Die erweiterten Sicherheitsfunktionen von Microsoft Defender für Cloud

  • Artikel
  • 12 Minuten Lesedauer

Die erweiterten Sicherheitsfunktionen sind in den ersten 30 Tagen kostenlos. Wenn Sie sich nach 30 Tagen entscheiden, den Dienst weiter zu nutzen, wird die Nutzung automatisch in Rechnung gestellt.

Sie können das Upgrade von der Seite Umgebungseinstellungen aus durchführen, wie in Schnellstart beschrieben: Erweiterte Sicherheitsfunktionen aktivieren. Preisdetails in Ihrer lokalen Währung oder Region finden Sie auf der Seite mit der Preisübersicht.

Was sind die Vorteile der Aktivierung erweiterter Sicherheitsfunktionen?

Defender für Cloud wird in zwei Modi angeboten:

  • Ohne erweiterte Sicherheitsfunktionen (Kostenlos): Defender für Cloud wird kostenlos für alle Ihre Azure-Abonnements aktiviert, wenn Sie das Dashboard für den Workloadschutz im Azure-Portal zum ersten Mal besuchen oder wenn die Aktivierung programmatisch über die API erfolgt. Mit diesem kostenlosen Modus erhalten Sie die Sicherheitsbewertung und die damit verbundenen Funktionen: Sicherheitsrichtlinien, kontinuierliche Sicherheitsbewertung und umsetzbare Sicherheitsempfehlungen, die Sie beim Schutz Ihrer Azure-Ressourcen unterstützen.

  • Defender für Cloud mit allen erweiterten Sicherheitsfunktionen - Die Aktivierung der erweiterten Sicherheitsfunktionen erweitert die Funktionen des kostenlosen Modus auf Workloads, die in privaten und anderen öffentlichen Clouds ausgeführt werden, und bietet ein einheitliches Sicherheitsmanagement und Schutz vor Bedrohungen für Ihre Hybrid-Cloud-Workloads. Einige der wichtigsten Vorteile sind:

