Microsoft Defender for Cloud, Endpoints, Servers and Identity

„Microsoft Defender for Endpoint“ yra įmonės galinių taškų saugos platforma, skirta padėti įmonių tinklams užkirsti kelią pažangioms grėsmėms, aptikti, ištirti ir į jas reaguoti. „Microsoft Defender for Servers“ yra viena iš patobulintų „Microsoft Defender for Cloud“ saugos funkcijų. Naudokite jį norėdami pridėti grėsmių aptikimo ir išplėstinės apsaugos prie Windows ir Linux įrenginių, nesvarbu, ar jie veikia Azure, vietinėje ar kelių debesų aplinkoje. „Microsoft Defender for Identity“ yra debesies pagrindu sukurtas saugos sprendimas, kuris pasitelkia jūsų vietinius „Active Directory“ signalus, kad nustatytų, aptiktų ir ištirtų pažangias grėsmes, pažeistas tapatybes ir kenkėjiškus jūsų organizacijos veiksmus.

„Microsoft Defender for Cloud“ prenumerata
Persikėlimas į debesį padidina darbuotojų ir IT lankstumą. Tačiau tai taip pat kelia naujų iššūkių ir sudėtingumo užtikrinant jūsų organizacijos saugumą. Norėdama pasinaudoti visomis debesijos programų ir paslaugų teikiamomis galimybėmis, IT komanda turi rasti tinkamą prieigos palaikymo pusiausvyrą ir išlaikyti kontrolę, kad apsaugotų svarbiausius duomenis.

„Microsoft Defender for Cloud“ yra „Cloud Access Security Broker“ (CASB), palaikanti įvairius diegimo režimus, įskaitant žurnalų rinkimą, API jungtis ir atvirkštinį tarpinį serverį. Tai suteikia puikų matomumą, duomenų kelionių kontrolę ir sudėtingą analizę, leidžiančią nustatyti ir kovoti su elektroninėmis grėsmėmis visose jūsų „Microsoft“ ir trečiųjų šalių debesijos tarnybose.

„Microsoft Defender for Cloud“ natūraliai integruojasi su pirmaujančiais „Microsoft“ sprendimais ir yra sukurta atsižvelgiant į saugos specialistus. Tai suteikia paprastą diegimą, centralizuotą valdymą ir novatoriškas automatizavimo galimybes.

Persikėlimas į debesį padidina darbuotojų ir IT komandų lankstumą. Tačiau tai taip pat kelia naujų iššūkių ir sudėtingumo užtikrinant jūsų organizacijos saugumą. Norėdama pasinaudoti visomis debesijos programų ir paslaugų teikiamomis galimybėmis, IT komanda turi rasti tinkamą prieigos palaikymo pusiausvyrą ir apsaugoti svarbiausius duomenis.

Čia „Defender for Cloud Broker“ siekia išspręsti pusiausvyrą ir prideda apsaugos priemonių, kad jūsų organizacija galėtų naudotis debesijos paslaugomis, vykdydama savo įmonės saugos politiką. Kaip rodo pavadinimas, CASB veikia kaip vartininkas, kad realiuoju laiku tarpininkautų prieigoje tarp jūsų įmonės vartotojų ir jų naudojamų debesijos išteklių, kad ir kur būtų jūsų vartotojai ir nepaisant jų naudojamo įrenginio.

CASB tai daro atrandant ir suteikiant matomumą naudojant „Shadow IT“ ir programas, stebint vartotojo veiklą, ar nėra nenormalaus elgesio, kontroliuojant prieigą prie jūsų išteklių, suteikiant galimybę klasifikuoti ir užkirsti kelią slaptos informacijos nutekėjimui, apsaugant nuo kenkėjiškų veikėjų ir įvertinant debesies atitiktį paslaugos.

CASB pašalina saugos spragas, susijusias su organizacijos debesijos paslaugų naudojimu, užtikrindamas išsamų vartotojo veiklos ir neskelbtinų duomenų matomumą ir kontrolę. CASB aprėpties sritis plačiai taikoma visuose SaaS, PaaS ir IaaS. Siekdami „SaaS“ aprėpties, CASB paprastai dirba su populiariausiomis turinio bendradarbiavimo platformomis (CCP), CRM sistemomis, žmogiškųjų išteklių sistemomis, įmonės išteklių planavimo (ERP) sprendimais, paslaugų stalais, biuro produktyvumo paketais ir įmonių socialinių tinklų svetainėmis. „IaaS“ ir „PaaS“ aprėptyje kelios CASB valdo API pagrįstą populiarių debesijos paslaugų teikėjų (CSP) naudojimą ir praplečia matomumą bei valdymą šiose debesyse veikiančioms programoms.

