Microsoft Defender for Endpoint Server -Abonnement

Produktdetails: Microsoft Defender for Endpoint Server -Abonnement


Microsoft Defender for Servers ist eine der erweiterten Sicherheitsfunktionen von Microsoft Defender for Cloud. Verwenden Sie es, um Ihren Windows- und Linux-Computern Bedrohungserkennung und erweiterten Schutz hinzuzufügen, unabhängig davon, ob sie in Azure, lokal oder in einer Multi-Cloud-Umgebung ausgeführt werden.

Microsoft Defender for Endpoint Server ist eine einheitliche Endpunktsicherheitsplattform und ermöglicht es Unternehmenskunden, fortgeschrittene Angriffe und Datenschutzverletzungen zu schützen, zu erkennen, zu untersuchen und darauf zu reagieren.
Es ist integriert, cloudbasiert, wendet künstliche Intelligenz an, um Sicherheitsvorfälle zu automatisieren, und nutzt den Microsoft Intelligence Security Graph, um Erkennung und Exploration mit anderen Microsoft Defender-Diensten zu integrieren*.

Zu den Bedrohungserkennungs- und Schutzfunktionen von Microsoft Defender for Server gehören:

Integrierte Lizenz für Microsoft Defender for Endpoint
Microsoft Defender für Server enthält Microsoft Defender für Endpoint. Zusammen bieten sie umfassende Funktionen zur Endpunkterkennung und -reaktion (EDR).

Wenn Defender for Endpoint eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender for Cloud angezeigt. Von Defender for Cloud aus können Sie auch zur Defender for Endpoint-Konsole wechseln und eine detaillierte Untersuchung durchführen, um den Umfang des Angriffs aufzudecken.

Wichtig
Die Integration von Defender for Cloud mit Microsoft Defender for Endpoint ist standardmäßig aktiviert. Wenn Sie also Microsoft Defender für Server aktivieren, stimmen Sie Defender for Cloud zu, auf die Microsoft Defender for Endpoint-Daten in Bezug auf Sicherheitslücken, installierte Software und Warnungen für Ihre Endpunkte zuzugreifen.
Wir bieten derzeit den Sensor für Linux-Rechner in der Vorschau an.
Weitere Informationen unter Schützen Sie Ihre Endpunkte mit Defender for Die integrierte EDR-Lösung der Cloud: Microsoft Defender for Endpoint.

Tools zur Schwachstellenbewertung für Maschinen
Microsoft Defender für Server enthält eine Auswahl an Tools zur Erkennung und Verwaltung von Sicherheitslücken für Ihre Computer. Auf den Einstellungsseiten von Defender for Cloud können Sie auswählen, welche dieser Tools auf Ihren Computern bereitgestellt werden sollen, und die entdeckten Schwachstellen werden in einer Sicherheitsempfehlung angezeigt.

Microsoft-Bedrohungs- und Schwachstellenmanagement
Entdecken Sie Schwachstellen und Fehlkonfigurationen in Echtzeit mit Microsoft Defender for Endpoint und ohne zusätzliche Agenten oder regelmäßige Scans. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen basierend auf der Bedrohungslandschaft, den Erkennungen in Ihrem Unternehmen, sensiblen Informationen zu anfälligen Geräten und dem Geschäftskontext
Weitere Informationen unter Untersuchen von Schwachstellen mit Microsoft Defender for Bedrohungs- und Schwachstellenmanagement von Endpunkten.

Sicherheitslücken-Scanner von Qualys
Der Scanner von Qualys ist eines der führenden Tools zur Echtzeiterkennung von Schwachstellen in Ihren virtuellen Azure- und Hybrid-Computern. Sie benötigen weder eine Qualys-Lizenz noch ein Qualys-Konto – alles wird nahtlos in Defender for Cloud abgewickelt.
Weitere Informationen zum integrierten Qualys-Scanner von Defender for Cloud für Azure- und Hybridcomputer.

