Defender for Servers-csomag kiválasztása
Ez a cikk segítséget nyújt a szervezet számára megfelelő Microsoft Defender for Servers csomag kiválasztásában.
A Defender for Servers az Felhőhöz készült Microsoft Defender által biztosított fizetős csomagok egyike.
Mielőtt elkezdené
Ez a cikk a Defender for Servers tervezési útmutatójának negyedik cikke. Mielőtt hozzákezdene, tekintse át a korábbi cikkeket:
- Az üzembe helyezés tervezésének megkezdése
- Az adatok tárolásának és a Log Analytics-munkaterület követelményeinek megismerése
- Hozzáféréssel és szerepkörökkel kapcsolatos követelmények áttekintése
Csomagok áttekintése
Két fizetős csomag közül választhat:
A Defender for Servers 1 . csomagja belépési szintű, és az előfizetés szintjén kell engedélyezni. Funkciók:
Alapszintű felhőbiztonsági helyzetkezelés (CSPM), amelyet a Felhőhöz készült Defender ingyenesen biztosít.
- Az Azure-beli virtuális gépek, valamint az Amazon Web Services (AWS) és a Google Cloud Platform (GCP) gépek esetében nincs szükség olyan Felhőhöz készült Defender csomagra, amely engedélyezve van az alapvető CSPM-funkciók használatához.
- A helyszíni kiszolgáló esetében a konfigurációs javaslatok fogadásához a gépeket az Azure Arc használatával kell előkészíteni az Azure-ba, és engedélyezni kell a Defender for Servers szolgáltatást.
A Végponthoz készült Microsoft Defender 2. csomag által biztosított végpontészlelési és válaszfunkciók (Végponti észlelés és reagálás).
A Defender for Servers Plan 2 minden funkciót biztosít. A tervnek az előfizetés szintjén és a munkaterület szintjén kell engedélyezve lennie, hogy a teljes funkciólefedettséget megkapja. Funkciók:
- A Defender for Servers 1. csomagja által biztosított összes funkció.
- Kiterjesztett észlelési és reagálási (XDR) képességek.
Feljegyzés
Az 1. és a 2. csomag a Defender for Servers esetében nem egyezik meg az 1. és a 2. csomag a Defender for Endpoint csomaggal.
Csomagfunkciók
Funkció | Részletek | 1-es díjcsomag | 2-es díjcsomag |
---|---|---|---|
A Defender for Endpoint integrációja | A Defender for Servers integrálható a Defender for Endpoint szolgáltatással, és minden funkcióval védi a kiszolgálókat, beleértve a következőket: - A támadási felület csökkentése a támadás kockázatának csökkentése érdekében. - Következő generációs védelem, beleértve a valós idejű vizsgálatot, a védelmet és a Microsoft Defender víruskereső. - Végponti észlelés és reagálás, beleértve a fenyegetéselemzést, az automatizált vizsgálatot és választ, a speciális vadászatot és a végponti támadási értesítéseket. - A Microsoft Defender biztonságirés-kezelés (MDVM) által biztosított sebezhetőségi felmérés és kockázatcsökkentés a Defender for Endpoint integráció részeként. A 2. csomaggal prémium szintű MDVM-funkciókat kaphat, amelyeket az MDVM bővítmény biztosít. |
||
Licencelés | A Defender for Servers a Defender for Endpoint licencelését tartalmazza. A licencelést óránként kell fizetni a helyalapú használat helyett, így a virtuális gépek védelme csak használatban van. | ||
Defender végpontkiépítéshez | A Defender for Servers automatikusan kiépíti a Defender for Endpoint érzékelőt minden olyan támogatott gépen, amely Felhőhöz készült Defender csatlakozik. | ||
Egyesített nézet | A Defender for Endpoint riasztásai megjelennek a Felhőhöz készült Defender portálon. Részletes információkat a Defender for Endpoint portálon kaphat. | ||
Fenyegetésészlelés operációsrendszer-szinten (ügynökalapú) | A Defender for Servers és a Defender for Endpoint operációs rendszer szintjén észleli a fenyegetéseket, beleértve a virtuális gépek viselkedésének észlelését és a fájl nélküli támadásészlelést, amely részletes biztonsági riasztásokat hoz létre, amelyek felgyorsítják a riasztások osztályozását, a korrelációt és az alsóbb rétegbeli válaszidőt. További információ a Windows rendszerű gépekre vonatkozó riasztásokról További információ a Linux rendszerű gépekre vonatkozó riasztásokról További információ a DNS-riasztásokról |
Az MDE biztosítja | |
Fenyegetésészlelés hálózati szinten (ügynök nélküli biztonsági riasztások) | A Defender for Servers észleli a hálózat vezérlősíkjára irányuló fenyegetéseket, beleértve az Azure-beli virtuális gépek hálózati alapú biztonsági riasztásait is. További információ | Az 1. csomag nem támogatott | |
Microsoft Defender biztonságirés-kezelés (MDVM) bővítmény | A biztonságirés-kezelés program konszolidált eszközkészleteinek, a biztonsági alapkonfigurációk értékelésének, az alkalmazásblokk funkciónak és egyebeknek a továbbfejlesztése. További információ. | Az 1. csomag nem támogatott | |
Biztonsági szabályzat és jogszabályi megfelelőség | Szabjon testre egy biztonsági szabályzatot az előfizetéséhez, és hasonlítsa össze az erőforrások konfigurációját az iparági szabványok, szabályozások és teljesítménymutatók követelményeivel. További információ a jogszabályi megfelelőségről és a biztonsági szabályzatokról | Az 1. csomag nem támogatott | |
