Información sobre Microsoft Defender para servidores
Microsoft Defender para servidores es una de las características de seguridad mejoradas disponibles en Microsoft Defender for Cloud. Puede usarlo para agregar detección de amenazas y defensas avanzadas a las máquinas Windows y Linux que existen en entornos híbridos y multinube.
Para proteger las máquinas, Defender for Cloud usa Azure Arc. Puede conectar las máquinas que no son de Azure a Microsoft Defender for Cloud, conectar sus cuentas de AWS a Microsoft Defender for Cloud o conectar los proyectos de GCP a Microsoft Defender for Cloud.
Sugerencia
Para más información sobre qué características de Defender para servidores son importantes para las máquinas que se ejecutan en otros entornos en la nube, consulte el apartado Características admitidas en máquinas virtuales y servidores.
Para más información, vea estos vídeos en la serie de vídeos del ámbito de Defender for Cloud:
- Microsoft Defender para servidores
- Características mejoradas de protección de cargas de trabajo en Defender para servidores
- Implementación en Defender para servidores en AWS y GCP
Planes de Defender para servidores disponibles
Defender para servidores le permite elegir uno de los dos planes de pago siguientes:
| Característica | Plan 1 de Azure Defender para servidores | Plan 2 de Azure Defender para servidores |
|---|---|---|
| Incorporación automática de recursos en Azure, AWS, GCP | 
|
|
| Administración de amenazas y vulnerabilidades de Microsoft |
|
|
| Flexibilidad para usar el portal de Microsoft Defender for Cloud o Microsoft 365 Defender |
|
|
| Integración de Microsoft Defender for Cloud y Microsoft Defender para punto de conexión (alertas, inventario de software y evaluación de vulnerabilidades) |
|
|
| Cumplimiento normativo y directiva de seguridad |
|
|
| Log-analytics (500 MB gratis) |
|
|
| Evaluación de vulnerabilidades mediante Qualys |
|
|
| Detecciones de amenazas: nivel de sistema operativo, capa de red, plano de control |
|
|
| Controles de aplicación adaptables |
|
|
| Supervisión de la integridad de los archivos |
|
|
| Acceso de máquina virtual Just-In-Time |
|
|
| Protección de red adaptable |
|
Puede obtener más información sobre las diferentes ventajas de cada plan de servidor.
Plan 1
El plan 1 incluye las siguientes ventajas:
- Incorporación automática de recursos en Azure, AWS, GCP
- Administración de amenazas y vulnerabilidades de Microsoft
- Flexibilidad para usar el portal de Microsoft Defender for Cloud o Microsoft 365 Defender
- Una suscripción de Microsoft Defender para punto de conexión que incluye acceso a alertas, inventario de software, evaluación de vulnerabilidades y una integración automática con Microsoft Defender for Cloud.
La suscripción a Microsoft Defender para punto de conexión permite implementar Defender para punto de conexión en los servidores. Defender para punto de conexión incluye las siguientes funcionalidades:
- Las licencias se cobran por hora, en lugar de por puesto, lo que reduce los costos, ya que las máquinas virtuales se protegen solo cuando están en uso.
- Microsoft Defender para punto de conexión se implementa automáticamente en todas las cargas de trabajo en la nube para que sepa que están protegidas cuando se activan.
- Tanto las alertas como los datos de vulnerabilidad se muestran en Microsoft Defender for Cloud.
Plan 2 (anteriormente Defender para servidores)
El plan 2 incluye todas las ventajas incluidas del plan 1. Además, incluye las siguientes características:
- Cumplimiento normativo y directiva de seguridad
- Log-analytics (500 MB gratis)
- Evaluación de vulnerabilidades mediante Qualys
- Detecciones de amenazas: nivel de sistema operativo, capa de red, plano de control
- Controles de aplicación adaptables
- Supervisión de la integridad de los archivos
- Acceso de máquina virtual Just-In-Time
- Protección de red adaptable
Para obtener información sobre los precios en la moneda de su elección y según su región, consulte la página de precios.
Seleccionar un plan
Puede seleccionar el plan al habilitar características de seguridad mejoradas en las suscripciones y áreas de trabajo. De forma predeterminada, el plan 2 se selecciona cuando se establece el plan de Defender para servidores en Activado.
Si en algún momento quiere cambiar el plan de Defender para servidores, puede hacerlo en la página Planes de Defender seleccionando Cambiar plan.
