Selezionare un piano defender per server
Questo articolo illustra come selezionare il piano di Microsoft Defender per server più adatto per l'organizzazione.
Defender per server è uno dei piani a pagamento forniti da Microsoft Defender per il cloud.
Operazioni preliminari
Questo articolo è il quarto articolo della guida alla pianificazione di Defender per server. Prima di iniziare, esaminare gli articoli precedenti:
- Iniziare a pianificare la distribuzione
- Comprendere dove vengono archiviati i dati e i requisiti dell'area di lavoro Log Analytics
- Esaminare i requisiti di accesso e ruolo
Esaminare i piani
È possibile scegliere tra due piani a pagamento:
Defender per server Piano 1 è di livello di base e deve essere abilitato a livello di sottoscrizione. Le funzionalità includono:
Foundational cloud security posture management (CSPM), fornito gratuitamente da Defender per il cloud.
- Per le macchine virtuali di Azure e i computer Amazon Web Services (AWS) e Google Cloud Platform (GCP), non è necessario un piano di Defender per il cloud abilitato per l'uso delle funzionalità DI CSPM di base.
- Per il server locale, per ricevere raccomandazioni di configurazione è necessario eseguire l'onboarding in Azure con Azure Arc e è necessario abilitare Defender per server.
Funzionalità di rilevamento e risposta degli endpoint (EDR) fornite da Microsoft Defender per endpoint Piano 2.
Defender per server Piano 2 offre tutte le funzionalità. Il piano deve essere abilitato a livello di sottoscrizione e a livello di area di lavoro per ottenere la copertura completa delle funzionalità. Le funzionalità includono:
- Tutte le funzionalità fornite da Defender per server piano 1.
- Funzionalità di rilevamento e risposta (XDR) più estese.
Nota
Il piano 1 e il piano 2 per Defender per i server non sono uguali a Piano 1 e Piano 2 per Defender per endpoint.
Funzionalità dei piani
| Funzionalità | Dettagli | Piano 1 | Piano 2 |
|---|---|---|---|
| Integrazione di Defender per endpoint | Defender per server si integra con Defender per endpoint e protegge i server con tutte le funzionalità, tra cui: - Riduzione della superficie di attacco per ridurre il rischio di attacco. - Protezione di nuova generazione, tra cui analisi e protezione in tempo reale e Antivirus Microsoft Defender. - EDR, tra cui l'analisi delle minacce, l'analisi e la risposta automatizzate, la ricerca avanzata e le notifiche di attacco degli endpoint. - Valutazione e mitigazione della vulnerabilità fornite da Gestione delle vulnerabilità di Microsoft Defender (MDVM) come parte dell'integrazione di Defender per endpoint. Con il piano 2 è possibile ottenere funzionalità MDVM Premium, fornite dal componente aggiuntivo MDVM. |
|
|
| Licenze | Defender per server copre le licenze per Defender per endpoint. Le licenze vengono addebitate all'ora anziché per sede, riducendo i costi proteggendo le macchine virtuali solo quando sono in uso. |
|
|
| Provisioning di Defender per endpoint | Defender per server effettua automaticamente il provisioning del sensore Defender per endpoint in ogni computer supportato connesso a Defender per il cloud. |
|
|
| Visualizzazione unificata | Gli avvisi di Defender per endpoint vengono visualizzati nel portale di Defender per il cloud. È possibile ottenere informazioni dettagliate nel portale di Defender per endpoint. |
|
|
| Rilevamento delle minacce a livello di sistema operativo (basato su agente) | Defender per server e Defender per endpoint rileva le minacce a livello di sistema operativo, inclusi i rilevamenti comportamentali delle macchine virtuali e il rilevamento degli attacchi senza file, che genera avvisi di sicurezza dettagliati che accelerano la valutazione, la correlazione e il tempo di risposta downstream. Altre informazioni sugli avvisi per i computer Windows Altre informazioni sugli avvisi per i computer Linux Altre informazioni sugli avvisi per DNS |
Fornito da MDE |
|
| Rilevamento delle minacce a livello di rete (avvisi di sicurezza senza agente) | Defender per server rileva le minacce indirizzate al piano di controllo sulla rete, inclusi gli avvisi di sicurezza basati sulla rete per le macchine virtuali di Azure. Ulteriori informazioni | Non supportato nel piano 1 |
|
| Componente aggiuntivo Gestione delle vulnerabilità di Microsoft Defender (MDVM) | Migliorare gli inventari degli asset consolidati del programma gestione delle vulnerabilità, le valutazioni delle baseline di sicurezza, la funzionalità di blocco delle applicazioni e altro ancora. Altre informazioni. | Non supportato nel piano 1 |
|
| Criteri di sicurezza e conformità alle normative | Personalizzare i criteri di sicurezza per la sottoscrizione e confrontare anche la configurazione delle risorse con i requisiti degli standard, delle normative e dei benchmark del settore. Altre informazioni sulla conformità alle normative e sui criteri di sicurezza | Non supportato nel piano 1 |
|
| Valutazione della vulnerabilità qualys | In alternativa alla gestione delle vulnerabilità di Defender, Defender per il cloud può distribuire uno scanner Qualys e visualizzare i risultati. Non è necessaria una licenza o un account Qualys. | Non supportato nel piano 1 |
|
| Controlli adattivi delle applicazioni | I controlli applicazioni adattivi definiscono elenchi consentiti di applicazioni sicure note per i computer. Per usare questa funzionalità, Defender per il cloud deve essere abilitata nella sottoscrizione. | Non supportato nel piano 1 |
|
| Inserimento dati gratuito (500 MB) nelle aree di lavoro Log Analytics | L'inserimento dati gratuito è disponibile per tipi di dati specifici per le aree di lavoro Log Analytics. L'inserimento dati viene calcolato per nodo, per area di lavoro segnalata e al giorno. È disponibile per ogni area di lavoro in cui è installata una soluzione Security o AntiMalware . | Non supportato nel piano 1 |
|
| Correzione gratuita di Azure Update Manager per i computer Arc | La correzione di Risorse non integre e raccomandazioni di Azure Update Manager è disponibile senza costi aggiuntivi per i computer con abilitazione di Arc. | Non supportato nel piano 1 |
|
| Accesso just-in-time alle macchine virtuali | L'accesso just-in-time alle macchine virtuali blocca le porte della macchina per ridurre la superficie di attacco. Per usare questa funzionalità, Defender per il cloud deve essere abilitata nella sottoscrizione. | Non supportato nel piano 1 |
|
| Protezione avanzata adattiva della rete | Protezione avanzata della rete filtra il traffico da e verso le risorse usando i gruppi di sicurezza di rete (NSG) per migliorare il comportamento di sicurezza di rete. Migliorare ulteriormente la sicurezza grazie alla protezione avanzata delle regole del gruppo di sicurezza di rete in base ai modelli di traffico effettivi. Per usare questa funzionalità, Defender per il cloud deve essere abilitata nella sottoscrizione. | Non supportato nel piano 1 |
|
| Monitoraggio dell'integrità dei file | Il monitoraggio dell'integrità dei file esamina i file e i registri per individuare le modifiche che potrebbero indicare un attacco. Un metodo di confronto viene usato per determinare se sono state apportate modifiche sospette ai file. | Non supportato nel piano 1 |
|
| Protezione avanzata dell'host Docker | Valuta i contenitori ospitati in computer Linux che eseguono contenitori Docker e quindi li confronta con il Docker Benchmark di Center for Internet Security (CIS). | Non supportato nel piano 1 |
|
| Mappa di rete | Offre una visualizzazione geografica delle raccomandazioni per la protezione avanzata delle risorse di rete. | Non supportato nel piano 1 |
|
| Analisi senza agente | Analizza le macchine virtuali di Azure usando le API cloud per raccogliere dati. | Non supportato nel piano 1 |
|
Nota
Una volta abilitato un piano, inizia un periodo di valutazione di 30 giorni. Non è possibile arrestare, sospendere o estendere questo periodo di valutazione. Per godere della versione di valutazione completa di 30 giorni, assicurarsi di pianificare in anticipo per soddisfare gli scopi di valutazione.
Selezionare una soluzione di valutazione della vulnerabilità
In Defender per server sono disponibili due opzioni di valutazione della vulnerabilità:
Gestione delle vulnerabilità di Microsoft Defender: integrato con Defender per endpoint.
Disponibile in Defender per server piano 1 e Defender per server piano 2.
La gestione delle vulnerabilità di Defender è abilitata per impostazione predefinita nei computer di cui è stato eseguito l'onboarding in Defender per endpoint.
Ha gli stessi prerequisiti di Windows, Linux e di rete di Defender per endpoint.
Non è necessario alcun software aggiuntivo.
Nota
Gestione delle vulnerabilità di Microsoft Defender funzionalità del componente aggiuntivo sono incluse in Defender per server piano 2. In questo modo sono disponibili inventari consolidati, nuove valutazioni e strumenti di mitigazione per migliorare ulteriormente il programma di gestione delle vulnerabilità. Per altre informazioni, vedere Funzionalità di gestione delle vulnerabilità per i server.
Le funzionalità aggiuntive di Gestione vulnerabilità di Defender sono disponibili solo tramite il portale di Microsoft Defender 365.
Scanner di vulnerabilità Qualys: fornito dall'integrazione di Defender per il cloud Qualys.
- Disponibile solo in Defender per server piano 2.
- Ideale se si usa una soluzione EDR di terze parti o una soluzione basata su Fanotify. In questi scenari potrebbe non essere possibile distribuire Defender per endpoint per la valutazione della vulnerabilità.
- La soluzione integrata Defender per il cloud Qualys non supporta una configurazione proxy e non può connettersi a una distribuzione Qualys esistente. I risultati della vulnerabilità sono disponibili solo in Defender per il cloud.
Passaggi successivi
Dopo aver esaminato questi passaggi di pianificazione, vedere Azure Arc e i requisiti dell'agente e dell'estensione.