Выбор плана Defender для серверов
Эта статья поможет выбрать план Microsoft Defender для серверов, подходящий для вашей организации.
Defender для серверов — это один из платных планов, предоставляемых Microsoft Defender для облака.
Подготовка к работе
Эта статья является четвертой статьей в руководстве по планированию Defender для серверов. Перед началом работы ознакомьтесь с предыдущими статьями:
- Начало планирования развертывания
- Сведения о том, где хранятся данные и требования к рабочей области Log Analytics
- Проверка требований к доступу и роли
Просмотр планов
Вы можете выбрать один из двух платных планов:
Defender for Server Plan 1 является начальным и должен быть включен на уровне подписки. Доступны следующие функции:
Базовое управление безопасностью облака (CSPM), которое предоставляется бесплатно Defender для облака.
- Для виртуальных машин Azure и Amazon Web Services (AWS) и Google Cloud Platform (GCP) не требуется план Defender для облака для использования базовых функций CSPM.
- Для локального сервера для получения рекомендаций по конфигурации компьютеры должны быть подключены к Azure с помощью Azure Arc, а Defender для серверов должен быть включен.
Функции обнаружения и реагирования конечных точек (EDR), предоставляемые Microsoft Defender для конечной точки плане 2.
Defender для серверов плана 2 предоставляет все функции. План должен быть включен на уровне подписки и на уровне рабочей области для получения полного набора функций. Доступны следующие функции:
- Все функциональные возможности, предоставляемые Defender для серверов плана 1.
- Более расширенные возможности обнаружения и ответа (XDR).
Примечание.
План 1 и план 2 для серверов Защитника не совпадают с планом 1 и планом 2 для конечной точки Defender.
Функции плана
| Функция | Подробности | План 1 | План 2 |
|---|---|---|---|
| Интеграция Defender для конечной точки | Defender для серверов интегрируется с Defender для конечной точки и защищает серверы со всеми функциями, включая: - Уменьшение поверхности атаки, чтобы снизить риск атаки. - Защита следующего поколения, включая проверку и защиту в режиме реального времени и антивирусная программа в Microsoft Defender. — EDR, включая аналитику угроз, автоматизированное исследование и реагирование, расширенные охоты и уведомления о атаках конечных точек. — Оценка уязвимостей и устранение рисков, предоставляемые Управление уязвимостями Microsoft Defender (MDVM) в рамках интеграции Defender для конечной точки. С помощью плана 2 вы можете получить функции MDVM уровня "Премиум", предоставляемые надстройкой MDVM. |
|
|
| Лицензирование | Defender для серверов охватывает лицензирование для Defender для конечной точки. Лицензирование взимается в час вместо места, что снижает затраты путем защиты виртуальных машин только в том случае, если они используются. |
|
|
| Подготовка Defender для конечной точки | Defender для серверов автоматически подготавливает датчик Defender для конечной точки на каждом поддерживаемом компьютере, подключенном к Defender для облака. |
|
|
| Единое представление | Оповещения из Defender для конечной точки отображаются на портале Defender для облака. Подробные сведения можно получить на портале Defender для конечной точки. |
|
|
| Обнаружение угроз на уровне ОС (на основе агента) | Defender для серверов и Defender для конечной точки обнаруживают угрозы на уровне ОС, включая обнаружение поведения виртуальных машин и обнаружение атак без файлов, которое создает подробные оповещения системы безопасности, которые ускоряют выполнение оповещений, корреляцию и время реагирования вниз. Дополнительные сведения о оповещениях для компьютеров Windows Дополнительные сведения о оповещениях для компьютеров Linux Дополнительные сведения об оповещениях для DNS |
Предоставляется MDE |
|
| Обнаружение угроз для сетевого уровня (оповещения системы безопасности без агента) | Defender для серверов обнаруживает угрозы, направленные на плоскость управления в сети, включая оповещения безопасности на основе сети для виртуальных машин Azure. Подробнее | Не поддерживается в плане 1 |
|
| надстройка Управление уязвимостями Microsoft Defender (MDVM) | Улучшены управление уязвимостями консолидированные инвентаризации активов, оценки базовых показателей безопасности, функции блока приложений и многое другое. Подробнее. | Не поддерживается в плане 1 |
|
| Политика безопасности и соответствие нормативным требованиям | Настройте политику безопасности для подписки, а также сравните конфигурацию ресурсов с требованиями отраслевых стандартов, нормативных требований и эталонных показателей. Дополнительные сведения о политиках соответствия нормативным требованиям и безопасности | Не поддерживается в плане 1 |
