使用適用於伺服器的 Microsoft Defender 保護已啟用 Azure Arc 的伺服器
Tailwind Traders 想進一步了解適用於雲端的 Microsoft Defender 的增強的安全性功能。 這些增強的安全性功能包括弱點評估、檔案完整性監視和自適性應用程式控制。 在本單元中,您將了解已啟用 Azure Arc 的伺服器搭配適用於伺服器的 Microsoft Defender 如何解鎖更多安全性功能。
適用於伺服器的 Microsoft Defender 概觀
適用於伺服器的 Microsoft Defender 是適用於雲端的 Microsoft Defender 的增強的安全性功能之一。 無論您的 Windows 和 Linux 機器是在 Azure、內部部署或多雲端環境中執行,適用於伺服器的 Microsoft Defender 都會為機器增添威脅偵測和進階防禦。 適用於伺服器的 Microsoft Defender 核心優點包括:
- 適用於端點的 Microsoft Defender 整合
- 虛擬機器行為分析 (與安全性警示)
- 無檔案安全性警示
- 整合式 Qualys 弱點掃描器
- 檔案完整性監視
- 自適性應用程式控制
- 法規合規性儀表板與報表
- 缺少作業系統修補程式評估
- 安全性設定錯誤的評量
- Endpoint Protection 代理程式
- 第三方弱點評量
與適用於端點的 Microsoft Defender 整合
適用於伺服器的 Microsoft Defender 包含適用於端點的 Microsoft Defender。 兩者搭配運作下,可提供完整的端點偵測及回應 (EDR) 功能。
適用於端點的 Defender 偵測到威脅時會觸發警示。 警示會顯示在適用於雲端的 Defender 中。 在適用於雲端的 Defender 中,您也可以切換至適用於端點的 Microsoft Defender 主控台並執行詳細的調查,以找出攻擊的範圍。 當您啟用適用於伺服器的 Microsoft Defender 時,適用於雲端的 Defender 即可存取與弱點、已安裝軟體和警示相關的適用於端點的 Microsoft Defender 資料。
弱點評估工具
適用於伺服器的 Microsoft Defender 提供了弱點探索和管理工具的選擇。 您可以從適用於雲端的 Defender 設定頁面選擇是否要將這些工具部署至您的機器。 任何發現的弱點都會顯示在安全性建議中。
- Microsoft 威脅與弱點管理:使用適用於端點的 Defender 即時探索弱點和設定錯誤,而不需要更多代理程式或定期掃描。 威脅和弱點管理會根據威脅環境、敏感性資訊和業務內容來排定弱點的優先處理順序。
- Qualys 所提供的弱點掃描器:領先業界的工具之一,可即時找出混合式虛擬機器中的弱點。 您不需要 Qualys 授權或 Qualys 帳戶:一切都可以在適用於雲端的 Defender 內流暢進行。
檔案完整性監視 (FIM)
檔案完整性監視 (FIM) 會檢查作業系統和應用程式軟體的檔案和登錄中是否有可能表示攻擊的變更。 使用比較方法來判斷檔案的目前狀態是否與檔案最後一次掃描時不同。 您可以利用這項比較,來判斷檔案是否遭受到有效或可疑的修改。
啟用適用於伺服器的 Microsoft Defender 時,您可以使用 FIM 來驗證 Windows 檔案、Windows 登錄和 Linux 檔案的完整性。
自適性應用程式控制 (AAC)
自適性應用程式控制是智慧型且自動化的解決方案,可為您的機器定義已知安全應用程式的允許清單。 已設定自適性應用程式控制時,如果有任何您未定義於安全清單中的應用程式執行,您就會收到安全性警示。
無檔案攻擊偵測
無檔案攻擊會將惡意承載插入記憶體中,以規避磁碟型掃描技術的偵測。 攻擊者的承載接著會保存在遭入侵的處理序記憶體中,並執行各式各樣的惡意活動。
透過無檔案攻擊偵測,自動化記憶體鑑識技術可識別無檔案攻擊的工具組、技術和行為。 此解決方案預設可供使用,會在執行階段定期掃描您的機器,並直接從程序的記憶體中擷取深入解析。 特定見解包括下列各項的識別:
- 知名的工具組和密碼編譯採礦軟體
- Shellcode 是一小段程式碼,通常用來作為惡意探索軟體弱點的承載。
- 在處理序記憶體中插入的惡意可執行檔
無檔案攻擊偵測會產生詳細的安全性警示,內含描述與更多流程中繼資料 (例如網路活動)。 這些詳細資料可加速警示分級、相互關聯和下游回應時間。