    • Microsoft Defender für Endpunkt – Microsoft Defender für Server enthält Microsoft Defender für Endpunkt für umfassende Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR). Erfahren Sie mehr über die Vorteile der Verwendung von Microsoft Defender für Endpoint zusammen mit Defender für Cloud in Nutzen Sie die integrierte EDR-Lösung von Defender für Cloud.
    • Risikosicherheitsbewertung für virtuelle Computer, Containerregistrierungen und SQL-Ressourcen: Aktivieren Sie einfach Lösungen zur Sicherheitsrisikobewertung, um Sicherheitsrisiken zu ermitteln, zu verwalten und zu beheben. Zeigen Sie die Ergebnisse direkt in Defender für Cloud an, untersuchen Sie sie, und beheben Sie sie.
    • Multicloud-Sicherheit: Verbinden Sie Ihre Konten von Amazon Web Services (AWS) und Google Cloud Platform (GCP), um Ressourcen und Workloads auf diesen Plattformen mit einer Reihe von Microsoft Defender für Cloud-Sicherheitsfunktionen zu schützen.
    • Hybridsicherheit: Verschaffen Sie sich einen einheitlichen Überblick über die Sicherheit sämtlicher lokaler und cloudbasierter Workloads. Wenden Sie Sicherheitsrichtlinien an, und bewerten Sie kontinuierlich die Sicherheit Ihrer Hybridcloud-Workloads, um die Einhaltung von Sicherheitsstandards zu gewährleisten. Sammeln, durchsuchen und analysieren Sie Sicherheitsdaten aus zahlreichen Quellen (einschließlich Firewalls und Partnerlösungen).
    • Bedrohungsschutzwarnungen: Mit erweiterten Verhaltensanalysen und Microsoft Intelligent Security Graph sind Sie neuen Arten von Cyberangriffen immer einen Schritt voraus. Mit integrierten Verhaltensanalysen und Machine Learning können Angriffe und Zero-Day-Exploits erkannt werden. Überwachen Sie Netzwerke, Computer, Datenspeicher (SQL Server-Instanzen, die innerhalb und außerhalb von Azure gehostet werden, Azure SQL-Datenbanken, Azure SQL Managed Instance und Azure Storage) sowie Clouddienste auf eingehende Angriffe und Aktivitäten nach Sicherheitsverletzungen. Optimieren Sie die Untersuchung mit interaktiven Tools und kontextbezogenen Informationen zu Bedrohungen.
    • Überwachung der Einhaltung einer Reihe von Standards - Defender für Cloud bewertet kontinuierlich Ihre Hybrid-Cloud-Umgebung, um die Risikofaktoren gemäß den Kontrollen und Best Practices in Azure Security Benchmark zu analysieren. Wenn Sie die erweiterten Sicherheitsfunktionen aktivieren, können Sie je nach den Anforderungen Ihres Unternehmens eine Reihe anderer Industriestandards, gesetzlicher Normen und Benchmarks anwenden. Über das Dashboard zur Einhaltung gesetzlicher Bestimmungen können Sie Standards hinzufügen und die Konformität nachverfolgen.
    • Zugriffs- und Anwendungskontrollen: Blockieren Sie Schadsoftware und andere unerwünschte Anwendungen, indem Sie durch Machine Learning unterstützte Empfehlungen anwenden, die auf Ihre spezifischen Workloads abgestimmt sind, um Positiv- und Sperrlisten zu erstellen. Verringern Sie die Angriffsfläche im Netzwerk mit kontrolliertem Just-in-Time-Zugriff auf Verwaltungsports auf Azure Virtual Machines. Zugriffs- und Anwendungskontrollen reduzieren die Anfälligkeit für Brute-Force- und andere Netzwerkangriffe drastisch.
    • Containersicherheitsfeatures: Profitieren Sie in Ihren Containerumgebungen von der Handhabung von Sicherheitsrisiken und des Schutzes vor Bedrohungen in Echtzeit. Die Gebühren basieren auf der Anzahl der eindeutigen Containerimages, die in Ihre verbundene Registrierung gepusht werden. Nachdem ein Image ein Mal gescannt wurde, wird es nicht mehr in Rechnung gestellt, es sei denn, es wird geändert und noch einmal gepusht.
    • Umfassender Schutz vor Bedrohungen für Ressourcen, die mit Azure verbunden sind: Cloudnativer Bedrohungsschutz für die Azure-Dienste, die für alle Ihre Ressourcen gelten: Azure Resource Manager, Azure DNS, Azure Network Layer und Azure Key Vault. Defender für Cloud hat einen einzigartigen Einblick in die Azure-Verwaltungsebene und die Azure-DNS-Ebene und kann daher Cloud-Ressourcen schützen, die mit diesen Ebenen verbunden sind.

Häufig gestellte Fragen: Preise und Abrechnung

Wie kann ich nachverfolgen, wer in meiner Organisation einen Microsoft Defender-Plan in Defender für Cloud aktiviert hat?

In einem Azure-Abonnement gibt es möglicherweise mehrere Administratoren mit Berechtigungen zum Ändern der Tarifeinstellungen. Verwenden Sie das Azure-Aktivitätsprotokoll, um herauszufinden, welcher Benutzer eine Änderung vorgenommen hat.

Azure Activity log showing a pricing change event.

Wenn die Informationen des Benutzers nicht in der Spalte Ereignis initiiert von aufgeführt sind, sollten Sie sich in den JSON-Daten des Ereignisses die relevanten Details ansehen.

Azure Activity log JSON explorer.

Welche Pläne werden von Defender für Cloud angeboten?

Das kostenlose Angebot von Microsoft Defender für Cloud bietet die Sicherheitsbewertung und die dazugehörigen Tools. Durch die Aktivierung der erweiterten Sicherheit werden alle Microsoft Defender-Pläne aktiviert, um eine Reihe von Sicherheitsvorteilen für alle Ihre Ressourcen in Azure-, Hybrid- und Multicloud-Umgebungen zu bieten.

Wie aktiviere ich die erweiterte Sicherheit von Defender für Cloud für mein Abonnement?

