Introducción a Microsoft Defender para servidores

windows defender

Microsoft Defender para servidores es una de las funciones de seguridad mejoradas de Microsoft Defender para la nube. Úselo para agregar detección de amenazas y defensas avanzadas a sus máquinas Windows y Linux, ya sea que se ejecuten en Azure, AWS, GCP y entorno local.

Para proteger las máquinas en entornos híbridos y de múltiples nubes, Defender for Cloud usa Azure Arc . Conecte sus máquinas híbridas y multinube como se explica en la guía de inicio rápido correspondiente:

¿Cuáles son los planes de Microsoft Defender para servidores?

Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas para sus máquinas Windows y Linux, ya sea que se ejecuten en Azure, AWS, GCP o en las instalaciones. Microsoft Defender para servidores está disponible en dos planes:

  • Microsoft Defender for Servers Plan 1: implementa Microsoft Defender for Endpoint en sus servidores con estas capacidades adicionales:
  • Las licencias de Microsoft Defender para Endpoint se cobran por hora en lugar de por puesto, lo que reduce los costos de proteger las máquinas virtuales solo cuando están en uso.
  • Microsoft Defender para Endpoint se implementa automáticamente en todas las cargas de trabajo en la nube para que sepa que están protegidas cuando se activan.
  • Los datos de alertas y vulnerabilidades de Microsoft Defender para Endpoint se muestran en Microsoft Defender para la nube
  • Microsoft Defender for Servers Plan 2(anteriormente Defender for Servers): incluye los beneficios del plan 1 y es compatible con todas las demás características de Microsoft Defender for Servers.

¿Cuáles son los beneficios de Defender para servidores?

Las capacidades de protección y detección de amenazas proporcionadas con Microsoft Defender para servidores incluyen:

  • Licencia integrada para Microsoft Defender para Endpoint: Microsoft Defender para servidores incluye Microsoft Defender para Endpoint. Juntos, brindan capacidades integrales de detección y respuesta (EDR) de punto final. Cuando habilita Microsoft Defender para servidores, da su consentimiento para que Defender para la nube acceda a los datos de Microsoft Defender para puntos finales relacionados con vulnerabilidades, software instalado y alertas para sus puntos finales.

Cuando Defender for Endpoint detecta una amenaza, activa una alerta. La alerta se muestra en Defender for Cloud. Desde Defender for Cloud, también puede cambiar a la consola de Defender for Endpoint y realizar una investigación detallada para descubrir el alcance del ataque. Para obtener más información, consulte Proteja sus terminales .

  • Herramientas de evaluación de vulnerabilidades para máquinas: Microsoft Defender para servidores incluye una selección de herramientas de detección y administración de vulnerabilidades para sus máquinas. Desde las páginas de configuración de Defender for Cloud, puede seleccionar cuál de estas herramientas implementar en sus máquinas y las vulnerabilidades descubiertas se mostrarán en una recomendación de seguridad.
  • Administración de vulnerabilidades y amenazas de Microsoft: descubra vulnerabilidades y configuraciones incorrectas en tiempo real con Microsoft Defender para Endpoint, y sin la necesidad de agentes adicionales o escaneos periódicos. La gestión de amenazas y vulnerabilidades prioriza las vulnerabilidades en función del panorama de amenazas, las detecciones en su organización, la información confidencial en los dispositivos vulnerables y el contexto empresarial. Obtenga más información en Investigar debilidades con Microsoft Defender para la administración de vulnerabilidades y amenazas de Endpoint.
  • Escáner de vulnerabilidades con tecnología Qualys: el escáner Qualys es una de las herramientas líderes para la identificación en tiempo real de vulnerabilidades en sus máquinas virtuales Azure e híbridas. No necesita una licencia de Qualys o incluso una cuenta de Qualys: todo se maneja sin problemas dentro de Defender for Cloud. Obtenga más información en el escáner Qualys integrado de Defender for Cloud para Azure y máquinas híbridas .
  • Acceso a máquina virtual (VM) justo a tiempo (JIT): los actores de amenazas buscan activamente máquinas accesibles con puertos de administración abiertos, como RDP o SSH. Todas sus máquinas virtuales son objetivos potenciales para un ataque. Cuando una máquina virtual se ve comprometida con éxito, se usa como punto de entrada para atacar más recursos dentro de su entorno.

Cuando habilita Microsoft Defender para servidores, puede usar el acceso a máquinas virtuales justo a tiempo para bloquear el tráfico entrante a sus máquinas virtuales, lo que reduce la exposición a los ataques y proporciona un acceso fácil para conectarse a las máquinas virtuales cuando sea necesario. Para obtener más información, consulte Descripción del acceso a máquinas virtuales JIT .

