Получите ответы на распространенные вопросы о Microsoft Defender для серверов.
Можно ли включить Defender для серверов в подмножестве компьютеров в подписке?
Да. Теперь вы можете управлять Defender для серверов на определенных ресурсах в подписке, обеспечивая полный контроль над стратегией защиты. С помощью этой возможности можно настроить определенные ресурсы с настраиваемыми конфигурациями, которые отличаются от параметров, настроенных на уровне подписки. Дополнительные сведения о включении Defender для серверов на уровне ресурсов. Однако при включении Microsoft Defender для серверов в подключенной учетной записи AWS или проекте GCP все подключенные компьютеры защищены Защитником серверов.
Можно ли получить скидку, если у меня уже есть лицензия Microsoft Defender для конечной точки?
Если у вас уже есть лицензия на Microsoft Defender для конечной точки для серверов, вам не придется платить за эту часть лицензии Microsoft Defender для серверов плана 1 или 2.
Чтобы запросить скидку, обратитесь в службу поддержки Defender для облака через портал Azure, создав новый запрос на поддержку в центре поддержки и справки.
Войдите на портал Azure.
Выбор поддержки и устранения неполадок
Выберите Справка и поддержка.
Выберите Создать запрос на обслуживание.
Введите следующие данные:
Выберите Далее.
Выберите Далее.
На вкладке "Дополнительные сведения" введите имя организации клиента, идентификатор клиента, количество Microsoft Defender для конечной точки лицензий на серверы, которые были приобретены, дату окончания срока действия Microsoft Defender для конечной точки для приобретенных лицензий серверов и всех остальных обязательных полей.
Выберите Далее.
Нажмите кнопку создания.
Примечание.
Скидка начинается с даты утверждения. Скидка не является ретроактивной.
За какие серверы я плачу в подписке?
При включении Defender для серверов в подписке взимается плата за все компьютеры на основе их состояний питания.
Виртуальные машины Azure:
| State | Сведения | Выставление счетов |
|---|---|---|
| Запуск | Запуск виртуальной машины. | Счет не выставляется |
| Выполняется | Нормальное рабочее состояние. | Счета выставляются |
| Остановка | Переходные. Перемещается в остановленное состояние после завершения. | Счета выставляются |
| Остановлена | Виртуальная машина завершает работу из гостевой ОС или с помощью API PowerOff. Оборудование по-прежнему выделяется, и компьютер остается на узле. | Счета выставляются |
| Отмена выделения | Переходные. Перемещается в состояние Deallocated по завершении. | Счет не выставляется |
| Выделение отменено | Виртуальная машина остановлена и удалена из узла. | Счет не выставляется |
Компьютеры Azure Arc:
| Штат | Сведения | Выставление счетов |
|---|---|---|
| Соединение | Серверы подключены, но пульс еще не получен. | Счет не выставляется |
| Connected | Получение регулярного пульса от агента Подключение ed Machine. | Счета выставляются |
| Автономный или отключенный | Пульс не получил в течение 15-30 минут. | Счет не выставляется |
| Срок действия истек | Если состояние отключено в течение 45 дней, состояние может измениться на истекший срок действия. | Счет не выставляется |
Нужно ли включить Defender для серверов в подписке и рабочей области?
Защитник для серверов плана 1 не зависит от Log Analytics. При включении Defender для серверов плана 2 на уровне подписки Defender для облака автоматически включает план в рабочих областях Log Analytics по умолчанию. Если вы используете пользовательскую рабочую область, убедитесь, что вы включите план в рабочей области. Дополнительные сведения:
- Если включить Defender для серверов для подписки и подключенной пользовательской рабочей области, плата за оба не взимается. Система определяет уникальные виртуальные машины.
- Если включить Defender для серверов в рабочих областях между подписками, выполните следующие действия.
- Для агента Log Analytics счета выставляются на подключенные компьютеры со всех подписок, включая подписки, которые не имеют плана Defender для серверов.
- Для агента Azure Monitor выставление счетов и покрытие компонентов для Defender для серверов зависит только от плана, включенного в подписке.
Что произойдет, если включен план Defender для серверов только на уровне рабочей области (не в подписке)?
Вы можете включить Microsoft Defender для серверов на уровне рабочей области Log Analytics, но только серверы, сообщающие этой рабочей области, будут защищены и выставлены счета, и эти серверы не получат некоторые преимущества, такие как Microsoft Defender для конечной точки, оценка уязвимостей и JIT-доступ к виртуальной машине.
