Perguntas comuns sobre o Defender for Servers

Sim. Agora é possível gerenciar o Defender for Servers em recursos específicos dentro da sua assinatura, dando a você controle total sobre sua estratégia de proteção. Com esse recurso, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações definidas no nível da assinatura. Saiba mais sobre como habilitar o Defender for Servers no nível de recursos. No entanto, quando você habilita o Microsoft Defender for Servers em uma conta da AWS conectada ou projeto GCP, todas as máquinas conectadas são protegidas pelo Defender for Servers.

Se você já tiver uma licença do Microsoft Defender for Endpoint for Servers, não precisará pagar por essa parte da licença do Microsoft Defender for Servers Plan 1 ou 2.

Para solicitar seu desconto, entre em contato com a equipe de suporte do Defender for Cloud por meio do portal do Azure criando uma nova solicitação de suporte no centro de ajuda e suporte.

1. Inicie sessão no portal do Azure.

2. Selecione Suporte e solução de problemas

   

3. Selecione Ajuda + suporte.

4. Selecione Criar um novo pedido de suporte.

5. Introduza as informações seguintes:

   

6. Selecione Seguinte.

7. Selecione Seguinte.

8. Na guia Detalhes adicionais, insira o nome da organização do cliente, a ID do locatário, o número de licenças do Microsoft Defender for Endpoint for Servers que foram compradas, a data de expiração das licenças do Microsoft Defender for Endpoint for Servers que foram compradas e todos os outros campos obrigatórios.

9. Selecione Seguinte.

10. Selecione Criar.

Quando você habilita o Defender for Servers em uma assinatura, é cobrado por todas as máquinas com base em seus estados de energia.

VMs do Azure:

Máquinas Azure Arc:

O Plano 1 do Defender for Servers não depende do Log Analytics. Quando você habilita o Plano 2 do Defender for Servers no nível de assinatura, o Defender for Cloud habilita automaticamente o plano em seus espaços de trabalho padrão do Log Analytics. Se você usar um espaço de trabalho personalizado, certifique-se de habilitar o plano no espaço de trabalho. Aqui estão mais informações:

• Se você ativar o Defender for Servers para uma assinatura e para um espaço de trabalho personalizado conectado, não será cobrado por ambos. O sistema identifica VMs exclusivas.
• Se você habilitar o Defender for Servers em espaços de trabalho entre assinaturas:
  • Para o agente do Log Analytics, as máquinas conectadas de todas as assinaturas são cobradas, incluindo assinaturas que não têm o plano Defender for Servers habilitado.
  • Para o agente do Azure Monitor, a cobrança e a cobertura de recursos do Defender for Servers dependem apenas do plano habilitado na assinatura.

Você pode habilitar o Microsoft Defender for Servers no nível do espaço de trabalho do Log Analytics, mas apenas os servidores que relatam esse espaço de trabalho serão protegidos e cobrados, e esses servidores não receberão alguns benefícios, como o Microsoft Defender for Endpoint, a avaliação de vulnerabilidades e o acesso just-in-time de VM.

Quando você tem o Defender for Servers Plan 2 ativado, você recebe 500 MB de ingestão gratuita de dados por dia. A permissão é especificamente para os tipos de dados de segurança que são coletados diretamente pelo Defender for Cloud.

Esta franquia é uma taxa diária calculada em média em todos os nós. O seu limite total diário livre é igual a [número de máquinas] × 500 MB. Você não será cobrado extra se o total não exceder seu limite total diário gratuito, mesmo que algumas máquinas enviem 100 MB e outras enviem 800 MB.

A faturação do Defender for Cloud está intimamente ligada à faturação do Log Analytics. O Microsoft Defender for Servers fornece uma alocação de 500 MB por nó por dia para máquinas em relação ao seguinte subconjunto de tipos de dados de segurança:

• Alerta de Segurança
• SecurityBaseline
• SecurityBaselineSummary
• Deteção de Segurança
• SecurityEvent
• Firewall do Windows
• SysmonEvent
• Status de proteção
• Update e UpdateSummary quando a solução de Gerenciamento de Atualizações não está em execução no espaço de trabalho ou a segmentação da solução está habilitada.

