Abonnement Microsoft Defender for Endpoint Server

Info-produit: Abonnement Microsoft Defender for Endpoint Server


Microsoft Defender for Servers est l'une des fonctionnalités de sécurité améliorées de Microsoft Defender for Cloud. Utilisez-le pour ajouter une détection des menaces et des défenses avancées à vos machines Windows et Linux, qu'elles s'exécutent dans Azure, sur site ou dans un environnement multi-cloud.

Microsoft Defender for Endpoint Server est une plate-forme de sécurité unifiée des terminaux et permet aux entreprises clientes de protéger, détecter, enquêter et répondre aux attaques avancées et aux violations de données.
Il est intégré, alimenté par le cloud, applique l'intelligence artificielle pour automatiser les incidents de sécurité et exploite le Microsoft Intelligence Security Graph pour intégrer la détection et l'exploration avec d'autres services Microsoft Defender*.

Les capacités de détection et de protection des menaces fournies avec Microsoft Defender for Server incluent :

Licence intégrée pour Microsoft Defender for Endpoint
Microsoft Defender pour serveurs inclut Microsoft Defender pour Endpoint. Ensemble, ils fournissent des capacités complètes de détection et de réponse aux points de terminaison (EDR).

Lorsque Defender for Endpoint détecte une menace, il déclenche une alerte. L'alerte est affichée dans Defender for Cloud. Depuis Defender for Cloud, vous pouvez également basculer vers la console Defender for Endpoint et effectuer une enquête détaillée pour découvrir l'étendue de l'attaque.

Important
L'intégration de Defender for Cloud avec Microsoft Defender for Endpoint est activée par défaut. Ainsi, lorsque vous activez Microsoft Defender pour les serveurs, vous autorisez Defender for Cloud à accéder aux données Microsoft Defender for Endpoint relatives aux vulnérabilités, aux logiciels installés et aux alertes pour vos points de terminaison.
Nous proposons actuellement le capteur pour les machines Linux en avant-première.
En savoir plus dans Protégez vos points de terminaison avec Defender pour Solution EDR intégrée dans le cloud : Microsoft Defender for Endpoint.

Outils d'évaluation de la vulnérabilité des machines
Microsoft Defender pour serveurs comprend un choix d'outils de détection et de gestion des vulnérabilités pour vos machines. À partir des pages de paramètres de Defender for Cloud, vous pouvez sélectionner lequel de ces outils à déployer sur vos machines et les vulnérabilités découvertes seront affichées dans une recommandation de sécurité.

Gestion des menaces et des vulnérabilités Microsoft
Découvrez les vulnérabilités et les erreurs de configuration en temps réel avec Microsoft Defender for Endpoint, et sans avoir besoin d'agents supplémentaires ou d'analyses périodiques. La gestion des menaces et des vulnérabilités hiérarchise les vulnérabilités en fonction du paysage des menaces, des détections dans votre organisation, des informations sensibles sur les appareils vulnérables et du contexte commercial
En savoir plus dans Enquêter sur les faiblesses avec Microsoft Defender pour Gestion des menaces et des vulnérabilités des terminaux.

Scanner de vulnérabilité optimisé par Qualys
Le scanner de Qualys est l'un des principaux outils d'identification en temps réel des vulnérabilités de vos machines virtuelles Azure et hybrides. Vous n'avez pas besoin d'une licence Qualys ni même d'un compte Qualys - tout est géré de manière transparente dans Defender for Cloud.
En savoir plus sur le scanner Qualys intégré de Defender for Cloud pour Azure et les machines hybrides.

Accès à la machine virtuelle (VM) juste à temps (JIT)
Les acteurs malveillants recherchent activement les machines accessibles avec des ports de gestion ouverts, comme RDP ou SSH. Toutes vos machines virtuelles sont des cibles potentielles pour une attaque. Lorsqu'une machine virtuelle est compromise avec succès, elle est utilisée comme point d'entrée pour attaquer d'autres ressources au sein de votre environnement.

Lorsque vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser l'accès VM juste à temps pour verrouiller le trafic entrant vers vos VM, réduisant ainsi l'exposition aux attaques tout en offrant un accès facile pour se connecter aux VM en cas de besoin.
Pour plus d'informations, voir Comprendre JIT Accès à la VM.

Contrôle de l'intégrité des fichiers (FIM)
La surveillance de l'intégrité des fichiers (FIM), également connue sous le nom de surveillance des modifications, examine les fichiers et les registres du système d'exploitation, des logiciels d'application et autres à la recherche de modifications susceptibles d'indiquer une attaque. Une méthode de comparaison est utilisée pour déterminer si l'état actuel du fichier est différent de la dernière analyse du fichier. Vous pouvez utiliser cette comparaison pour déterminer si des modifications valides ou suspectes ont été apportées à vos fichiers.

Lorsque vous activez Microsoft Defender pour les serveurs, vous pouvez utiliser FIM pour valider l'intégrité des fichiers Windows, de vos registres Windows et des fichiers Linux.
Pour plus d'informations, consultez Surveillance de l'intégrité des fichiers dans Microsoft Defender pour le cloud.

