Información sobre Microsoft Defender para servidores

Microsoft Defender para servidores es una de las características de seguridad mejoradas de Microsoft Defender for Cloud. Utilícelo para agregar detección de amenazas y defensas avanzadas a las máquinas Windows y Linux, tanto si se ejecutan en Azure, AWS, GCP y en el entorno local.

Para proteger las máquinas en entornos híbridos y de varias nubes, Defender for Cloud usa Azure Arc. Conecte las máquinas híbridas y de varias nubes, como se explica en la guía de inicio rápido correspondiente:

Sugerencia

Para más información sobre qué características de Defender para servidores son pertinentes para las máquinas que se ejecutan en otros entornos en la nube, consulte Características admitidas para máquinas virtuales y servidores.

Si desea obtener más información del administrador de productos sobre Defender for Servers, vea Microsoft Defender for Servers. También puede ver Características de protección de cargas de trabajo mejoradas en Defender for Servers.

¿Cuáles son los planes de Microsoft Defender para servidores?

Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas a las máquinas Windows y Linux, tanto si se ejecutan en Azure,AWS, GCP y en el entorno local. Microsoft Defender para servidores está disponible en dos planes:

  • Plan 1 de Microsoft Defender para servidores: implementa Microsoft Defender para punto de conexión en los servidores y proporciona estas funcionalidades:

    • Las licencias de Microsoft Defender para punto de conexión se cobran por hora en lugar de por puesto, lo que reduce los costos de protección de las máquinas virtuales solo cuando están en uso.
    • Microsoft Defender para punto de conexión implementa automáticamente en todas las cargas de trabajo en la nube para que sepa que están protegidas cuando se activan.
    • Las alertas y los datos de vulnerabilidad de Microsoft Defender para punto de conexión se muestran en Microsoft Defender for Cloud
  • Plan 2 de Microsoft Defender para servidores (anteriormente Defender para servidores): incluye las ventajas del plan 1 y la compatibilidad con todas las demás características de Microsoft Defender para servidores.

Para obtener información sobre los precios en la moneda de su elección y según su región, consulte la página de precios.

Para habilitar los planes de Microsoft Defender para servidores:

  1. Vaya a Configuración de entorno y seleccione su suscripción.

  2. Si Microsoft Defender para servidores no está habilitado, establézcalo en Activado. El plan 2 se selecciona de forma predeterminada.

    Si quiere cambiar el plan de Defender para servidores:

    1. En la columna Plan/Precios, seleccione Change plan (Cambiar plan).
    2. Seleccione el plan que quiera y seleccione Confirm (Confirmar).

En la tabla siguiente se describe lo que se incluye en cada plan en un nivel alto.

Característica Plan 1 de Azure Defender para servidores Plan 2 de Azure Defender para servidores
Incorporación automática de recursos en Azure, AWS, GCP
Administración de amenazas y vulnerabilidades de Microsoft
Flexibilidad para usar el portal de Microsoft Defender for Cloud o Microsoft 365 Defender
Integración de Microsoft Defender for Cloud y Microsoft Defender para punto de conexión (alertas, inventario de software, evaluación de vulnerabilidades)
Log-analytics (500 MB gratis)
Evaluación de vulnerabilidades mediante Qualys
Detecciones de amenazas: nivel de sistema operativo, capa de red, plano de control
Controles de aplicación adaptables
Supervisión de la integridad de los archivos
Acceso de máquina virtual Just-In-Time
Protección de red adaptable

¿Cuáles son las ventajas de Defender para servidores?

Las funcionalidades de detección de amenazas y protección que se proporcionan con Microsoft Defender para servidores incluyen:

  • Licencia integrada de Microsoft Defender para punto de conexión: Microsoft Defender para servidores incluye Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión. Al activar Microsoft Defender para servidor, Defender for Cloud obtiene acceso a los datos de Microsoft Defender for Endpoint relacionados con las vulnerabilidades, el software instalado y las alertas de los puntos de conexión.

    Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud. En Defender for Cloud, también puede dinamizar hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque. Para más información, consulte Proteja los puntos de conexión con la solución EDR integrada de Security Center: Microsoft Defender para punto de conexión.

  • Herramientas de evaluación de vulnerabilidades para máquinas: Microsoft Defender para servidores incluye una selección de herramientas de detección y administración de vulnerabilidades para las máquinas. En las páginas de configuración de Defender for Cloud, puede seleccionar las herramientas para implementar en las máquinas. Las vulnerabilidades descubiertas se muestran en una recomendación de seguridad.

  • Acceso Just-In-Time (JIT) a máquinas virtuales: los agentes de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas las máquinas virtuales son objetivos potenciales para un ataque. Cuando se consigue poner en peligro a una máquina virtual, se usa como punto de entrada para atacar más recursos dentro de su entorno.

    Al habilitar Microsoft Defender para servidores, puede usar el acceso a las máquinas virtuales Just-In-Time para bloquear el tráfico entrante a las máquinas virtuales. Esto reduce la exposición a los ataques y proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario. Para más información, consulte Descripción del acceso a la máquina virtual Just-in-Time (JIT).

  • Supervisión de la integridad de los archivos (FIM) : la supervisión de la integridad de los archivos (FIM), conocida también como supervisión de los cambios, examina los archivos y los registros del sistema operativo, el software de aplicación y demás para comprobar la existencia de cambios que podrían indicar un ataque. Para determinar si el estado actual del archivo es diferente del último examen del archivo, se usa un método de comparación. Puede aprovechar esta comparación para determinar si se han realizado modificaciones sospechosas o válidas en los archivos.

