Auswählen eines Defender for Servers-Plans
In diesem Artikel erfahren Sie, welcher Microsoft Defender for Servers-Plan für Ihre Organisation der richtige ist.
Defender for Servers ist einer der kostenpflichtigen Pläne von Microsoft Defender for Cloud.
Voraussetzungen
Der vorliegende Artikel ist der vierte Teil der Reihe „Planungshandbuch für Defender for Servers“. Bevor Sie beginnen, lesen Sie sich die vorherigen Artikel durch:
- Beginnen der Planung der Bereitstellung
- Verstehen der Speicherorte Ihrer Daten und Anforderungen an den Log Analytics-Arbeitsbereich
- Überprüfen der Zugriffs- und Rollenanforderungen
Überprüfen von Plänen
Zwei kostenpflichtige Pläne stehen zur Auswahl:
Defender for Servers Plan 1 ist die Einstiegsebene und muss auf Abonnementebene aktiviert sein. Folgende Features sind enthalten:
Grundlegende Verwaltung des Cloudsicherheitsstatus (Cloud Security Posture Management, CSPM), die von Defender for Cloud kostenlos bereitgestellt wird.
- Für virtuelle Azure-Computer und Amazon Web Services-Computer (AWS) und Google Cloud Platform-Computer (GCP) benötigen Sie keinen aktivierten Defender for Cloud-Plan, um grundlegende CSPM-Features zu verwenden.
- Für den lokalen Server müssen Computer mit Azure Arc in Azure integriert werden, um Konfigurationsempfehlungen zu erhalten, und Defender for Servers muss aktiviert sein.
EDR-Features (Endpoint Detection and Response, Endpunkterkennung und Reaktion), die von Microsoft Defender for Endpoint-Plan 2 bereitgestellt werden.
Defender for Servers-Plan 2 bietet alle Features. Der Plan muss auf Abonnementebene und auf Arbeitsbereichsebene aktiviert sein, um eine vollständige Featureabdeckung zu erhalten. Folgende Features sind enthalten:
- Alle Funktionen, die von Defender for Servers Plan 1 bereitgestellt werden.
- Weitere Funktionen für erweiterte Erkennung und Reaktion (XDR).
Hinweis
Plan 1 und Plan 2 für Defender for Servers sind nicht identisch mit Plan 1 und Plan 2 für Defender für Endpunkt.
Funktionen des Plans
| Funktion | Details | Plan 1 | Plan 2 |
|---|---|---|---|
| Integration in Defender for Endpoint | Defender for Servers ist in Defender for Endpoint integriert und schützt Server mit allen Features, einschließlich: - Reduzierung der Angriffsfläche, um das Angriffsrisiko zu verringern. - Schutz der nächsten Generation, einschließlich Echtzeitüberprüfungen und -schutz sowie Microsoft Defender Antivirus. - EDR, einschließlich Bedrohungsanalyse, automatisierter Untersuchung und Reaktion, erweiterter Suche sowie Endpunktangriffsbenachrichtigungen. – Sicherheitsrisikobewertung und Risikominderung, bereitgestellt durch Microsoft Defender-Sicherheitsrisikomanagement (Microsoft Defender Vulnerability Management, MDVM) als Teil der Integration von Defender für Endpunkt. Mit dem Plan 2 erhalten Sie MDVM-Premium-Features, die vom MDVM-Add-On bereitgestellt werden. |
|
|
| Lizenzierung | Defender for Servers deckt die Lizenzierung für Defender for Endpoint ab. Lizenzen werden pro Stunde statt pro Arbeitsplatz abgerechnet. Dies führt zu Kosteneinsparungen, da Kosten für den Schutz virtueller Computer nur dann anfallen, wenn die virtuellen Computer verwendet werden. |
|
|
| Bereitstellung von Defender für Endpunkt | Defender for Servers stellt den Defender for Endpoint-Sensor automatisch auf jedem unterstützten Computer bereit, der mit Defender for Cloud verbunden ist. |
|
|
