Información sobre Microsoft Defender para servidores
Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas a las máquinas Windows y Linux, tanto si se ejecutan en Azure,AWS, GCP y en el entorno local. Para proteger las máquinas en entornos híbridos y multinube, Defender for Cloud usa Azure Arc.
Microsoft Defender para servidores está disponible en dos planes:
Plan 1 de Microsoft Defender para servidores: implementa Microsoft Defender para punto de conexión en los servidores y proporciona estas funcionalidades:
- Las licencias de Microsoft Defender para punto de conexión se cobran por hora en lugar de por puesto, lo que reduce los costos de protección de las máquinas virtuales solo cuando están en uso.
- Microsoft Defender para punto de conexión implementa automáticamente en todas las cargas de trabajo en la nube para que sepa que están protegidas cuando se activan.
- Las alertas y los datos de vulnerabilidad de Microsoft Defender para punto de conexión se muestran en Microsoft Defender for Cloud
Plan 2 de Microsoft Defender para servidores (anteriormente Defender para servidores): incluye las ventajas del plan 1 y la compatibilidad con todas las demás características de Microsoft Defender para servidores.
Para habilitar los planes de Microsoft Defender para servidores:
Vaya a Configuración de entorno y seleccione su suscripción.
Si Microsoft Defender para servidores no está habilitado, establézcalo en Activado. El plan 2 se selecciona de forma predeterminada.
Si quiere cambiar el plan de Defender para servidores:
En la columna Plan/Precios, seleccione Change plan (Cambiar plan). Seleccione el plan que quiera y seleccione Confirm (Confirmar).
Planear las características
En la tabla siguiente se describe lo que se incluye en cada plan en un nivel alto.
| Característica | Plan 1 de Azure Defender para servidores | Plan 2 de Azure Defender para servidores |
|---|---|---|
| Incorporación automática de recursos en Azure, AWS, GCP | Sí | Sí |
| Administración de amenazas y vulnerabilidades de Microsoft | Sí | Sí |
| Flexibilidad para usar el portal de Microsoft Defender for Cloud o de Microsoft Defender | Sí | Sí |
| Integración de Microsoft Defender for Cloud y Microsoft Defender para punto de conexión (alertas, inventario de software, evaluación de vulnerabilidades) | Sí | Sí |
| Log-analytics (500 MB gratis) | Sí | |
| Evaluación de vulnerabilidades mediante Qualys | Sí | |
| Detecciones de amenazas: nivel de sistema operativo, capa de red, plano de control | Sí | |
| Controles de aplicación adaptables | Sí | |
| Supervisión de la integridad de los archivos | Sí | |
| Acceso de máquina virtual Just-In-Time | Sí | |
| Protección de red adaptable | Sí |
¿Cuáles son las ventajas de Defender para servidores?
Las funcionalidades de detección de amenazas y protección que se proporcionan con Microsoft Defender para servidores incluyen:
Licencia integrada para Microsoft Defender para punto de conexión: Microsoft Defender para servidores incluye Microsoft Defender para punto de conexión. Esta integración ofrece funcionalidades completas de detección y respuesta (EDR) de puntos de conexión. Al activar Microsoft Defender para servidor, Defender for Cloud obtiene acceso a los datos de Microsoft Defender for Endpoint relacionados con las vulnerabilidades, el software instalado y las alertas de los puntos de conexión.
Cuando Defender for Endpoint detecta una amenaza, desencadena una alerta. La alerta se muestra en Defender for Cloud. En Defender for Cloud, también puede dinamizar hasta la consola de Defender para punto de conexión para realizar una investigación detallada y descubrir el alcance del ataque.
Herramientas de evaluación de vulnerabilidades para máquinas: Microsoft Defender para servidores incluye una selección de herramientas de detección y administración de vulnerabilidades para las máquinas. En las páginas de configuración de Defender for Cloud, puede seleccionar las herramientas para implementar en las máquinas. Las vulnerabilidades descubiertas se muestran en una recomendación de seguridad.
Administración de vulnerabilidades y amenazas de Microsoft: detecte las vulnerabilidades y configuraciones incorrectas en tiempo real con Microsoft Defender for Endpoint y sin necesidad de otros agentes ni exámenes periódicos. La administración de amenazas y vulnerabilidades prioriza las vulnerabilidades según el panorama de amenazas, detecciones en la organización, información sensible en los dispositivos vulnerables y el contexto empresarial.
Detector de vulnerabilidades con tecnología de Qualys: el detector de Qualys es una de las herramientas líderes para identificar en tiempo real las vulnerabilidades en las máquinas virtuales híbridas y de Azure. No necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Defender for Cloud.
Acceso Just-In-Time (JIT) a máquinas virtuales: los agentes de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas las máquinas virtuales son objetivos potenciales para un ataque. Cuando se consigue poner en peligro a una máquina virtual, se usa como punto de entrada para atacar más recursos dentro de su entorno.