Применяется ли 500 МБ бесплатного приема данных на каждую рабочую область или на компьютер?
Если у вас включен план 2 Defender для серверов, вы получаете 500 МБ бесплатных приемов данных в день. Это пособие предназначено специально для типов данных безопасности, которые непосредственно собираются Defender для облака.
Это ежедневная ставка, которая в среднем по всем узлам. Общее ежедневное свободное ограничение равно [количеству компьютеров] × 500 МБ. Плата не взимается, если общий объем не превышает общий бесплатный лимит, даже если некоторые компьютеры отправляют 100 МБ и другие отправляют 800 МБ.
Какие типы данных включены в ежедневное пособие?
Defender для облака выставление счетов тесно связано с выставлением счетов для Log Analytics. Microsoft Defender для серверов предоставляет выделение 500 МБ на каждый узел в день для компьютеров в соответствии со следующим подмножеством типов данных безопасности:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Update и UpdateSummary, если в рабочей области не выполняется решение "Управление обновлениями" или включено целевое решение.
Если рабочая область находится в устаревшей ценовой категории для каждого узла, распределение Defender для облака и Log Analytics объединяются и применяются совместно ко всем оплачиваемым данным.
Взимается ли плата за компьютеры, которые не установлены Log Analytics?
Да. Плата взимается за все компьютеры, защищенные Defender для серверов в подписках Azure, подключенных учетных записей AWS или подключенных проектов GCP. Эти термины включают виртуальные машины Azure, экземпляры Масштабируемые наборы виртуальных машин Azure и серверы с поддержкой Azure Arc. На компьютеры, на которых не установлен агент Log Analytics, распространяется защита, которая не зависит от агента Log Analytics.
Что за расширение MDE.Windows или MDE.Linux выполняется на моем компьютере?
В прошлом Microsoft Defender для конечной точки подготавливался агентом Log Analytics. Когда мы расширили поддержку для включения Windows Server 2019 и Linux, мы также добавили расширение для выполнения автоматического подключения.
Defender для облака автоматически развертывает это расширение для компьютеров со следующими ОС:
- Windows Server 2019 и Windows Server 2022
- Windows Server 2012 R2 и 2016, если включена интеграция единого решения MDE
- Windows 10 на Виртуальном рабочем столе Azure.
- Другие версии Windows Server, если Defender для облака не распознает версию ОС (например, при использовании пользовательского образа виртуальной машины). В этом случае Microsoft Defender для конечной точки по-прежнему подготавливается агентом Log Analytics.
- Linux.
Внимание
При удалении MDE. Windows/MDE. Расширение Linux не удаляет Microsoft Defender для конечной точки. Чтобы отключить компьютер, ознакомьтесь с разделом Offboard Windows servers..
Я включил решение, но MDE. Windows'/'MDE. Расширение Linux не отображается на моем компьютере
Если вы включили интеграцию, но по-прежнему не видите, что расширение работает на ваших компьютерах, сделайте следующее:
- Вам нужно подождать не менее 12 часов, чтобы убедиться, что есть проблема для расследования.
- Если через 12 часов вы по-прежнему не видите расширение, работающее на компьютерах, проверка, которые вы выполнили предварительные требования для интеграции.
- Убедитесь, что вы включили план Microsoft Defender для серверов для подписок, связанных с исследуемыми компьютерами.
- Если вы переместили подписку Azure между клиентами Azure, перед Defender для облака развертыванием Defender для конечной точки необходимо выполнить некоторые предварительные действия вручную. Для получения подробных сведений обратитесь в службу поддержки Майкрософт.
Каковы требования к лицензированию Microsoft Defender для конечной точки?
Лицензии Defender для конечных точек для серверов включены в Microsoft Defender для серверов.
Нужно ли приобретать отдельное решение для защиты компьютеров от вредоносных программ?
№ Интеграция Defender для конечной точки в Defender для серверов также обеспечивает защиту от вредоносных программ на компьютерах.
- В Windows Server 2012 R2 с поддержкой интеграции единого решения Defender для конечной точки Защитник для серверов развертывает антивирусная программа в Microsoft Defender в активном режиме.
- В новых серверных операционных системах Windows антивирусная программа в Microsoft Defender входит в состав операционной системы и будет включена в активном режиме.