Ventajas de los planes de Defender para servidores
Defender para servidores ofrece funcionalidades de protección y detección de amenazas que constan de:
Incluidas en el plan 1 y en el plan 2
Administración de amenazas y vulnerabilidades de Microsoft
Defender para servidores incluye una selección de herramientas de detección y administración de vulnerabilidades para las máquinas. Puede seleccionar las herramientas que va a implementar en las máquinas. Las vulnerabilidades descubiertas se muestran en una recomendación de seguridad.
Detecte las vulnerabilidades y configuraciones incorrectas en tiempo real con Microsoft Defender para punto de conexión sin necesidad de otros agentes ni exámenes periódicos. La administración de amenazas y vulnerabilidades prioriza las vulnerabilidades según el panorama de amenazas, detecciones en la organización, información sensible en los dispositivos vulnerables y el contexto empresarial. Obtenga más información en Investigación de puntos débiles con la solución de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión
Licencia integrada para Microsoft Defender para punto de conexión
Defender para servidores incluye Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión. Al activar Defender para servidores, Defender for Cloud obtiene acceso a los datos de Microsoft Defender para punto de conexión relacionados con las vulnerabilidades, el software instalado y las alertas de los puntos de conexión.
Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en la página Recomendación de Defender for Cloud. En Defender for Cloud, también puede dinamizar hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque. Aprenda a proteger los puntos de conexión.
Solo se incluye en el plan 2
Detector de vulnerabilidades con tecnología de Qualys
Defender para servidores incluye una selección de herramientas de detección y administración de vulnerabilidades para las máquinas. Puede seleccionar las herramientas que va a implementar en las máquinas. Las vulnerabilidades descubiertas se muestran en una recomendación de seguridad.
El detector de Qualys es una de las principales herramientas para identificar en tiempo real las vulnerabilidades en las máquinas virtuales híbridas y de Azure. No necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Defender for Cloud. Puede obtener más información sobre el examen de Qualys integrado en Defender for Cloud para Azure y máquinas híbridas.
Controles de aplicaciones adaptables (AAC)
Los controles de aplicaciones adaptables son una solución inteligente y automatizada para definir listas de permitidos de aplicaciones seguras conocidas para las máquinas.
Después de activar y configurar los controles de aplicaciones adaptables, recibirá alertas de seguridad si se ejecuta alguna aplicación distinta de las definidas como seguras. Aprenda a usar controles de aplicaciones adaptables para reducir las superficies de ataque de las máquinas.
Supervisión de la integridad de los archivos (FIM)
La supervisión de la integridad de los archivos (FIM), conocida también como supervisión de los cambios, examina los archivos y registros del sistema operativo, el software de aplicación y otros elementos para comprobar la existencia de cambios que podrían indicar un ataque. Para determinar si el estado actual del archivo es diferente del último examen del archivo, se usa un método de comparación. Puede aprovechar esta comparación para determinar si se han realizado modificaciones sospechosas o válidas en los archivos.
Tras habilitar Defender para servidores, se puede usar FIM para validar la integridad de los archivos de Windows, los registros de Windows y los archivos de Linux. Obtenga más información sobre la supervisión de la integridad de archivos en Microsoft Defender for Cloud.
Acceso Just-In-Time (JIT) a máquinas virtuales
Los actores de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas las máquinas virtuales son objetivos potenciales para un ataque. Cuando se consigue poner en peligro a una máquina virtual, se usa como punto de entrada para atacar más recursos dentro de su entorno.
Al habilitar Microsoft Defender para servidores, puede usar el acceso a las máquinas virtuales Just-In-Time para bloquear el tráfico entrante a las máquinas virtuales. Esto reduce la exposición a los ataques y proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario. Obtenga más información sobre el acceso Just-In-Time a máquinas virtuales.
Protección de red adaptable (ANH)
La aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la postura de seguridad de red. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a través del NSG es un subconjunto de las reglas de NSG definidas. En estos casos, puede mejorar la postura de seguridad al proteger aún más las reglas de NSG, según los patrones de tráfico real.
La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG. Emplea un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de confianza conocida, la inteligencia de amenazas y otros indicadores de riesgo. A continuación, ANH ofrece recomendaciones para permitir el tráfico solo desde determinadas IP y tuplas de puertos. Aprenda a mejorar la posición de seguridad de la red con la protección de red adaptable.
