Introduzione a Microsoft Defender per server

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati i Azure Defender in piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione. Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Microsoft Defender per server è una delle funzionalità di sicurezza avanzate di Microsoft Defender per cloud. Usarlo per aggiungere il rilevamento delle minacce e difese avanzate ai computer Windows e Linux, indipendentemente dal fatto che siano in esecuzione in Azure, in locale o in un ambiente multi-cloud.

Per proteggere i computer in ambienti ibridi e multi-cloud, Defender per cloud usa Azure Arc. Connessione i computer ibridi e multi-cloud, come illustrato nella guida introduttiva pertinente:

Suggerimento

Per informazioni dettagliate sulle funzionalità di Defender per server rilevanti per i computer in esecuzione in altri ambienti cloud, vedere Funzionalità supportate per macchine virtuali e server.

Quali sono i vantaggi di Microsoft Defender per i server?

Le funzionalità di rilevamento delle minacce e protezione fornite con Microsoft Defender per i server includono:

  • Licenza integrata per Microsoft Defender per Endpoint : Microsoft Defender per server include Microsoft Defender per Endpoint. Insieme, le due soluzioni offrono funzionalità di rilevamento e reazione dagli endpoint (EDR) complete. Per altre informazioni, vedere Proteggere gli endpoint.

    Quando Microsoft Defender per endpoint rileva una minaccia, attiva un avviso. L'avviso viene visualizzato in Defender per cloud. Da Defender per cloud è anche possibile accedere alla console defender per endpoint ed eseguire un'analisi dettagliata per individuare l'ambito dell'attacco. Vedere altre informazioni su Microsoft Defender per endpoint.

    Importante

    L'integrazione di Defender per cloud con Microsoft Defender per Endpoint è abilitata per impostazione predefinita. Pertanto, quando si abilita Microsoft Defender per i server, si dà il consenso a Defender per Cloud per accedere ai dati di Microsoft Defender for Endpoint correlati a vulnerabilità, software installato e avvisi per gli endpoint.

    Per altre informazioni, vedere Proteggere gli endpoint con la soluzione EDR di Defender per cloud: Microsoft Defender per Endpoint.

  • Strumenti di valutazione della vulnerabilità per i computer: Microsoft Defender per server include una scelta di strumenti di individuazione e gestione delle vulnerabilità per i computer. Dalle pagine delle impostazioni di Defender per cloud è possibile selezionare gli strumenti da distribuire nei computer e le vulnerabilità individuate verranno visualizzate in una raccomandazione sulla sicurezza.

    • Microsoft gestione di minacce e vulnerabilità- Individuare vulnerabilità e configurazioni erre in tempo reale con Microsoft Defender per Endpoint e senza la necessità di altri agenti o analisi periodiche. Le minacce gestione delle vulnerabilità classificano in ordine di priorità le vulnerabilità in base al panorama delle minacce, ai rilevamenti nell'organizzazione, alle informazioni riservate sui dispositivi vulnerabili e al contesto aziendale. Per altre informazioni, vedere Analizzare i punti deboli con Microsoft Defender per l'endpoint gestione di minacce e vulnerabilità

    • Scanner di vulnerabilità basato su Qualys: lo scanner di Qualys è uno degli strumenti principali per l'identificazione in tempo reale delle vulnerabilità in Azure e nelle macchine virtuali ibride. Non è necessaria una licenza Qualys o nemmeno un account Qualys: tutto viene gestito senza problemi all'interno di Defender per Cloud. Per altre informazioni, vedere Scanner Qualys integrato di Defender per cloud per Macchine virtuali di Azure e ibride.

  • Accesso JIT (Just-in-Time) alle VM: gli attori di minacce cercano attivamente computer accessibili con porte di gestione aperte, come RDP o SSH. Tutte le macchine virtuali sono obiettivi potenziali per un attacco. Quando una VM viene compromessa, viene usata come punto di ingresso per attaccare altre risorse nell'ambiente.

    Quando si abilita Microsoft Defender per i server, è possibile usare l'accesso just-in-time alle macchine virtuali per bloccare il traffico in ingresso verso le macchine virtuali, riducendo l'esposizione agli attacchi e offrendo al tempo stesso un accesso semplice per connettersi alle macchine virtuali quando necessario. Per altre informazioni, vedere Informazioni sull'accesso JIT alle macchine virtuali.

  • Monitoraggio dell'integrità dei file: Monitoraggio dell'integrità dei file, detto anche monitoraggio delle modifiche, esamina i file e i registri del sistema operativo, il software delle applicazioni e altri elementi alla ricerca di modifiche che potrebbero indicare un attacco. Viene usato un metodo di confronto per determinare se lo stato corrente del file è diverso rispetto all'ultima analisi. È possibile usare questo confronto per stabilire se sono state apportate modifiche sospette o valide ai file.

    Quando si abilita Microsoft Defender per i server, è possibile usare FIM per convalidare l'integrità dei file Windows, dei registri Windows e dei file Linux. Per altre informazioni, vedere Monitoraggio dell'integrità dei file in Microsoft Defender per cloud.

  • Controlli applicazioni adattivi: i controlli applicazioni adattivi sono una soluzione intelligente e automatizzata per la definizione di elenchi consentiti di applicazioni sicure note per i computer.

    Dopo l'abilitazione e la configurazione dei controlli applicazioni adattivi, si riceveranno avvisi di sicurezza se viene eseguita un'applicazione non inclusa nell'elenco di applicazioni definite come sicure. Per altre informazioni, vedere Usare i controlli applicazioni adattivi per ridurre le superfici di attacco dei computer.

