适用于服务器的 Azure Defender 简介

小提示：您能找到这篇{适用于服务器的 Azure Defender 简介}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的适用于服务器的 Azure Defender 简介内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

适用于服务器的Azure Defender添加了适用于Windows和Linux计算机的威胁检测和高级防护功能。

针对Windows，Azure Defender与Azure服务集成，可以监视和保护基于Windows的计算机。安全中心以易用的格式提供来自所有这些服务的警报和修正建议。

安全中心使用auditd（最常见的Linux审核框架之一）从Linux计算机收集审核记录。auditd驻留在主线内核中。

适用于服务器的Azure Defender有哪些优点？

适用于服务器的Azure Defender提供的威胁检测和保护功能包括：

用于终结点的Microsoft Defender的集成许可证（仅限Windows）-适用于服务器的Azure Defender包括用于终结点的Microsoft Defender。两者共同提供全面的终结点检测和响应(EDR)功能。了解详细信息。

用于终结点的Defender在检测到威胁时会触发警报。警报在安全中心显示。在安全中心，还可以透视用于终结点的Defender控制台，并执行详细调查来发现攻击范围。了解有关用于终结点的Microsoft Defender的详细信息。

重要

使用安全中心的Windows服务器上已自动启用用于终结点的Microsoft Defender传感器。

VM漏洞评估扫描产品营销方法-Azure安全中心随附的漏洞扫描程序由Qualys提供支持。

Qualys的扫描程序是一种用于实时识别Azure虚拟机中的漏洞的领先工具。你无需具备Qualys许可证，甚至还不需要Qualys帐户-所有操作都在安全中心内无缝执网络营销管理培训班行。了解详细信息。

实时(JIT)虚拟机(VM)访问-威胁制造者会主动搜寻设有开放管理端口（如RDP或SSH）的可访问计算机。你的所有虚拟机都是潜在的攻击目标。VM在被成功入侵后将会用作进一步攻击环境中资源的入口点。

启用适用于服务器的Azure Defender时，可以使用实时VM访问功能来锁定发往VM的入站流量，降低遭受攻击的可能性，同时在需要时还允许轻松连接到VM。了解详细信息。

文件完整性监视(FIM)-文件完整性监视(FIM)也称为更改监视，它可以检查操作系统、应用程序软件和其他组件的文件和注册表，确定它们是否发生了可能表示遭受攻击的更改。将使用比较方法来确定当前文件状态是否不同于上次扫描该文件时的状态。可以利用这种比较来确定文件是否发生了有效或可疑的修改。

启用适用于服务器的Azure Defender时，可以使用FIM来验证Windows文件、Windows注册表和Linux文件的完整性。了解详细信息。

自适应应用程序控制(AAC)-自适应应用程序控制是一种智能和自动化的解决方案，用于为计算机定义已知安全的应用程序的允许列表。

当启用并配置了自适应应用程序控件后，如果有任何程序运行，而该程序不是你定义的安全应用程序，你会收到安全警报。了解详细信息。

自适应网络强化(ANH)-应用网络安全组(NSG)来筛选往返资源的流量，改善网络安全状况。但是，仍然可能存在一些这样的情况：通过NSG流动的实际流量是所定义NSG规则的子集。在这些情况下，可以根据实际流量模式强化NSG规则，从而进一步改善安全状况。

自适应网络强化为进一步强化NSG规则提供了建议。它使用机器学习算法，这种算法会将实际流量、已知受信任的配置、威胁情报和其他泄露标志都考虑在内，然后提供仅允许来自特定IP/端口元组的流量的建议。了解详细信息。

Docker主机强化-Azure安全中心会标识IaaS Linux VM上或运行Docker容器的其他Linux计算机上承载的非托管容器。安全中心会持续评估这些容器的配置。然后，它会将其与Internet安全中心(CIS)的Docker基准进行比较。安全中心包含CIS的Docker基准的完整规则集，并会在容器不符合控件标准的情况下发出警报。了解详细信息。

无文件攻击检测（仅限Windows）-无文件攻击会试图通过将恶意有效负载注入内存中来避免被基于磁盘的扫描技术检测到。之后，攻击者的有效负载会持久保存在遭到入侵的进程的内存中，执行各种恶意活动。

自动内存取证技术使用无文件攻击检测来识别无文件攻击工具包、方法和行为。此解决方案会定期在运行时扫描计算机，并直接从进程的内存中提取见解。特定见解包括对以下内容的识别：

常见工具包和加密挖掘软件

Shellcode，这是一小段代码，通常用作利用软件漏洞时的有效负载。

进程内存中注入的恶意可执行文件

无文件攻击检测功能会生成详细的安全警报，其中包含相关描述和其他进程元数据，例如网络活动数据。这可以加快警报会审、关联和下游响应时间。此方法是对基于事件的EDR解决方案的补充，并扩大了检测范围。

有关无文件攻击检测警报的详细信息，请参阅警报参考表。

Linux auditd警报和Log Analytics代理集成（仅Linux）-auditd系统包含一个负责监视系统调用的内核级子系统。该子系统会按照指定的规则集筛选这些调用，并将针对这些调用生成的消息写入到套接字。安全中心在Log Analytics代理中集成了auditd包的功能。通过这种集成，无需满足任何先决条件，就能在所有受支持的Linux发行版中收集auditd事件。

可以使用适用于Linux的Log Analytics代理收集、扩充auditd记录并将其聚合到事件中。安全中心会持续添加新分析功能，这些功能可以使用Linux信号来检测云和本地Linux计算机上的恶意行为。类似于Windows中的功能，这些分析功能可以检测各种可疑进程、可疑登录企图、内核模块加载操作和其他活动。这些活动可能表示计算机正在受到攻击或已遭入侵。

有关Linux警报的列表，请参阅警报参考表。

模拟警报

可以通过下载以下行动手册之一来模拟警报：

对于Windows：Azure突破传播optimedi安全中心Playbook：安全警报

对于Linux：Azure安全中心Playbook：Linux检测来模拟Linux警报。