Jums reikia CASB, kad geriau suprastumėte savo bendrą debesies laikyseną „SaaS“ programose ir debesų tarnybose, todėl „Shadow IT“ atradimas ir programų valdymas yra pagrindiniai naudojimo atvejai. Be to, organizacija yra atsakinga už savo debesies platformos, įskaitant IAM, VM ir jų skaičiavimo išteklius, duomenis ir saugyklą, tinklo išteklius ir kt., Valdymą ir apsaugą. Todėl, jei esate organizacija, kuri naudojasi debesų programomis arba ketina jas naudoti savo tinklo paslaugų portfelyje, greičiausiai jums reikės CASB, kad galėtumėte išspręsti papildomus, unikalius aplinkos reguliavimo ir apsaugos uždavinius. Pavyzdžiui, yra daugybė būdų, kaip kenkėjai gali panaudoti debesijos programas, kad patektų į jūsų įmonės tinklą ir išfiltruotų neskelbtinus verslo duomenis.

Kaip organizacija turite apsaugoti savo vartotojus ir konfidencialius duomenis nuo skirtingų kenkėjiškų veikėjų taikomų metodų. Apskritai CASB turėtų jums padėti tai padaryti, suteikdami daugybę galimybių, apsaugančių jūsų aplinką, naudojant šiuos ramsčius:

Matomumas: aptikti visas debesų paslaugas; priskirti kiekvienam rizikos reitingą; nustatyti visus vartotojus ir trečiųjų šalių programas, galinčias prisijungti
• Duomenų saugumas: nustatykite ir kontroliuokite neskelbtiną informaciją (DLP); atsakyti į turinio klasifikavimo etiketes
• Apsauga nuo grėsmių: siūloma pritaikoma prieigos kontrolė (AAC); pateikti vartotojo ir subjekto elgesio analizę (UEBA); sušvelninti kenkėjiškas programas
• Atitikimas: tiekimo ataskaitos ir informacijos suvestinės, skirtos demonstruoti debesų valdymą; padėti stengtis laikytis duomenų nuolatinės gyvenamosios vietos ir teisės aktų reikalavimų

„Defender for Cloud“ sistema
• Atraskite ir kontroliuokite „Shadow IT“ naudojimą: nustatykite debesų programas, „IaaS“ ir „PaaS“ paslaugas, kurias naudoja jūsų organizacija. Ištirkite naudojimo modelius, įvertinkite daugiau nei 16 000 „SaaS“ programų rizikos lygius ir pasirengimą verslui, palyginti su daugiau nei 80 rizikų. Pradėkite juos valdyti, kad užtikrintumėte saugumą ir atitikimą.
• Saugokite neskelbtiną informaciją bet kurioje debesies vietoje: supraskite, klasifikuokite ir apsaugokite neskelbtinos informacijos poveikį ramybės būsenoje. Pasinaudokite nesuderinamomis politikomis ir automatizuotais procesais, kad realiuoju laiku galėtumėte valdyti visas debesies programas.
• Apsaugokite nuo kibernetinių grėsmių ir anomalijų: aptikite neįprastą debesų programų elgseną, kad nustatytumėte išpirkos, pažeistus vartotojus ar nesąžiningas programas, analizuotumėte didelės rizikos naudojimą ir automatiškai pašalintumėte, kad sumažintumėte riziką savo organizacijai.
• Įvertinkite debesijos programų atitiktį: įvertinkite, ar jūsų debesies programos atitinka atitinkamus atitikties reikalavimus, įskaitant norminių aktų atitikimą ir pramonės standartus. Užkirsti kelią duomenų nutekėjimui į reikalavimų neatitinkančias programas ir apriboti prieigą prie reguliuojamų duomenų.