| Einheitliche Ansicht | Warnungen von Defender for Endpoint werden im Defender for Cloud-Portal angezeigt. Ausführliche Informationen finden Sie im Defender for Endpoint-Portal. |
|
|
| Bedrohungserkennung auf Betriebssystemebene (agent-basiert) | Defender for Servers und Defender for Endpoint erkennen Bedrohungen auf Betriebssystemebene, einschließlich VM-Verhaltenserkennungen und Erkennung dateiloser Angriffe, wodurch detaillierte Sicherheitswarnungen generiert werden, die die Warnungsselektierung, Korrelation und nachgeschaltete Reaktionszeit beschleunigen. Weitere Informationen zu Warnungen für Windows-Computer Weitere Informationen zu Warnungen für Linux-Computer Weitere Informationen zu Warnungen für DNS |
Bereitgestellt von MDE |
|
| Bedrohungserkennung auf Netzwerkebene (Sicherheitswarnungen ohne Agent) | Defender for Servers erkennt Bedrohungen, die auf die Steuerungsebene des Netzwerks ausgerichtet sind, einschließlich netzwerkbasierter Sicherheitswarnungen für virtuelle Azure-Computer. Weitere Informationen | In Plan 1 nicht unterstützt |
|
| Add-On für Microsoft Defender-Sicherheitsrisikomanagement (Microsoft Defender Vulnerability Management, MDVM) | Verbessern Sie ihr Sicherheitsrisikomanagementprogramm mit konsolidierten Ressourcenbeständen, Sicherheitsbaselinebewertungen, Anwendungsblockfunktionen und vielem mehr. Weitere Informationen | In Plan 1 nicht unterstützt |
|
| Sicherheitsrichtlinie und Einhaltung gesetzlicher Bestimmungen | Passen Sie eine Sicherheitsrichtlinie für Ihr Abonnement an und vergleichen Sie auch die Konfiguration Ihrer Ressourcen mit Anforderungen in Branchenstandards, Vorschriften und Benchmarks. Informieren Sie sich über die Einhaltung gesetzlicher Bestimmungen und über Sicherheitsrichtlinien. | In Plan 1 nicht unterstützt |
|
| Qualys-Sicherheitsrisikobewertung | Als Alternative zum Defender-Sicherheitsrisikomanagement kann Defender for Cloud einen Qualys-Scanner bereitstellen und die Ergebnisse anzeigen. Sie benötigen weder eine Qualys-Lizenz noch ein Qualys-Konto. | In Plan 1 nicht unterstützt |
|
| Adaptive Anwendungssteuerungen | Adaptive Anwendungssteuerungen definieren Zulassungslisten bekannter sicherer Anwendungen für Computer. Um dieses Feature verwenden zu können, muss Defender for Cloud für das Abonnement aktiviert sein. | In Plan 1 nicht unterstützt |
|
| Kostenlose Datenerfassung (500 MB) in Log Analytics-Arbeitsbereichen | Die kostenlose Datenerfassung ist für bestimmte Datentypen für Log Analytics-Arbeitsbereiche verfügbar. Die Datenerfassung wird pro Knoten, pro gemeldetem Arbeitsbereich und pro Tag berechnet. Sie ist für jeden Arbeitsbereich verfügbar, in dem eine Sicherheitslösung oder Antischadsoftwarelösung installiert ist. | In Plan 1 nicht unterstützt |
|
| Kostenlose Azure Update Manager-Wiederherstellung für Arc-Computer | Die Behebung fehlerhafter Ressourcen und Empfehlungen von Azure Update Manager steht ohne zusätzliche Kosten für Computer mit Arc-Unterstützung zur Verfügung. | In Plan 1 nicht unterstützt |
|
| Just-In-Time-Zugriff auf virtuelle Computer | Just-in-Time-VM-Zugriff sperrt Computerports, um die Angriffsfläche zu verringern. Um dieses Feature verwenden zu können, muss Defender for Cloud für das Abonnement aktiviert sein. | In Plan 1 nicht unterstützt |
|
