Defender for Servers-csomag kiválasztása

Ez a cikk segítséget nyújt a szervezet számára megfelelő Microsoft Defender for Servers csomag kiválasztásában.

A Defender for Servers az Felhőhöz készült Microsoft Defender által biztosított fizetős csomagok egyike.

Mielőtt elkezdené

Ez a cikk a Defender for Servers tervezési útmutatójának negyedik cikke. Mielőtt hozzákezdene, tekintse át a korábbi cikkeket:

  1. Az üzembe helyezés tervezésének megkezdése
  2. Az adatok tárolásának és a Log Analytics-munkaterület követelményeinek megismerése
  3. Hozzáféréssel és szerepkörökkel kapcsolatos követelmények áttekintése

Csomagok áttekintése

Két fizetős csomag közül választhat:

  • A Defender for Servers 1 . csomagja belépési szintű, és az előfizetés szintjén kell engedélyezni. Funkciók:

    • Alapszintű felhőbiztonsági helyzetkezelés (CSPM), amelyet a Felhőhöz készült Defender ingyenesen biztosít.

      • Az Azure-beli virtuális gépek, valamint az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) gépek esetében nincs szükség olyan Felhőhöz készült Defender csomagra, amely engedélyezve van az alapvető CSPM-funkciók használatához.
      • A helyszíni kiszolgáló esetében a konfigurációs javaslatok fogadásához a gépeket az Azure Arc használatával kell előkészíteni az Azure-ba, és engedélyezni kell a Defender for Servers szolgáltatást.
    • A Végponthoz készült Microsoft Defender 2. csomag által biztosított végpontészlelési és válaszfunkciók (Végponti észlelés és reagálás).

  • A Defender for Servers Plan 2 minden funkciót biztosít. A tervnek az előfizetés szintjén és a munkaterület szintjén kell engedélyezve lennie, hogy a teljes funkciólefedettséget megkapja. Funkciók:

    • A Defender for Servers 1. csomagja által biztosított összes funkció.
    • Kiterjesztett észlelési és reagálási (XDR) képességek.

Feljegyzés

Az 1. és a 2. csomag a Defender for Servers esetében nem egyezik meg az 1. és a 2. csomag a Defender for Endpoint csomaggal.

Csomagfunkciók

Funkció Részletek 1-es díjcsomag 2-es díjcsomag
A Defender for Endpoint integrációja A Defender for Servers integrálható a Defender for Endpoint szolgáltatással, és minden funkcióval védi a kiszolgálókat, beleértve a következőket:

- A támadási felület csökkentése a támadás kockázatának csökkentése érdekében.

- Következő generációs védelem, beleértve a valós idejű vizsgálatot, a védelmet és a Microsoft Defender víruskereső.

- Végponti észlelés és reagálás, beleértve a fenyegetéselemzést, az automatizált vizsgálatot és választ, a speciális vadászatot és a végponti támadási értesítéseket.

- A Microsoft Defender biztonságirés-kezelés (MDVM) által biztosított sebezhetőségi felmérés és kockázatcsökkentés a Defender for Endpoint integráció részeként. A 2. csomaggal prémium szintű MDVM-funkciókat kaphat, amelyeket az MDVM bővítmény biztosít.
Licencelés A Defender for Servers a Defender for Endpoint licencelését tartalmazza. A licencelést óránként kell fizetni a helyalapú használat helyett, így a virtuális gépek védelme csak használatban van.
Defender végpontkiépítéshez A Defender for Servers automatikusan kiépíti a Defender for Endpoint érzékelőt minden olyan támogatott gépen, amely Felhőhöz készült Defender csatlakozik.
Egyesített nézet A Defender for Endpoint riasztásai megjelennek a Felhőhöz készült Defender portálon. Részletes információkat a Defender for Endpoint portálon kaphat.
Fenyegetésészlelés operációsrendszer-szinten (ügynökalapú) A Defender for Servers és a Defender for Endpoint operációs rendszer szintjén észleli a fenyegetéseket, beleértve a virtuális gépek viselkedésének észlelését és a fájl nélküli támadásészlelést, amely részletes biztonsági riasztásokat hoz létre, amelyek felgyorsítják a riasztások osztályozását, a korrelációt és az alsóbb rétegbeli válaszidőt.