John Lewis and Caroline Lee from Microsoft lead viewers through a 35 minute overview of Microsoft Defender for Cloud
„Microsoft Defender for Endpoint P1 - Free Public Preview (90 Days)“ prenumerata
„Microsoft Defender for Endpoint P1“ palaiko klientų galinius taškus, kuriuose veikia „Windows 7*“, 8.1, 10, 11, „macOS“, „Android“ ir „iOS“
Šios viešos peržiūros metu organizacijos gali nemokamai išbandyti „Microsoft Defender“, skirtą Endpoint P1.
Numatoma, kad bendras prieinamumas bus vėliau šiais metais. Kai 1 planas bus visuotinai prieinamas, jis bus siūlomas dviem būdais:
Kaip atskiras SKU, licencijuotas vienam vartotojui. Tinkami licencijuoti vartotojai galės naudoti „Microsoft Defender for Endpoint Plan 1“ ne daugiau kaip penkiuose vienu metu veikiančiuose įrenginiuose.
Įtraukta kaip „Microsoft 365 E3/A3“ dalis su tomis pačiomis vartotojo modelio ir įrenginio teisėmis, kaip nurodyta anksčiau.
Tiems klientams, kurie jau turi Microsoft 365 E3/A3, automatiškai gausite Microsoft Defender for Endpoint P1 galimybes, kai jos taps visuotinai prieinamos. Turėsite atlikti kelis veiksmus, kad tai įgalintumėte – mes dalinsimės ta informacija išsamiau, kad ji būtų prieinama.

Tos organizacijos, kurioms priklauso licencijos, apimančios „Microsoft Defender for Endpoint P2“, nebus tinkamos naudoti P1. Šios licencijos jau turi teisę į visą visapusį sprendimą, kuris yra P2

Šiandien džiaugiamės galėdami pranešti apie pagrindinių mūsų pramonėje pirmaujančių prevencijos ir apsaugos galimybių rinkinį, skirtą klientų galutiniams taškams, kuriuose veikia „Windows“, „MacOS“, „Android“ ir „iOS“. Šis naujas sprendimas leis daugiau saugumo komandų visame pasaulyje įsigyti ir pritaikyti geriausius Microsoft Defender for Endpoint pagrindus.

Grėsmės kraštovaizdis yra sudėtingesnis nei bet kada anksčiau. Organizacijos, turinčios ir taip ribotus išteklius, stengiasi neatsilikti, tuo pačiu užtikrindamos, kad jos turėtų „Zero Trust“ saugumo strategiją, kuri vystosi atsižvelgiant į nuolat kintančias grėsmes ir jų pačių organizacinius poreikius.

Galutinis taškas išlieka vienu iš labiausiai nukreiptų atakų paviršių, nes naujos ir sudėtingos kenkėjiškos programos ir išpirkos reikalaujančios programos ir toliau yra pagrindinės grėsmės. Kai pereiname į antrąjį 2021 m. pusmetį, išpirkos reikalaujančios programos ir toliau išlieka ir vystosi, finansinė žala ir toliau didėja, o poveikis jaučiamas daugelyje pramonės šakų – ne tik privačiame sektoriuje, bet ir viešojoje infrastruktūroje.

Per praėjusius metus „Microsoft“ saugumo tyrinėtojai pastebėjo, kad organizacijų, susidūrusių su išpirkos reikalaujančiomis programomis, padaugėjo beveik 121 proc.

Tokių atakų sudėtingumo lygis ir jų raidos greitis reikalauja kitokio požiūrio į saugumą, pagrįsto vietine debesų technologija, pagrįsta gilia grėsme ir žmogaus intelektu, ir kurį galima lengvai padidinti. Tam reikalinga patikima prevencija, naudojant AI ir mašininį mokymąsi, kad būtų greitai sustabdytos grėsmės, ir sprendimas, įgalinantis nulinio pasitikėjimo metodą.

Naudodami „Microsoft Defender“, skirtą Endpoint P1, klientai gaus šias pagrindines galimybes:

Pramonėje pirmaujanti antikenkėjiška programinė įranga, sukurta debesies pagrindu su integruotu AI, padedančiu sustabdyti išpirkos reikalaujančias programas, žinomas ir nežinomas kenkėjiškas programas ir kitas kylančias grėsmes.
Atakuoti paviršiaus mažinimo galimybes, kurios sukietina įrenginį, neleidžia nuliui dienų ir suteikia galimybę tiksliai valdyti prieigą ir elgseną galutiniame taške.
Įrenginiu pagrįsta sąlyginė prieiga, kuri suteikia papildomą duomenų apsaugos ir pažeidimų prevencijos lygmenį ir leidžia taikyti nulinio pasitikėjimo metodą.


