Ricevi risposte alle domande comuni su Microsoft Defender per server.
È possibile abilitare Defender per server in un subset di computer in una sottoscrizione?
Sì. È ora possibile gestire Defender per server in risorse specifiche all'interno della sottoscrizione, offrendo il controllo completo sulla strategia di protezione. Con questa funzionalità, è possibile configurare risorse specifiche con configurazioni personalizzate diverse dalle impostazioni configurate a livello di sottoscrizione. Altre informazioni sull'abilitazione di Defender per server a livello di risorsa. Tuttavia, quando si abilita Microsoft Defender per server in un account AWS connesso o in un progetto GCP, tutti i computer connessi sono protetti da Defender per server.
È possibile ottenere uno sconto se si ha già una licenza di Microsoft Defender per endpoint?
Se si dispone già di una licenza per Microsoft Defender per endpoint per server, non sarà necessario pagare per tale parte della licenza di Microsoft Defender per server piano 1 o 2.
Per richiedere lo sconto, contattare il team di supporto Defender per il cloud tramite il portale di Azure creando una nuova richiesta di supporto nel centro assistenza e supporto tecnico.
Accedere al portale di Azure.
Selezionare Supporto e risoluzione dei problemi
Selezionare Guida e supporto.
Seleziona Crea una richiesta di supporto.
Immettere le informazioni seguenti:
Selezionare Avanti.
Selezionare Avanti.
Nella scheda Dettagli aggiuntivi, immettere il nome dell'organizzazione del cliente, l'ID tenant, il numero di Microsoft Defender per endpoint per le licenze server acquistate, la data di scadenza del Microsoft Defender per endpoint per le licenze server acquistate e tutti gli altri campi obbligatori.
Selezionare Avanti.
Seleziona Crea.
Nota
Lo sconto diventa effettivo a partire dalla data di approvazione. Lo sconto non è retroattivo.
Quali server si pagano in una sottoscrizione?
Quando si abilita Defender per server in una sottoscrizione, vengono addebitati i costi per tutti i computer in base ai relativi stati di alimentazione.
VM di Azure:
| Provincia | Dettagli | Fatturazione |
|---|---|---|
| Avvio in corso | Avvio di una VM. | Non fatturato |
| In esecuzione | Stato di funzionamento normale. | Fatturato |
| Stopping | Transizionale. Passa allo stato Arrestato al termine. | Fatturato |
| Arrestato | Arresto della VM dall'interno del sistema operativo guest o tramite le API PowerOff. L'hardware è ancora allocato e il computer rimane nell'host. | Fatturato |
| Deallocazione | Transizionale. Passa allo stato deallocato al termine. | Non fatturato |
| Deallocato | La VM è stata arrestata e rimossa dall'host. | Non fatturato |
Computer Azure Arc
| Stato | Dettagli | Fatturazione |
|---|---|---|
| Connecting | Server connessi, ma heartbeat non ancora ricevuti. | Non fatturato |
| Connesso | Ricezione di heartbeat regolari dall'agente Connected Machine. | Fatturato |
| Offline/Disconnesso | Nessun heartbeat ricevuto in 15-30 minuti. | Non fatturato |
| Scaduta | Se disconnesso per 45 giorni, lo stato potrebbe cambiare in Scaduto. | Non fatturato |
È necessario abilitare Defender per server nella sottoscrizione e nell'area di lavoro?
Defender per server - Piano 1 non dipende da Analisi dei log. Quando si abilita Defender per server - Piano 2 a livello di sottoscrizione, Defender per il cloud abilita automaticamente il piano nelle aree di lavoro Analisi dei log predefinite. Se si usa un'area di lavoro personalizzata, assicurarsi di abilitare il piano nell'area di lavoro. Ecco altre informazioni:
- Se si attiva Defender per server per una sottoscrizione e per un'area di lavoro personalizzata connessa, non vengono addebitati entrambi i costi. Il sistema identifica VM univoche.
- Se si abilita Defender per server nelle aree di lavoro tra sottoscrizioni:
- Per l'agente di Analisi dei log, i computer connessi di tutte le sottoscrizioni vengono fatturati, incluse le sottoscrizioni che non hanno il piano Defender per server abilitato.
- Per l'agente di Monitoraggio di Azure, la fatturazione e la copertura delle funzionalità per Defender per server dipende solo dal piano abilitato nella sottoscrizione.
Cosa accade se è stato abilitato il piano Defender per server solo a livello di area di lavoro (non a livello di sottoscrizione)?
