se o Microsoft Defender para Servidores não estiver habilitado, defina ele como Ativado. O plano 2 é selecionado por padrão.
Se você quiser alterar o plano do Defender para Servidores:
Na coluna Plano/Preços, selecione Alterar plano. Selecione o plano desejado e selecione Confirmar.
Planejar recursos
A tabela a seguir descreve o que está incluído em cada plano em um alto nível.
| Recurso | Plano 1 do Defender para Servidores | Plano 2 do Defender para Servidores |
|---|---|---|
| Integração automática para recursos no Azure, AWS, GCP | Sim | Sim |
| Gerenciamento de ameaças e de vulnerabilidades da Microsoft | Sim | Yes |
| Flexibilidade para usar o Microsoft Defender para Nuvem ou o portal do Microsoft Defender | Sim | Sim |
| Integração de Microsoft Defender para Nuvem e Microsoft Defender para Ponto de Extremidade (alertas, inventário de software, Avaliação de Vulnerabilidade) | Sim | Sim |
| Análise de logs (500 MB gratuito) | Sim | |
| Avaliação de vulnerabilidades usando o Qualys | Sim | |
| Detecções de ameaças: nível do sistema operacional, camada de rede, plano de controle | Sim | |
| Controles de aplicativo adaptáveis | Sim | |
| Monitoramento de integridade do arquivo | Sim | |
| Acesso just-in-time à VM | Sim | |
| Proteção de rede adaptável | Sim |
Quais são os benefícios do Defender para Servidores?
As funcionalidades de detecção e proteção contra ameaças fornecidas no Microsoft Defender para Servidores para servidores incluem:
Licença integrada do Microsoft Defender para Ponto de Extremidade – o Microsoft Defender para Servidores inclui o Microsoft Defender para Ponto de Extremidade. Juntas, elas fornecem recursos abrangentes de Detecção e resposta de ponto de extremidade (EDR). Ao habilitar o Microsoft Defender para Servidores, você dá o consentimento para que o Microsoft Defender para Servidores acesse os dados do Microsoft Defender para Ponto de Extremidade relacionados a vulnerabilidades, software instalado e alertas para seus pontos de extremidade.
Quando o Defender para Ponto de Extremidade detecta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender para Nuvem. No Defender para Nuvem, você pode fazer a dinamização para o console do Defender para Ponto de Extremidade e realizar uma investigação detalhada para descobrir o escopo do ataque.
Ferramentas de avaliação de vulnerabilidades para computadores – O Microsoft Defender para Servidores inclui uma variedade de ferramentas de descoberta e gerenciamento de vulnerabilidades para computadores. Nas páginas de configurações do Defender para Nuvem, você pode escolher se deseja implantar essas ferramentas nos computadores. Todas as vulnerabilidades descobertas serão mostradas em uma recomendação de segurança.
Gerenciamento de ameaças e vulnerabilidades da Microsoft: descubra as vulnerabilidades e as configurações incorretas em tempo real com o Microsoft Defender para Ponto de Extremidade sem a necessidade de agentes adicionais nem verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza as vulnerabilidades com base no cenário de ameaças, nas detecções na sua organização, nas informações confidenciais sobre dispositivos vulneráveis e no contexto de negócios.
Verificador de vulnerabilidade desenvolvido pela Qualys - o verificador da Qualys é uma das principais ferramentas para a identificação em tempo real de vulnerabilidades nas suas máquinas virtuais híbridas e do Azure. Você não precisa nem de uma licença nem de uma conta da Qualys: tudo é tratado diretamente no Defender para Nuvem.
Acesso JIT (Just-In-Time) à VM (máquina virtual) : atores de ameaça buscam ativamente computadores acessíveis com portas de gerenciamento abertas, como RDP ou SSH. Todas as suas máquinas virtuais são alvos potenciais de um ataque. Quando uma VM é comprometida com êxito, ela é usada como o ponto de entrada para atacar outros recursos no seu ambiente.
Ao habilitar o Microsoft Defender para Servidores, você pode usar o acesso just-in-time da VM para bloquear o tráfego de entrada para suas VMs. Manter as portas de acesso remoto fechadas o quanto for possível reduz a exposição a ataques e fornece acesso fácil para se conectar às VMs quando necessário.
FIM (Monitoramento de Integridade do Arquivo) : também conhecido como monitoramento de alterações, examina os arquivos e os Registros do sistema operacional, de programas de software de aplicativos e outros em busca de alterações que possam indicar um ataque. Um método de comparação é usado para determinar se o estado atual do arquivo é diferente da última verificação do arquivo. Você pode aproveitar essa comparação para determinar se foram feitas alterações válidas ou suspeitas nos seus arquivos.
