適用于服務(wù)器的 Azure Defender 簡介

適用于服務(wù)器的Azure Defender添加了適用于Windows和Linux計(jì)算機(jī)的威脅檢測和高級防護(hù)功能。

針對Windows，Azure Defender與Azure服務(wù)集成，可以監(jiān)視和保護(hù)基于Windows的計(jì)算機(jī)。安全中心以易用的格式提供來自所有這些服務(wù)的警報(bào)和修正建議。

安全中心使用auditd（最常見的Linux審核框架之一）從Linux計(jì)算機(jī)收集審核記錄。auditd駐留在主線內(nèi)核中。

適用于服務(wù)器的Azure Defender有哪些優(yōu)點(diǎn)？

適用于服務(wù)器的Azure Defender提供的威脅檢測和保護(hù)功能包括：

用于終結(jié)點(diǎn)的Microsoft Defender的集成許可證（僅限Windows）-適用于服務(wù)器的Azure Defender包括用于終結(jié)點(diǎn)的Microsoft Defender。兩者共同提供全面的終結(jié)點(diǎn)檢測和響應(yīng)(EDR)功能。了解詳細(xì)信息。

用于終結(jié)點(diǎn)的Defender在檢測到威脅時(shí)會觸發(fā)警報(bào)。警報(bào)在安全中心顯示。在安全中心，還可以透視用于終結(jié)點(diǎn)的Defender控制臺，并執(zhí)行詳細(xì)調(diào)查來發(fā)現(xiàn)攻擊范圍。了解有關(guān)用于終結(jié)點(diǎn)的Microsoft Defender的詳細(xì)信息。

重要

使用安全中心的Windows服務(wù)器上已自動啟用用于終結(jié)點(diǎn)的Microsoft Defender傳感器。

VM漏洞評估掃描-Azure安全中心隨附的漏洞掃描程序由Qualys提供支持。

Qualys的掃描程序是一種用于實(shí)時(shí)識別Azure虛擬機(jī)中的漏洞的領(lǐng)先工具。你無需具備Qualys許可證，甚至還不需要Qualys帳戶-所有操作都在安全中心內(nèi)無縫執(zhí)行。了解詳細(xì)信息。

實(shí)時(shí)(JIT)虛擬機(jī)(VM)訪問-威脅制造者會主動搜尋設(shè)有開放管理端口（如RDP或SSH）的可訪問計(jì)算機(jī)。你的所有虛擬機(jī)都是潛在的攻擊目標(biāo)。VM在被成功入侵后將會用作進(jìn)一步攻擊環(huán)境中資源的入口點(diǎn)。

啟用適用于服務(wù)器的Azure Defender時(shí)，可以使用實(shí)時(shí)VM訪問功能來鎖定發(fā)往VM的入站流量，降低遭受攻擊的可能性，同時(shí)在需要時(shí)還允許輕松連接到VM。了解詳細(xì)信息。

文件完整性監(jiān)視(FIM)-文件完整性監(jiān)視(FIM)也稱為更改監(jiān)視，它可以檢查操作系統(tǒng)、應(yīng)用程序軟件和其他組件的文件和注冊表，確定它們是否發(fā)生了可能表示遭受攻擊的更改。將使用比較方法來確定當(dāng)前文件狀態(tài)是否不同于上次掃描該文件時(shí)的狀態(tài)?？梢岳眠@種比較來確定文件是否發(fā)生了有效或可疑的修改。

啟用適用于服務(wù)器的Azure Defender時(shí)，可以使用FIM來驗(yàn)證Windows文件、Windows注冊表和Linux文件的完整性。了解詳細(xì)信息。

自適應(yīng)應(yīng)用程序控制(AAC)-自適應(yīng)應(yīng)用程序控制是一種智能和自動化的解決方案，用于為計(jì)算機(jī)定義已知安全的應(yīng)用程序的允許列表。

當(dāng)啟用并配置了自適應(yīng)應(yīng)用程序控件后，如果有任何程序運(yùn)行，而該程序不是你定義的安全應(yīng)用程序，你會收到安全警報(bào)。了解詳細(xì)信息。

