取得適用於伺服器的 Microsoft Defender 常見問題的解答。
我可以在訂用帳戶的機器子集上啟用適用於伺服器的Defender嗎?
是。 您現在可以管理訂用帳戶內特定資源上的Defender for Servers,讓您完全掌控您的保護策略。 透過這項功能,您可以使用與訂用帳戶層級所設定的設定不同的自定義組態來設定特定資源。 深入瞭解如何在 資源層級啟用適用於伺服器的Defender。 不過,當您在連線的 AWS 帳戶或 GCP 專案上啟用適用於伺服器的 Microsoft Defender 時,所有連線的電腦都會受到適用於伺服器的 Defender 保護。
如果我已經有 適用於端點的 Microsoft Defender 授權,可以取得折扣嗎?
如果您已經有適用於伺服器的 適用於端點的 Microsoft Defender 授權,則不需要支付適用於伺服器方案 1 或 2 的 Microsoft Defender 授權的該部分。
若要要求折扣,請在說明與支援中心建立新的支援要求,透過 Azure 入口網站 連絡 適用於雲端的 Defender 支援小組。
登入 Azure 入口網站。
選取 支援和疑難解答
選取 [ 說明 + 支援]。
選取建立支援要求。
輸入下列資訊:
選取 [下一步]。
選取 [下一步]。
在 [其他詳細數據] 索引標籤中,輸入您的客戶組織名稱、租使用者標識碼、所購買之伺服器授權的 適用於端點的 Microsoft Defender 數目、所購買之伺服器授權的 適用於端點的 Microsoft Defender 到期日,以及所有其他必要欄位。
選取 [下一步]。
選取 建立。
注意
折扣會在核准日期開始生效。 折扣沒有追溯性。
在訂用帳戶中我要支付哪些伺服器?
當您在訂用帳戶上啟用適用於伺服器的 Defender 時,系統會根據其電源狀態為所有電腦收費。
Azure VM:
| 州/省 | 詳細資料 | 計費 |
|---|---|---|
| 啟動中 | VM 啟動。 | 不會計費 |
| 執行中 | 正常工作狀態。 | 已計費 |
| 停止中 | 過渡。 完成時移至 [已停止] 狀態。 | 已計費 |
| 已停止 | VM 會從客體 OS 內或使用 PowerOff API 關閉。 硬體仍會配置,且機器會保留在主機上。 | 已計費 |
| 正在解除配置 | 過渡。 完成時移至 [已解除分配] 狀態。 | 不會計費 |
| 已解除配置 | VM 已停止並從主機中移除。 | 不會計費 |
Azure Arc 機器:
| 州 (縣/市) | 詳細資料 | Billing |
|---|---|---|
| 連線 | 伺服器已連線,但尚未收到活動訊號。 | 不會計費 |
| Connected | 從 連線 計算機代理程式接收一般活動訊號。 | 已計費 |
| 離線/已中斷連線 | 15-30 分鐘內沒有收到活動訊號。 | 不會計費 |
| 已到期 | 如果中斷連線 45 天,狀態可能會變更為 [已過期]。 | 不會計費 |
我需要在訂用帳戶和工作區上啟用適用於伺服器的Defender嗎?
適用於伺服器的 Defender 方案 1 不相依於 Log Analytics。 當您在訂用帳戶層級啟用適用於伺服器的Defender方案2時,適用於雲端的 Defender 會自動在預設Log Analytics工作區上啟用方案。 如果您使用自定義工作區,請確定您在工作區上啟用方案。 以下是詳細資訊:
- 如果您針對訂用帳戶和已連線的自定義工作區開啟適用於伺服器的 Defender,則不會針對這兩者付費。 系統會識別唯一的 VM。
- 如果您在跨訂用帳戶工作區上啟用適用於伺服器的 Defender:
- 針對 Log Analytics 代理程式,所有訂用帳戶的連線機器都會計費,包括未啟用適用於伺服器的 Defender 方案的訂用帳戶。
- 針對 Azure 監視器代理程式,適用於伺服器的 Defender 計費和功能涵蓋範圍只取決於訂用帳戶中已啟用的方案。
如果我只在工作區層級啟用適用於伺服器的Defender方案(不在訂用帳戶中),會發生什麼事?
