了解適用於伺服器的 Microsoft Defender

• 5 分鐘

無論您的 Windows 和 Linux 電腦是在 Azure、AWS、GCP 或內部部署中執行，適用於伺服器的 Microsoft Defender 都會為電腦提供威脅偵測和進階防禦。 為了在混合式與多雲端環境中保護電腦，適用於雲端的 Defender 使用了 Azure Arc。

適用於伺服器的 Microsoft Defender 提供兩種方案：

• 適用於伺服器的 Microsoft Defender 方案 1 - 將適用於端點的 Microsoft Defender 部署到您的伺服器，並提供下列功能：

  • 適用於端點的 Microsoft Defender 授權會按小時而非基座收費，因此降低了保護虛擬機器的成本 (僅在使用時才會產生成本)。
  • 適用於端點的 Microsoft Defender 會自動部署到所有雲端工作負載，讓您知道它們會在啟動時受到保護。
  • 來自適用於端點之 Microsoft Defender 的警示和弱點資料會顯示在適用於雲端的 Microsoft Defender 中

• 適用於伺服器的 Microsoft Defender 方案 2 (先前稱為適用於伺服器的 Defender) - 包括方案 1 的優點，以及所有其他適用於伺服器的 Microsoft Defender 功能支援。

若要啟用適用於伺服器的 Microsoft Defender 方案：

前往 [環境設定] 並選取您的訂閱。

如果適用於伺服器的 Microsoft Defender 未啟用，請將其設定為 [開啟]。 預設會選取 [方案 2]。

如果您想要變更適用於伺服器的 Defender 方案：

在 [方案/定價] 欄中，選取 [變更方案]。 選取您想要的方案，然後選取 [確認]。

方案功能

下表概要描述每個方案中包含的功能。

適用於伺服器的 Defender 有哪些優點？

適用於伺服器的 Microsoft Defender 所提供的威脅偵測和保護功能包括：

• 適用於端點的 Microsoft Defender 整合授權 - 適用於伺服器的 Microsoft Defender 包括適用於端點的 Microsoft Defender。 兩者搭配運作下，可提供完整的端點偵測及回應 (EDR) 功能。 當您啟用適用於伺服器的 Microsoft Defender 時，適用於雲端的 Defender 即可存取與您端點弱點、已安裝軟體和警示相關之適用於端點的 Microsoft Defender 資料。

  適用於端點的 Defender 偵測到威脅時會觸發警示。 警示會顯示在適用於雲端的 Defender 中。 您也可以從適用於雲端的 Defender 切換至適用於端點的 Defender 主控台，並執行詳細的調查以找出攻擊的範圍。

• 電腦的弱點評定工具 - 適用於伺服器的 Microsoft Defender 為您的電腦提供一個弱點探索和管理工具選擇。 您可以從適用於雲端的 Defender 設定頁面，選取要部署到您電腦的工具。 所有發現的弱點都會顯示在安全性建議中。

• Microsoft 威脅與弱點管理 - 使用適用於端點的 Microsoft Defender 即時探索弱點和設定錯誤，而不需要其他代理程式或定期掃描。 威脅與弱點管理可根據威脅環境、在組織中偵測到的項目、易受攻擊裝置的敏感性資訊，以及商務內容，排定弱點的優先處理順序。

• Qualys 所提供的弱點掃描器 - Qualys 掃描器是領先業界的工具之一，可即時找出 Azure 與混合式虛擬機器中的弱點。 您不需要 Qualys 授權或甚至 Qualys 帳戶 - 一切都可以在適用於雲端的 Defender 內順暢地處理。

• Just-In-Time (JIT) 虛擬機器 (VM) 存取 - 威脅行為者會利用開啟的管理連接埠 (例如 RDP 或 SSH) 主動搜捕可存取的電腦。 您所有的虛擬機器都是攻擊的潛在目標。 VM 一旦成功遭入侵，即會成為進入點，據以進一步攻擊您環境中的資源。

  當您啟用適用於伺服器的 Microsoft Defender 時，您可以使用 Just-In-Time VM 存取來鎖定對 VM 的輸入流量。 將遠端存取連接埠保持關閉，直到需要時再開啟，可降低攻擊的風險，並在需要時輕鬆存取以連線到 VM。