È possibile abilitare Microsoft Defender per server a livello di area di lavoro Analisi dei log, ma solo i server che segnalano tale area di lavoro saranno protetti e fatturati e tali server non riceveranno alcuni vantaggi, ad esempio Microsoft Defender per endpoint, la valutazione della vulnerabilità e l'accesso JIT alle macchine virtuali.
Il valore di 500 MB di spazio di inserimento dati gratuito viene applicato per area di lavoro o per computer?
Quando è abilitato Defender per server - Piano 2, si ottengono 500 MB di inserimento dati gratuito al giorno. La quota è specifica per i tipi di dati di sicurezza raccolti direttamente da Defender per il cloud.
Questa tolleranza è una tariffa giornaliera calcolata in media tra tutti i nodi. Il limite totale giornaliero gratuito è uguale a [numero di computer] × 500 MB. Non vengono addebitati costi aggiuntivi se il totale non supera il limite totale gratuito giornaliero, anche se alcuni computer inviano 100 MB e altri inviano 800 MB.
Quali tipi di dati sono inclusi nella indennità giornaliera?
La fatturazione di Defender per il cloud è strettamente legata alla fatturazione per Analisi dei log. Microsoft Defender per server fornisce un'allocazione di 500 MB per nodo al giorno per i computer rispetto al sottoinsieme dei seguenti tipi di dati di sicurezza:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- Update e UpdateSummary quando la soluzione Gestione aggiornamenti non è in esecuzione nell'area di lavoro o nella destinazione della soluzione è abilitata.
- MDCFileIntegrityMonitoringEvents
Se l'area di lavoro si trova nel piano tariffario legacy per nodo, le allocazioni di Defender per il cloud e Analisi dei log vengono combinate e applicate congiuntamente a tutti i dati inseriti fatturabili.
Vengono addebitati i costi per i computer in cui Analisi dei log non è installato?
Sì. Vengono addebitati i costi per tutti i computer protetti da Defender per server in sottoscrizioni di Azure, account AWS connessi o progetti GCP connessi. Il termine macchine include le macchine virtuali di Azure, istanze di set di scalabilità di macchine virtuali di Azure e server abilitati per Azure Arc. I computer che non dispongono di Analisi dei log installato sono coperti da protezioni che non dipendono dall'agente di Analisi dei log.
Qual è l'estensione "MDE. Windows" / "MDE.Linux in esecuzione nel computer?
In passato, Microsoft Defender per endpoint è stato effettuato il provisioning dall'agente di Analisi dei log. Quando è stato esteso il supporto per includere Windows Server 2019 e Linux, è stata aggiunta anche un'estensione per eseguire l'onboarding automatico.
Defender per il cloud distribuisce automaticamente l'estensione nei computer che eseguono:
- Windows Server 2019 e Windows Server 2022
- Windows Server 2012 R2 e 2016 se l'integrazione della soluzione unificata MDE è abilitata
- Windows 10 in Desktop virtuale di Azure.
- Altre versioni di Windows Server se Defender per il cloud non riconosce la versione del sistema operativo, ad esempio quando viene usata un'immagine della VM personalizzata. In questo caso, Microsoft Defender per endpoint viene ancora effettuato il provisioning dall'agente di Analisi dei log.
- Linux.
Importante
Se si elimina l'estensione MDE.Windows/MDE.Linux, non rimuoverà Microsoft Defender per endpoint. Per eseguire l'offboarding del computer, consultare la sezione Server di Offboard Windows..
Ho abilitato la soluzione ma l'estensione MDE.Windows'/'MDE.Linux non viene visualizzata sul computer
Se è stata abilitata l'integrazione, ma non viene comunque visualizzata l'estensione in esecuzione nei computer:
- È necessario attendere almeno 12 ore per assicurarsi che ci sia un problema da analizzare.
- Se, dopo 12 ore, non viene ancora visualizzata l'estensione in esecuzione nei computer, verificare di aver soddisfatto i prerequisiti per l'integrazione.
- Assicurarsi di aver abilitato il piano Microsoft Defender per server per le sottoscrizioni correlate ai computer in corso di analisi.
- Se la sottoscrizione di Azure è stata spostata tra tenant di Azure, sono necessari alcuni passaggi preparatori manuali prima che Defender per il cloud distribuisca Defender per endpoint. Per informazioni dettagliate, contattare il supporto tecnico Microsoft.
Quali sono i requisiti di licenza per Microsoft Defender per endpoint?
Le licenze per Defender per endpoint per server sono incluse in Microsoft Defender per server.
