Inleiding tot Azure Defender voor servers

Azure Defender voor servers voegt bedreigingsdetectie en geavanceerde beveiliging toe voor uw Windows- en Linux-machines.

Voor Windows wordt Azure Defender geïntegreerd met Azure-Services om uw op Windows gebaseerde computers te controleren en te beveiligen. Security Center toont de waarschuwingen en suggesties voor herstel van al deze services in een gemakkelijk te gebruiken indeling.

Voor Linux verzamelt Azure Defender controlerecords van Linux-machines met behulp van auditd, een van de meest voorkomende Linux-controleframeworks.

Wat zijn de voordelen van Azure Defender voor servers?

De bedreigingsdetectie- en beveiligingsmogelijkheden van Azure Defender voor servers zijn onder andere:

  • Geïntegreerde licentie voor Microsoft Defender for Endpoint: Azure Defender voor servers bevat Microsoft Defender voor eindpunt . Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR). Zie Uw eindpunten beveiligen voor meer informatie.

    Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Security Center. Vanuit Security Center kunt u ook naar de Defender voor Eindpunten-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken. Meer informatie over Microsoft Defender voor Eindpunten.

    Belangrijk

    Security Center integratie met Microsoft Defender for Endpoint is standaard ingeschakeld. Dus wanneer u Azure Defender inschakelen, geeft u Azure Defender servers toestemming voor toegang tot de Microsoft Defender for Endpoint-gegevens met betrekking tot beveiligingsproblemen, geïnstalleerde software en waarschuwingen voor uw eindpunten.

    De sensor wordt momenteel aangeboden voor Linux-machines in de preview-versie. Meer informatie in Uw eindpunten beveiligen met de geïntegreerde Security Center van EDR oplossing: Microsoft Defender for Endpoint.

  • Hulpprogramma's voor de evaluatie van beveiligingsle Azure Defender voor servers bevat een keuze uit hulpprogramma's voor detectie en beheer van beveiligingsleed voor uw computers. Op Security Center instellingenpagina's kunt u selecteren welke van deze hulpprogramma's u wilt implementeren op uw computers. De gevonden beveiligingsproblemen worden weergegeven in een beveiligingsaanbeveling.

    • Microsoft Threat and Vulnerability Management: detecteer beveiligingsproblemen en onjuiste configuraties in realtime met Microsoft Defender for Endpoint en zonder dat er aanvullende agents of periodieke scans nodig zijn. Bedreigingen en vulnerability management prioriteit geven aan beveiligingsproblemen op basis van het bedreigingslandschap, detecties in uw organisatie, gevoelige informatie op kwetsbare apparaten en bedrijfscontext. Meer informatie in Zwakke plekken onderzoeken met de microsoft Defender for Endpoint-Threat and Vulnerability Management

    • Scanner voor beveiligingsproblemen powered by De scanner van Qualys is een van de toonaangevende hulpprogramma's voor realtime identificatie van beveiligingsproblemen in uw Azure- en hybride virtuele machines. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Meer informatie in Azure Defender de geïntegreerde Qualys-scanner voor Azure- en hybride machines.

  • Just-in-time-VM-toegang (JIT) : makers van bedreigingen jagen actief op toegankelijke machines met open beheerpoorten, zoals RDP of SSH. Al uw virtuele machines zijn potentiële doelen voor een aanval. Wanneer het lukt een VM aan te tasten, wordt deze gebruikt als ingangspunt om verdere resources in uw omgeving aan te vallen.

    Wanneer u Azure Defender voor servers inschakelt, kunt u just-in-time-VM-toegang gebruiken om binnenkomend verkeer naar uw Azure-VM's te blokkeren, zodat u minder kwetsbaar bent voor aanvallen maar tegelijkertijd eenvoudig verbinding met VM's kunt maken wanneer dat nodig is. Zie Understanding JIT VM access (JiT VM-toegang) voor meer informatie.

  • FIM (File Integrity Monitoring) : met bestandsintegriteitscontole (FIM), ook wel bekend als wijzigingscontrole, worden bestanden en registers van het besturingssysteem, toepassingssoftware en andere gecontroleerd op wijzigingen die mogelijk duiden op een aanval. Er wordt een vergelijkingsmethode gebruikt om te bepalen of de huidige toestand van het bestand anders is dan bij de laatste scan van het bestand. U kunt deze vergelijking gebruiken om te bepalen of er geldige of verdachte wijzigingen zijn aangebracht in uw bestanden.

    Wanneer u Azure Defender voor servers inschakelt, kunt u FIM gebruiken om de integriteit van Windows-bestanden, uw Windows-registers en Linux-bestanden te valideren. Zie Bewaking van bestandsintegriteit inAzure Security Center.

  • Adaptieve toepassingsregelaars (AAC) : adaptieve toepassingsbesturingselementen zijn een intelligente en geautomatiseerde oplossing voor het definiëren van toegestane lijsten met bekende veilige toepassingen voor uw machines.