További információ a Windows rendszerű gépekre vonatkozó riasztásokról

További információ a Linux rendszerű gépekre vonatkozó riasztásokról


További információ a DNS-riasztásokról

Az MDE biztosítja
Fenyegetésészlelés hálózati szinten (ügynök nélküli biztonsági riasztások) A Defender for Servers észleli a hálózat vezérlősíkjára irányuló fenyegetéseket, beleértve az Azure-beli virtuális gépek hálózati alapú biztonsági riasztásait is. További információ Az 1. csomag nem támogatott
Microsoft Defender biztonságirés-kezelés (MDVM) bővítmény A biztonságirés-kezelés program konszolidált eszközkészleteinek, a biztonsági alapkonfigurációk értékelésének, az alkalmazásblokk funkciónak és egyebeknek a továbbfejlesztése. További információ. Az 1. csomag nem támogatott
Biztonsági szabályzat és jogszabályi megfelelőség Szabjon testre egy biztonsági szabályzatot az előfizetéséhez, és hasonlítsa össze az erőforrások konfigurációját az iparági szabványok, szabályozások és teljesítménymutatók követelményeivel. További információ a jogszabályi megfelelőségről és a biztonsági szabályzatokról Az 1. csomag nem támogatott
Qualys sebezhetőségi felmérés A Defender sebezhetőségi kezelésének alternatívaként Felhőhöz készült Defender üzembe helyezhet egy Qualys-szkennert, és megjelenítheti az eredményeket. Nincs szüksége Qualys-licencre vagy -fiókra. Az 1. csomag nem támogatott
Adaptív alkalmazásvezérlők Az adaptív alkalmazásvezérlők a gépek ismert biztonságos alkalmazásainak engedélyezési listáját határozzák meg. A funkció használatához engedélyezni kell Felhőhöz készült Defender az előfizetésben. Az 1. csomag nem támogatott
Ingyenes adatbetöltés (500 MB) a Log Analytics-munkaterületeken Az ingyenes adatbetöltés adott adattípusokhoz érhető el a Log Analytics-munkaterületeken. Az adatbetöltés kiszámítása csomópontonként, jelentett munkaterületenként és naponta történik. Minden olyan munkaterülethez elérhető, amely rendelkezik telepített biztonsági vagy kártevőirtó megoldással. Az 1. csomag nem támogatott
Ingyenes Azure Update Manager-szervizelés Arc-gépekhez Az Azure Update Manager nem megfelelő erőforrások és javaslatok szervizelése további költségek nélkül érhető el az Arc-kompatibilis gépek esetében. Az 1. csomag nem támogatott
Igény szerint történő virtuális gép-hozzáférés A just-in-time virtuális gépek hozzáférése zárolja a gép portjait a támadási felület csökkentése érdekében. A funkció használatához engedélyezni kell Felhőhöz készült Defender az előfizetésben. Az 1. csomag nem támogatott
Adaptív hálózatmegerősítés A hálózatmegerősítés hálózati biztonsági csoportok (NSG-k) használatával szűri az erőforrások felé és onnan érkező forgalmat a hálózati biztonsági helyzet javítása érdekében. A biztonság további javítása az NSG-szabályok tényleges forgalmi mintákon alapuló megerősítésével. A funkció használatához engedélyezni kell Felhőhöz készült Defender az előfizetésben. Az 1. csomag nem támogatott
Fájlintegritási monitorozás A fájlintegritási monitorozás megvizsgálja a fájlokat és a regisztrációs adatbázisokat, hogy a módosítások esetleg támadást jelezhetnek. A rendszer összehasonlító módszerrel állapítja meg, hogy a fájlokon történt-e gyanús módosítás. Az 1. csomag nem támogatott
A Docker-gazdagépek megkeményedése Értékeli a Docker-tárolókat futtató Linux-gépeken üzemeltetett tárolókat, majd összehasonlítja őket a Center for Internet Security (CIS) Docker Benchmarktal. Az 1. csomag nem támogatott
Hálózati leképezés Földrajzi nézetet biztosít a hálózati erőforrások korlátozására vonatkozó javaslatokról. Az 1. csomag nem támogatott
Ügynök nélküli vizsgálat Az Azure-beli virtuális gépeket felhőalapú API-k használatával vizsgálja az adatok gyűjtéséhez. Az 1. csomag nem támogatott

Feljegyzés

Ha egy terv engedélyezve van, 30 napos próbaidőszak kezdődik. A próbaidőszakot nem lehet leállítani, szüneteltetni vagy meghosszabbítani. A teljes 30 napos próbaidőszak élvezetéhez mindenképpen tervezze meg előre, hogy megfeleljen a kiértékelési céloknak.

Sebezhetőségi felmérési megoldás kiválasztása

A Defender for Serversben néhány biztonságirés-felmérési lehetőség érhető el:

  • Microsoft Defender biztonságirés-kezelés: Integrálva a Defender for Endpoint szolgáltatással.

    • Elérhető a Defender for Servers 1. és a Defender for Servers 2. csomagjában.

    • A Defender sebezhetőségi kezelése alapértelmezés szerint engedélyezve van a Defender for Endpoint szolgáltatásba előkészített gépeken.

    • A Windows, a Linux és a hálózati előfeltételek ugyanazok, mint a Defender for Endpoint esetében.

    • Nincs szükség további szoftverre.

      Feljegyzés

      Microsoft Defender biztonságirés-kezelés bővítmények funkciói a Defender for Servers 2. csomagjában találhatók. Ez konszolidált leltárakat, új értékeléseket és kockázatcsökkentő eszközöket biztosít a biztonságirés-kezelés program továbbfejlesztéséhez. További információkért tekintse meg a kiszolgálók biztonságirés-kezelési funkcióit.

      A Defender biztonságirés-kezelési bővítmények csak a Microsoft Defender 365 portálon érhetők el.

  • Qualys biztonságirés-ellenőrző: Felhőhöz készült Defender Qualys-integráció biztosítja.

    • Csak a Defender for Servers 2. csomagjában érhető el.
    • Nagyszerű választás, ha külső Végponti észlelés és reagálás megoldást vagy Fanotify-alapú megoldást használ. Ilyen esetekben előfordulhat, hogy nem tudja üzembe helyezni a Defender for Endpointt a sebezhetőség felméréséhez.
    • Az integrált Felhőhöz készült Defender Qualys-megoldás nem támogatja a proxykonfigurációt, és nem tud csatlakozni egy meglévő Qualys-üzembe helyezéshez. A biztonságirés-megállapítások csak Felhőhöz készült Defender érhetők el.

Következő lépések

A tervezési lépések elvégzése után tekintse át az Azure Arc és az ügynök és a bővítmény követelményeit.