Sie können eine der folgenden Möglichkeiten nutzen, um erweiterte Sicherheit für Ihr Abonnement zu aktivieren:

Methode Anweisungen
Defender für Cloud-Seiten des Azure-Portals Erweiterte Schutzmaßnahmen aktivieren
REST-API Pricings-API
Azure CLI az security pricing
PowerShell Set-AzSecurityPricing
Azure Policy Bundle-Preise

Kann ich Microsoft Defender für Server für eine Untergruppe von Servern in meinem Abonnement aktivieren?

Nein. Wenn Sie Microsoft Defender für Server für ein Abonnement aktivieren, werden alle Computer im Abonnement durch Defender für Server geschützt.

Als Alternative können Sie Microsoft Defender für Server auf der Ebene des Log Analytics-Arbeitsbereichs aktivieren. Wenn Sie dies tun, werden nur Server, die Daten an diesen Arbeitsbereich melden, geschützt und in Rechnung gestellt. Mehrere Funktionen sind aber nicht verfügbar. Dazu gehören Microsoft Defender für Endpunkt, VA-Lösung (TVM/Qualys), Just-In-Time-VM-Zugriff und vieles mehr.

Wenn ich bereits eine Lizenz für Microsoft Defender für Endpunkt habe, kann ich dann einen Rabatt für Defender für Server erhalten?

Wenn Sie bereits eine Lizenz für Microsoft Defender für Endpunkt für Server Plan 2 haben, müssen Sie für diesen Teil Ihrer Lizenz für Microsoft Defender für Server nicht zahlen. Weitere Informationen finden Sie im Abschnitt zu den Lizenzierungsanforderungen.

Fordern Sie Ihren Rabatt beim Supportteam des Security Centers an. Dazu müssen Sie die entsprechende Arbeitsbereichs-ID, die Region und die Anzahl der Microsoft Defender für Endpunkt-Lizenzen für Server angeben, die für Computer im angegebenen Arbeitsbereich angewendet wurden.

Der Rabatt gilt ab dem Genehmigungsdatum und wird nicht rückwirkend wirksam.

In meinem Abonnement ist Microsoft Defender für Server aktiviert. Muss ich auch für nicht ausgeführte Server zahlen?

Nein. Wenn Sie Microsoft Defender für Server für ein Abonnement aktivieren, werden Ihnen keine Kosten für Computer in Rechnung gestellt, die sich in diesem Zustand befinden, solange sie keinen Strom verbrauchen. Computer werden gemäß ihrem Energiezustand abgerechnet, wie in der folgenden Tabelle zu sehen:

State BESCHREIBUNG Abgerechnete Instanznutzung
Wird gestartet Die VM wird gestartet. Nicht in Rechnung gestellt
Wird ausgeführt Dies ist der normale Ausführungszustand einer VM. In Rechnung gestellt
Wird beendet Dies ist ein Übergangszustand. Nach Abschluss des Vorgangs wird für die VM Beendet angezeigt. In Rechnung gestellt
Beendet Die VM wurde über das Gastbetriebssystem oder mithilfe der PowerOff-APIs heruntergefahren. Der VM ist weiterhin Hardware zugeordnet, und sie verbleibt auf dem Host. In Rechnung gestellt
Zuordnung wird aufgehoben Dies ist ein Übergangszustand. Nach Abschluss des Vorgangs wird für die VM Zuordnung aufgehoben angezeigt. Nicht in Rechnung gestellt
Zuordnung aufgehoben Die VM wurde erfolgreich beendet und vom Host entfernt. Nicht in Rechnung gestellt

Azure Virtual Machines showing a deallocated machine.

Wenn ich den Serverplan von Defender für Cloud auf Abonnementebene aktiviere, muss ich ihn auch auf Arbeitsbereichsebene aktivieren?

Wenn Sie den Serverplan auf Abonnementebene aktivieren, aktiviert Defender für Cloud den Serverplan automatisch für Ihre Standardarbeitsbereiche, sofern die automatische Bereitstellung aktiviert ist. Hierzu können Sie auf der Seite „Automatische Bereitstellung“ die Option Azure-VMs mit den von Defender für Cloud erstellten Standardarbeitsbereichen verbinden und anschließend Anwenden auswählen.

Screenshot showing how to auto provision defender for cloud to manage your workspaces.