您可以在 Log Analytics 工作區層級啟用適用於伺服器的 Microsoft Defender,但只有向該工作區報告的伺服器會受到保護及計費,而且這些伺服器不會獲得一些優點,例如 適用於端點的 Microsoft Defender、弱點評估及 Just-In-Time VM 存取。
每個工作區或每部機器是否套用 500 MB 的免費數據擷取額度?
當您 啟用適用於伺服器的 Defender 方案 2 時,您每天會收到 500 MB 的免費數據擷取。 此額度特別適用於由 適用於雲端的 Defender 直接收集的安全性數據類型。
此津貼是所有節點平均的每日費率。 您的每日免費限制總計等於 [機器數目] × 500 MB。 如果總計未超過每日免費限制總計,即使某些計算機傳送 100 MB,其他電腦也會傳送 800 MB,則不會向您收取額外的費用。
每日津貼中包含哪些數據類型?
適用於雲端的 Defender 計費與Log Analytics的帳單緊密相關。 適用於伺服器的 Microsoft Defender 會針對下列安全性數據類型子集,為機器提供每天 500 MB 的配置:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- 當更新管理解決方案未在工作區中執行,或啟用目標解決方案時,更新 和 UpdateSummary 。
如果工作區位於舊版的個別節點定價層中,適用於雲端的 Defender 和Log Analytics配置會合併並套用至所有可計費的內嵌數據。
我向未安裝Log Analytics的電腦收費嗎?
是。 針對受 Azure 訂用帳戶中適用於伺服器的 Defender 保護的所有機器、已連線的 AWS 帳戶或連線的 GCP 專案,您需支付費用。 機器一詞包括 Azure 虛擬機、Azure 虛擬機器擴展集 實例,以及已啟用 Azure Arc 的伺服器。 未安裝Log Analytics的電腦會受到不相依於Log Analytics代理程序的保護。
這就是“MDE”。Windows“ / ”MDE。在我的電腦上執行的Linux“ 延伸模組?
過去,Log Analytics 代理程式已布建 適用於端點的 Microsoft Defender。 當我們擴充支援以包含 Windows Server 2019 和 Linux 時,我們也新增了擴充功能來執行自動上線。
適用於雲端的 Defender 會自動將擴充功能部署到執行中的機器:
- Windows Server 2019 和 Windows Server 2022
- 如果已啟用 MDE 整合解決方案整合,Windows Server 2012 R2 和 2016
- Azure 虛擬桌面上的 Windows 10。
- 如果 適用於雲端的 Defender 無法辨識操作系統版本,則為其他 Windows Server 版本(例如,使用自定義 VM 映射時)。 在此情況下,Log Analytics 代理程式仍會布建 適用於端點的 Microsoft Defender。
- Linux。
重要
如果您刪除 MDE。Windows/MDE。Linux 擴充功能不會移除 適用於端點的 Microsoft Defender。 若要將電腦離線,請參閱 關閉 Windows 伺服器。。
我已啟用解決方案,但 『MDE。Windows'/'MDE。Linux 的擴充功能未顯示在我的電腦上
如果您已啟用整合,但仍看不到電腦上執行的延伸模組:
- 您必須等候至少 12 小時,以確保有問題需要調查。
- 如果在 12 小時之後,您仍然看不到電腦上執行的延伸模組,請檢查您是否已符合 整合的必要條件 。
- 請確定您已針對與您調查的計算機相關的訂用帳戶,啟用 適用於伺服器的 Microsoft Defender 方案。
- 如果您在 Azure 租使用者之間移動 Azure 訂用帳戶,則需要一些手動準備步驟,才能 適用於雲端的 Defender 部署適用於端點的 Defender。 如需完整詳細數據, 請連絡 Microsoft 支援服務。
適用於端點的 Microsoft Defender 的授權需求為何?
適用於伺服器的適用於端點的Defender授權隨附於 適用於伺服器的 Microsoft Defender。
我需要購買個別的反惡意代碼解決方案來保護我的機器嗎?