  • Protezione avanzata adattiva per la rete: l'applicazione dei gruppi di sicurezza di rete per filtrare il traffico verso e dalle risorse consente di migliorare il comportamento di sicurezza della rete. In alcuni casi, tuttavia, è comunque possibile che il traffico effettivo che attraversa il gruppo di sicurezza di rete corrisponda a un subset delle regole del gruppo di sicurezza di rete definite. In questi casi è possibile migliorare ancora il comportamento di sicurezza applicando la protezione avanzata alle regole del gruppo di sicurezza di rete, in base ai criteri effettivi del traffico.

    Protezione avanzata adattiva per la rete fornisce raccomandazioni per migliorare la protezione avanzata delle regole del gruppo di sicurezza di rete. Usa un algoritmo di Machine Learning che prende in considerazione il traffico effettivo, la configurazione attendibile nota, l'intelligence sulle minacce e altri indicatori di compromissione e quindi fornisce raccomandazioni per consentire il traffico solo da tuple di IP/porta specifiche. Per altre informazioni, vedere Migliorare il comportamento di sicurezza di rete con la protezione avanzata adattiva della rete.

  • Protezione avanzata dell'host Docker: Microsoft Defender per il cloud identifica i contenitori non gestiti ospitati in macchine virtuali IaaS Linux o in altri computer Linux che eseguono contenitori Docker. Defender per cloud valuta continuamente le configurazioni di questi contenitori. Li confronta quindi con Center for Internet Security (CIS) Docker Benchmark. Defender per cloud include l'intero set di regole di CIS Docker Benchmark e avvisa l'utente se i contenitori non soddisfano alcuno dei controlli. Per altre informazioni, vedere Harden your Docker hosts (Protezione avanzata degli host Docker).

  • Rilevamento di attacchi senza file: gli attacchi senza file inserisce payload dannosi in memoria per evitare il rilevamento tramite tecniche di analisi basate su disco. Il payload dell'utente malintenzionato persiste nella memoria dei processi compromessi ed esegue numerose attività dannose.

    Con il rilevamento degli attacchi senza file, tecnologie automatizzate di analisi forense della memoria identificano i toolkit, le tecniche e i comportamenti degli attacchi senza file. Questa soluzione analizza periodicamente il computer in fase di esecuzione ed estrae informazioni dettagliate direttamente dalla memoria dei processi. Le informazioni dettagliate specifiche includono l'identificazione di:

    • Toolkit noti e software di crypto mining

    • Shellcode, un piccolo frammento di codice usato in genere come payload nello sfruttamento di una vulnerabilità software

    • Codice eseguibile dannoso inserito nella memoria dei processi

    Il rilevamento di attacchi senza file genera avvisi di sicurezza dettagliati che includono descrizioni con i metadati del processo, ad esempio l'attività di rete. Questi dettagli accelerano la triangolazione degli avvisi, la correlazione e il tempo di risposta downstream. Questo approccio è complementare alle soluzioni di EDR eventi e offre una maggiore copertura per il rilevamento.

    Per informazioni dettagliate sugli avvisi di rilevamento degli attacchi senza file, vedere la tabella di riferimento degli avvisi.

  • Integrazione degli avvisi auditd Linux e dell'agente di Log Analytics (solo Linux) : il sistema auditd è un sottosistema a livello di kernel, responsabile del monitoraggio delle chiamate di sistema. Filtra le chiamate in base a un set di regole specificato e scrive messaggi per le chiamate in un socket. Defender per cloud integra le funzionalità del pacchetto auditd all'interno dell'agente di Log Analytics. Questa integrazione consente la raccolta degli eventi auditd in tutte le distribuzioni Linux supportate, senza alcun prerequisito.

    L'agente di Log Analytics per Linux raccoglie i record controllati e li arricchisce e li aggrega in eventi. Defender per il cloud aggiunge continuamente nuove analisi che usano segnali Linux per rilevare comportamenti dannosi nei computer Linux cloud e locali. In modo simile alle funzionalità di Windows, queste analisi abbracciano processi sospetti, tentativi di accesso ambigui, caricamento del modulo kernel e altre attività. Queste attività possono indicare che un computer è sotto attacco o è stato violato.

    Per un elenco degli avvisi di Linux, vedere la tabella di riferimento degli avvisi.

In che modo Defender per i server raccoglie i dati?

Ad Windows, Microsoft Defender per cloud si integra con i servizi di Azure per monitorare e proteggere i Windows basati su dispositivi. Defender per cloud presenta gli avvisi e i suggerimenti di correzione di tutti questi servizi in un formato facile da usare.

Per Linux, Defender per cloud raccoglie i record di controllo dai computer Linux usando auditd, uno dei framework di controllo Linux più comuni.

Per gli scenari ibridi e multi-cloud, Defender per cloud si integra con Azure Arc per garantire che questi computer non Azure siano visti come risorse di Azure.

Simulazione di avvisi

È possibile simulare avvisi scaricando uno dei playbook seguenti:

Passaggi successivi

In questo articolo sono stati appresi i dettagli di Microsoft Defender per server.

Per il materiale correlato, vedere la pagina seguente:

  • Se un avviso viene generato da Defender per cloud o ricevuto da Defender per Cloud da un prodotto di sicurezza diverso, è possibile esportarlo. Per esportare gli avvisi in Microsoft Sentinel, in qualsiasi sistema SIEM di terze parti o in qualsiasi altro strumento esterno, seguire le istruzioni riportate in Esportazione di avvisi in un sistema SIEM.