|
| Оценка уязвимостей Qualys | В качестве альтернативы управлению уязвимостями Defender Defender для облака может развернуть сканер Qualys и отобразить результаты. Вам не нужна лицензия Qualys или учетная запись. | Не поддерживается в плане 1 |
|
| Адаптивные элементы управления приложениями | Адаптивные элементы управления приложениями определяют списки разрешений известных безопасных приложений для компьютеров. Чтобы использовать эту функцию, Defender для облака необходимо включить в подписке. | Не поддерживается в плане 1 |
|
| Бесплатный прием данных (500 МБ) в рабочие области Log Analytics | Бесплатный прием данных доступен для определенных типов данных в рабочих областях Log Analytics. Прием данных вычисляется на узел, на каждую сообщаемую рабочую область и в день. Она доступна для каждой рабочей области с установленным решением "Безопасность " или "Антивредоносная программа ". | Не поддерживается в плане 1 |
|
| Бесплатная исправление диспетчера обновлений Azure для компьютеров Arc | Исправление неработоспособных ресурсов и рекомендаций диспетчера обновлений Azure доступно без дополнительных затрат на компьютеры с поддержкой Arc. | Не поддерживается в плане 1 |
|
| JIT-доступ к виртуальной машине | JIT-доступ к виртуальной машине блокирует порты компьютера, чтобы уменьшить область атаки. Чтобы использовать эту функцию, Defender для облака необходимо включить в подписке. | Не поддерживается в плане 1 |
|
| Адаптивная защита сети | Защита сети фильтрует трафик в ресурсы и из ресурсов с помощью групп безопасности сети (NSG) для улучшения состояния безопасности сети. Дальнейшее повышение безопасности путем ужесточения правил NSG на основе фактических шаблонов трафика. Чтобы использовать эту функцию, Defender для облака необходимо включить в подписке. | Не поддерживается в плане 1 |
|
| Мониторинг целостности файлов | Мониторинг целостности файлов проверяет файлы и реестры для изменений, которые могут указывать на атаку. Метод сравнения используется для определения того, были ли в файлы внесены подозрительные изменения. | Не поддерживается в плане 1 |
|
| Защита узлов Docker | Оценивает контейнеры, размещенные на компьютерах Linux под управлением контейнеров Docker, а затем сравнивает их с Центром безопасности Интернета (CIS) Docker Benchmark. | Не поддерживается в плане 1 |
|
| Карта сети | Предоставляет географическое представление рекомендаций по обеспечению защиты сетевых ресурсов. | Не поддерживается в плане 1 |
|
| Сканирование без агента | Сканирует виртуальные машины Azure с помощью облачных API для сбора данных. | Не поддерживается в плане 1 |
|
Примечание.
После включения плана начинается 30-дневный пробный период. Нет способа остановить, приостановить или продлить этот пробный период. Чтобы насладиться полной 30-дневной пробной версией, обязательно запланируйте заранее, чтобы выполнить оценку.
Выбор решения для оценки уязвимостей
В Defender для серверов доступны несколько вариантов оценки уязвимостей:
Управление уязвимостями Microsoft Defender. Интеграция с Defender для конечной точки.
Доступно в Defender для серверов плана 1 и Defender для серверов плана 2.
Управление уязвимостями Defender включено по умолчанию на компьютерах, подключенных к Defender для конечной точки.
Имеет те же предварительные требования для Windows, Linux и сети, что и Defender для конечной точки.
Дополнительное программное обеспечение не требуется.
Примечание.
Управление уязвимостями Microsoft Defender возможности надстройки включены в Defender для серверов плана 2. Это обеспечивает консолидированные инвентаризации, новые оценки и средства по устранению рисков для дальнейшего улучшения управление уязвимостями программы. Дополнительные сведения см. в разделе "Управление уязвимостями" для серверов.
Возможности надстройки "Управление уязвимостями Защитника" доступны только на портале Microsoft Defender 365.
Сканер уязвимостей Qualys: обеспечивается интеграцией Defender для облака Qualys.
- Доступно только в Defender для серверов плана 2.
- Отлично подходит, если вы используете стороннее решение EDR или решение на основе Fanotify. В этих сценариях возможно, вы не сможете развернуть Defender для конечной точки для оценки уязвимостей.
- Интегрированное решение Defender для облака Qualys не поддерживает конфигурацию прокси-сервера и не может подключиться к существующему развертыванию Qualys. Результаты уязвимостей доступны только в Defender для облака.
Следующие шаги
После выполнения этих действий по планированию просмотрите требования к Azure Arc и агенту и расширению.