È necessario acquistare una soluzione antimalware separata per proteggere i computer?
No. Con l'integrazione di Defender per endpoint in Defender per server, si otterrà anche la protezione antimalware nei computer.
- In Windows Server 2012 R2, con l'integrazione unificata della soluzione unificata Defender per endpoint abilitata, Defender per server distribuisce Microsoft Defender Antivirus in modalità attiva.
- Nei sistemi operativi Windows Server più recenti, Microsoft Defender Antivirus fa parte del sistema operativo e verrà abilitato in modalità attiva.
- In Linux, Defender per server distribuisce Defender per endpoint, incluso il componente antimalware e imposta il componente in modalità passiva.
Come si passa da uno strumento EDR di terze parti?
Le istruzioni complete per il passaggio da una soluzione endpoint non Microsoft sono disponibili nella documentazione di Microsoft Defender per endpoint: Panoramica migrazione.
Quale piano di Microsoft Defender per endpoint è supportato in Defender per server?
Defender per server - Piano 1 e Piano 2 offre le funzionalità di Microsoft Defender per Endpoint - Piano 2.
Perché viene visualizzata un'app Qualys nelle applicazioni consigliate?
Microsoft Defender per server include l'analisi delle vulnerabilità per i computer. Non è necessaria una licenza né un account Qualys: tutto viene gestito in modo integrato all'interno di Defender per il cloud. Per informazioni dettagliate su questo scanner e istruzioni su come distribuirlo, consultare la sezione Soluzione di valutazione della vulnerabilità Qualys integrata di Defender per il cloud.
Perché non vengono visualizzate tutte le risorse, ad esempio sottoscrizioni, computer, account di archiviazione nell'inventario delle risorse?
La visualizzazione inventario elenca le risorse connesse Defender per il cloud dal punto di vista di Cloud Security Posture Management (CSPM). I filtri mostrano solo le risorse con raccomandazioni attive.
Ad esempio, se si ha accesso a otto sottoscrizioni, ma solo sette attualmente dispongono di raccomandazioni, filtrare in base al Tipo di risorsa = sottoscrizioni mostra solo le sette sottoscrizioni con raccomandazioni attive:
Perché alcune risorse mostrano valori vuoti nelle colonne Defender per il cloud o dell'agente di monitoraggio?
Non tutte le risorse monitorate da Defender per il cloud richiedono agenti. Ad esempio, Defender per il cloud non richiede che gli agenti monitorino account di Archiviazione di Azure o risorse PaaS, ad esempio dischi, App per la logica, Data Lake Analysis e Hub eventi.
Quando il monitoraggio dei prezzi o degli agenti non è rilevante per una risorsa, non viene visualizzato niente in queste colonne di inventario.
Quando è consigliabile usare una regola "Nega tutto il traffico"?
Una regolaRifiuta tutto il traffico è raccomandata quando, a seguito dell'esecuzione dell'algoritmo, Defender per il cloud non identifica il traffico che dovrebbe essere consentito, in base alla configurazione NSG esistente. Pertanto, la regola consigliata consiste nel negare tutto il traffico verso la porta specificata. Il nome di questo tipo di regola viene visualizzato come "Generato dal sistema". Dopo l'applicazione di questa regola, il nome effettivo di NSG sarà una stringa costituita dal protocollo, dalla direzione del traffico, da "DENY" e da un numero casuale.
Come si distribuiscono i prerequisiti per le raccomandazioni sulla configurazione della sicurezza?
Per distribuire l'estensione Configurazione guest con i relativi prerequisiti:
Per i computer selezionati, seguire la raccomandazione L'estensione della configurazione guest deve essere installata nei computer dal controllo di sicurezza Implementare le migliori pratiche di sicurezza.
Su larga scala, assegnare i prerequisiti dell'iniziativa dei criteri Distribuisci per abilitare i criteri di configurazione guest nelle macchine virtuali.
Perché un computer viene visualizzato come non disponibile?
L'elenco delle risorse nella scheda Non applicabile include una colonna Motivo. Alcuni dei motivi più comuni includono:
| Motivo | Dettagli |
|---|---|
| Nessun dato di analisi disponibile nel computer | Non sono presenti risultati di conformità per questo computer in Azure Resource Graph. Tutti i risultati di conformità vengono scritti in Azure Resource Graph dall'estensione Configurazione guest. È possibile controllare i dati in Azure Resource Graph usando le query di esempio in Criteri di Azure Configurazione guest - query ARG di esempio. |
| L'estensione Configurazione guest non è installata sul computer | Il computer non ha l'estensione Configurazione guest, un prerequisito per valutare la conformità alla baseline di sicurezza di Azure. |
| L'identità gestita dal sistema non è configurata nel computer | Nel computer deve essere distribuita un'identità gestita assegnata dal sistema. |
| La raccomandazione è disabilitata nei criteri | La definizione dei criteri che valuta la baseline del sistema operativo è disabilitata nell'ambito che include il computer pertinente. |
Se si abilita il piano server Defender per il cloud s a livello di sottoscrizione, è necessario abilitarlo a livello di area di lavoro?