Visos šios galimybės yra ant to paties tvirto pagrindo, kuriuo šiandien naudojasi visi Microsoft Defender for Endpoint klientai:

Debesis maitinamas sprendimas su beveik begaliniu mastu, kad atitiktų jūsų poreikius – jokių papildomų IT išlaidų, jokių suderinamumo problemų, nereikia laukti atnaujinimų.
Neprilygstamas įtaisytosios grėsmės ir žmogaus intelekto platumas ir gylis, kuriami naudojant mašininio mokymosi modelius ir dirbtinį intelektą.
Vieningas sprendimas, siūlantis neprilygstamą grėsmių matomumą, incidentų koreliaciją ir įžvalgą bei pasaulinės klasės SecOps patirtį kaip „Microsoft 365 Defender“ – mūsų XDR sprendimo – dalį.
„Microsoft Defender for Endpoint P1“ įgyvendina mūsų galutinio taško saugumo pažadą padėti organizacijoms greitai sustabdyti atakas, išplėsti saugos išteklius ir tobulinti gynybą. Mūsų esamas galinių taškų saugos sprendimas ir toliau bus siūlomas be pakeitimų ir pavadintas „Microsoft Defender for Endpoint Plan 2“ (P2).

Naujasis 1 planas yra galimybių, kurios šiandien yra „Microsoft Defender for Endpoint“, poaibis – kaip paryškinta žalia spalva toliau pateiktame galimybių grafike. Ji suteikia organizacijoms pagrindinę apsaugą nuo kenkėjiškų programų ir kitų grėsmių, pvz., išpirkos reikalaujančių programų, ir padeda organizacijoms pradėti savo „Zero Trust“ kelionę su galimybėmis, kurios kontroliuoja prieigą ir elgesį galutiniame taške, taip pat įgalina sąlyginę prieigą.

Klientai, kurie siekia plano 1, yra tie, kurie ieško tik EPP (galutinio taško apsaugos) galimybių. 1 planas siūlo geriausius prevencijos ir apsaugos pagrindus klientams, kuriuose veikia „Windows“, „MacOS“, „Android“ ir „iOS“. Tai apima naujos kartos apsaugą, įrenginio valdymą, galinio taško užkardą, tinklo apsaugą, žiniatinklio turinio filtravimą, atakos paviršiaus mažinimo taisykles, valdomą prieigą prie aplankų, įrenginiu pagrįstą sąlyginę prieigą, API ir jungtis. ir galimybė atsinešti savo pasirinktinį TI. Galiausiai, ji apima prieigą prie „Microsoft 365 Defender“ saugos patirties, kad galėtumėte peržiūrėti įspėjimus ir incidentus, saugos prietaisų skydelius, įrenginių inventorių ir atlikti naujos kartos apsaugos įvykių tyrimus bei rankinio atsako veiksmus.

Microsoft Defender, skirta Endpoint P1 funkcijoms

Išsamiausiam galutinio taško saugos sprendimui 2 planas yra pats tinkamiausias įmonėms, kurioms reikia sprendimo su pažangia grėsmių prevencija ir aptikimu, išsamiomis tyrimo ir paieškos galimybėmis bei pažangiais SecOps tyrimo ir ištaisymo įrankiais. Plan 2 galimybės toliau užkerta kelią saugumo pažeidimams, sutrumpina ištaisymo laiką ir sumažina atakų apimtį naudojant pažeidžiamumo valdymą, galinių taškų aptikimą ir reagavimą (EDR), automatizuotą taisymą, pažangią medžioklę, smėlio dėžę, valdomas medžioklės paslaugas ir išsamią grėsmių žvalgybą bei naujausių kenkėjiškų programų kampanijų ir nacionalinės valstybės grėsmių analizė.

Toliau pateiktoje lentelėje palyginamos 1 plano ir 2 plano galimybės.
Microsoft Defender, skirta Endpoint P1 P2 palyginimui
„Microsoft Defender For Endpoint P2“ prenumerata
„Microsoft Defender For Endpoint“ prenumerata suteikia vieningą galinių taškų saugos platformą ir leidžia įmonės klientams apsaugoti, aptikti, tirti ir reaguoti į pažangias atakas ir duomenų pažeidimus.
Jis yra įmontuotas, veikiantis debesyje, naudoja dirbtinį intelektą, kad automatizuotų saugumo incidentus, ir naudoja „Microsoft Intelligence Security Graph“, kad integruotų aptikimą ir tyrimą su kitomis „Microsoft Threat Protection“ paslaugomis *.
* gali prireikti atskirų prenumeratų
„Microsoft Defender for Endpoint Server“ prenumerata
„Microsoft Defender for Servers“ yra viena iš patobulintų „Microsoft Defender for Cloud“ saugos funkcijų. Naudokite jį norėdami pridėti grėsmių aptikimo ir išplėstinės apsaugos prie Windows ir Linux įrenginių, nesvarbu, ar jie veikia Azure, vietinėje ar kelių debesų aplinkoje.