Qualys sebezhetőségi felmérés | A Defender sebezhetőségi kezelésének alternatívaként Felhőhöz készült Defender üzembe helyezhet egy Qualys-szkennert, és megjelenítheti az eredményeket. Nincs szüksége Qualys-licencre vagy -fiókra. | Az 1. csomag nem támogatott | |
Adaptív alkalmazásvezérlők | Az adaptív alkalmazásvezérlők a gépek ismert biztonságos alkalmazásainak engedélyezési listáját határozzák meg. A funkció használatához engedélyezni kell Felhőhöz készült Defender az előfizetésben. | Az 1. csomag nem támogatott | |
Ingyenes adatbetöltés (500 MB) a Log Analytics-munkaterületeken | Az ingyenes adatbetöltés adott adattípusokhoz érhető el a Log Analytics-munkaterületeken. Az adatbetöltés kiszámítása csomópontonként, jelentett munkaterületenként és naponta történik. Minden olyan munkaterülethez elérhető, amely rendelkezik telepített biztonsági vagy kártevőirtó megoldással. | Az 1. csomag nem támogatott | |
Ingyenes Azure Update Manager-szervizelés Arc-gépekhez | Az Azure Update Manager nem megfelelő erőforrások és javaslatok szervizelése további költségek nélkül érhető el az Arc-kompatibilis gépek esetében. | Az 1. csomag nem támogatott | |
Igény szerint történő virtuális gép-hozzáférés | A just-in-time virtuális gépek hozzáférése zárolja a gép portjait a támadási felület csökkentése érdekében. A funkció használatához engedélyezni kell Felhőhöz készült Defender az előfizetésben. | Az 1. csomag nem támogatott | |
Adaptív hálózatmegerősítés | A hálózatmegerősítés hálózati biztonsági csoportok (NSG-k) használatával szűri az erőforrások felé és onnan érkező forgalmat a hálózati biztonsági helyzet javítása érdekében. A biztonság további javítása az NSG-szabályok tényleges forgalmi mintákon alapuló megerősítésével. A funkció használatához engedélyezni kell Felhőhöz készült Defender az előfizetésben. | Az 1. csomag nem támogatott | |
Fájlintegritási monitorozás | A fájlintegritási monitorozás megvizsgálja a fájlokat és a regisztrációs adatbázisokat, hogy a módosítások esetleg támadást jelezhetnek. A rendszer összehasonlító módszerrel állapítja meg, hogy a fájlokon történt-e gyanús módosítás. | Az 1. csomag nem támogatott | |
A Docker-gazdagépek megkeményedése | Értékeli a Docker-tárolókat futtató Linux-gépeken üzemeltetett tárolókat, majd összehasonlítja őket a Center for Internet Security (CIS) Docker Benchmarktal. | Az 1. csomag nem támogatott | |
Hálózati leképezés | Földrajzi nézetet biztosít a hálózati erőforrások korlátozására vonatkozó javaslatokról. | Az 1. csomag nem támogatott | |
Ügynök nélküli vizsgálat | Az Azure-beli virtuális gépeket felhőalapú API-k használatával vizsgálja az adatok gyűjtéséhez. | Az 1. csomag nem támogatott |
Feljegyzés
Ha egy terv engedélyezve van, 30 napos próbaidőszak kezdődik. A próbaidőszakot nem lehet leállítani, szüneteltetni vagy meghosszabbítani. A teljes 30 napos próbaidőszak élvezetéhez mindenképpen tervezze meg előre, hogy megfeleljen a kiértékelési céloknak.
Sebezhetőségi felmérési megoldás kiválasztása
A Defender for Serversben néhány biztonságirés-felmérési lehetőség érhető el:
Microsoft Defender biztonságirés-kezelés: Integrálva a Defender for Endpoint szolgáltatással.
Elérhető a Defender for Servers 1. és a Defender for Servers 2. csomagjában.
A Defender sebezhetőségi kezelése alapértelmezés szerint engedélyezve van a Defender for Endpoint szolgáltatásba előkészített gépeken.
A Windows, a Linux és a hálózati előfeltételek ugyanazok, mint a Defender for Endpoint esetében.
Nincs szükség további szoftverre.
Feljegyzés
Microsoft Defender biztonságirés-kezelés bővítmények funkciói a Defender for Servers 2. csomagjában találhatók. Ez konszolidált leltárakat, új értékeléseket és kockázatcsökkentő eszközöket biztosít a biztonságirés-kezelés program továbbfejlesztéséhez. További információkért tekintse meg a kiszolgálók biztonságirés-kezelési funkcióit.
A Defender biztonságirés-kezelési bővítmények csak a Microsoft Defender 365 portálon érhetők el.
Qualys biztonságirés-ellenőrző: Felhőhöz készült Defender Qualys-integráció biztosítja.
- Csak a Defender for Servers 2. csomagjában érhető el.
- Nagyszerű választás, ha külső Végponti észlelés és reagálás megoldást vagy Fanotify-alapú megoldást használ. Ilyen esetekben előfordulhat, hogy nem tudja üzembe helyezni a Defender for Endpointt a sebezhetőség felméréséhez.
- Az integrált Felhőhöz készült Defender Qualys-megoldás nem támogatja a proxykonfigurációt, és nem tud csatlakozni egy meglévő Qualys-üzembe helyezéshez. A biztonságirés-megállapítások csak Felhőhöz készült Defender érhetők el.
Következő lépések
A tervezési lépések elvégzése után tekintse át az Azure Arc és az ügynök és a bővítmény követelményeit.