Just-in-Time (JIT)-Zugriff auf virtuelle Maschinen (VM)
Bedrohungsakteure jagen aktiv zugängliche Maschinen mit offenen Management-Ports wie RDP oder SSH. Alle Ihre virtuellen Maschinen sind potenzielle Angriffsziele. Wenn eine VM erfolgreich kompromittiert wurde, wird sie als Einstiegspunkt verwendet, um weitere Ressourcen in Ihrer Umgebung anzugreifen.

Wenn Sie Microsoft Defender für Server aktivieren, können Sie den Just-in-Time-VM-Zugriff verwenden, um den eingehenden Datenverkehr zu Ihren VMs zu sperren, um die Angriffsgefahr zu verringern und gleichzeitig bei Bedarf einfachen Zugriff auf die Verbindung zu VMs bereitzustellen.
Weitere Informationen finden Sie unter Grundlegendes zu JIT VM-Zugriff.

Überwachung der Dateiintegrität (FIM)
Die Dateiintegritätsüberwachung (FIM), auch als Änderungsüberwachung bekannt, untersucht Dateien und Register von Betriebssystemen, Anwendungssoftware und anderen auf Änderungen, die auf einen Angriff hinweisen könnten. Eine Vergleichsmethode wird verwendet, um festzustellen, ob sich der aktuelle Status der Datei vom letzten Scan der Datei unterscheidet. Anhand dieses Vergleichs können Sie feststellen, ob gültige oder verdächtige Änderungen an Ihren Dateien vorgenommen wurden.

Wenn Sie Microsoft Defender für Server aktivieren, können Sie FIM verwenden, um die Integrität von Windows-Dateien, Ihren Windows-Registrierungen und Linux-Dateien zu überprüfen.
Weitere Informationen finden Sie unter Überwachung der Dateiintegrität in Microsoft Defender für Cloud.

Adaptive Application Controls (AAC)
Adaptive Application Controls sind eine intelligente und automatisierte Lösung zum Definieren von Zulassungslisten bekannter sicherer Anwendungen für Ihre Maschinen.

Wenn Sie adaptive Anwendungssteuerelemente aktiviert und konfiguriert haben, erhalten Sie Sicherheitswarnungen, wenn eine andere als die von Ihnen als sicher definierten Anwendungen ausgeführt werden.
Weitere Informationen finden Sie unter Verwenden adaptiver Anwendungssteuerelemente zur Reduzierung von Angriffsflächen deiner Maschinen.

Adaptive Netzwerkhärtung (ANH)
Das Anwenden von Netzwerksicherheitsgruppen (NSG) zum Filtern des Datenverkehrs zu und von Ressourcen verbessert Ihre Netzwerksicherheit. Es kann jedoch immer noch einige Fälle geben, in denen der tatsächliche Verkehr, der durch die NSG fließt, eine Teilmenge der definierten NSG-Regeln ist. In diesen Fällen kann die Sicherheitslage weiter verbessert werden, indem die NSG-Regeln basierend auf den tatsächlichen Verkehrsmustern gehärtet werden.

Adaptive Network Hardening bietet Empfehlungen zur weiteren Härtung der NSG-Regeln. Es verwendet einen maschinellen Lernalgorithmus, der den tatsächlichen Datenverkehr, bekannte vertrauenswürdige Konfigurationen, Bedrohungsinformationen und andere Gefährdungsindikatoren berücksichtigt und dann Empfehlungen gibt, um Datenverkehr nur von bestimmten IP-/Port-Tupeln zuzulassen.
Weitere Informationen finden Sie unter Verbessern Sie Ihre Netzwerksicherheit mit adaptive Netzwerkhärtung.