Quando si abilita il piano Server a livello di sottoscrizione, Defender per il cloud abilita automaticamente il piano Server nelle aree di lavoro predefinite. Connettersi all'area di lavoro predefinita selezionando l'opzione Connetti VM di Azure alle aree di lavoro predefinite create da Defender per il cloud e selezionando Applica.
Tuttavia, se si usa un'area di lavoro personalizzata al posto dell'area di lavoro predefinita, è necessario abilitare il piano Server in tutte le aree di lavoro personalizzate che non lo hanno abilitato.
Se si usa un'area di lavoro personalizzata e si abilita il piano solo a livello di sottoscrizione, la raccomandazione Microsoft Defender for servers should be enabled on workspaces viene visualizzata nella pagina Raccomandazioni. Questa raccomandazione offre la possibilità di abilitare il piano server a livello di area di lavoro con il pulsante Risolvi. Vengono addebitati i costi per tutte le macchine virtuali nella sottoscrizione anche se il piano Server non è abilitato per l'area di lavoro. Le VM non trarranno vantaggio dalle funzionalità che dipendono dall'area di lavoro Analisi dei log, ad esempio Microsoft Defender per endpoint, dalla soluzione VA (MDVM/Qualys) e dall'accesso JIT alle VM.
L'abilitazione del piano Server sia per la sottoscrizione che per le aree di lavoro connesse non comporta un doppio addebito. Il sistema identificherà ogni VM univoca.
Se si abilita il piano Server nelle aree di lavoro tra sottoscrizioni, verranno fatturate VM connesse da tutte le sottoscrizioni, incluse le sottoscrizioni che non dispongono del piano Server abilitato.
Si riceveranno addebiti per i computer senza l'agente di Log Analytics installato?
Sì. Quando si abilita Microsoft Defender per server in una sottoscrizione di Azure o in un account AWS connesso, verranno addebitati i costi per tutti i computer connessi alla sottoscrizione di Azure o all'account AWS. Il termine macchine include le macchine virtuali di Azure, istanze di set di scalabilità di macchine virtuali di Azure e server abilitati per Azure Arc. I computer che non dispongono di Analisi dei log installato sono coperti da protezioni che non dipendono dall'agente di Analisi dei log.
Se un agente di Log Analytics è associato a più aree di lavoro, l'addebito verrà applicato due volte?
Se un computer segnala più aree di lavoro e tutte hanno Defender per server abilitati, i computer verranno fatturati per ogni area di lavoro collegata.
Se l'agente di Log Analytics è associato a più aree di lavoro, la funzionalità gratuita di inserimento di 500 MB di dati è disponibile per tutte?
Sì. Se si configura l'agente di Analisi dei log per l'invio di dati a due o più aree di lavoro Analisi dei log diverse (multi-homing), si riceverà la funzionalità gratuita di inserimento di 500 MB di dati per ciascuna area di lavoro. Il calcolo viene eseguito per nodo, per area di lavoro associata, al giorno e la funzionalità è disponibile per ogni area di lavoro in cui è installata una soluzione 'Sicurezza' o 'Antimalware'. L'inserimento di oltre 500 MB di dati comporterà un addebito.
L'inserimento gratuito di 500 MB di dati viene calcolato per un'intera area di lavoro o rigorosamente per computer?
Si riceve un limite giornaliero di 500 MB di inserimento dati gratuito per ogni macchina virtuale (VM) connessa all'area di lavoro. Questa allocazione si applica in modo specifico ai tipi di dati di sicurezza raccolti direttamente da Defender per il cloud.
La quota di dati è una tariffa giornaliera calcolata in tutti i computer connessi. Il limite totale giornaliero gratuito è uguale a[numero di macchine] x 500 MB. Quindi, anche se in un determinato giorno alcune macchine inviano 100 MB e altre 800 MB, se i dati totali di tutte le macchine non superano il limite gratuito giornaliero, non ti verrà addebitato alcun costo aggiuntivo.