Al habilitar Microsoft Defender para servidores, puede usar el acceso a las máquinas virtuales Just-In-Time para bloquear el tráfico entrante a las máquinas virtuales. Mantener cerrados los puertos de acceso remoto hasta que sea necesario reduce la exposición a ataques y proporciona un acceso fácil para conectarse a las máquinas virtuales cuando sea necesario.
Supervisión de la integridad de los archivos (FIM) : la supervisión de la integridad de los archivos (FIM), conocida también como supervisión de los cambios, examina los archivos y los registros del sistema operativo, el software de aplicación y demás para comprobar la existencia de cambios que podrían indicar un ataque. Para determinar si el estado actual del archivo es diferente del último examen del archivo, se usa un método de comparación. Puede aprovechar esta comparación para determinar si se han realizado modificaciones sospechosas o válidas en los archivos.
Una vez que se habilita Microsoft Defender para servidores, puede usar FIM para validar la integridad de los archivos de Windows, los registros de Windows y los archivos de Linux.
Controles de aplicaciones adaptables (ACC) : los controles de aplicaciones adaptables son una solución inteligente y automatizada que permite definir listas de aplicaciones permitidas seguras conocidas para las máquinas.
Después de activar y configurar los controles de aplicaciones adaptables, recibirá alertas de seguridad si se ejecuta alguna aplicación distinta de las definidas como seguras.
Protección de red adaptable (ANH) : la aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la posición de seguridad de red. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a través del NSG es un subconjunto de las reglas de NSG definidas. En estos casos, puede mejorar la postura de seguridad al proteger aún más las reglas de NSG, según los patrones de tráfico real.
La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG. Emplea un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración de confianza conocida, la inteligencia de amenazas y otros indicadores de riesgo. A continuación, ANH ofrece recomendaciones para permitir el tráfico solo desde determinadas IP y tuplas de puertos.
Protección del host de Docker: Microsoft Defender for Cloud identifica contenedores no administrados y que están hospedados en VM de IaaS Linux u otras máquinas de Linux que ejecutan contenedores de Docker. Defender for Cloud evalúa continuamente las configuraciones de estos contenedores. A continuación, las compara con el Banco de prueba para Docker del Centro de seguridad de Internet (CIS). Defender for Cloud incluye todo el conjunto de reglas del banco de prueba de Docker de CIS y le avisa si los contenedores no cumplen ninguno de los controles.
Detección de ataques sin archivos: Los ataques sin archivos inyectan cargas malintencionadas en la memoria para evitar la detección mediante técnicas de detección basadas en disco. Luego, la carga del atacante se conserva dentro de la memoria de los procesos en peligro y realiza una amplia variedad de actividades malintencionadas.
Con la detección de ataques sin archivos, las técnicas forense de memoria automatizadas identifican kits de herramientas, técnicas y comportamientos de los ataques sin archivos. Esta solución examina periódicamente la máquina en tiempo de ejecución y extrae conclusiones directamente de la memoria de los procesos. Las conclusiones específicas incluyen la identificación de:
- Kits de herramientas conocidas y software de minería de datos de cifrado.
- Shellcode: un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
- Archivo ejecutable malintencionado insertado en la memoria de proceso.
La detección de ataques sin archivos genera alertas de seguridad detalladas que incluyen descripciones con los metadatos de proceso, como la actividad de red. Estos detalles aceleran la evaluación de prioridades de alertas, la correlación y el tiempo de respuesta descendente. Este enfoque complementa a las soluciones EDR basadas en eventos y proporciona mayor cobertura de detección.
Integración de las alertas de auditd de Linux y el agente de Log Analytics (solo Linux) : el sistema de auditd consta de un subsistema de nivel de kernel, que es responsable de supervisar las llamadas del sistema. Las filtra según un conjunto de reglas especificado y escribe mensajes para ellas en un socket. Defender for Cloud integra funcionalidades del paquete auditd dentro del agente de Log Analytics. Esta integración permite una colección de eventos de auditd en todas las distribuciones de Linux admitidas sin requisitos previos.
El agente de Log Analytics para Linux recopila registros auditados, los enriquece y los agrega a eventos. Defender for Cloud agrega continuamente análisis nuevos que usan señales de Linux para detectar comportamientos malintencionados en máquinas Linux locales y en la nube. Al igual que las capacidades de Windows, estos análisis incluyen pruebas que comprueban los procesos sospechosos, intentos de inicio de sesión dudosos, carga de módulos del kernel y otras actividades. Estas actividades pueden indicar que una máquina está sufriendo un ataque o se ha vulnerado.
¿Cómo recopila los datos Defender para servidores?
Para Windows, Microsoft Defender for Cloud se integra con servicios de Azure para supervisar y proteger las máquinas Windows. Defender for Cloud presenta las alertas y las sugerencias de corrección de todos estos servicios en un formato fácil de usar.
Para Linux, Defender for Cloud recopila registros de auditoría de máquinas Linux mediante auditd, uno de los marcos de trabajo de Linux más comunes.
En escenarios híbridos y de varias nubes, Defender for Cloud se integra con Azure Arc para asegurarse de que estas máquinas que no son de Azure se vean como recursos de Azure.