    Wanneer u adaptieve toepassingsregelaars hebt ingeschakeld en geconfigureerd, krijgt u beveiligingswaarschuwingen als er andere toepassingen worden uitgevoerd dan degene die u als veilig hebt gedefinieerd. Zie Adaptieve toepassingsregelaars gebruiken om de aanvalsoppervlakken van uw computers te verminderen voor meer informatie.

  • Adaptive Network Hardening (ANH) : het toepassen van netwerkbeveiligingsgroepen (NSG) om het verkeer van en naar resources te filteren, verbetert uw netwerkbeveiligingspostuur. Maar er kunnen toch nog enkele gevallen zijn waarin het werkelijke verkeer dat via de NSG stroomt een subset is van de gedefinieerde NSG-regels. In dergelijke gevallen kunt u het beveiligingspostuur verder verbeteren door de NSG-regels te versterken op basis van de werkelijke verkeerspatronen.

    Adaptieve netwerkbeveiliging biedt aanbevelingen voor verdere versterking van de NSG-regels. Het maakt gebruik van een machine learning-algoritme dat rekening houdt met werkelijk verkeer, bekende vertrouwde configuratie, bedreigingsinformatie en andere aanwijzingen voor aantasting, en geeft vervolgens aanbevelingen om alleen verkeer van bepaalde IP-/poort-tuples toe te staan. Zie Uw netwerkbeveiligingsstatus verbeteren met adaptieve netwerkbeveiliging voor meer informatie.

  • Beveiliging van Docker-host: Azure Security Center identificeert niet-beheerde containers die worden gehost op IaaS Linux-VM's of andere Linux-machines waarop Docker-containers worden uitgevoerd. Security Center evalueert doorlopend de configuraties van deze containers. Vervolgens worden ze vergeleken met de Docker-benchmark van het CIS (Center for Internet Security). Security Center bevat de volledige regelset van de CIS Docker-benchmark en waarschuwt u als uw containers niet voldoen aan een van de controles. Zie Harden your Docker hosts (Uw Docker-hosts harden) voor meer informatie.

  • Detectie van bestandsloze aanvallen: bestandsloze aanvallen injecteren schadelijke nettoladingen in het geheugen om detectie door schijfscantechnieken te voorkomen. De payload van de aanvaller blijft vervolgens achter in het geheugen met aangetaste processen en kan allerlei schadelijke activiteiten uitvoeren.

    Met detectie van bestandsloze aanvallen detecteren geautomatiseerde forensische technieken de toolkits, technieken en gedragingen van bestandsloze aanvallen. Deze oplossing scant uw machine periodiek tijdens runtime, en extraheert inzichten rechtstreeks uit het geheugen van processen. Specifieke inzichten zijn de identificatie van:

    • Bekende toolkits en software voor crypto-mining

    • Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.

    • Schadelijk uitvoerbaar bestand dat wordt geïnjecteerd in het procesgeheugen

    Detectie van bestandsloze aanvallen genereert gedetailleerde beveiligingswaarschuwingen met beschrijvingen met metagegevens van processen, zoals netwerkactiviteit. Deze details versnellen de triage van waarschuwingen, correlatie en downstream reactietijd. Deze aanpak vormt een aanvulling op op gebeurtenissen EDR oplossingen en biedt meer detectiedekking.

    Zie de Referentietabel van waarschuwingen voor meer informatie over de waarschuwingen van bestandsloze-aanvaldetectie.

  • Integratie van Linux-auditd-waarschuwingen en Log Analytics-agent (alleen Linux) : het auditd-systeem bestaat uit een subsysteem op kernelniveau, dat verantwoordelijk is voor het bewaken van systeemaanroepen. Het filtert ze met een opgegeven regelset en schrijft berichten voor ze naar een socket. Security Center integreert de functionaliteit van het auditd-pakket in de Log Analytics-agent. Met deze integratie kunnen auditd-gebeurtenissen in alle ondersteunde Linux-distributies worden verzameld, zonder dat hiervoor vereisten gelden.

    Log Analytics-agent voor Linux verzamelt controlerecords en verrijkt en aggregeert deze in gebeurtenissen. Security Center voegt doorlopend nieuwe analyses toe die gebruikmaken van Linux-signalen om schadelijk gedrag in Linux-machines in de cloud en on-premises te detecteren. Net als bij Windows-mogelijkheden kijken deze analyses naar verdachte processen, dubieuze aanmeldingspogingen, laden van kernel-modules en andere activiteiten. Deze activiteiten kunnen erop wijzen dat een machine wordt aangevallen of al is aangetast.

    Zie de Referentietabel met waarschuwingen voor een lijst met Linux-waarschuwingen.

Waarschuwingen simuleren

U kunt waarschuwingen simuleren door een van de volgende playbooks te downloaden:

Volgende stappen

In dit artikel bent u meer te weten gekomen over Azure Defender voor servers.

Zie de volgende pagina voor gerelateerd materiaal:

  • Een waarschuwing kunt u altijd exporteren, ongeacht of deze door Security Center is gegenereerd of door Security Center is ontvangen vanuit een ander beveiligingsproduct. Als u uw waarschuwingen wilt exporteren naar Azure Sentinel, een extern SIEM of een ander extern hulpprogramma, volgt u de instructies in Waarschuwingen naar een SIEM exporteren.