| Adaptives Erhöhen des Netzwerkschutzes | Die Netzwerkhärtung filtert den Datenverkehr zu und von Ressourcen mit Netzwerksicherheitsgruppen (NSG), um den Sicherheitsstatus Ihres Netzwerks zu verbessern. Verbessern Sie die Sicherheit weiter durch Härtung der NSG-Regeln basierend auf tatsächlichen Datenverkehrsmustern. Um dieses Feature verwenden zu können, muss Defender for Cloud für das Abonnement aktiviert sein. | In Plan 1 nicht unterstützt |
|
| Dateiintegritätsüberwachung | Bei der Änderungsüberwachung werden Dateien und Registrierungen für Änderungen untersucht, die auf einen Angriff hinweisen könnten. Über eine Vergleichsmethode wird festgestellt, ob verdächtige Änderungen an Dateien vorgenommen wurden. | In Plan 1 nicht unterstützt |
|
| Docker-Hosthärtung | Bewertet Container mit Linux-Computern als Host, die Docker-Container ausführen, und vergleicht sie mit dem Center for Internet Security (CIS) Docker Benchmark. | In Plan 1 nicht unterstützt |
|
| Netzwerkübersicht | Bietet eine geografische Ansicht der Empfehlungen für die Härtung Ihrer Netzwerkressourcen. | In Plan 1 nicht unterstützt |
|
| Überprüfung ohne Agent | Scannt virtuelle Azure-Computer mithilfe von Cloud-APIs, um Daten zu sammeln. | In Plan 1 nicht unterstützt |
|
Hinweis
Sobald ein Plan aktiviert ist, beginnt ein 30-tägiger Testzeitraum. Es gibt keine Möglichkeit, diesen Testzeitraum zu beenden, anzuhalten oder zu verlängern. Um die 30-tägige Testversion voll auszunutzen, sollten Sie im Voraus planen, damit Sie Ihre Auswertungsziele zu erfüllen.
Lösung zur Sicherheitsrisikobewertung auswählen
In Defender for Servers stehen mehrere Optionen zur Sicherheitsrisikobewertung zur Verfügung:
Microsoft Defender Vulnerability Management: Integriert in Defender for Endpoint.
Verfügbar in Microsoft Defender for Servers Plan 1, früher Defender for Servers Plan 2.
Die Defender Vulnerability Management ist standardmäßig auf Computern aktiviert, die in Defender for Endpoint integriert sind.
Verfügt über die gleichen Voraussetzungen für Windows, Linux und das Netzwerk wie Defender for Endpoint.
Es ist keine zusätzliche Software erforderlich.
Hinweis
Die Funktionen des Microsoft Defender-Add-Ons für die Sicherheitsrisikoverwaltung sind in Defender for Servers Plan 2 enthalten. Dadurch werden konsolidierte Bestände, neue Bewertungen und Tools zur Risikominderung bereitgestellt, um Ihr Programm zur Verwaltung von Sicherheitsrisiken weiter zu verbessern. Weitere Informationen finden Sie unter Funktionen zur Verwaltung von Sicherheitsrisiken für Server.
Die Funktionen des Microsoft Defender-Add-Ons für die Sicherheitsrisikoverwaltung sind nur über das Microsoft Defender 365-Portal verfügbar.
Qualys-Sicherheitsrisikoüberprüfung: Wird von der Qualys-Integration von Defender for Cloud bereitgestellt.
- Nur in Defender for Servers-Plan 2 verfügbar.
- Eine hervorragende Lösung, wenn Sie eine EDR-Lösung eines Drittanbieters oder eine auf Fanotify basierende Lösung verwenden. In diesen Szenarien können Sie Defender for Endpoint möglicherweise nicht für die Sicherheitsrisikobewertung bereitstellen.
- Die integrierte Qualys-Lösung für Defender for Cloud unterstützt keine Proxykonfiguration und kann keine Verbindung mit einer vorhandenen Qualys-Bereitstellung herstellen. Sicherheitsrisikoergebnisse sind nur in Defender for Cloud verfügbar.
Nächste Schritte
Nachdem Sie diese Planungsschritte durchgearbeitet haben, überprüfen Sie die Anforderungen an Azure Arc und den Agent bzw. die Erweiterung.