適用於伺服器的 Azure Defender 簡介

適用於伺服器的 Azure Defender 可為您的 Windows 和 Linux 機器新增威脅偵測和進階防禦功能。

針對 Windows,Azure Defender 可與 Azure 服務整合,以監視及保護您的 Windows 機器。 資訊安全中心會以便於使用的格式,提供來自這些服務的警示和補救建議。

針對 Linux,Azure Defender 會使用 auditd (最常見的 Linux 稽核架構之一),從 Linux 機器收集稽核記錄。

適用於伺服器的 Azure Defender 有哪些優點?

適用於伺服器的 Azure Defender 所提供的威脅偵測和保護功能包括:

  • 適用于 端點的 Microsoft Defender 整合式授權-適用于伺服器的 Azure defender 包含 適用于端點的 microsoft defender。 兩者搭配運作下,可提供完整的端點偵測和回應 (EDR) 功能。 如需詳細資訊,請參閱 保護您的端點

    適用於端點的 Microsoft Defender 偵測到威脅時會觸發警示。 警示會顯示在資訊安全中心中。 在資訊安全中心,您也可以切換至適用於端點的 Microsoft Defender 主控台並執行詳細的調查,以找出攻擊的範圍。 深入了解適用於端點的 Microsoft Defender。

    重要

    在使用資訊安全中心的 Windows 電腦上,會自動啟用 Microsoft Defender for Endpoint 感應器。

    我們目前正在提供 Linux 機器的感應器供預覽。 深入瞭解如何使用資訊安全中心的整合式 EDR 解決方案來保護您的端點: Microsoft Defender for Endpoint

  • Vm 的弱點評定掃描 -適用于伺服器的 Azure Defender 包含由 Qualys 提供技術支援的漏洞掃描器。

    Qualys 「掃描器」是在 Azure 和混合式虛擬機器中即時識別弱點的其中一個領先的工具。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 如需詳細資訊,請參閱 適用于 azure 和混合式機器的 Azure Defender 整合式弱點評估解決方案

  • Just-In-Time (JIT) 虛擬機器 (VM) 存取 - 威脅執行者會利用開啟的管理連接埠 (如 RDP 或 SSH) 主動尋找可存取的機器。 您所有的虛擬機器都是攻擊的潛在目標。 VM 一旦遭到入侵,即會成為進入點,據以進一步攻擊您的環境中其他的資源。

    啟用適用於伺服器的 Azure Defender 時,您可以使用 Just-In-Time VM 存取來鎖定 VM 的輸入流量,進而降低暴露於攻擊的風險,同時視需要輕鬆地連線至 VM。 如需詳細資訊,請參閱 瞭解 JIT VM 存取

  • 檔案完整性監視 (FIM) - 檔案完整性監視 (FIM) 也稱為變更監視,會檢查作業系統、應用程式軟體等檔案和登錄中是否有可能表示攻擊的變更。 它使用比較方法來判斷檔案的目前狀態是否不同於上次掃描的檔案。 您可以利用這項比較,來判斷檔案是否遭受到有效或可疑的修改。

    啟用適用於伺服器的 Azure Defender 時,您可以使用 FIM 來驗證 Windows 檔案、Windows 登錄和 Linux 檔案的完整性。 如需詳細資訊,請參閱 Azure 資訊安全中心中的檔案完整性監視

  • 自動調整 應用程式控制 (AAC) 自我調整應用程式控制項,是一種智慧型和自動化的解決方案,可為您的機器定義已知安全的應用程式 allowlists。

    已啟用並設定自適性應用程式控制時,如果有任何您未定義於安全清單中的應用程式執行,您就會收到安全性警示。 如需詳細資訊,請參閱 使用適應性應用程式控制來減少電腦的攻擊面

  • 自適性網路強化 (ANH) - 套用網路安全性群組 (NSG) 以篩選資源的出入流量,從而改善網路安全性態勢。 但在某些情況下,透過 NSG 傳輸的實際流量仍有可能包含在已定義的 NSG 規則中。 在這些情況下,您可以根據實際的流量模式強化 NSG 規則,以進一步改善安全性態勢。

    自適性網路強化會提供進一步強化 NSG 規則的建議。 此功能會使用將實際流量、已知的信任設定、威脅情報和其他危害指標等因素納入考量的機器學習演算法,然後提供建議,而僅允許來自特定 IP/連接埠元組的流量。 如需詳細資訊,請參閱透過調適 型網路強化來改善您的網路安全性狀況

  • Docker 主機強化 - Azure 資訊安全中心可識別 IaaS Linux VM 上裝載的非受控容器,或其他執行 Docker 容器的 Linux 機器。 資訊安全中心會持續評估這些容器的設定。 然後與網際網路安全性 (CIS) Docker 基準測試中心進行比較。 資訊安全中心包含 CIS Docker 基準測試的整個規則集,並會在您的容器無法滿足任何控制項時發出警示。 如需詳細資訊,請參閱 強化您的 Docker 主機

  • 無檔案攻擊偵測 -無檔案攻擊會將惡意承載插入記憶體中,以避免以磁片為基礎的掃描技術偵測。 攻擊者承載會保存在遭入侵之程序的記憶體中,並執行各式各樣的惡意活動。

    透過無檔案攻擊偵測,自動化記憶體鑑識技術可識別無檔案攻擊的工具組、技術和行為。 此解決方案會在執行階段定期掃描您的機器,並直接從程序的記憶體中擷取深入解析。 特定深入解析包括下列各項的識別:

    • 知名的工具組和密碼編譯採礦軟體

    • Shellcode 是一小段程式碼,通常用來作為惡意探索軟體弱點的承載。

    • 在程序記憶體中插入惡意可執行檔

    無檔案攻擊偵測會產生詳細的安全性警示,其中包含程式中繼資料(例如網路活動)的描述。 這些詳細資料會加速警示分級、相互關聯和下游回應時間。 這種方法可補充以事件為基礎的 EDR 解決方案,並提供更高的偵測涵蓋範圍。

    如需無檔案攻擊偵測警示的詳細資訊,請參閱警示的參考資料表

  • Linux auditd 警示與 Log Analytics 代理程式的整合 (僅限 Linux) - auditd 系統由核心層級子系統所組成,負責監視系統呼叫。 此系統會依指定的規則集篩選這些呼叫,並將其訊息寫入至通訊端。 資訊安全中心會整合 Log Analytics 代理程式內的 auditd 套件所包含的功能。 這項整合可讓您在所有支援的 Linux 發行版本中收集 auditd 事件,而不需要任何必要條件。

    適用于 Linux 的 Log Analytics 代理程式會收集 auditd 記錄和擴充,並將其匯總到事件中。 資訊安全中心會持續新增新的分析,使用 Linux 信號偵測雲端和內部部署 Linux 機器上的惡意行為。 與 Windows 功能類似,這些分析的執行範圍遍及可疑的程序、可疑的登入嘗試、核心模組載入和其他活動。 出現這些活動時,表示機器可能受到攻擊或已遭入侵。

    如需 Linux 警示的清單,請參閱警示的參考資料表

模擬警示

您可以下載下列其中一個劇本以模擬警示:

後續步驟

在本文中,您已了解適用於伺服器的 Azure Defender。

如需相關材質,請參閱下列頁面:

  • 無論是由資訊安全中心產生警示,還是由不同的安全性產品資訊安全中心接收的警示,您都可以將其匯出。 若要將您的警示匯出至 Azure Sentinel、任何第三方 SIEM 或任何其他外部工具,請依照將警示匯出至 SIEM 中的指示操作。