Sichern von Azure Arc-fähigen Servern mit Microsoft Defender für Server

  • 6 Minuten

Tailwind Traders interessiert sich für mehr der erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud. Zu diesen erweiterten Sicherheitsfeatures gehören Sicherheitsrisikenbewertungen, Dateiintegritätsüberwachung und adaptive Anwendungssteuerelemente. In dieser Lektion erfahren Sie, wie Azure Arc-fähige Server zusammen mit Microsoft Defender für Server noch mehr Sicherheitsfunktionen entsperren können.

Übersicht über Microsoft Defender für Server

Microsoft Defender für Server ist eines der erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud. Microsoft Defender for Servers bietet eine Bedrohungserkennung und erweiterte Verteidigungsmechanismen für Windows- und Linux-Computer. Dabei spielt es keine Rolle, ob diese in Azure, lokal oder in einer Multi-Cloud-Umgebung ausgeführt werden. Zu den wichtigsten Vorteilen von Defender für Server gehören:

  • Microsoft Defender für Endpunktintegration
  • Verhaltensanalysen virtueller Computer (und Sicherheitswarnungen)
  • Dateilose Sicherheitswarnungen
  • Integrierter Qualys-Sicherheitsrisikoscanner
  • Überwachung der Dateiintegrität
  • Adaptive Anwendungssteuerungen
  • Dashboard und Berichte zur Einhaltung gesetzlicher Bestimmungen
  • Fehlende Bewertung von BS-Patches
  • Bewertung von Sicherheitsfehlkonfigurationen
  • Bewertung von Endpoint Protection
  • Bewertung von Nicht-Microsoft-Sicherheitsrisiken

Integration in Microsoft Defender für Endpunkt

Defender für Server umfasst Microsoft Defender für Endpoint. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.

Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender für Cloud angezeigt. Von Defender für Cloud können Sie auch zur Defender für Endpunkt-Konsole pivotieren und eine detaillierte Untersuchung durchführen, um den Umfang des Angriffs aufzudecken. Wenn Sie Defender für Server aktivieren, gewähren Sie Defender for Cloud Zugriff auf die Defender für Endpunkt-Daten im Zusammenhang mit Sicherheitsrisiken, installierter Software und Warnungen.

Tools zur Bewertung von Sicherheitsrisiken

Defender für Server umfasst eine Auswahl an Tools zur Erkennung und Verwaltung von Sicherheitsrisiken. Auf den Einstellungsseiten von Defender für Cloud können Sie auswählen, ob diese Tools auf Ihren Computern bereitgestellt werden sollen. Alle entdeckten Sicherheitsrisiken werden in einer Sicherheitsempfehlung angezeigt.

  • Verwaltung von Microsoft-Bedrohungen und Sicherheitsrisiken: Entdecken Sie Sicherheitsrisiken und Fehlkonfigurationen in Echtzeit mit Defender für Endpunkt, ohne dass mehr Agents oder regelmäßige Scans erforderlich sind. Bedrohungs- und Sicherheitsrisikomanagement priorisiert Sicherheitsrisiken basierend auf der Bedrohungslandschaft, vertraulichen Informationen und dem Geschäftskontext.
  • Sicherheitsrisikoscanner, der von Qualys unterstützt wird: Qualys ist eines der führenden Tools zur Echtzeitidentifizierung von Sicherheitsrisiken auf Ihren virtuellen Hybridcomputern. Sie benötigen keine Qualys-Lizenz oder sogar ein Qualys-Konto; Alles wird nahtlos in Defender for Cloud behandelt.

Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM)

Die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) untersucht Dateien und Registrierungen von Betriebssystemen und Anwendungssoftware auf Änderungen, die auf einen Angriff hinweisen können. Eine Vergleichsmethode wird verwendet, um zu bestimmen, ob der aktuelle Status der Datei sich von der letzten Überprüfung der Datei unterscheidet. Mit diesem Vergleich können Sie ermitteln, ob gültige oder verdächtige Änderungen an Ihren Dateien vorgenommen wurden.

Wenn Sie Defender für Server aktivieren, können Sie FIM verwenden, um die Integrität von Windows-Dateien, Ihre Windows-Registrierungen und Linux-Dateien zu überprüfen.

Adaptive Anwendungssteuerelemente (AAC)

Adaptive Anwendungssteuerungen sind eine intelligente, automatisierte Lösung zum Definieren von Zulassungslisten bekannter und sicherer Anwendungen für Ihre Computer. Wenn Sie adaptive Anwendungssteuerelemente konfiguriert haben, erhalten Sie Sicherheitswarnungen, wenn eine andere Anwendung ausgeführt wird als die, die Sie als sicher definiert haben.

Erkennung dateiloser Angriffe

Dateilose Angriffe fügen schädliche Nutzlasten in den Arbeitsspeicher ein, um die Erkennung durch datenträgerbasierte Scantechniken zu vermeiden. Die Nutzlast des Angreifers bleibt dann im Speicher kompromittierter Prozesse erhalten und führt eine Vielzahl von bösartigen Aktivitäten aus.

Die Erkennung dateiloser Angriffe erkennt dank automatisierter forensischer Techniken für den Arbeitsspeicher Toolkits, Techniken und Verhaltensweisen im Zusammenhang mit dateilosen Angriffen. Diese Lösung, die standardmäßig verfügbar ist, überprüft Ihren Computer regelmäßig zur Laufzeit und extrahiert Erkenntnisse direkt aus dem Speicher der Prozesse. Zu den spezifischen Erkenntnissen zählt die Ermittlung der folgenden Elemente:

  • Bekannte Toolkits und Kryptografieminingsoftware
  • Shellcode, bei dem es sich um einen kleinen Code handelt, der typischerweise als Nutzlast bei der Ausnutzung von Software-Schwachstellen verwendet wird
  • Injektion bösartiger ausführbarer Dateien in den Prozessspeicher

Bei der Erkennung dateiloser Angriffe werden ausführliche Sicherheitswarnungen generiert, die Beschreibungen mit Prozessmetadaten (etwa zur Netzwerkaktivität) enthalten. Diese Details beschleunigen die Warnungsselektion und die Korrelation und verkürzen die Downstream-Antwortzeit.