„Microsoft Defender for Endpoint Server“ yra vieninga galinių taškų saugos platforma, leidžianti įmonės klientams apsaugoti, aptikti, tirti ir reaguoti į pažangias atakas ir duomenų pažeidimus.
Jis yra integruotas, veikia debesyje, taiko dirbtinį intelektą, kad automatizuotų saugos incidentus, ir naudoja „Microsoft Intelligence Security Graph“, kad integruotų aptikimą ir tyrinėjimą su kitomis „Microsoft Defender“ paslaugomis*.

„Microsoft Defender for Server“ teikiamos grėsmės aptikimo ir apsaugos galimybės apima:

Integruota Microsoft Defender for Endpoint licencija
„Microsoft Defender“ serveriams apima „Microsoft Defender for Endpoint“. Kartu jie suteikia išsamias galutinio taško aptikimo ir atsako (EDR) galimybes.

Kai „Defender for Endpoint“ aptinka grėsmę, ji suaktyvina įspėjimą. Įspėjimas rodomas „Defender for Cloud“. Naudodami „Defender for Cloud“ taip pat galite pereiti prie „Defender for Endpoint“ pulto ir atlikti išsamų tyrimą, kad išsiaiškintumėte atakos mastą.

Svarbu
„Defender for Cloud“ integracija su „Microsoft Defender for Endpoint“ įjungta pagal numatytuosius nustatymus. Taigi, kai įgalinate „Microsoft Defender“ serveriams, suteikiate sutikimą „Defender for Cloud“ pasiekti „Microsoft Defender for Endpoint“ duomenis, susijusius su pažeidžiamumu, įdiegta programine įranga ir jūsų galinių taškų įspėjimais.
Šiuo metu siūlome jutiklį, skirtą „Linux“ įrenginiams, peržiūros režimu.
Sužinokite daugiau skiltyje „Galinių taškų apsauga naudojant Defender for“ „Cloud“ integruotas EDR sprendimas: „Microsoft Defender for Endpoint“.

Mašinų pažeidžiamumo vertinimo įrankiai
„Microsoft Defender“ serveriams apima pažeidžiamumo aptikimo ir valdymo įrankių pasirinkimą jūsų įrenginiams. „Defender for Cloud“ nustatymų puslapiuose galite pasirinkti, kuriuos iš šių įrankių įdiegti savo įrenginiuose, o aptikti pažeidžiamumai bus rodomi saugos rekomendacijoje.

„Microsoft“ grėsmių ir pažeidžiamumo valdymas
Atraskite pažeidžiamumus ir netinkamas konfigūracijas realiuoju laiku naudodami „Microsoft Defender for Endpoint“ ir nereikalaujant papildomų agentų ar periodinių nuskaitymų. Grėsmių ir pažeidžiamumo valdymas teikia pirmenybę pažeidžiamumui, atsižvelgiant į grėsmių aplinką, aptikimus jūsų organizacijoje, neskelbtiną informaciją apie pažeidžiamus įrenginius ir verslo kontekstą.
Sužinokite daugiau skiltyje „Microsoft Defender“ trūkumai. Galinio taško grėsmės ir pažeidžiamumo valdymas.

Pažeidžiamumo skaitytuvas, kurį teikia Qualys
„Qualys“ skaitytuvas yra vienas iš pirmaujančių įrankių, skirtų „Azure“ ir hibridinių virtualių mašinų pažeidžiamumui realiuoju laiku nustatyti. Jums nereikia Qualys licencijos ar net Qualys paskyros – „Defender for Cloud“ viskas tvarkoma sklandžiai.
Sužinokite daugiau naudodami „Defender for Cloud“ integruotą „Qualys“ skaitytuvą „Azure“ ir hibridiniams įrenginiams.

Just-in-time (JIT) virtualios mašinos (VM) prieiga
Grėsmės veikėjai aktyviai ieško prieinamų mašinų su atvirais valdymo prievadais, pvz., RDP arba SSH. Visos jūsų virtualios mašinos yra galimi atakos tikslai. Sėkmingai pažeidžiant VM, ji naudojama kaip įėjimo taškas, norint atakuoti kitus jūsų aplinkos išteklius.