否。 在適用於伺服器的 Defender 中整合適用於端點的 Defender 時,您也會在機器上取得惡意代碼防護。
- 在已啟用適用於端點的Defender的 Windows Server 2012 R2 整合解決方案上,適用於伺服器的Defender會以主動模式部署 Microsoft Defender 防毒軟體。
- 在較新的 Windows Server 作業系統上,Microsoft Defender 防毒軟體 是作業系統的一部分,且會在使用中模式中啟用。
- 在 Linux 上,適用於伺服器的 Defender 會部署適用於端點的 Defender,包括反惡意代碼元件,並以被動模式設定元件。
如何? 從第三方 EDR 工具切換?
如需從非 Microsoft 端點解決方案切換的完整指示,請參閱 適用於端點的 Microsoft Defender 檔:移轉概觀。
適用於伺服器的Defender支援哪些 適用於端點的 Microsoft Defender方案?
適用於伺服器的 Defender 方案 1 和方案 2 提供方案 2 適用於端點的 Microsoft Defender 功能。
是否有任何選項可強制執行應用程式控制項?
目前沒有強制執行選項可供使用。 調適型應用程控是要在您定義為安全的應用程式以外的任何應用程式執行時,提供 安全性警示 。 它們有一系列優點(調適型應用程控的優點為何?),而且可自定義,如此頁面所示。
為什麼我在建議的應用程式中看到Qualys應用程式?
適用於伺服器的 Microsoft Defender 包含電腦的弱點掃描。 您不需要 Qualys 授權或甚至 Qualys 帳戶 - 一切都可以在適用於雲端的 Defender 內順暢地處理。 如需此掃描器的詳細數據及部署方式的指示,請參閱 適用於雲端的 Defender的整合式Qualys弱點評估解決方案。
為了確保 適用於雲端的 Defender 部署掃描器時不會產生任何警示,建議的調適型應用程控清單包含所有計算機的掃描器。
為什麼我的所有資源都不會顯示,例如訂用帳戶、機器、資產清查中的記憶體帳戶?
清查檢視會從雲端安全性狀態管理 (CSPM) 的觀點列出您 適用於雲端的 Defender 連線的資源。 篩選只會顯示具有使用中建議的資源。
例如,如果您有八個訂用帳戶的存取權,但目前只有七個訂用帳戶具有建議,則依 資源類型篩選 = 訂 用帳戶只會顯示具有使用中建議的七個訂用帳戶:
為什麼我的某些資源會在 適用於雲端的 Defender 或監視代理程式數據行中顯示空白值?
並非所有 適用於雲端的 Defender 受監視的資源都需要代理程式。 例如,適用於雲端的 Defender 不需要代理程式來監視 Azure 儲存體 帳戶或 PaaS 資源,例如磁碟、Logic Apps、Data Lake Analysis 和事件中樞。
當定價或代理程式監視與資源無關時,清查數據行中不會顯示任何內容。
調適型網路強化支援哪些埠?
只有下列特定埠支援調適型網路強化建議(適用於 UDP 和 TCP):
13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215
調適型網路強化需要任何必要條件或 VM 擴充功能嗎?
自適性網路強化是 適用於雲端的 Microsoft Defender 的無代理程式功能-不需要安裝在您的機器上,即可受益於此網路強化工具。
何時應該使用「拒絕所有流量」規則?
建議使用拒絕所有流量規則,因為因為執行演算法,適用於雲端的 Defender 根據現有的NSG組態來識別應該允許的流量。 因此,建議的規則是拒絕所有流向指定埠的流量。 此規則類型的名稱會顯示為「系統產生」。 強制執行此規則之後,NSG 中的實際名稱會是一個字串,其中包含通訊協定、流量方向、“DENY”和隨機數。
如何? 部署安全性設定建議的必要條件嗎?
若要部署具有其必要條件的客體設定擴充功能:
針對選取的計算機,請遵循從實作安全性最佳做法安全性控制,在您的計算機上安裝安全性建議客體設定擴充功能。
大規模指派原則方案 部署必要條件,以在虛擬機上啟用客體設定原則。
為什麼計算機顯示為不適用?
[不適用] 索引標籤中的資源清單包含 [原因] 資料行。 一些常見原因包括:
| 原因 | 詳細資料 |
|---|---|
| 計算機上沒有可用的掃描數據 | Azure Resource Graph 中沒有此計算機的合規性結果。 所有合規性結果都會由客體設定延伸模組寫入 Azure Resource Graph。 您可以使用 Azure 原則 客體設定 - 範例 ARG 查詢中的範例查詢,檢查 Azure Resource Graph 中的數據。 |
| 機器上未安裝客體設定擴充功能 | 機器缺少客體設定擴充功能,這是評估 Azure 安全性基準合規性的必要條件。 |
| 計算機上未設定系統受控識別 | 系統指派的受控識別必須部署在機器上。 |
| 原則中已停用建議 | 評估 OS 基準的原則定義會在包含相關計算機的範圍上停用。 |
如果我在訂用帳戶層級上啟用 適用於雲端的 Defender 伺服器方案,是否需要在工作區層級啟用它?
當您在訂用帳戶層級啟用 [伺服器] 方案時,適用於雲端的 Defender 會自動在預設工作區上啟用 [伺服器] 方案。 連線 至預設工作區,方法是選取 [連線 Azure VM] 至 [適用於雲端的 Defender] 選項所建立的預設工作區,然後選取 [套用]。
不過,如果您使用自定義工作區來取代預設工作區,您必須在所有未啟用該工作區的自定義工作區上啟用伺服器計劃。
如果您使用自定義工作區,且只在訂用帳戶層級啟用方案,建議Microsoft Defender for servers should be enabled on workspaces會出現在 [建議] 頁面上。 此建議可讓您選擇使用 [修正] 按鈕在工作區層級上啟用伺服器計劃。 即使您未為工作區啟用伺服器方案,您仍需支付訂用帳戶中的所有 VM 費用。 VM 不會受益於相依於 Log Analytics 工作區的功能,例如 適用於端點的 Microsoft Defender、VA 解決方案 (MDVM/Qualys)和 Just-In-Time VM 存取。
在訂用帳戶和其連線的工作區上啟用伺服器方案,不會產生雙重費用。 系統會識別每個唯一的 VM。
如果您在跨訂用帳戶工作區上啟用伺服器方案,則所有訂用帳戶的連線 VM 都會計費,包括未啟用伺服器方案的訂用帳戶。
是否需要安裝 Log Analytics 代理程式的電腦付費?
是。 當您在 Azure 訂用帳戶或已連線的 AWS 帳戶上啟用 適用於伺服器的 Microsoft Defender 時,您將需支付連線到 Azure 訂用帳戶或 AWS 帳戶的所有機器的費用。 機器一詞包括 Azure 虛擬機、Azure 虛擬機器擴展集 實例,以及已啟用 Azure Arc 的伺服器。 未安裝Log Analytics的電腦會受到不相依於Log Analytics代理程序的保護。
如果 Log Analytics 代理程式向多個工作區報告,我是否會向您收取兩次費用?
如果計算機、向多個工作區報告,且其中所有工作區都已啟用適用於伺服器的 Defender,則計算機將會針對每個連結的工作區計費。
如果 Log Analytics 代理程式向多個工作區報告,則所有工作區上是否有可用的 500 MB 免費數據擷取?
是。 如果您將 Log Analytics 代理程式設定為將數據傳送至兩個以上的不同 Log Analytics 工作區(多路連接),您將為每個工作區取得 500 MB 的免費數據擷取。 它會根據每個節點、每個回報的工作區、每天計算,並可供已安裝「安全性」或「反惡意代碼」解決方案的每個工作區使用。 您需支付擷取超過 500 MB 限制的任何數據的費用。
要針對整個工作區計算 500 MB 的免費資料擷取,或是僅針對每台電腦計算擷取作業?
您每天會收到 500 MB 的免費數據擷取,讓每個連線至工作區的虛擬機 (VM) 獲得 500 MB 的免費數據擷取。 此配置特別適用於 適用於雲端的 Defender 直接收集的安全性數據類型。
數據額度是計算在所有連線機器上的每日費率。 您的每日可用限制總計等於 [機器數目] x 500 MB。 因此,即使在指定的一天,有些計算機傳送 100 MB,而其他電腦傳送 800 MB,如果所有機器的總數據未超過每日免費限制,則不會向您收取額外的費用。
每日 500 MB 數據額度中包含哪些數據類型?