Defender for Cloud identifica contenedores hospedados en máquinas virtuales de IaaS Linux u otras máquinas de Linux que ejecutan contenedores de Docker que no están administrados. Defender for Cloud evalúa continuamente las configuraciones de estos contenedores. A continuación, las compara con el Banco de prueba para Docker del Centro de seguridad de Internet (CIS). Defender for Cloud incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los contenedores no cumplen ninguno de los controles. Para más información, consulte Protección de los hosts de Docker.
Detección de ataques sin archivos
Los ataques sin archivos insertan cargas malintencionadas en la memoria para evitar la detección mediante técnicas de análisis basadas en disco. Luego, la carga del atacante se conserva dentro de la memoria de los procesos en peligro y realiza una amplia variedad de actividades malintencionadas.
Con la detección de ataques sin archivos, las técnicas forense de memoria automatizadas identifican kits de herramientas, técnicas y comportamientos de los ataques sin archivos. Esta solución examina periódicamente la máquina en tiempo de ejecución y extrae conclusiones directamente de la memoria de los procesos. Las conclusiones específicas incluyen la identificación de:
Kits de herramientas conocidas y software de minería de datos de cifrado.
Shellcode: un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
Archivo ejecutable malintencionado insertado en la memoria de proceso.
La detección de ataques sin archivos genera alertas de seguridad detalladas que incluyen descripciones con los metadatos de proceso, como la actividad de red. Estos detalles aceleran la evaluación de prioridades de alertas, la correlación y el tiempo de respuesta descendente. Este enfoque complementa a las soluciones EDR basadas en eventos y proporciona mayor cobertura de detección.
Para obtener detalles de las alertas de detección de ataques sin archivo, consulte la Tabla de referencia de alertas.
Alertas auditadas de Linux e integración del agente de Log Analytics (solo Linux)
El sistema de auditd está compuesto por un subsistema de nivel de kernel, que es responsable de supervisar las llamadas del sistema. Las filtra según un conjunto de reglas especificado y escribe mensajes para ellas en un socket. Defender for Cloud integra funcionalidades del paquete auditd dentro del agente de Log Analytics. Esta integración permite una colección de eventos de auditd en todas las distribuciones de Linux admitidas sin requisitos previos.
El agente de Log Analytics para Linux recopila registros auditados, los enriquece y los agrega a eventos. Defender for Cloud agrega continuamente análisis nuevos que usan señales de Linux para detectar comportamientos malintencionados en máquinas Linux locales y en la nube. Al igual que las capacidades de Windows, estos análisis incluyen pruebas que comprueban los procesos sospechosos, intentos de inicio de sesión dudosos, carga de módulos del kernel y otras actividades. Estas actividades pueden indicar que una máquina está sufriendo un ataque o se ha vulnerado.
Para obtener una lista de las alertas de Linux, consulte la Tabla de referencia de alertas.
¿Cómo recopila los datos Defender para servidores?
Para Windows, Microsoft Defender for Cloud se integra con servicios de Azure para supervisar y proteger las máquinas Windows. Defender for Cloud presenta las alertas y las sugerencias de corrección de todos estos servicios en un formato fácil de usar.
Para Linux, Defender for Cloud recopila registros de auditoría de máquinas Linux mediante auditd, uno de los marcos de trabajo de Linux más comunes.
En escenarios híbridos y de varias nubes, Defender for Cloud se integra con Azure Arc para asegurarse de que estas máquinas que no son de Azure se vean como recursos de Azure.
Simulación de alertas
Puede simular alertas mediante la descarga de alguno de los cuadernos de estrategias:
Por Windows: Cuaderno de Microsoft Defender for Cloud: alertas de seguridad.
Para Linux: Cuaderno de Microsoft Defender for Cloud: detecciones de Linux.
Saber más
Para más información sobre Defender para servidores, puede consultar los siguientes blogs:
Puede encontrar material relacionado en la página siguiente:
- Tanto si Defender for Cloud genera una alerta como si recibe una alerta de un producto de seguridad diferente, puede exportar las alertas de Defender for Cloud. Para exportar las alertas a Microsoft Sentinel, a cualquier SIEM de terceros o a cualquier otra herramienta externa, siga las instrucciones de Exportación de alertas a un SIEM.
Pasos siguientes
En este artículo, ha obtenido información sobre Microsoft Defender para servidores.