  • Supervisión de integridad de archivos (FIM): la supervisión de integridad de archivos (FIM), también conocida como supervisión de cambios, examina los archivos y registros del sistema operativo, el software de aplicación y otros en busca de cambios que puedan indicar un ataque. Se utiliza un método de comparación para determinar si el estado actual del archivo es diferente del último escaneo del archivo. Puede utilizar esta comparación para determinar si se han realizado modificaciones válidas o sospechosas en sus archivos.

Cuando habilita Microsoft Defender para servidores, puede usar FIM para validar la integridad de los archivos de Windows, sus registros de Windows y los archivos de Linux. Para obtener más información, consulte Supervisión de la integridad de los archivos en Microsoft Defender para la nube .

  • Controles de aplicaciones adaptables (AAC): los controles de aplicaciones adaptables son una solución inteligente y automatizada para definir listas permitidas de aplicaciones seguras conocidas para sus máquinas.

Cuando haya habilitado y configurado los controles de aplicaciones adaptables, recibirá alertas de seguridad si se ejecuta alguna aplicación distinta de las que ha definido como seguras. Para obtener más información, consulte Usar controles de aplicaciones adaptables para reducir las superficies de ataque de sus máquinas .

  • Fortalecimiento de red adaptativo (ANH): la aplicación de grupos de seguridad de red (NSG) para filtrar el tráfico hacia y desde los recursos mejora la postura de seguridad de su red. Sin embargo, aún puede haber algunos casos en los que el tráfico real que fluye a través del NSG sea un subconjunto de las reglas del NSG definidas. En estos casos, se puede lograr una mejora adicional de la postura de seguridad mediante el endurecimiento de las reglas de NSG, en función de los patrones de tráfico reales.

Adaptive Network Hardening brinda recomendaciones para fortalecer aún más las reglas de NSG. Utiliza un algoritmo de aprendizaje automático que tiene en cuenta el tráfico real, la configuración confiable conocida, la inteligencia de amenazas y otros indicadores de compromiso, y luego brinda recomendaciones para permitir el tráfico solo desde tuplas de IP/puerto específicas. Para obtener más información, consulte Mejore la postura de seguridad de su red con el fortalecimiento de la red adaptable .

  • Refuerzo del host de Docker: Microsoft Defender para la nube identifica contenedores no administrados alojados en máquinas virtuales Linux IaaS u otras máquinas Linux que ejecutan contenedores de Docker. Defender for Cloud evalúa continuamente las configuraciones de estos contenedores. Luego los compara con el Docker Benchmark del Centro para la Seguridad en Internet (CIS). Defender for Cloud incluye todo el conjunto de reglas de CIS Docker Benchmark y le avisa si sus contenedores no cumplen alguno de los controles. Para obtener más información, consulte Reforzar sus hosts de Docker .
  • Detecciónde ataques sin archivos: los ataques sin archivos inyectan cargas maliciosas en la memoria para evitar la detección mediante técnicas de escaneo basadas en disco. La carga útil del atacante persiste en la memoria de los procesos comprometidos y realiza una amplia gama de actividades maliciosas.

Con la detección de ataques sin archivos, las técnicas forenses de memoria automatizadas identifican conjuntos de herramientas, técnicas y comportamientos de ataques sin archivos. Esta solución escanea periódicamente su máquina en tiempo de ejecución y extrae información directamente de la memoria de los procesos. Los conocimientos específicos incluyen la identificación de:

  • Juegos de herramientas y software de criptominería conocidos
  • Shellcode, que es una pequeña pieza de código que normalmente se usa como carga útil en la explotación de una vulnerabilidad de software.
  • Ejecutable malicioso inyectado en la memoria del proceso

La detección de ataques sin archivos genera alertas de seguridad detalladas que incluyen descripciones con metadatos de procesos, como la actividad de la red. Estos detalles aceleran la clasificación de alertas, la correlación y el tiempo de respuesta posterior. Este enfoque complementa las soluciones EDR basadas en eventos y proporciona una mayor cobertura de detección.

¿Cómo recopila datos Defender para servidores?

Para Windows, Microsoft Defender for Cloud se integra con los servicios de Azure para monitorear y proteger sus máquinas basadas en Windows. Defender for Cloud presenta las alertas y sugerencias de corrección de todos estos servicios en un formato fácil de usar.

Para Linux, Defender for Cloud recopila registros de auditoría de máquinas Linux mediante auditd, uno de los marcos de auditoría de Linux más comunes.

Para escenarios híbridos y de varias nubes, Defender for Cloud se integra con Azure Arc para garantizar que estas máquinas que no son de Azure se consideren recursos de Azure.