Falls Sie jedoch anstelle eines Standardarbeitsbereichs einen benutzerdefinierten Arbeitsbereich verwenden, müssen Sie den Serverplan für alle benutzerdefinierten Arbeitsbereiche aktivieren, für die er nicht aktiviert ist.

Wenn Sie einen benutzerdefinierten Arbeitsbereich verwenden und den Plan nur auf Abonnementebene aktivieren, wird auf der Seite „Empfehlungen“ die Empfehlung Microsoft Defender for servers should be enabled on workspaces angezeigt. Diese Empfehlung gibt Ihnen die Möglichkeit, den Serverplan über die Schaltfläche „Korrigieren“ auf Arbeitsbereichsebene zu aktivieren. Solange der Serverplan für den Arbeitsbereich nicht aktiviert ist, profitieren verbundene virtuelle Computer nicht von der vollständigen Sicherheitsabdeckung (Microsoft Defender für Endpunkt, VA-Lösung (TVM/Qualys), Just-In-Time-VM-Zugriff und mehr) von Defender für Cloud. Die entsprechenden Kosten fallen aber dennoch an.

Durch Aktivieren des Serverplans für das Abonnement und die verbundenen Arbeitsbereiche fallen keine doppelten Gebühren an. Das System identifiziert jeden individuellen virtuellen Computer.

Wenn Sie den Serverplan für abonnementübergreifende Arbeitsbereiche aktivieren, werden alle verbundenen virtuellen Computer in Rechnung gestellt – auch virtuelle Computer unter Abonnements, für die er nicht aktiviert wurde.

Werden mir für Computer, auf denen der Log Analytics-Agent nicht installiert ist, Kosten berechnet?

Ja. Wenn Sie Microsoft Defender für Server für ein Abonnement aktivieren, erhalten die Computer in diesem Abonnement selbst dann eine Reihe von Schutzfunktionen, wenn Sie den Log Analytics-Agent nicht installiert haben. Dies gilt für virtuelle Azure-Computer, Azure-VM-Skalierungsgruppeninstanzen und Server mit Azure Arc-Unterstützung.

Wenn ein Log Analytics-Agent Daten an mehrere Arbeitsbereiche meldet, werden mir dann zweimal Kosten berechnet?

Nein. Ihnen werden nicht zweimal Gebühren in Rechnung gestellt.

Wenn ein Log Analytics-Agent Daten an mehrere Arbeitsbereiche meldet, sind die kostenlosen 500 MB für die Datenerfassung dann für alle Arbeitsbereiche verfügbar?

Ja. Wenn Sie Ihren Log Analytics-Agent so konfiguriert haben, dass Daten an zwei oder mehr unterschiedliche Log Analytics-Arbeitsbereiche gesendet werden (Multi-Homing), können Sie 500 MB für die Datenerfassung kostenlos nutzen. Dieser Wert wird pro Knoten, pro Meldungsarbeitsbereich und pro Tag berechnet und ist für jeden Arbeitsbereich verfügbar, für den Lösungen vom Typ „Sicherheit“ oder „Antischadsoftware“ installiert sind. Ihnen werden Kosten für alle Daten berechnet, die über die maximal 500 MB hinaus erfasst wurden.

Wird die kostenlose Datenerfassung von 500 MB für einen gesamten Arbeitsbereich oder ausschließlich pro Computer berechnet?

Für jeden virtuellen Computer, der mit dem Arbeitsbereich verbunden ist, stehen pro Tag kostenlos 500 MB für die Datenerfassung zur Verfügung. Speziell für die Sicherheitsdatentypen, die von Defender für Cloud direkt erfasst werden.

Bei diesen Daten handelt es sich um eine tägliche Durchschnittsrate für alle Knoten. Ihr tägliches kostenloses Gesamtkontingent entspricht [Anzahl von Computern] × 500 MB. Selbst wenn also einige Computer 100 MB und andere 800 MB senden, werden Ihnen keine zusätzlichen Kosten in Rechnung gestellt, solange die Summe nicht über das tägliche kostenlose Gesamtkontingent hinausgeht.

Welche Datentypen sind im täglichen Datenkontingent von 500 MB enthalten?

