Běžné dotazy týkající se Defenderu pro servery

Ano. Teď je možné spravovat Defender for Servers na konkrétních prostředcích v rámci vašeho předplatného, abyste měli plnou kontrolu nad strategií ochrany. Pomocí této funkce můžete nakonfigurovat konkrétní prostředky s vlastními konfiguracemi, které se liší od nastavení nakonfigurovaného na úrovni předplatného. Přečtěte si další informace o povolení defenderu pro servery na úrovni prostředků. Pokud ale povolíte Microsoft Defender for Servers na připojeném účtu AWS nebo projektu GCP, budou všechny připojené počítače chráněné programem Defender for Servers.

Pokud už máte licenci pro Microsoft Defender for Endpoint for Servers, nemusíte za tuto část licence Microsoft Defender for Servers Plan 1 nebo 2 platit.

Pokud chcete požádat o slevu, kontaktujte tým podpory Defenderu pro cloud prostřednictvím webu Azure Portal vytvořením nové žádosti o podporu v centru nápovědy a podpory.

1. Přihlaste se k portálu Azure.

2. Výběr možnosti Podpora a řešení potíží

   

3. Vyberte Nápověda a podpora.

4. Vyberte Vytvořit žádost o podporu.

5. Zadejte následující údaje:

   

6. Vyberte Další.

7. Vyberte Další.

8. Na kartě Další podrobnosti zadejte název organizace zákazníka, ID tenanta, počet zakoupených licencí microsoft Defenderu pro koncové body pro servery, datum vypršení platnosti programu Microsoft Defender for Endpoint pro licence serverů, které byly zakoupeny, a všechna ostatní povinná pole.

9. Vyberte Další.

10. Vyberte Vytvořit.

Když povolíte Defender for Servers v předplatném, budou se vám účtovat všechny počítače na základě jejich stavů napájení.

Virtuální počítače Azure:

Počítače Azure Arc:

Defender for Servers Plan 1 nezávisí na Log Analytics. Když na úrovni předplatného povolíte Defender for Servers Plan 2, Program Defender for Cloud automaticky povolí plán ve vašich výchozích pracovních prostorech služby Log Analytics. Pokud používáte vlastní pracovní prostor, ujistěte se, že v pracovním prostoru povolíte plán. Tady jsou další informace:

• Pokud zapnete Defender for Servers pro předplatné a připojený vlastní pracovní prostor, nebudou se vám účtovat obě poplatky. Systém identifikuje jedinečné virtuální počítače.
• Pokud povolíte Defender for Servers v pracovních prostorech mezi předplatnými:
  • U agenta Log Analytics se fakturují připojené počítače ze všech předplatných, včetně předplatných, která nemají povolený plán Defender for Servers.
  • V případě agenta Azure Monitoru závisí fakturace a pokrytí funkcí pro Defender pro servery jenom na plánu, který je v předplatném povolený.

Program Microsoft Defender for Servers můžete povolit na úrovni pracovního prostoru služby Log Analytics, ale chráněné a fakturované budou jenom servery, které se do tohoto pracovního prostoru hlásí, a tyto servery nebudou dostávat určité výhody, jako je Microsoft Defender for Endpoint, posouzení ohrožení zabezpečení a přístup k virtuálním počítačům za běhu.

Pokud máte povolený Defender for Servers Plan 2 , získáte 500 MB bezplatného příjmu dat za den. Tento příspěvek je určený speciálně pro datové typy zabezpečení, které přímo shromažďuje Defender for Cloud.

Tento příspěvek je denní sazba, která se průměruje ve všech uzlech. Celkový denní bezplatný limit se rovná [počtu počítačů] × 500 MB. Pokud celkový limit denního bezplatného limitu nepřekročíte, nebudou se vám účtovat další poplatky, a to ani v případě, že některé počítače odesílají 100 MB a jiné posílají 800 MB.

Fakturace Defenderu pro cloud je úzce svázaná s fakturací log Analytics. Microsoft Defender for Servers poskytuje pro počítače přidělení 500 MB za den pro počítače s následující podmnožinou datových typů zabezpečení:

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• SysmonEvent
• ProtectionStatus
• Aktualizace a updateSummary , pokud řešení Update Management není spuštěné v pracovním prostoru nebo cílení řešení je povolené.

Pokud je pracovní prostor ve starší cenové úrovni pro jednotlivé uzly, zkombinují se přidělení Defenderu pro cloud a Log Analytics a společně se použijí na všechna fakturovatelná ingestovaná data.

Ano. Účtují se vám poplatky za všechny počítače chráněné programem Defender for Servers v předplatných Azure, připojených účtech AWS nebo připojených projektech GCP. Termínové počítače zahrnují virtuální počítače Azure, instance škálovacích sad virtuálních počítačů Azure a servery s podporou Služby Azure Arc. Počítače, které nemají nainstalovanou službu Log Analytics, se vztahují na ochranu, která nezávisí na agentovi Log Analytics.

V minulosti byl Microsoft Defender for Endpoint zřízen agentem Log Analytics. Když jsme rozšířili podporu tak, aby zahrnovala Windows Server 2019 a Linux, přidali jsme také rozšíření pro provedení automatického onboardingu.

Defender for Cloud automaticky nasadí rozšíření do počítačů spuštěných:

• Windows Server 2019 a Windows Server 2022
• Windows Server 2012 R2 a 2016, pokud je povolená integrace sjednoceného řešení MDE
• Windows 10 ve službě Azure Virtual Desktop
• Jiné verze Windows Serveru, pokud Defender pro cloud nerozpozná verzi operačního systému (například při použití vlastní image virtuálního počítače). V tomto případě je microsoft Defender pro koncový bod stále zřízený agentem Log Analytics.
• Linux

Pokud jste povolili integraci, ale stále se nezobrazuje rozšíření spuštěné na vašich počítačích:

1. Musíte počkat aspoň 12 hodin, abyste měli jistotu, že došlo k problému, který je potřeba prošetřit.
2. Pokud se po 12 hodinách stále nezobrazuje rozšíření spuštěné na počítačích, zkontrolujte, že jste splnili požadavky na integraci.
3. Ujistěte se, že jste povolili plán Microsoft Defenderu pro servery pro předplatná související s počítači, které prošetřujete.
4. Pokud jste přesunuli předplatné Azure mezi tenanty Azure, před nasazením Defenderu pro cloud se vyžaduje několik ručních přípravných kroků. Úplné podrobnosti získáte od podpory Microsoftu.

Licence pro Defender for Endpoint pro servery jsou součástí programu Microsoft Defender for Servers.

Ne. S integrací Defenderu pro koncové body v Defenderu pro servery získáte také ochranu proti malwaru na svých počítačích.

• V systému Windows Server 2012 R2 s povoleným jednotným řešením Defender for Endpoint se program Defender for Servers nasadí Antivirová ochrana v programu Microsoft Defender v aktivním režimu.
• V novějších operačních systémech Windows Server je Antivirová ochrana v programu Microsoft Defender součástí operačního systému a bude povolen v aktivním režimu.
• V Linuxu nasadí Defender for Servers Defender for Endpoint, včetně antimalwarové komponenty, a nastaví komponentu v pasivním režimu.

Úplné pokyny pro přechod z řešení jiného koncového bodu než Microsoftu jsou k dispozici v dokumentaci k programu Microsoft Defender for Endpoint: Přehled migrace.

Defender for Servers Plan 1 a Plan 2 poskytuje možnosti Programu Microsoft Defender for Endpoint Plan 2.

Momentálně nejsou k dispozici žádné možnosti vynucení. Adaptivní řízení aplikací slouží k poskytování výstrah zabezpečení v případě, že některá aplikace běží jinak než ty, které jste definovali jako bezpečné. Mají celou řadu výhod (jaké jsou výhody adaptivního řízení aplikací?) a jsou přizpůsobitelné, jak je znázorněno na této stránce.

Microsoft Defender for Servers zahrnuje kontrolu ohrožení zabezpečení vašich počítačů. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bez problémů zpracovává v programu Defender for Cloud. Podrobnosti o tomto skeneru a pokyny k jeho nasazení najdete v tématu o integrovaném řešení posouzení ohrožení zabezpečení Qualys v programu Defender for Cloud.

Aby se zajistilo, že se při nasazení skeneru Defender for Cloud negenerují žádná upozornění, seznam povolených adaptivních řízení aplikací zahrnuje skener pro všechny počítače.

Zobrazení inventáře obsahuje seznam prostředků připojených ke cloudu v programu Defender for Cloud z pohledu správy stavu zabezpečení cloudu (CSPM). Filtry zobrazují jenom prostředky s aktivními doporučeními.

Pokud máte například přístup k osmi předplatným, ale jenom sedm aktuálně má doporučení, vyfiltrujte podle typu prostředku = Předplatná jenom sedm předplatných s aktivními doporučeními:

Ne všechny prostředky monitorované v defenderu pro cloud vyžadují agenty. Defender for Cloud například nevyžaduje agenty k monitorování účtů Azure Storage nebo prostředků PaaS, jako jsou disky, Logic Apps, Data Lake Analysis a Event Hubs.

Pokud monitorování cen nebo agentů není pro prostředek relevantní, v těchto sloupcích inventáře se nic nezobrazuje.

Doporučení adaptivního posílení zabezpečení sítě se podporují jenom na následujících konkrétních portech (pro UDP i TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Adaptivní posílení zabezpečení sítě je funkce Microsoft Defenderu pro cloud bez agentů – na počítačích není potřeba nic instalovat, aby tento nástroj pro posílení zabezpečení sítě využíval.

Pravidlo odepření veškerého provozu se doporučuje v případě, že v důsledku spuštění algoritmu neidentifikuje Defender for Cloud provoz, který by měl být povolený na základě stávající konfigurace NSG. Proto doporučujeme zakázat veškerý provoz do zadaného portu. Název tohoto typu pravidla se zobrazí jako "Systém vygenerovaný". Po vynucování tohoto pravidla bude jeho skutečný název ve skupině zabezpečení sítě řetězec složený z protokolu, směru provozu, "DENY" a náhodného čísla.

Nasazení rozšíření Konfigurace hosta s jeho požadavky:

• U vybraných počítačů by se mělo na počítačích nainstalovat rozšíření Konfigurace hosta podle doporučení zabezpečení z kontroly zabezpečení Implementovat osvědčené postupy zabezpečení.

• Ve velkém měřítku přiřaďte požadavek na nasazení iniciativy zásad, aby se na virtuálních počítačích povolily zásady konfigurace hosta.

Seznam prostředků na kartě Nepoužitelné obsahuje sloupec Důvod . Mezi běžné důvody patří:

Když plán Servery povolíte na úrovni předplatného, Program Defender for Cloud automaticky povolí plán Servery ve vašich výchozích pracovních prostorech. Připojení do výchozího pracovního prostoru tak, že vyberete Připojení virtuální počítače Azure do výchozích pracovních prostorů vytvořených v defenderu pro cloud a vyberete Použít.

Pokud ale místo výchozího pracovního prostoru používáte vlastní pracovní prostor, musíte povolit plán Servery ve všech vlastních pracovních prostorech, které ho nemají povolené.

Pokud používáte vlastní pracovní prostor a povolíte plán jenom na úrovni předplatného, Microsoft Defender for servers should be enabled on workspaces doporučení se zobrazí na stránce Doporučení. Toto doporučení vám dává možnost povolit plán serverů na úrovni pracovního prostoru pomocí tlačítka Opravit. Za všechny virtuální počítače v předplatném se vám budou účtovat poplatky i v případě, že pro pracovní prostor není povolený plán Servery. Virtuální počítače nebudou těžit z funkcí, které závisí na pracovním prostoru služby Log Analytics, jako je Microsoft Defender for Endpoint, řešení VA (MDVM/Qualys) a přístup k virtuálním počítačům za běhu.

Pokud povolíte plán Servery v předplatném i v připojených pracovních prostorech, nebudou se účtovat dvojité poplatky. Systém identifikuje každý jedinečný virtuální počítač.

Pokud povolíte plán Servery v pracovních prostorech napříč předplatnými, budou se připojené virtuální počítače ze všech předplatných účtovat včetně předplatných, která nemají povolený plán Servery.

Ano. Když povolíte Microsoft Defender pro servery v předplatném Azure nebo připojeném účtu AWS, budou se vám účtovat všechny počítače, které jsou připojené k vašemu předplatnému Azure nebo účtu AWS. Mezi termínové počítače patří virtuální počítače Azure, instance azure Virtual Machine Scale Sets a servery s podporou služby Azure Arc. Počítače, které nemají nainstalovanou službu Log Analytics, se vztahují na ochranu, která nezávisí na agentovi Log Analytics.

Pokud počítač, sestavy do více pracovních prostorů a všechny z nich mají povolený Defender for Servers, budou se počítače účtovat za každý připojený pracovní prostor.

Ano. Pokud nakonfigurujete agenta Log Analytics tak, aby odesílal data do dvou nebo více různých pracovních prostorů služby Log Analytics (vícenásobné navádění), získáte pro každý pracovní prostor 500 MB bezplatný příjem dat. Počítá se na jeden uzel, na hlášený pracovní prostor za den a je k dispozici pro každý pracovní prostor, který má nainstalované řešení Zabezpečení nebo AntiMalware. Za ingestovaná data se vám budou účtovat přes limit 500 MB.

Každý virtuální počítač připojený k pracovnímu prostoru dostanete denní limit 500 MB bezplatného příjmu dat. Toto přidělení se týká konkrétně datových typů zabezpečení shromážděných přímo defenderem pro cloud.

Příspěvek na data je denní sazba vypočítaná na všech připojených počítačích. Celkový denní bezplatný limit se rovná [počtu počítačů] × 500 MB. Takže i když v daný den některé počítače odesílají 100 MB a jiné posílají 800 MB, pokud celková data ze všech počítačů nepřekročí váš denní bezplatný limit, nebudete se účtovat navíc.

Fakturace Defenderu pro cloud je úzce svázaná s fakturací log Analytics. Microsoft Defender for Servers poskytuje 500 MB/uzel/den přidělení počítačům s následující podmnožinou datových typů zabezpečení:

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• SysmonEvent
• ProtectionStatus
• Aktualizace a updateSummary , pokud řešení Update Management není spuštěné v pracovním prostoru nebo cílení řešení je povolené.

Pokud je pracovní prostor ve starší cenové úrovni pro jednotlivé uzly, zkombinují se přidělení Defenderu pro cloud a Log Analytics a společně se použijí pro všechna fakturovatelná ingestovaná data. Další informace o tom, jak můžou zákazníci microsoft Sentinelu využívat, najdete na stránce s cenami služby Microsoft Sentinel.

Využití dat můžete zobrazit dvěma různými způsoby, na webu Azure Portal nebo spuštěním skriptu.

Zobrazení využití na webu Azure Portal:

1. Přihlaste se k portálu Azure.

2. Přejděte do pracovních prostorů služby Log Analytics.

3. Vyberte váš pracovní prostor.

4. Vyberte Využití a odhadované náklady.

   

Odhadované náklady můžete zobrazit také v různých cenových úrovních tak , že vyberete pro každou cenovou úroveň.

Zobrazení využití pomocí skriptu:

1. Přihlaste se k portálu Azure.

2. Přejděte do protokolů pracovních prostorů>služby Log Analytics.

3. Vyberte časový rozsah. Seznamte se s časovými rozsahy.

4. Zkopírujte následující dotaz a vložte ho do části Zadejte dotaz sem .

   let Unit= 'GB';
   Usage
   | where IsBillable == 'TRUE'
   | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
   | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
   | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
   | sort by DataConsumedPerDataType desc
   

5. Vyberte Spustit.

   

Dozvíte se , jak analyzovat využití v pracovním prostoru služby Log Analytics.

Na základě vašeho využití se vám nebude účtovat, dokud nevyužíváte denní příspěvek. Pokud dostáváte fakturu, platí jenom pro data použitá po dosažení limitu 500 MB nebo pro jinou službu, která nedosáhne pokrytí Defenderu pro cloud.

Možná budete chtít spravovat náklady a omezit množství dat shromážděných pro řešení tím, že je omezíte na konkrétní sadu agentů. Použití cílení řešení k použití oboru na řešení a cílení na podmnožinu počítačů v pracovním prostoru. Pokud používáte cílení na řešení, Defender for Cloud vypíše pracovní prostor jako nevyužívá řešení.

Další kroky

Plánování nasazení Defenderu pro servery