Contrôles adaptatifs des applications (AAC)
Les contrôles d'application adaptatifs sont une solution intelligente et automatisée pour définir des listes d'autorisation d'applications connues comme sûres pour vos machines.

Lorsque vous avez activé et configuré les contrôles d'application adaptatifs, vous recevrez des alertes de sécurité si une application s'exécute autre que celles que vous avez définies comme sûres.
Pour plus d'informations, voir Utiliser des contrôles d'application adaptatifs pour réduire surfaces d'attaque de vos machines.

Renforcement adaptatif du réseau (ANH)
L'application de groupes de sécurité réseau (NSG) pour filtrer le trafic vers et depuis les ressources améliore la sécurité de votre réseau. Cependant, il peut encore y avoir des cas dans lesquels le trafic réel circulant à travers le NSG est un sous-ensemble des règles NSG définies. Dans ces cas, une amélioration supplémentaire de la posture de sécurité peut être obtenue en durcissant les règles NSG, sur la base des modèles de trafic réels.

Le renforcement adaptatif du réseau fournit des recommandations pour renforcer davantage les règles NSG. Il utilise un algorithme d'apprentissage automatique qui prend en compte le trafic réel, la configuration de confiance connue, les informations sur les menaces et d'autres indicateurs de compromission, puis fournit des recommandations pour autoriser le trafic uniquement à partir de tuples IP/ports spécifiques.
Pour plus d'informations, voir Améliorer la sécurité de votre réseau avec durcissement adaptatif du réseau.

Renforcement de l'hôte Docker
Microsoft Defender for Cloud identifie les conteneurs non gérés hébergés sur des machines virtuelles Linux IaaS ou d'autres machines Linux exécutant des conteneurs Docker. Defender for Cloud évalue en permanence les configurations de ces conteneurs. Il les compare ensuite avec le Docker Benchmark du Center for Internet Security (CIS). Defender for Cloud inclut l'ensemble des règles du CIS Docker Benchmark et vous alerte si vos conteneurs ne satisfont à aucun des contrôles.
Pour plus d'informations, consultez Renforcez vos hôtes Docker.

Détection d'attaque sans fichier
Les attaques sans fichier injectent des charges utiles malveillantes dans la mémoire pour éviter la détection par des techniques d'analyse basées sur le disque. La charge utile de l'attaquant persiste alors dans la mémoire des processus compromis et effectue un large éventail d'activités malveillantes.

Avec la détection des attaques sans fichier, les techniques d'analyse de mémoire automatisée identifient les kits d'outils, les techniques et les comportements d'attaque sans fichier. Cette solution analyse périodiquement votre machine au moment de l'exécution et extrait des informations directement de la mémoire des processus. Les informations spécifiques incluent l'identification de :
Boîtes à outils et logiciels d'extraction de crypto bien connus
Shellcode, qui est un petit morceau de code généralement utilisé comme charge utile dans l'exploitation d'une vulnérabilité logicielle.
Exécutable malveillant injecté dans la mémoire du processus

La détection des attaques sans fichier génère des alertes de sécurité détaillées qui incluent des descriptions avec des métadonnées de processus telles que l'activité du réseau. Ces détails accélèrent le tri des alertes, la corrélation et le temps de réponse en aval. Cette approche complète les solutions EDR basées sur les événements et offre une couverture de détection accrue.
Pour plus de détails sur les alertes de détection d'attaque sans fichier, voir le Tableau de référence des alertes.

Alertes Linux auditd et intégration de l'agent Log Analytics (Linux uniquement)
Le système auditd se compose d'un sous-système au niveau du noyau, qui est responsable de la surveillance des appels système. Il les filtre selon un ensemble de règles spécifié et écrit des messages pour eux dans un socket. Defender for Cloud intègre les fonctionnalités du package auditd dans l'agent Log Analytics. Cette intégration permet la collecte d'événements auditd dans toutes les distributions Linux prises en charge, sans aucun prérequis.

L'agent Log Analytics pour Linux collecte les enregistrements audités, les enrichit et les agrège en événements. Defender for Cloud ajoute en permanence de nouvelles analyses qui utilisent les signaux Linux pour détecter les comportements malveillants sur les machines Linux cloud et sur site. Semblables aux capacités de Windows, ces analyses couvrent les processus suspects, les tentatives de connexion douteuses, le chargement des modules du noyau et d'autres activités. Ces activités peuvent indiquer qu'une machine est attaquée ou qu'elle a été violée.
Pour une liste des alertes Linux, voir le Tableau de référence des alertes

Pour protéger les machines dans les environnements hybrides et multi-cloud, Defender for Cloud utilise Azure Arc.
Ce produit fournit MDE sur les points de terminaison du serveur et il est concédé sous licence par nœud.
*certains abonnements séparés peuvent être requis.

  • MPN: 350158a2-f253-4ea3-988e-eef9d1b828cf
  • 4,40 € Mensuel HT
    52,80 € Annuel HT

    Quantité: Commander