Se o espaço de trabalho estiver no nível de preço herdado por nó, as alocações do Defender for Cloud e do Log Analytics serão combinadas e aplicadas conjuntamente a todos os dados ingeridos faturáveis.

Sim. Você será cobrado por todas as máquinas protegidas pelo Defender for Servers em assinaturas do Azure, contas da AWS conectadas ou projetos GCP conectados. O termo máquinas inclui máquinas virtuais do Azure, instâncias de Conjuntos de Escala de Máquina Virtual do Azure e servidores habilitados para Azure Arc. As máquinas que não têm o Log Analytics instalado são cobertas por proteções que não dependem do agente do Log Analytics.

No passado, o Microsoft Defender for Endpoint era provisionado pelo agente do Log Analytics. Quando expandimos o suporte para incluir o Windows Server 2019 e o Linux, também adicionamos uma extensão para realizar a integração automática.

O Defender for Cloud implanta automaticamente a extensão em máquinas que executam:

• Windows Server 2019 e Windows Server 2022
• Windows Server 2012 R2 e 2016 se a integração da Solução Unificada MDE estiver habilitada
• Windows 10 na Área de Trabalho Virtual do Azure.
• Outras versões do Windows Server se o Defender for Cloud não reconhecer a versão do sistema operacional (por exemplo, quando uma imagem de VM personalizada é usada). Nesse caso, o Microsoft Defender for Endpoint ainda é provisionado pelo agente do Log Analytics.
• Linux.

Se você ativou a integração, mas ainda não vê a extensão em execução em suas máquinas:

1. Você precisa esperar pelo menos 12 horas para ter certeza de que há um problema a ser investigado.
2. Se após 12 horas você ainda não vir a extensão em execução em suas máquinas, verifique se você atendeu aos pré-requisitos para a integração.
3. Certifique-se de que ativou o plano Microsoft Defender for Servers para as subscrições relacionadas com as máquinas que está a investigar.
4. Se você moveu sua assinatura do Azure entre locatários do Azure, algumas etapas preparatórias manuais são necessárias antes que o Defender for Cloud implante o Defender for Endpoint. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

As licenças do Defender for Endpoint para servidores estão incluídas no Microsoft Defender for Servers.

N.º Com a integração do Defender for Endpoint no Defender for Servers, você também terá proteção contra malware em suas máquinas.

• No Windows Server 2012 R2 com a integração da solução unificada do Defender for Endpoint habilitada, o Defender for Servers implanta o Microsoft Defender Antivírus no modo ativo.
• Nos sistemas operacionais Windows Server mais recentes, o Microsoft Defender Antivírus faz parte do sistema operacional e será habilitado no modo ativo.
• No Linux, o Defender for Servers implanta o Defender for Endpoint incluindo o componente antimalware e define o componente no modo passivo.

Instruções completas para alternar de uma solução de ponto de extremidade que não seja da Microsoft estão disponíveis na documentação do Microsoft Defender for Endpoint: Visão geral da migração.

O Defender for Servers Plan 1 e Plan 2 fornece os recursos do Microsoft Defender for Endpoint Plan 2.

Nenhuma opção de aplicação está disponível no momento. Os controles de aplicativo adaptáveis destinam-se a fornecer alertas de segurança se algum aplicativo for executado diferente daqueles que você definiu como seguros. Eles têm uma série de benefícios (Quais são os benefícios dos controles de aplicativos adaptáveis?) e são personalizáveis como mostrado nesta página.

O Microsoft Defender for Servers inclui a verificação de vulnerabilidades para suas máquinas. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro do Defender for Cloud. Para obter detalhes sobre esse scanner e instruções sobre como implantá-lo, consulte a solução integrada de avaliação de vulnerabilidades Qualys do Defender for Cloud.

Para garantir que nenhum alerta seja gerado quando o Defender for Cloud implantar o scanner, a lista de permissões recomendada de controles de aplicativo adaptável inclui o scanner para todas as máquinas.