Kai įgalinate „Microsoft Defender“ serveriams, galite naudoti tiesioginę VM prieigą, kad užblokuotumėte gaunamą srautą į savo VM, sumažintumėte atakų poveikį ir suteiktumėte lengvą prieigą prie VM, kai reikia.
Jei reikia daugiau informacijos, žr. JIT supratimas VM prieiga.

Failo vientisumo stebėjimas (FIM)
Failų vientisumo stebėjimas (FIM), taip pat žinomas kaip pakeitimų stebėjimas, tiria operacinės sistemos, taikomosios programinės įrangos ir kitų failus ir registrus, ar nėra pakeitimų, galinčių reikšti ataką. Palyginimo metodas naudojamas norint nustatyti, ar dabartinė failo būsena skiriasi nuo paskutinio failo nuskaitymo. Galite naudoti šį palyginimą norėdami nustatyti, ar failuose buvo atlikti tinkami arba įtartini pakeitimai.

Kai įgalinate „Microsoft Defender“ serveriams, galite naudoti FIM „Windows“ failų, „Windows“ registrų ir „Linux“ failų vientisumui patvirtinti.
Jei reikia daugiau informacijos, žr. Failų vientisumo stebėjimą „Microsoft Defender“, skirta debesims.

Adaptyvieji programų valdikliai (AAC)
Prisitaikantys programų valdikliai yra protingas ir automatizuotas sprendimas, leidžiantis nustatyti žinomų saugių jūsų įrenginių programų sąrašus.

Įjungę ir sukonfigūravę prisitaikančius programų valdiklius, gausite saugos įspėjimus, jei paleis kokia nors programa, išskyrus tas, kurias apibrėžėte kaip saugias.
Jei reikia daugiau informacijos, žr. Pritaikomų programų valdiklių naudojimas jūsų mašinų atakos paviršiai.

Adaptyvusis tinklo tvirtinimas (ANH)
Tinklo saugos grupių (NSG) taikymas srautui į išteklius ir iš jų filtruoti pagerina tinklo saugos padėtį. Tačiau vis tiek gali būti atvejų, kai tikrasis srautas, tekantis per NSG, yra apibrėžtų NSG taisyklių pogrupis. Tokiais atvejais saugumo padėtį galima toliau pagerinti sugriežtinus NSG taisykles, pagrįstas faktiniais eismo modeliais.

Adaptive Network Hardening pateikia rekomendacijas, kaip toliau griežtinti NSG taisykles. Jis naudoja mašininio mokymosi algoritmą, kuris atsižvelgia į faktinį srautą, žinomą patikimą konfigūraciją, grėsmės žvalgybą ir kitus kompromiso rodiklius, o tada pateikia rekomendacijas leisti srautą tik iš konkrečių IP / prievadų eilučių.
Jei reikia daugiau informacijos, žr. Tinklo saugos padėties gerinimas naudojant prisitaikantis tinklo tvirtinimas.

Docker pagrindinio kompiuterio grūdinimas
„Microsoft Defender for Cloud“ identifikuoja nevaldomus konteinerius, esančius „IaaS Linux“ virtualiosiose mašinose arba kituose „Linux“ įrenginiuose, kuriuose veikia „Docker“ konteineriai. Defender for Cloud nuolat vertina šių konteinerių konfigūracijas. Tada jie palyginami su Interneto saugos centro (CIS) Docker etalonu. „Defender for Cloud“ apima visą „CIS Docker Benchmark“ taisyklių rinkinį ir įspėja jus, jei jūsų konteineriai neatitinka jokių valdiklių.
Jei reikia daugiau informacijos, žr. „Docker“ prieglobų sustiprinimas.

Befailų atakų aptikimas
Be failų atakų metu į atmintį įterpiama kenksminga apkrova, kad būtų išvengta aptikimo naudojant disko nuskaitymo metodus. Tada užpuoliko naudingoji apkrova išlieka pažeistų procesų atmintyje ir atlieka daugybę kenkėjiškų veiksmų.