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化(ANH)-應(yīng)用網(wǎng)絡(luò)安全組(NSG)來篩選往返資源的流量，改善網(wǎng)絡(luò)安全狀況。但是，仍然可能存在一些這樣的情況：通過NSG流動的實(shí)際流量是所定義NSG規(guī)則的子集。在這些情況下，可以根據(jù)實(shí)際流量模式強(qiáng)化NSG規(guī)則，從而進(jìn)一步改善安全狀況。

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化為進(jìn)一步強(qiáng)化NSG規(guī)則提供了建議。它使用機(jī)器學(xué)習(xí)算法，這種算法會將實(shí)際流量、已知受信任的配置、威脅情報(bào)和其他泄露標(biāo)志都考慮在內(nèi)，然后提供僅允許來自特定IP/端口元組的流量的建議。了解詳細(xì)信息。

Docker主機(jī)強(qiáng)化-Azure安全中心會標(biāo)識IaaS Linux VM上或運(yùn)行Docker容器的其他Linux計(jì)算機(jī)上承載的非托管容器。安全中心會持續(xù)評估這些容器的配置。然后，它會將其與Internet安全中心(CIS)的Docker基準(zhǔn)進(jìn)行比較。安全中心包含CIS的Docker基準(zhǔn)的完整規(guī)則集，并會在容器不符合控件標(biāo)準(zhǔn)的情況下發(fā)出警報(bào)。了解詳細(xì)信息。

無文件攻擊檢測（僅限Windows）-無文件攻擊會試圖通過將惡意有效負(fù)載注入內(nèi)存中來避免被基于磁盤的掃描技術(shù)檢測到。之后，攻擊者的有效負(fù)載會持久保存在遭到入侵的進(jìn)程的內(nèi)存中，執(zhí)行各種惡意活動。

自動內(nèi)存取證技術(shù)使用無文件攻擊檢測來識別無文件攻擊工具包、方法和行為。此解決方案會定期在運(yùn)行時(shí)掃描計(jì)算機(jī)，并直接從進(jìn)程的內(nèi)存中提取見解。特定見解包括對以下內(nèi)容的識別：

常見工具包和加密挖掘軟件

Shellcode，這是一小段代碼，通常用作利用軟件漏洞時(shí)的有效負(fù)載。

進(jìn)程內(nèi)存中注入的惡意可執(zhí)行文件

無文件攻擊檢測功能會生成詳細(xì)的安全警報(bào)，其中包含相關(guān)描述和其他進(jìn)程元數(shù)據(jù)，例如網(wǎng)絡(luò)活動數(shù)據(jù)。這可以加快警報(bào)會審、關(guān)聯(lián)和下游響應(yīng)時(shí)間。此方法是對基于事件的EDR解決方案的補(bǔ)充，并擴(kuò)大了檢測范圍。

有關(guān)無文件攻擊檢測警報(bào)的詳細(xì)信息，請參閱警報(bào)參考表。

Linux auditd警報(bào)和Log Analytics代理集成（僅Linux）-auditd系統(tǒng)包含一個(gè)負(fù)責(zé)監(jiān)視系統(tǒng)調(diào)用的內(nèi)核級子系統(tǒng)。該子系統(tǒng)會按照指定的規(guī)則集篩選這些調(diào)用，并將針對這些調(diào)用生成的消息寫入到套接字。安全中心在Log Analytics代理中集成了auditd包的功能。通過這種集成，無需滿足任何先決條件，就能在所有受支持的Linux發(fā)行版中收集auditd事件。

可以使用適用于Linux的Log Analytics代理收集、擴(kuò)充auditd記錄并將其聚合到事件中。安全中心會持續(xù)添加新分析功能，這些功能可以使用Linux信號來檢測云和本地Linux計(jì)算機(jī)上的惡意行為。類似于Windows中的功能，這些分析功能可以檢測各種可疑進(jìn)程、可疑登錄企圖、內(nèi)核模塊加載操作和其他活動。這些活動可能表示計(jì)算機(jī)正在受到攻擊或已遭入侵。

有關(guān)Linux警報(bào)的列表，請參閱警報(bào)參考表。

模擬警報(bào)

可以通過下載以下行動手冊之一來模擬警報(bào)：

對于Windows：Azure安全中心Playbook：安全警報(bào)

對于Linux：Azure安全中心Playbook：Linux檢測來模擬Linux警報(bào)。