使用 Microsoft Defender for Servers 保护已启用 Azure Arc 的服务器

6 分钟

Tailwind Traders 对更多 Microsoft Defender for Cloud 增强的安全功能感兴趣。这些增强的安全功能包括漏洞评估、文件完整性监视和自适应应用程序控制。在本单元中，你将了解如何将已启用 Azure Arc 的服务器与 Microsoft Defender for Servers 一起解锁更多安全功能。

Microsoft Defender for Servers 概述

Microsoft Defender for Servers 是 Microsoft Defender for Cloud 的增强安全功能之一。 Defender for Servers 为 Windows 和 Linux 计算机添加了威胁检测和高级防护，无论它们是在 Azure、本地还是多云环境中运行。 Defender for Servers 的核心优势包括：

Microsoft Defender for Endpoint 集成
虚拟机行为分析（和安全警报）
无文件安全警报
集成的 Qualys 漏洞扫描程序
文件完整性监视
自适应应用程序控制
合规性仪表板和报表
缺少 OS 修补程序评估
安全配置错误评估
终结点保护评估
非Microsoft漏洞评估

与 Microsoft Defender for Endpoint 集成

Defender for Servers 包括Microsoft Defender for Endpoint。两者共同提供全面的终结点检测和响应 (EDR) 功能。

Defender for Endpoint 在检测到威胁时会触发警报。该警报显示在 Defender for Cloud 中。在 Defender for Cloud 中，还可以透视到 Defender for Endpoint 控制台，并执行详细的调查，以发现攻击的范围。启用 Defender for Servers 时，可授予 Defender for Cloud 访问与漏洞、已安装的软件和警报相关的 Defender for Endpoint 数据的权限。

漏洞评估工具

Defender for Servers 包括漏洞发现和管理工具的选择。在 Defender for Cloud 的设置页中，可以选择是否将这些工具部署到计算机。任何发现的漏洞都显示在安全建议中。

Microsoft威胁和漏洞管理：使用 Defender for Endpoint 实时发现漏洞和错误配置，而无需执行更多代理或定期扫描。威胁和漏洞管理根据威胁环境、敏感信息和业务上下文确定漏洞的优先级。
由 Qualys 提供支持的漏洞扫描程序：Qualys 是用于实时识别混合虚拟机中漏洞的主要工具之一。不需要 Qualys 许可证，甚至不需要 Qualys 帐户;一切都在 Defender for Cloud 内无缝处理。

文件完整性监视（FIM）

文件完整性监视（FIM）检查操作系统和应用程序软件的文件和注册表，以检测可能表示攻击的更改。将使用比较方法来确定当前文件状态是否不同于上次扫描该文件时的状态。可以使用此比较来确定对文件是否进行了有效或可疑的修改。

启用 Defender for Servers 时，可以使用 FIM 来验证 Windows 文件、Windows 注册表和 Linux 文件的完整性。

自适应应用程序控制（AAC）

自适应应用程序控制是智能的自动化解决方案，用于为计算机定义已知安全应用程序的允许列表。配置自适应应用程序控制后，如果除定义为安全的应用程序之外的任何应用程序运行，则会收到安全警报。

无文件攻击检测

无文件攻击将恶意有效负载注入内存中，以避免通过基于磁盘的扫描技术进行检测。然后，攻击者的有效负载将保留在已泄露进程的内存中，并执行各种恶意活动。

自动内存取证技术使用无文件攻击检测来识别无文件攻击工具包、方法和行为。默认情况下，此解决方案在运行时定期扫描计算机，并直接从进程的内存中提取见解。特定见解包括对以下内容的识别：

常见工具包和加密挖掘软件
Shellcode，是一小段代码，通常用作软件漏洞利用中的攻击载荷。
进程内存中注入的恶意可执行文件

无文件攻击检测会生成详细的安全警报，其中包含进程元数据（如网络活动）的描述。这些详细信息可加快警报会审、关联和缩短下游响应时间。

反馈

此页面是否有帮助？