- В Linux Защитник для серверов развертывает Defender для конечной точки, включая компонент защиты от вредоносных программ, и задает компонент в пассивном режиме.
Как перейти со стороннего средства EDR?
Полные инструкции по переходу с решения для конечной точки, отличной от Майкрософт, доступны в документации Microsoft Defender для конечной точки: Общие сведения о миграции.
Какой план Microsoft Defender для конечной точки поддерживается в Defender для серверов?
Defender для серверов (план 1 и план 2) предоставляет возможности Microsoft Defender для конечной точки, план 2.
Существуют ли какие либо варианты для принудительного применения элементов управления приложениями?
Параметры принудительного применения сейчас недоступны. Адаптивные элементы управления приложениями предназначены для предоставления оповещений системы безопасности, если работает какое-либо приложение, помимо тех, которые были определены как надежные. Они имеют ряд преимуществ (каковы преимущества адаптивных элементов управления приложениями?) и настраиваются, как показано на этой странице.
Почему в моих рекомендуемых приложениях отображается приложение Qualys?
Microsoft Defender для серверов включает сканирование уязвимостей на компьютерах. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Defender для облака. Дополнительные сведения об этом сканере и инструкции по его развертыванию см. в статье Встроенное в Defender для облака решение по оценке уязвимостей Qualys.
Чтобы предупреждения не создавались при развертывании сканера в Defender для облака, рекомендуемый список разрешенных элементов управления приложениями включает в себя средство проверки для всех компьютеров.
Почему не отображаются все мои ресурсы, такие как подписки, компьютеры, учетные записи хранения в инвентаризации активов?
В представлении "Инвентаризация" отображаются ресурсы, подключенные к Defender для облака для целей Управления состоянием безопасности облака (CSPM). Фильтры отображают только ресурсы с активными рекомендациями.
Например, если у вас есть доступ к восьми подпискам, но только семь в настоящее время имеют рекомендации, фильтрация по типу ресурса = подписки отображаются только семь подписок с активными рекомендациями:
Почему у некоторых ресурсов в столбцах "Defender для облака" или "Агент мониторинга" ничего не отображается?
Не все Defender для облака отслеживаемые ресурсы требуют агентов. Например, Defender для облака не требуются агенты для мониторинга учетных записей служба хранилища Azure или ресурсов PaaS, таких как диски, Logic Apps, Data Lake Analysis и Центры событий.
Если цены или мониторинг агента не относятся к ресурсу, ничего не отображается в этих столбцах инвентаризации.
Какие порты поддерживаются адаптивной безопасностью сети?
Рекомендации по адаптивной защите сети поддерживаются только на следующих портах (для TCP и UDP):
13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215.
Существуют ли предварительные условия или обязательные расширения виртуальной машины для применения адаптивной защиты сети?
Адаптивная защита сети — это безагентная функция Microsoft Defender для облака. Чтобы воспользоваться этим средством защиты сети, вам не нужно устанавливать что-либо на своих компьютерах.
Когда следует использовать правило "Запретить весь трафик"?
Правило "Запретить весь трафик" рекомендуется, если в результате выполнения алгоритма Defender для облака не определяет трафик, который должен быть разрешен на основе существующей конфигурации группы безопасности сети. Следовательно, рекомендуемое правило предназначено для запрета всего трафика на указанный порт. Для такого правила отображается тип Созданное системой. После применения этого правила его фактическое имя в группе безопасности сети будет представлять собой строку, состоящую из протокола, направления трафика, слова DENY и случайного числа.
Как развернуть необходимые компоненты для рекомендаций по конфигурации безопасности?
Для развертывания расширения "Гостевая конфигурация" с необходимыми компонентами сделайте следующее:
Для выбранных компьютеров следуйте рекомендации по обеспечению безопасности На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" из средства управления безопасностью Реализация рекомендаций по безопасности.
В требуемом масштабе назначьте инициативу политики Разверните необходимые компоненты, чтобы включить политики гостевой конфигурации на виртуальных машинах.
Почему компьютер отображается как неприменимый?
Список ресурсов на вкладке Неприменимо содержит столбец Причина. Ниже перечислены некоторые из распространенных причин.
| Причина | Сведения |
|---|---|
| No scan data available on the machine (На компьютере нет доступных данных проверки) | В Azure Resource Graph нет результатов соответствия для этого компьютера. Все результаты соответствия записываются в Azure Resource Graph расширением "Гостевая конфигурация". Вы можете проверить данные в Azure Resource Graph с помощью примеров запросов ARG из раздела о гостевой конфигурации Политики Azure. |
| Расширение гостевой конфигурации не установлено на компьютере | На компьютере отсутствует расширение "Гостевая конфигурация", которое является необходимым компонентом для оценки соответствия с использованием базовых показателей системы безопасности Azure. |
| Управляемое удостоверение системы не настроено на компьютере | На компьютере должно быть развернуто управляемое удостоверение, назначаемое системой. |
| The recommendation is disabled in policy (Рекомендация отключена в политике) | Определение политики, оценивающее базовые показатели ОС, отключено в области, включающей в себя соответствующий компьютер. |
Если включить план Defender для облачных серверов на уровне подписки, нужно ли включать его на уровне рабочей области?
При включении плана серверов на уровне подписки Defender для облака включает план серверов в рабочих областях по умолчанию. Подключение рабочей области по умолчанию, выбрав Подключение виртуальные машины Azure для рабочих областей по умолчанию, созданных Defender для облака, и выбрав "Применить".
Однако если вы используете настраиваемую рабочую область вместо рабочей области по умолчанию, необходимо включить план серверов во всех пользовательских рабочих областях, которые не включены.
Если вы используете пользовательскую рабочую область и включите план только на уровне подписки, Microsoft Defender for servers should be enabled on workspaces на странице Рекомендации появится рекомендация. Эта рекомендация позволяет включить план серверов на уровне рабочей области с помощью кнопки "Исправить". Плата взимается за все виртуальные машины в подписке, даже если план "Серверы" для рабочей области не включен. Виртуальные машины не получат преимущества от функций, зависящих от рабочей области Log Analytics, таких как Microsoft Defender для конечной точки, решение VA (MDVM/Qualys) и доступ к виртуальной машине JIT.
За включение плана "Серверы" для подписки и подключенных рабочих областей двойная плата взиматься не будет. Система определит каждую уникальную виртуальную машину.
Если вы включите план "Серверы" в рабочих областях между подписками, счета будут выставляться по подключенным виртуальным машинам во всех подписках, даже в подписках, в которых такой план не включен.
Будет ли взиматься плата за компьютеры без установленного агента Log Analytics?
Да. Если в подписке Azure или подключенной учетной записи AWS включено средство Microsoft Defender для серверов, плата будет взиматься за все компьютеры, подключенные к вашей подписке Azure или учетной записи AWS. К ним относятся виртуальные машины Azure, экземпляры Масштабируемые наборы виртуальных машин Azure и серверы с поддержкой Azure Arc. На компьютеры, на которых не установлен агент Log Analytics, распространяется защита, которая не зависит от агента Log Analytics.
Если агент Log Analytics отправляет отчеты в несколько рабочих областей, будет ли плата взиматься дважды?
Если компьютер подотчетен нескольким рабочим областям и для каждой из них включен Defender для серверов, плата будет взиматься за каждую подключенную рабочую область.
Если агент Log Analytics отправляет отчеты в несколько рабочих областей, распространяется ли возможность бесплатного приема данных объемом 500 МБ на все рабочие области?
Да. Если вы настроили агент Log Analytics для отправки данных в две или более рабочих областей Log Analytics (многоадресная рассылка), вы получите возможность бесплатного приема данных объемом 500 МБ для каждой рабочей области. Расчет выполняется для каждого узла и каждой рабочей области в день. Возможность предоставляется для каждой рабочей области, в которой установлены решения с отметкой "Безопасность" или "Антивредоносная программа". За любые принятые данные свыше 500 МБ с вас будет взиматься плата.
Бесплатный прием данных объемом 500 МБ рассчитывается для всей рабочей области или строго для каждого компьютера?
Вы получаете ежедневное пособие в размере 500 МБ бесплатного приема данных для каждой виртуальной машины, подключенной к рабочей области. Это выделение специально относится к типам данных безопасности, собранным непосредственно Defender для облака.
Квота на данные — это ежедневная ставка, вычисляемая на всех подключенных компьютерах. Общий ежедневный бесплатный лимит равен [количеству компьютеров] x 500 МБ. Таким образом, даже если в определенный день некоторые компьютеры отправляют 100 МБ и другие отправляют 800 МБ, если общий объем данных со всех компьютеров не превышает ежедневное бесплатное ограничение, вы не будете взиматься дополнительно.