A visualização de inventário lista seus recursos conectados ao Defender for Cloud de uma perspetiva de Gerenciamento de Postura de Segurança na Nuvem (CSPM). Os filtros mostram apenas os recursos com recomendações ativas.

Por exemplo, se você tiver acesso a oito assinaturas, mas apenas sete tiverem recomendações no momento, o filtro por Tipo de recurso = Assinaturas mostrará apenas as sete assinaturas com recomendações ativas:

Nem todos os recursos monitorados pelo Defender for Cloud exigem agentes. Por exemplo, o Defender for Cloud não exige que os agentes monitorem contas de Armazenamento do Azure ou recursos de PaaS, como discos, Aplicativos Lógicos, Análise Data Lake e Hubs de Eventos.

Quando o monitoramento de preços ou agentes não é relevante para um recurso, nada é mostrado nessas colunas de inventário.

As recomendações de proteção de rede adaptável só são suportadas nas seguintes portas específicas (para UDP e TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

A proteção de rede adaptável é um recurso sem agente do Microsoft Defender for Cloud - nada precisa ser instalado em suas máquinas para se beneficiar dessa ferramenta de proteção de rede.

Uma regra Negar todo o tráfego é recomendada quando, como resultado da execução do algoritmo, o Defender for Cloud não identifica o tráfego que deve ser permitido, com base na configuração NSG existente. Portanto, a regra recomendada é negar todo o tráfego para a porta especificada. O nome deste tipo de regra é exibido como "Sistema Gerado". Depois de aplicar essa regra, seu nome real no NSG será uma cadeia de caracteres composta pelo protocolo, direção do tráfego, "DENY" e um número aleatório.

Para implantar a extensão Configuração de convidado com seus pré-requisitos:

• Para máquinas selecionadas, siga a recomendação de segurança A extensão Configuração de convidado deve ser instalada em suas máquinas a partir do controle de segurança Implementar práticas recomendadas de segurança.

• Em escala, atribua a iniciativa de política Implantar pré-requisitos para habilitar políticas de Configuração de Convidado em máquinas virtuais.

A lista de recursos na guia Não aplicável inclui uma coluna Motivo . Algumas das razões comuns incluem:

Quando você habilita o plano Servidores no nível de assinatura, o Defender for Cloud habilita o plano Servidores em seus espaços de trabalho padrão automaticamente. Conecte-se ao espaço de trabalho padrão selecionando Conectar VMs do Azure ao(s) espaço(s) de trabalho padrão(is) criado(s) pelo Defender for Cloud e selecionando Aplicar.

No entanto, se você estiver usando um espaço de trabalho personalizado no lugar do espaço de trabalho padrão, precisará habilitar o plano Servidores em todos os espaços de trabalho personalizados que não o tenham habilitado.

Se estiver a utilizar uma área de trabalho personalizada e ativar o plano apenas ao nível da subscrição, a Microsoft Defender for servers should be enabled on workspaces recomendação é apresentada na página Recomendações. Essa recomendação oferece a opção de habilitar o plano de servidores no nível do espaço de trabalho com o botão Corrigir. Você será cobrado por todas as VMs na assinatura, mesmo que o plano Servidores não esteja habilitado para o espaço de trabalho. As VMs não se beneficiarão de recursos que dependem do espaço de trabalho do Log Analytics, como o Microsoft Defender for Endpoint, a solução VA (MDVM/Qualys) e o acesso à VM Just-in-Time.

Habilitar o plano Servidores na assinatura e em seus espaços de trabalho conectados não incorrerá em cobrança dupla. O sistema identificará cada VM exclusiva.

Se você habilitar o plano Servidores em espaços de trabalho entre assinaturas, as VMs conectadas de todas as assinaturas serão cobradas, incluindo assinaturas que não tenham o plano Servidores habilitado.

Sim. Ao habilitar o Microsoft Defender for Servers em uma assinatura do Azure ou em uma conta da AWS conectada, você será cobrado por todas as máquinas conectadas à sua assinatura do Azure ou conta da AWS. Os termos máquinas incluem máquinas virtuais do Azure, instâncias do Azure Virtual Machine Scale Sets e servidores habilitados para Azure Arc. As máquinas que não têm o Log Analytics instalado são cobertas por proteções que não dependem do agente do Log Analytics.