Naudodami befailų atakų aptikimą, automatinės atminties kriminalistikos metodai nustato befailų atakų įrankių rinkinius, metodus ir elgesį. Šis sprendimas periodiškai nuskaito jūsų įrenginį vykdymo metu ir ištraukia įžvalgas tiesiai iš procesų atminties. Konkrečios įžvalgos apima:
Gerai žinomi įrankių rinkiniai ir kriptovaliutų gavybos programinė įranga
„Shellcode“ yra nedidelė kodo dalis, paprastai naudojama kaip naudingoji apkrova išnaudojant programinės įrangos pažeidžiamumą.
Į proceso atmintį įterptas kenkėjiškas vykdomasis failas

Be failų atakų aptikimas generuoja išsamius saugos įspėjimus, įskaitant aprašymus su proceso metaduomenimis, pvz., tinklo veikla. Šios detalės pagreitina įspėjimų skirstymą, koreliaciją ir tolesnio atsako laiką. Šis metodas papildo įvykiais pagrįstus EDR sprendimus ir suteikia didesnę aptikimo aprėptį.
Jei reikia išsamios informacijos apie befailų atakų aptikimo įspėjimus, žr. įspėjimų nuorodų lentelę.

Linux audito įspėjimai ir Log Analytics agento integravimas (tik Linux)
Audito sistemą sudaro branduolio lygio posistemis, atsakingas už sistemos iškvietimų stebėjimą. Jis filtruoja juos pagal nurodytą taisyklių rinkinį ir rašo jiems pranešimus į lizdą. „Defender for Cloud“ integruoja funkcijas iš audituoto paketo į „Log Analytics“ agentą. Ši integracija leidžia rinkti patikrintus įvykius visuose palaikomuose Linux platinimuose be jokių išankstinių sąlygų.

Log Analytics agentas, skirtas Linux, renka audituotus įrašus ir praturtina bei sujungia juos į įvykius. „Defender for Cloud“ nuolat prideda naujų analizės priemonių, kurios naudoja „Linux“ signalus, kad aptiktų kenkėjišką elgesį debesyje ir vietiniuose „Linux“ įrenginiuose. Panašiai kaip Windows galimybės, ši analizė apima įtartinus procesus, abejotinus bandymus prisijungti, branduolio modulio įkėlimą ir kitą veiklą. Ši veikla gali reikšti, kad mašina yra užpulta arba buvo pažeista.
Linux įspėjimų sąrašą žr. įspėjimų informacinė lentelė

Kad apsaugotų mašinas hibridinėje ir kelių debesų aplinkoje, „Defender for Cloud“ naudoja „Azure Arc“.
Šis produktas teikia MDE serverio galutiniuose taškuose ir yra licencijuojamas kiekvienam mazgui.
*gali prireikti atskirų prenumeratų.
„Microsoft Defender for Identity“ prenumerata
„Microsoft Defender for Identity“ sukurta tam, kad padėtų apsaugoti jūsų įmonę nuo pažangių tikslinių atakų automatiškai analizuojant, mokantis ir identifikuojant įprastą ir nenormalų subjekto (vartotojo, įrenginių ir išteklių) elgesį.

„Microsoft Defender for Identity“ (anksčiau „Azure Advanced Threat Protection“, taip pat žinomas kaip „Azure ATP“) yra debesies pagrindu sukurtas saugos sprendimas, kuris naudoja vietinius „Active Directory“ signalus, kad būtų galima nustatyti, aptikti ir ištirti išplėstines grėsmes, pažeistas tapatybes ir kenkėjiškus viešai neatskleistus veiksmus. nukreipta į jūsų organizaciją.

„Defender for Identity“ leidžia „SecOp“ analitikams ir saugos specialistams, kurie stengiasi aptikti pažangias atakas hibridinėse aplinkose:
• Stebėkite vartotojus, subjekto elgseną ir veiklą naudodamiesi mokymosi analize
• Apsaugokite „Active Directory“ saugomas vartotojo tapatybes ir kredencialus
• Nustatykite ir ištirkite įtartiną vartotojo veiklą ir išplėstines atakas visoje nužudymo grandinėje
• Pateikite aiškią informaciją apie įvykius paprastoje laiko juostoje, kad būtų galima greitai įvertinti
• Stebėkite ir apibūdinkite vartotojų elgseną ir veiklą
• „Defender for Identity“ stebi ir analizuoja vartotojo veiklą ir informaciją visame jūsų tinkle, pvz., Leidimus ir narystę grupėje, sukuriant kiekvieno vartotojo elgsenos pagrindą. Tada „Defender for Identity“ nustato anomalijas ir pritaikytą integruotą intelektą, suteikdamas jums įžvalgų apie įtartiną veiklą ir įvykius, atskleidžiant išplėstines grėsmes, pažeistus vartotojus ir vidinius grėsmes, su kuriais susiduria jūsų organizacija. „Defender for Identity“ patentuoti jutikliai stebi organizacijos domeno valdiklius, pateikdami išsamų visų naudotojo veiksmų iš kiekvieno įrenginio vaizdą.