Die Abrechnung von Defender für Cloud ist eng mit der Abrechnung von Log Analytics verbunden. Microsoft Defender für Server bietet für die folgende Untergruppe von Sicherheitsdatentypen eine Zuteilung von 500 MB pro Knoten und Tag für Computer:

Wenn sich der Arbeitsbereich in der alten Preisstufe "Pro Knoten" befindet, werden die Zuweisungen für Defender für Cloud und Log Analytics kombiniert und gemeinsam auf alle abrechenbaren erfassten Daten angewendet.

Wie kann ich meine tägliche Nutzung überwachen?

Sie können Ihre Datennutzung auf zwei verschiedene Arten anzeigen: im Azure-Portal oder durch Ausführen eines Skripts.

So zeigen Sie Ihre Nutzung im Azure-Portal an

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Log Analytics-Arbeitsbereiche.

  3. Wählen Sie Ihren Arbeitsbereich aus.

  4. Wählen Sie Nutzungs- und geschätzte Kosten aus.

    Screenshot of your data usage of your log analytics workspace.

Sie können auch geschätzte Kosten unter verschiedenen Preisstufen anzeigen, indem Sie für die einzelnen Preisstufen auswählen.

Screenshot showing how to view estimated costs under additional pricing tiers.

So zeigen Sie Ihre Nutzung mithilfe eines Skripts an

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Log Analytics-Arbeitsbereiche>Protokolle.

  3. Wählen Sie den gewünschten Zeitbereich aus. Informationen zu Zeitbereichen finden Sie hier.

  4. Kopieren Sie die folgende Abfrage, und fügen Sie sie in den Abschnitt Hier Abfrage eingeben ein:

    let Unit= 'GB';
Usage
| where IsBillable == 'TRUE'
| where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
| project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
| summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
| sort by DataConsumedPerDataType desc

  5. Klicken Sie auf Run (Ausführen).

    Screenshot showing where to enter your query and where the select run button is located.

Informationen zum Analysieren der Nutzung im Log Analytics-Arbeitsbereich finden Sie hier.

Basierend auf Ihrer Nutzung werden Ihnen erst Gebühren in Rechnung gestellt, wenn Sie Ihr Tageskontingent aufgebraucht haben. Wenn Sie eine Rechnung erhalten, dann nur für die Daten, die über die 500 MB hinausgehen, oder für einen anderen Dienst, der nicht durch Defender für Cloud abgedeckt ist.

Nächste Schritte

Dieser Artikel erläutert die Preisoptionen von Defender für Cloud. Verwandte Informationen finden Sie hier:

  • Optimieren der Kosten für Azure-Workloads
  • Security Center – Preise
  • Möglicherweise möchten Sie Ihre Kosten verwalten und den Umfang der für eine Lösung gesammelten Daten begrenzen, indem Sie sie auf einen bestimmten Satz von Agents beschränken. Mit der Zielgruppenadressierung für Lösungen können Sie einen Bereich auf die Lösung anwenden und eine Teilmenge von Computern im Arbeitsbereich als Ziel angeben. Wenn Sie Solution Targeting verwenden, listet Defender für Cloud den Arbeitsbereich als nicht lösungsorientiert auf.

Wichtig

Die Zielgruppenadressierung für Lösungen (Solution Targeting) ist veraltet, weil der Log Analytics-Agent durch den Azure Monitor-Agent ersetzt wird und Lösungen in Azure Monitor durch Erkenntnisse ersetzt werden. Sie können die Zielgruppenadressierung für Lösungen weiterhin verwenden, wenn Sie sie bereits konfiguriert haben, sie in neuen Regionen aber nicht verfügbar ist. Das Feature wird nach dem 31. August 2024 nicht mehr unterstützt. In den folgenden Regionen wird die Zielgruppenadressierung für Lösungen bis zum Veraltungsdatum unterstützt:

Regionscode Regionsname
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU Europa, Norden
NOE norwayeast
PAR Frankreich, Mitte
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
Clouds mit Air Gap Regionscode Regionsname
UsNat EXE usnateast
UsNat EXW usnatwest
USGov FF usgovvirginia
China MC ChinaEast2
USGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest