Proteja os servidores habilitados para Azure Arc com o Microsoft Defender for Servers

  • 6 minutos

A Tailwind Traders está interessada em mais recursos de segurança aprimorados do Microsoft Defender for Cloud. Esses recursos de segurança aprimorados incluem avaliações de vulnerabilidade, monitoramento de integridade de arquivos e controles de aplicativos adaptáveis. Nesta unidade, você aprenderá como os servidores habilitados para Azure Arc juntamente com o Microsoft Defender for Servers podem desbloquear ainda mais funcionalidades de segurança.

Visão geral do Microsoft Defender for Servers

O Microsoft Defender para servidores é um dos recursos de segurança aprimorados do Microsoft Defender for Cloud. O Microsoft Defender for Servers adiciona deteção de ameaças e defesas avançadas às suas máquinas Windows e Linux, quer estejam a ser executadas no Azure, no local ou num ambiente multicloud. Os principais benefícios do Microsoft Defender for Servers incluem:

  • Integração do Microsoft Defender for Endpoint
  • Análise comportamental de máquina virtual (e alertas de segurança)
  • Alertas de segurança sem ficheiros
  • Verificador de vulnerabilidades Qualys integrado
  • Monitorização da integridade do ficheiro
  • Controlos de aplicações adaptáveis
  • Dashboard de conformidade regulamentar e relatórios
  • Avaliação de patches de SO em falta
  • Avaliação de erros de configuração de segurança
  • Avaliação da proteção de pontos finais
  • Avaliação de vulnerabilidade de terceiros

Integração com o Microsoft Defender for Endpoint

O Microsoft Defender for Servers inclui o Microsoft Defender for Endpoint. Juntos, eles fornecem recursos abrangentes de deteção e resposta de pontos finais (EDR).

Quando o Defender for Endpoint deteta uma ameaça, ele dispara um alerta. O alerta é mostrado no Defender for Cloud. No Defender for Cloud, você também pode girar para o console do Defender for Endpoint e realizar uma investigação detalhada para descobrir o escopo do ataque. Ao habilitar o Microsoft Defender for Servers, você concede ao Defender for Cloud acesso aos dados do Microsoft Defender for Endpoint relacionados a vulnerabilidades, software instalado e alertas.

Ferramentas de avaliação de vulnerabilidades

O Microsoft Defender for Servers inclui uma variedade de ferramentas de descoberta e gerenciamento de vulnerabilidades. Nas páginas de configurações do Defender for Cloud, você pode escolher se deseja implantar essas ferramentas em suas máquinas. Quaisquer vulnerabilidades descobertas serão mostradas em uma recomendação de segurança.

  • Gerenciamento de ameaças e vulnerabilidades da Microsoft: descubra vulnerabilidades e configurações incorretas em tempo real com o Defender for Endpoint, sem a necessidade de mais agentes ou verificações periódicas. O gerenciamento de ameaças e vulnerabilidades prioriza vulnerabilidades com base no cenário de ameaças, informações confidenciais e contexto de negócios.
  • Verificador de vulnerabilidades desenvolvido pela Qualys: Uma das principais ferramentas para identificação em tempo real de vulnerabilidades em suas máquinas virtuais híbridas. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys; tudo é tratado perfeitamente dentro do Defender for Cloud.

Monitoramento da integridade de arquivos (FIM)

O monitoramento da integridade de arquivos (FIM) examina arquivos e registros de sistemas operacionais e software de aplicativos em busca de alterações que possam indicar um ataque. Um método de comparação é usado para determinar se o estado atual do arquivo é diferente da última verificação do arquivo. Pode usar esta comparação para determinar se foram feitas modificações válidas ou suspeitas nos seus ficheiros.

Ao habilitar o Microsoft Defender for Servers, você pode usar o FIM para validar a integridade de arquivos do Windows, seus registros do Windows e arquivos do Linux.

Controles de aplicativos adaptáveis (AAC)

Os controles de aplicativos adaptáveis são uma solução inteligente e automatizada para definir listas de permissões de aplicativos seguros conhecidos para suas máquinas. Depois de configurar controles de aplicativo adaptáveis, você receberá alertas de segurança se algum aplicativo for executado diferente daqueles que você definiu como seguros.

Deteção de ataques sem arquivos

Os ataques sem ficheiros injetam cargas maliciosas na memória para evitar a deteção por técnicas de análise baseadas em disco. A carga útil do atacante persiste na memória de processos comprometidos e executa uma ampla gama de atividades maliciosas.

Com a deteção de ataques sem arquivos, as técnicas forenses de memória automatizadas identificam kits de ferramentas, técnicas e comportamentos de ataque sem arquivos. Esta solução, disponível por padrão, verifica periodicamente sua máquina em tempo de execução e extrai insights diretamente da memória dos processos. Informações específicas incluem a identificação de:

  • Kits de ferramentas bem conhecidos e software de mineração de criptografia
  • Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de vulnerabilidades de software
  • Executável malicioso injetado na memória do processo

A deteção de ataques sem arquivos gera alertas de segurança detalhados que incluem descrições com metadados de processo, como atividade de rede. Esses detalhes aceleram a triagem de alertas, a correlação e o tempo de resposta a jusante.