適用於雲端的 Defender 的計費與 Log Analytics 的計費緊密相關。 適用於伺服器的 Microsoft Defender 會針對下列安全性數據類型子集,為機器提供 500 MB/節點/天配置:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- 當更新管理解決方案未在工作區中執行,或啟用目標解決方案時,更新 和 UpdateSummary 。
如果工作區位於舊版的[每一節點] 定價層中,適用於雲端的 Defender 和Log Analytics配置會合併並套用至所有可計費的內嵌數據。 若要深入瞭解 Microsoft Sentinel 客戶如何受益,請參閱 Microsoft Sentinel 定價頁面。
如何監視每日使用量?
您可以透過兩種不同的方式、Azure 入口網站 或執行腳本來檢視數據使用量。
若要在 Azure 入口網站 中檢視您的使用量:
登入 Azure 入口網站。
流覽至 Log Analytics工作區。
選取您的工作區。
選取 [ 使用量] 和 [估計成本]。
您也可以選取每個定價層,以 
檢視不同定價層下的預估成本。
若要使用文稿來檢視您的使用量:
登入 Azure 入口網站。
流覽至Log Analytics工作區記錄>。
選取您的時間範圍。 了解 時間範圍。
將下列查詢複製並貼到 [在此 鍵入您的查詢] 區段。
let Unit= 'GB'; Usage | where IsBillable == 'TRUE' | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary') | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit | summarize DataConsumedPerDataType = sum(Quantity)/1024 by DataType, DataUnit = Unit | sort by DataConsumedPerDataType desc選取執行。
您可以瞭解如何 在Log Analytics工作區中分析使用量。
根據您的使用量,除非您使用每日津貼,否則不會向您收取費用。 如果您收到帳單,則只有在達到 500 MB 限制之後使用的數據,或未屬於 適用於雲端的 Defender 涵蓋範圍的其他服務。
如何管理成本?
您可能會想要管理成本,並限制解決方案收集的數據量,方法是將它限製為一組特定的代理程式。 使用 解決方案目標, 將範圍套用至解決方案,並將工作區中的計算機子集設為目標。 如果您使用解決方案目標,適用於雲端的 Defender 會將工作區列為沒有解決方案。
重要
解決方案目標已被取代,因為 Log Analytics 代理程式正以 Azure 監視器代理程式取代,而 Azure 監視器中的解決方案正以深入解析取代。 如果您已設定解決方案,則可以繼續使用解決方案目標,但無法在新的區域中使用。 此功能在 2024 年 8 月 31 日之後將不會受到支援。 支援在淘汰日期之前以解決方案為目標的區域為:
| 區域代碼 | 區域名稱 |
|---|---|
| CCAN | canadacentral |
| CHN | switzerlandnorth |
| Cid | centralindia |
| 重慶 | brazilsouth |
| CUS | centralus |
| DEWC | germanywestcentral |
| DXB | UAENorth |
| EA | eastasia |
| EAU | australiaeast |
| EJP | japaneast |
| Eus | eastus |
| EUS2 | eastus2 |
| NCUS | northcentralus |
| NEU | 北歐 |
| NOE | norwayeast |
| PAR | FranceCentral |
| SCUS | southcentralus |
| SE | KoreaCentral |
| SEA | 東南亞 |
| SEAU | australiasoutheast |
| 碩 | uksouth |
| WCUS | 美國中西部 |
| WEU | westeurope |
| WUS | westus |
| WUS2 | westus2 |
| 空中夾雲 | 區域代碼 | 區域名稱 |
|---|---|---|
| UsNat | EXE | usnateast |
| UsNat | EXW | usnatwest |
| UsGov | FF | usgovvirginia |
| 中國 | MC | ChinaEast2 |
| UsGov | PHX | usgovarizona |
| UsSec | RXE | usseceast |
| UsSec | RXW | ussecwest |