Apsaugokite vartotojo tapatybę ir sumažinkite atakos paviršių
• „Defender for Identity“ suteikia jums neįkainojamų įžvalgų apie tapatybės konfigūracijas ir siūlomą geriausią saugumo praktiką. Naudodamas saugos ataskaitas ir vartotojo profilio analizę, „Defender for Identity“ padeda dramatiškai sumažinti jūsų organizacijos atakos paviršių, apsunkindamas vartotojo kredencialų pažeidimą ir atakos išplėtimą. „Defender for Identity“ vaizdiniai šoniniai judėjimo keliai padeda greitai suprasti, kaip užpuolikas gali judėti į šoną jūsų organizacijos viduje, siekdamas pažeisti neskelbtinas paskyras, ir padeda iš anksto išvengti šios rizikos. „Defender for Identity“ saugos ataskaitos padeda atpažinti vartotojus ir įrenginius, kurie autentikuojasi naudodami aiškiojo teksto slaptažodžius, ir suteikia papildomų įžvalgų, kad pagerintumėte organizacijos saugos laikyseną ir politiką.

AD FS apsauga hibridinėse aplinkose
• „Active Directory Federation Services“ (AD FS) vaidina svarbų vaidmenį šiuolaikinėje infrastruktūroje, kai kalbama apie autentifikavimą hibridinėse aplinkose. „Defender for Identity“ apsaugo AD FS jūsų aplinkoje, aptikdamas vietoje užpuolimus prieš AD FS ir užtikrindamas AD FS sukurtų autentifikavimo įvykių matomumą.

Nustatykite įtartiną veiklą ir išplėstines atakas visoje kibernetinių atakų žudymo grandinėje
• Paprastai atakos pradedamos prieš bet kurį prieinamą subjektą, pvz., Mažai privilegijuotą vartotoją, ir tada greitai juda į šonus, kol užpuolikas gauna prieigą prie vertingo turto, pvz., Neskelbtinų paskyrų, domenų administratorių ir labai slaptų duomenų. „Defender for Identity“ identifikuoja šias išplėstines grėsmes šaltinyje visoje kibernetinių atakų žudymo grandinėje:

Pažintis
• Nustatykite nesąžiningus vartotojus ir užpuolikų bandymus gauti informacijos. Užpuolikai, naudodami įvairius metodus, ieško informacijos apie vartotojo vardus, vartotojų grupių narystę, įrenginiams priskirtus IP adresus, išteklius ir dar daugiau.

Sugadinti prisijungimo duomenys
• Nustatykite bandymus pažeisti vartotojo kredencialus naudodamiesi grubios jėgos atakomis, nepavykusiais autentifikavimais, vartotojų grupės narystės pakeitimais ir kitais būdais.

Šoniniai judesiai
• Aptikite bandymus judėti į šonus tinklo viduje, kad gautumėte daugiau jautrių vartotojų kontrolės, naudodami tokius metodus kaip „Pass the Ticket“, „Pass the Hash“, „Overpass the Hash“ ir kt.

Domeno dominavimas
• Išryškinant užpuoliko elgesį, jei pasiekiamas domeno dominavimas, naudojant nuotolinį kodo vykdymą domeno valdiklyje ir tokiais metodais kaip „DC Shadow“, kenksmingo domeno valdiklio replikacija, „Golden Ticket“ veikla ir kt.

Ištirkite įspėjimus ir naudotojų veiklą
• „Defender for Identity“ sukurtas siekiant sumažinti bendrą pavojaus keliamą triukšmą, teikiant tik aktualius, svarbius saugos įspėjimus paprasta, realiu laiku organizuojamos atakos laiko juostoje. „Defender for Identity“ atakos laiko juostos vaizdas leidžia lengvai susitelkti ties tuo, kas svarbu, pasitelkiant išmaniosios analizės intelektą. Naudokite „Defender for Identity“, kad greitai ištirtumėte grėsmes ir gautumėte įžvalgų apie organizaciją apie vartotojus, įrenginius ir tinklo išteklius. Besiūlė integracija su „Microsoft Defender for Endpoint“ suteikia dar vieną sustiprinto saugumo sluoksnį papildomai aptinkant ir apsaugant nuo pažangių nuolatinių operacinės sistemos grėsmių.