    Una vez que se habilita Microsoft Defender para servidores, puede usar FIM para validar la integridad de los archivos de Windows, los registros de Windows y los archivos de Linux. Para obtener más información, vea Supervisión de la integridad de los archivos en Microsoft Defender for Cloud.

  • Controles de aplicaciones adaptables (ACC) : los controles de aplicaciones adaptables son una solución inteligente y automatizada que permite definir listas de aplicaciones permitidas seguras conocidas para las máquinas.

    Después de activar y configurar los controles de aplicaciones adaptables, recibirá alertas de seguridad si se ejecuta alguna aplicación distinta de las definidas como seguras. Para más información, consulte Uso de controles de aplicaciones adaptables para reducir las superficies de ataque de las máquinas.

  • Protección de red adaptable (ANH) : la aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la posición de seguridad de red. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a través del NSG es un subconjunto de las reglas de NSG definidas. En estos casos, puede mejorar la postura de seguridad al proteger aún más las reglas de NSG, según los patrones de tráfico real.

    La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG. Emplea un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de confianza conocida, la inteligencia de amenazas y otros indicadores de riesgo. A continuación, ANH ofrece recomendaciones para permitir el tráfico solo desde determinadas IP y tuplas de puertos. Para más información, consulte Mejora de la posición de seguridad de red con la protección de redes adaptativa.

  • Protección del host de Docker: Microsoft Defender for Cloud identifica contenedores no administrados y que están hospedados en VM de IaaS Linux u otras máquinas de Linux que ejecutan contenedores de Docker. Defender for Cloud evalúa continuamente las configuraciones de estos contenedores. A continuación, las compara con el Banco de prueba para Docker del Centro de seguridad de Internet (CIS). Defender for Cloud incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los contenedores no cumplen ninguno de los controles. Para más información, consulte Protección de los hosts de Docker.

  • Detección de ataques sin archivos: Los ataques sin archivos inyectan cargas malintencionadas en la memoria para evitar la detección mediante técnicas de detección basadas en disco. Luego, la carga del atacante se conserva dentro de la memoria de los procesos en peligro y realiza una amplia variedad de actividades malintencionadas.

    Con la detección de ataques sin archivos, las técnicas forense de memoria automatizadas identifican kits de herramientas, técnicas y comportamientos de los ataques sin archivos. Esta solución examina periódicamente la máquina en tiempo de ejecución y extrae conclusiones directamente de la memoria de los procesos. Las conclusiones específicas incluyen la identificación de:

    • Kits de herramientas conocidas y software de minería de datos de cifrado.

    • Shellcode: un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.

    • Archivo ejecutable malintencionado insertado en la memoria de proceso.

    La detección de ataques sin archivos genera alertas de seguridad detalladas que incluyen descripciones con los metadatos de proceso, como la actividad de red. Estos detalles aceleran la evaluación de prioridades de alertas, la correlación y el tiempo de respuesta descendente. Este enfoque complementa a las soluciones EDR basadas en eventos y proporciona mayor cobertura de detección.

    Para obtener detalles de las alertas de detección de ataques sin archivo, consulte la Tabla de referencia de alertas.

  • Integración de las alertas de auditd de Linux y el agente de Log Analytics (solo Linux) : el sistema de auditd consta de un subsistema de nivel de kernel, que es responsable de supervisar las llamadas del sistema. Las filtra según un conjunto de reglas especificado y escribe mensajes para ellas en un socket. Defender for Cloud integra funcionalidades del paquete auditd dentro del agente de Log Analytics. Esta integración permite una colección de eventos de auditd en todas las distribuciones de Linux admitidas sin requisitos previos.

    El agente de Log Analytics para Linux recopila registros auditados, los enriquece y los agrega a eventos. Defender for Cloud agrega continuamente análisis nuevos que usan señales de Linux para detectar comportamientos malintencionados en máquinas Linux locales y en la nube. Al igual que las capacidades de Windows, estos análisis incluyen pruebas que comprueban los procesos sospechosos, intentos de inicio de sesión dudosos, carga de módulos del kernel y otras actividades. Estas actividades pueden indicar que una máquina está sufriendo un ataque o se ha vulnerado.

    Para obtener una lista de las alertas de Linux, consulte la Tabla de referencia de alertas.

¿Cómo recopila los datos Defender para servidores?

Para Windows, Microsoft Defender for Cloud se integra con servicios de Azure para supervisar y proteger las máquinas Windows. Defender for Cloud presenta las alertas y las sugerencias de corrección de todos estos servicios en un formato fácil de usar.

Para Linux, Defender for Cloud recopila registros de auditoría de máquinas Linux mediante auditd, uno de los marcos de trabajo de Linux más comunes.

En escenarios híbridos y de varias nubes, Defender for Cloud se integra con Azure Arc para asegurarse de que estas máquinas que no son de Azure se vean como recursos de Azure.

Simulación de alertas

Puede simular alertas mediante la descarga de alguno de los cuadernos de estrategias:

Más información

Para obtener más información, puede consultar los siguientes blogs:

Pasos siguientes

En este artículo, ha obtenido información sobre Microsoft Defender para servidores.

Puede encontrar material relacionado en la página siguiente:

  • Tanto si Defender for Cloud genera una alerta como si recibe una alerta de un producto de seguridad diferente, puede exportar las alertas de Defender for Cloud. Para exportar las alertas a Microsoft Sentinel, a cualquier SIEM de terceros o a cualquier otra herramienta externa, siga las instrucciones de Exportación de alertas a un SIEM.