Ao habilitar o Microsoft Defender para Servidores, você pode usar o FIM para validar a integridade de arquivos do Windows, Registros do Windows e arquivos do Linux.
AAC (controles de aplicativos adaptáveis) : os controles de aplicativos adaptáveis são uma solução inteligente e automatizada para definir as listas de aplicativos permitidos seguros e conhecidos para seus computadores.
Quando você habilitar e configurar os controles de aplicativo adaptáveis, obterá alertas de segurança se qualquer aplicativo for executado além daqueles que você definiu como seguros.
ANH (proteção de rede adaptável) : a aplicação de NSGs (grupos de segurança de rede) para filtrar o tráfego nos recursos aprimora sua postura de segurança de rede. No entanto, ainda pode haver alguns casos em que o tráfego real que flui pelo NSG seja um subconjunto das regras NSG definidas. Nesses casos, é possível aprimorar ainda mais a postura de segurança protegendo as regras NSG, com base nos padrões reais de tráfego.
A proteção de rede adaptável fornece recomendações para fortalecer ainda mais as regras NSG. Ela usa um algoritmo de aprendizado de máquina que considera o tráfego real, a configuração de confiança conhecida, a inteligência contra ameaças e outros indicadores de comprometimento. A proteção de rede adaptável fornece recomendações para permitir o tráfego somente de tuplas de porta/IP específicas.
Proteção de host do Docker – O Microsoft Defender para Nuvem identifica contêineres não gerenciados hospedados em VMs de IaaS do Linux ou em outros computadores Linux que executam contêineres do Docker. O Defender para Nuvem avalia continuamente as configurações desses contêineres. Em seguida, ela as compara com o benchmark do CIS (Center for Internet Security) do Docker. O Defender para Nuvem inclui todo o conjunto de regras do benchmark do CIS do Docker e alerta você se os contêineres não atendem a nenhum dos controles.
Detecção de ataque sem arquivos: os ataques sem arquivos injetam conteúdo mal-intencionado na memória para evitar a detecção por técnicas de verificação baseadas em disco. Depois, o conteúdo do invasor persiste na memória de processos comprometidos e executa uma ampla gama de atividades mal-intencionadas.
Com a detecção de ataques sem arquivos, as técnicas forenses de memória automatizada identificam os toolkits, as técnicas e os comportamentos de ataques sem arquivos. Essa solução verifica periodicamente seu computador em runtime e extrai insights diretamente da memória de processos. Os insights específicos incluem a identificação de:
- Kits de ferramentas conhecidos e programas de software de mineração de criptografia
- Shellcode, que é uma pequena parte de código geralmente usada como payload na exploração de uma vulnerabilidade de software.
- Executável mal-intencionado injetado na memória do processo
A detecção de ataque sem arquivos gera alertas de segurança detalhados que incluem descrições com metadados de processo, como a atividade de rede. Esses detalhes aceleram a triagem de alertas, a correlação e o tempo de resposta downstream. Essa abordagem complementa as soluções de EDR baseadas em eventos e proporcionam maior cobertura de detecção.
Alertas do auditd do Linux e integração do agente do Log Analytics (somente Linux) : o sistema auditd consiste em um subsistema no nível de kernel, que é responsável por monitorar as chamadas do sistema. Ele as filtra de acordo com um conjunto de regras especificado e grava mensagens para eles em um soquete. O Defender para Nuvem integra as funcionalidades do pacote auditd no agente do Log Analytics. Essa integração habilita a coleta de eventos auditd em todas as distribuições Linux com suporte, sem nenhum pré-requisito.
O agente do Log Analytics para Linux coleta registros auditados, enriquecendo-os agregando-os em eventos. O Defender para Nuvem adiciona continuamente novos recursos de análise que usam sinais do Linux para detectar comportamentos mal-intencionados em máquinas Linux locais e na nuvem. Semelhante aos recursos do Windows, esses recursos de análise abrangem testes de verificação de processos suspeitos, tentativas de entrada duvidosa, carregamento de módulos kernel e outras atividades. Essas atividades podem indicar que um computador está sob ataque ou foi violado.
Como o Defender para Servidores coleta dados?
No Windows, o Microsoft Defender integra-se aos serviços do Azure para monitorar e proteger seus computadores baseados no Windows. O Defender para Nuvem apresenta os alertas e as sugestões de correção de todos esses serviços em um formato fácil de usar.
No Linux, o Defender para Nuvem coleta os registros de auditoria dos computadores Linux usando o auditd, uma das estruturas de auditoria mais comuns do Linux.
Para cenários híbridos e multicloud, o Defender para Nuvem integra-se com o Azure Arc para garantir que esses computadores não Azure sejam vistos como recursos do Azure.