• 檔案完整性監視 (FIM) - 檔案完整性監視 (FIM) 也稱為變更監視，會檢查作業系統、應用程式軟體等檔案和登錄中是否有可能表示發生攻擊的變更。 使用比較方法來判斷檔案的目前狀態是否與檔案最後一次掃描時不同。 您可以利用這項比較，來判斷檔案是否遭受到有效或可疑的修改。

  啟用適用於伺服器的 Microsoft Defender 時，您可以使用 FIM 來驗證 Windows 檔案、Windows 登錄和 Linux 檔案的完整性。

• 自適性應用程式控制 (AAC) - 自適性應用程式控制是智慧型且自動化的解決方案，可為您的機器定義已知安全應用程式的允許清單。

  啟用並設定自適性應用程式控制之後，如有任何未定義為安全的應用程式執行，您就會收到安全性警示。

• 自適性網路強化 (ANH) - 套用網路安全性群組 (NSG) 以篩選資源的出入流量，從而改善網路安全性態勢。 但在某些情況下，透過 NSG 傳輸的實際流量仍有可能包含在已定義的 NSG 規則中。 在這些情況下，您可以根據實際流量模式強化 NSG 規則，進一步改善安全性態勢。

  自適性網路強化會提供建議來進一步強化 NSG 規則。 此功能會使用將實際流量、已知的信任設定、威脅情報和其他危害指標等因素納入考量的機器學習演算法。 ANH 會接著提供建議，僅允許來自特定 IP 和連接埠元組的流量。

• Docker 主機強化 - 適用於雲端的 Microsoft Defender 可識別 IaaS Linux VM 上裝載的非受控容器，或其他執行 Docker 容器的 Linux 電腦。 適用於雲端的 Defender 會持續評估這些容器的設定。 然後與網際網路安全性中心 (CIS) Docker 基準進行比較。 適用於雲端的 Defender 包含 CIS Docker 基準的整個規則集，並會在您的容器無法滿足任何控制時發出警示。

• 無檔案攻擊偵測 - 無檔案攻擊會將惡意承載插入記憶體中，以規避磁碟型掃描技術的偵測。 攻擊者的承載接著會保存在遭入侵的處理序記憶體中，並執行各式各樣的惡意活動。

  透過無檔案攻擊偵測，自動化記憶體鑑識技術可識別無檔案攻擊的工具組、技術和行為。 此解決方案會在執行階段定期掃描您的電腦，並直接從處理序記憶體中擷取見解。 特定見解包括下列各項的識別：

  • 知名的工具組和密碼編譯採礦軟體
  • Shellcode - 通常用來作為惡意探索軟體弱點承載的一小段程式碼。
  • 在處理序記憶體中插入的惡意可執行檔

  無檔案攻擊偵測會產生詳細的安全性警示，內含描述與更多流程中繼資料 (例如網路活動)。 這些詳細資料可加速警示分級、相互關聯和下游回應時間。 此方法可補強以事件為基礎的 EDR 解決方案，並提供更大的偵測涵蓋範圍。

• Linux Auditd 警示與 Log Analytics 代理程式的整合 (僅限 Linux) - Auditd 系統由核心層級子系統所組成，負責監視系統呼叫。 此系統會依據指定的規則集篩選這些呼叫，並將其訊息寫入至通訊端。 適用於雲端的 Defender 會從 Log Analytics 代理程式內的 Auditd 套件整合功能。 此整合會在所有支援的 Linux 發行版本中啟用 Auditd 事件的收集，無須任何先決條件。

  適用於 Linux 的 Log Analytics 代理程式會收集 Auditd 記錄，並將其擴充和彙總到事件中。 適用於雲端的 Defender 會持續新增分析，以使用 Linux 訊號來偵測雲端和內部部署 Linux 電腦上的惡意行為。 與 Windows 功能類似，這些分析包括檢查是否有可疑處理序、可疑登入嘗試、核心模組載入及其他活動的測試。 這些活動可能表示電腦正受到攻擊或已遭入侵。

適用於伺服器的 Defender 如何收集資料？

針對 Windows，適用於雲端的 Microsoft Defender 可與 Azure 服務整合，以監視及保護您的 Windows 電腦。 適用於雲端的 Defender 會以易於使用的格式，提供所有服務的警示和補救建議。

針對 Linux，適用於雲端的 Defender 會使用 Auditd (最常見的 Linux 稽核架構之一)，從 Linux 電腦收集稽核記錄。

針對混合式與多雲端案例，適用於雲端的 Defender 可與 Azure Arc 整合，以確保這些非 Azure 電腦作為 Azure 資源顯示。