Quali tipi di dati sono inclusi nella indennità giornaliera di 500-MB?
La fatturazione di Defender per il cloud è strettamente legata alla fatturazione per Analisi dei log. Microsoft Defender per server fornisce un'allocazione di 500 MB per nodo al giorno per i computer rispetto al sottoinsieme dei seguenti tipi di dati di sicurezza:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- Update e UpdateSummary quando la soluzione Gestione aggiornamenti non è in esecuzione nell'area di lavoro o nella destinazione della soluzione è abilitata.
Se l'area di lavoro è nel piano tariffario legacy per nodo, le allocazioni di Defender per il cloud e Log Analytics vengono combinate e applicate congiuntamente a tutti i dati fatturabili inseriti. Per maggiori informazioni sui vantaggi che i clienti di Microsoft Sentinel possono avere, consultare la pagina Prezzi di Microsoft Sentinel.
Come è possibile monitorare l'utilizzo giornaliero?
È possibile visualizzare l'utilizzo dei dati in due modi diversi, il portale di Azure o eseguendo uno script.
Per visualizzare l'utilizzo delle prenotazioni nel portale di Azure:
Accedere al portale di Azure.
Passare alle aree di lavoro Analisi dei log.
Selezionare l'area di lavoro.
Selezionare Uso e costi stimati.
È anche possibile visualizzare i costi stimati in piani tariffari diversi selezionando 
per ogni piano tariffario.
Per visualizzare l'utilizzo usando uno script:
Accedere al portale di Azure.
Passare alle aree di lavoro Analisi dei log>Log.
Selezionare l'intervallo di tempo. Informazioni sugli intervalli di tempo.
Copiare e incollare la query seguente nella sezione Digitare la query qui.
let Unit= 'GB'; Usage | where IsBillable == 'TRUE' | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary') | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit | summarize DataConsumedPerDataType = sum(Quantity)/1024 by DataType, DataUnit = Unit | sort by DataConsumedPerDataType descSelezionare Esegui.
È possibile informazioni su come Analizzare l'utilizzo nell'area di lavoro di Analisi dei log.
In base all'utilizzo, non verranno fatturati fino a quando non è stata usata la indennità giornaliera. Se si riceve una fattura, si tratta solo dei dati usati dopo il raggiungimento del limite di 500 MB o per altri servizi che non rientrano nella copertura di Defender per il cloud.
Come posso gestire i costi?
Si consiglia di gestire i costi e limitare la quantità di dati raccolti per una soluzione limitandola a un determinato set di agenti. Usare il targeting della soluzione consente di applicare un ambito alla soluzione e avere come target un sottoinsieme di computer nell'area di lavoro. Se si usa il targeting della soluzione, Defender per il cloud elenca l'area di lavoro come priva di una soluzione.
Importante
La destinazione della soluzione è stata deprecata perché l'agente di Analisi dei log viene sostituito con l'agente di Monitoraggio di Azure e le soluzioni in Monitoraggio di Azure vengono sostituite con informazioni dettagliate. È possibile continuare a usare la destinazione della soluzione se è già stata configurata, ma non è disponibile in nuove aree. La funzionalità non sarà supportata dopo il 31 agosto 2024. Le aree che supportano la destinazione della soluzione fino alla data di deprecazione sono le seguenti:
| Codice area geografica | Nome area |
|---|---|
| CCAN | canadacentral |
| CHN | Svizzera settentrionale |
| CID | centralindia |
| CQ | brazilsouth |
| CUS | centralus |
| DEWC | germanywestcentral |
| DXB | UAENorth |
| Contratto Enterprise | eastasia |
| EAU | australiaeast |
| EJP | japaneast |
| EUS | eastus |
| EUS2 | eastus2 |
| NCUS | northcentralus |
| NEU | NorthEurope |
| NOE | norwayeast |
| PAR | FranceCentral |
| SCUS | Stati Uniti centro-meridionali |
| SE | KoreaCentral |
| SEA | Asia sud-orientale |
| SEAU | australiasoutheast |
| SUK | uksouth |
| WCUS | Stati Uniti centro-occidentali |
| WEU | westeurope |
| WUS | westus |
| WUS2 | westus2 |
| Cloud isolati | Codice area geografica | Nome area |
|---|---|---|
| UsNat | EXE | usnateast |
| UsNat | EXW | usnatwest |
| UsGov | FF | usgovvirginia |
| Cina | MC | Cina orientale 2 |
| UsGov | PHX | usgovarizona |
| UsSec | RXE | usseceast |
| UsSec | RXW | ussecwest |