Какие типы данных включены в ежедневный лимит данных 500 MB?
Выставление счетов в Defender для облака связано с выставлением счетов за Log Analytics. Microsoft Defender для серверов выделяет 500 МБ/узел/день для компьютеров для следующего подмножества типов данных безопасности:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SysmonEvent
- ProtectionStatus
- Update и UpdateSummary, если в рабочей области не выполняется решение "Управление обновлениями" или включено целевое решение.
Если для рабочей области используется устаревшая ценовая категория "За узел", выделения Defender для облака и Log Analytics объединяются и совместно применяются ко всем подлежащим оплате принимаемым данным. Дополнительные сведения о том, как клиенты Microsoft Sentinel могут воспользоваться преимуществами, см . на странице цен Microsoft Sentinel.
Как отслеживать ежедневное использование?
Вы можете просматривать потребление данных двумя разными способами: через портал Azure или путем запуска скрипта.
Чтобы просмотреть потребление через портал Azure, выполните следующие действия:
Войдите на портал Azure.
Перейдите к рабочей области Log Analytics.
Щелкните рабочую область.
Выберите Потребление и ожидаемые затраты.
Вы также можете просмотреть предполагаемые затраты в разных ценовых категориях, выбрав 
для каждой ценовой категории.
Чтобы просмотреть потребление с помощью скрипта, выполните следующие действия:
Войдите на портал Azure.
Перейдите в раздел Рабочие области Log Analytics>Журналы.
Выберите диапазон времени. Узнайте о диапазонах времени.
Скопируйте и вставьте следующий запрос в раздел Введите запрос здесь.
let Unit= 'GB'; Usage | where IsBillable == 'TRUE' | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary') | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit | summarize DataConsumedPerDataType = sum(Quantity)/1024 by DataType, DataUnit = Unit | sort by DataConsumedPerDataType descВыберите Выполнить.
Вы можете узнать, как проводить Анализ потребления в рабочей области Log Analytics.
В зависимости от объема потребления счета не будут выставляться до тех пор, пока вы не используете свою суточную норму. Если вы получили счет, значит, он относится к данным, использованным сверх 500 МБ, или к другой службе, которая не подпадает под действие Defender для облака.
Как управлять затратами?
Вам может потребоваться управлять затратами и ограничить объем данных, собранных для решения, ограничив его определенным набором агентов. Используйте нацеливание решений, чтобы применять область к решениям и определять целевое подмножество компьютеров в рабочей области. Если используется нацеливание решений, рабочая область в Defender для облака отображается как область без решения.
Внимание
Нацеливание решений устарело, поскольку агент Log Analytics заменяется агентом Azure Monitor и решения в Azure Monitor заменяются аналитикой. Вы можете продолжать использовать решение, ориентированное на решение, если у вас уже настроено, но оно недоступно в новых регионах. Эта функция не будет поддерживаться после 31 августа 2024 г. Регионы, в которых поддерживается функция нацеливания решений до даты устаревания:
| Код региона | Имя региона |
|---|---|
| CCAN | canadacentral |
| CHN | switzerlandnorth |
| CID | centralindia |
| CQ | brazilsouth |
| CUS | centralus |
| DEWC | germanywestcentral |
| DXB | UAENorth |
| EA | eastasia |
| EAU | australiaeast |
| EJP | japaneast |
| EUS | eastus |
| EUS2 | eastus2 |
| NCUS | northcentralus |
| NEU | NorthEurope |
| NOE | norwayeast |
| PAR | FranceCentral |
| SCUS | southcentralus |
| SE | KoreaCentral |
| SEA | southeastasia |
| SEAU | australiasoutheast |
| SUK | uksouth |
| WCUS | westcentralus |
| WEU | westeurope |
| WUS | westus |
| WUS2 | westus2 |
| Облака, отключенные от сети | Код региона | Имя региона |
|---|---|---|
| UsNat | EXE | usnateast |
| UsNat | EXW | usnatwest |
| UsGov | FF | usgovvirginia |
| Китай | MC | ChinaEast2 |
| UsGov | PHX | usgovarizona |
| UsSec | RXE | usseceast |
| UsSec | RXW | ussecwest |