Docker-Host-Härtung
Microsoft Defender for Cloud identifiziert nicht verwaltete Container, die auf IaaS-Linux-VMs oder anderen Linux-Computern gehostet werden, auf denen Docker-Container ausgeführt werden. Defender for Cloud bewertet kontinuierlich die Konfigurationen dieser Container. Anschließend werden sie mit dem Docker Benchmark des Center for Internet Security (CIS) verglichen. Defender for Cloud enthält den gesamten Regelsatz des CIS Docker Benchmarks und warnt Sie, wenn Ihre Container keine der Kontrollen erfüllen.
Weitere Informationen finden Sie unter Härten Sie Ihre Docker-Hosts.

Dateilose Angriffserkennung
Dateilose Angriffe injizieren bösartige Nutzlasten in den Speicher, um eine Erkennung durch plattenbasierte Scantechniken zu vermeiden. Die Nutzlast des Angreifers verbleibt dann im Speicher kompromittierter Prozesse und führt eine Vielzahl bösartiger Aktivitäten aus.

Bei der dateilosen Angriffserkennung identifizieren automatisierte forensische Speichertechniken Toolkits, Techniken und Verhaltensweisen für dateilose Angriffe. Diese Lösung scannt Ihren Computer regelmäßig zur Laufzeit und extrahiert Erkenntnisse direkt aus dem Speicher von Prozessen. Spezifische Erkenntnisse umfassen die Identifizierung von:
Bekannte Toolkits und Krypto-Mining-Software
Shellcode, ein kleiner Codeabschnitt, der typischerweise als Nutzlast bei der Ausnutzung einer Software-Schwachstelle verwendet wird.
Injizierte bösartige ausführbare Datei in den Prozessspeicher

Die dateilose Angriffserkennung generiert detaillierte Sicherheitswarnungen, die Beschreibungen mit Prozessmetadaten wie Netzwerkaktivität enthalten. Diese Details beschleunigen die Suche nach Warnungen, die Korrelation und die nachgelagerte Reaktionszeit. Dieser Ansatz ergänzt ereignisbasierte EDR-Lösungen und bietet eine erhöhte Erkennungsabdeckung.
Weitere Informationen zu den dateilosen Angriffserkennungswarnungen siehe die Referenztabelle der Warnungen.

Linux-Audit-Warnungen und Log Analytics-Agent-Integration (nur Linux)
Das auditd-System besteht aus einem Subsystem auf Kernel-Ebene, das für die Überwachung von Systemaufrufen verantwortlich ist. Es filtert sie nach einem bestimmten Regelsatz und schreibt Nachrichten für sie an einen Socket. Defender for Cloud integriert Funktionen aus dem auditd-Paket in den Log Analytics-Agent. Diese Integration ermöglicht die Erfassung von auditierten Ereignissen in allen unterstützten Linux-Distributionen ohne jegliche Voraussetzungen.

Der Log Analytics-Agent für Linux sammelt überwachte Datensätze und reichert sie an und fasst sie zu Ereignissen zusammen. Defender for Cloud fügt kontinuierlich neue Analysen hinzu, die Linux-Signale verwenden, um böswilliges Verhalten auf Cloud- und lokalen Linux-Computern zu erkennen. Ähnlich den Windows-Funktionen erstrecken sich diese Analysen über verdächtige Prozesse, dubiose Anmeldeversuche, das Laden von Kernelmodulen und andere Aktivitäten. Diese Aktivitäten können darauf hinweisen, dass eine Maschine entweder angegriffen wird oder angegriffen wurde.
Eine Liste der Linux-Warnungen finden Sie unter die Referenztabelle der Warnungen

Um Computer in Hybrid- und Multi-Cloud-Umgebungen zu schützen, verwendet Defender for Cloud Azure Arc.
Dieses Produkt bietet MDE auf Serverendpunkten und wird pro Knoten lizenziert.
*Einige separate Abonnements können erforderlich sein.

  • MPN: 350158a2-f253-4ea3-988e-eef9d1b828cf
  • 4,40 € Monatlich exkl. USt
    52,80 € Jährlich exkl. USt

    Menge: Bestellen