Se uma máquina, relatórios para vários espaços de trabalho, e todos eles têm o Defender for Servers habilitado, as máquinas serão cobradas por cada espaço de trabalho anexado.

Sim. Se você configurar seu agente do Log Analytics para enviar dados para dois ou mais espaços de trabalho diferentes do Log Analytics (multi-homing), obterá 500 MB de ingestão de dados gratuitos para cada espaço de trabalho. É calculado por nó, por espaço de trabalho relatado, por dia e está disponível para cada espaço de trabalho que tenha uma solução de 'Segurança' ou 'AntiMalware' instalada. Você será cobrado por todos os dados ingeridos acima do limite de 500 MB.

Você recebe uma franquia diária de 500 MB de ingestão gratuita de dados para cada máquina virtual (VM) conectada ao espaço de trabalho. Essa alocação se aplica especificamente aos tipos de dados de segurança coletados diretamente pelo Defender for Cloud.

A franquia de dados é uma taxa diária calculada em todas as máquinas conectadas. O seu limite total diário livre é igual ao [número de máquinas] x 500 MB. Assim, mesmo que num determinado dia algumas máquinas enviem 100 MB e outras enviem 800 MB, se o total de dados de todas as máquinas não exceder o seu limite diário gratuito, não lhe será cobrado um valor extra.

A faturação do Defender for Cloud está intimamente ligada à faturação do Log Analytics. O Microsoft Defender for Servers fornece uma alocação de 500 MB/nó/dia para máquinas em relação ao seguinte subconjunto de tipos de dados de segurança:

• Alerta de Segurança
• SecurityBaseline
• SecurityBaselineSummary
• Deteção de Segurança
• SecurityEvent
• Firewall do Windows
• SysmonEvent
• Status de proteção
• Update e UpdateSummary quando a solução de Gerenciamento de Atualizações não está em execução no espaço de trabalho ou a segmentação da solução está habilitada.

Se o espaço de trabalho estiver no nível de preço herdado Por Nó, as alocações do Defender for Cloud e do Log Analytics serão combinadas e aplicadas conjuntamente a todos os dados ingeridos faturáveis. Para saber mais sobre como os clientes do Microsoft Sentinel podem se beneficiar, consulte a página de preços do Microsoft Sentinel.

Você pode exibir seu uso de dados de duas maneiras diferentes, no portal do Azure ou executando um script.

Para exibir seu uso no portal do Azure:

1. Inicie sessão no portal do Azure.

2. Navegue até espaços de trabalho do Log Analytics.

3. Selecione a área de trabalho.

4. Selecione Uso e custos estimados.

   

Você também pode visualizar os custos estimados em diferentes níveis de preços selecionando para cada nível de preço.

Para exibir seu uso usando um script:

1. Inicie sessão no portal do Azure.

2. Navegue até Logs de espaços de trabalho do>Log Analytics.

3. Selecione o seu intervalo de tempo. Saiba mais sobre intervalos de tempo.

4. Copie e passe a seguinte consulta para a seção Digite sua consulta aqui .

   let Unit= 'GB';
   Usage
   | where IsBillable == 'TRUE'
   | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
   | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
   | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
   | sort by DataConsumedPerDataType desc
   

5. Selecione Executar.

   

Você pode aprender como Analisar o uso no espaço de trabalho do Log Analytics.

Com base no seu uso, você não será cobrado até que tenha usado sua franquia diária. Se você estiver recebendo uma fatura, é apenas para os dados usados depois que o limite de 500 MB for atingido, ou para outro serviço que não se enquadre na cobertura do Defender for Cloud.

Talvez você queira gerenciar seus custos e limitar a quantidade de dados coletados para uma solução, limitando-a a um conjunto específico de agentes. Use a segmentação de solução para aplicar um escopo à solução e direcionar um subconjunto de computadores no espaço de trabalho. Se você estiver usando a segmentação por solução, o Defender for Cloud listará o espaço de trabalho como não tendo uma solução.

Próximos passos

Planeje a implantação do Defender for Servers