Функции базовой и усиленной безопасности Microsoft Defender для облака

Defender для облака предлагает множество расширенных функций безопасности, которые помогают защитить организацию от угроз и атак.

  • Функции базовой безопасности (бесплатные). При первом открытии Defender для облака на портале Azure или при включении его с помощью API, Defender для облака бесплатно активируется во всех подписках Azure. По умолчанию Defender для облака предоставляет оценку безопасности, политику безопасности и основные рекомендации, а также оценку безопасности сети для защиты ресурсов Azure.

    Если вы хотите попробовать функции усиленной безопасности, бесплатно активируйте их на 30 дней. Если по истечении 30 дней вы решите продолжить работу со службой, мы автоматически начнем начислять плату за использование. Сведения о ценах в местной валюте или регионе см. на странице с ценами.

  • Функции усиленной безопасности (платные). При включении функций усиленной безопасности Defender для облака может обеспечить унифицированное управление безопасностью и защиту от угроз в гибридных облачных рабочих нагрузках, в том числе:

    • Microsoft Defender для конечной точки. Microsoft Defender для серверов содержит компонент Microsoft Defender для конечной точки, предоставляющий широкие возможности обнаружения и нейтрализации атак на конечные точки (EDR). Дополнительные сведения о преимуществах использования Microsoft Defender для конечной точки вместе с Defender для облака см. в статье Использование интегрированного решения EDR Defender для облака.

    • Оценка уязвимостей для виртуальных машин, реестров контейнеров и ресурсов SQL. Простое использование решений по оценке уязвимостей для обнаружения, обработки и устранения уязвимостей. Просматривайте, изучайте результаты и применяйте исправления непосредственно в Defender для облака.

    • Безопасность в нескольких облаках. Подключайте учетные записи от Amazon Web Services (AWS) и Google Cloud Platform (GCP), чтобы защитить ресурсы и рабочие нагрузки на этих платформах с помощью ряда функций безопасности Microsoft Defender для облака.

    • Гибридная защита. Получите комплексный обзор безопасности всех локальных и облачных рабочих нагрузок. Применяйте политики безопасности и непрерывно проверяйте уровень безопасности гибридных облачных рабочих нагрузок, чтобы обеспечить соответствие стандартам безопасности. Выполняйте сбор, поиск и анализ данных о безопасности из нескольких источников, включая брандмауэры и другие партнерские решения.

    • Оповещения о защите от угроз. Расширенная аналитика поведения и Microsoft Intelligent Security Graph позволят противодействовать постоянно совершенствующимся кибератакам. Встроенные возможности анализа поведения и машинное обучение позволяют определять атаки и уязвимости нулевого дня. Мониторинг сетей, компьютеров, хранилищ данных (серверов SQL, размещенных в и вне Azure, баз данных Azure SQL, управляемых экземпляров Azure SQL и службы хранилища Azure) и облачных служб на предмет входящих атак и действий после взлома. Ускорьте анализ с помощью интерактивных инструментов и контекстной аналитики угроз.

    • Отслеживание соответствия требованиям ряда стандартов . Defender для облака постоянно оценивает гибридную облачную среду, чтобы проанализировать факторы риска в соответствии с элементами управления и рекомендациями в тестах производительности облачной безопасности Майкрософт. Включив функции усиленной безопасности, вы сможете применять различные отраслевые и нормативные стандарты, а также тесты производительности в соответствии с потребностями своей организации. Добавляйте стандарты и отслеживайте соответствие им из панели мониторинга соответствия.

    • Управление доступом и приложениями. Блокируйте вредоносные и другие нежелательные приложения, применяя основанные на машинном обучении рекомендации, адаптированные под ваши конкретные рабочие нагрузки, и создавая списки разрешений и блокировок. Сократите направления атак на сеть с помощью управляемого JIT-доступа к портам управления на виртуальных машинах Azure. Управление доступом и приложениями значительно снижает уязвимость к атакам методом подбора и другим сетевым атакам.

    • Функции безопасности контейнеров. Воспользуйтесь возможностями управления уязвимостями и защиты от угроз в реальном времени в контейнерных средах. Размер платы зависит от количества уникальных образов контейнеров, отправленных в подключенный реестр. Каждый образ сканируется один раз, и далее плата не взимается до следующего цикла изменения и отправки.

    • Защита от разнообразных угроз для ресурсов, подключенных к Azure. Ориентированная на облако защита от разнообразных угроз для служб Azure, общих для всех ваших ресурсов: Azure Resource Manager, Azure DNS, сетевого уровня Azure и Azure Key Vault. Defender для облака обладает уникальным доступом к уровню управления Azure и уровню Azure DNS и, как следствие, может защищать облачные ресурсы, подключенные к этим слоям.

    • Управление состоянием безопасности в облаке (CSPM) — CSPM предоставляет возможность устранять проблемы безопасности и проверять состояние безопасности с помощью предоставленных средств. Вот эти средства.

      • Управление безопасностью и соответствие нормативным требованиям
      • График безопасности облака
      • Анализ путей атаки
      • Проверка компьютеров без агента

      Дополнительные сведения о CSPM.

Вопросы и ответы: цены и выставление счетов

Как узнать, кто из моей организации включил план Microsoft Defender в Defender для облака?

В подписках Azure может быть несколько администраторов с разрешениями на изменение параметров цен. Чтобы узнать, какой именно пользователь внес изменения, используйте журнал действий Azure.

Журнал действий Azure со сведениями о событии изменения цен.

Если информация о пользователе не указана в столбце Кем инициировано событие, ознакомьтесь с соответствующими сведениями в JSON события.

Обозреватель JSON журнала действий Azure.

Какие предлагаются планы Defender для облака?

Бесплатное предложение от Microsoft Defender для облака предоставляет оценку безопасности и связанные с ней средства. При активации функций усиленной безопасности включаются все планы Microsoft Defender, чтобы предоставить ряд преимуществ в области безопасности для всех ресурсов в Azure, гибридных и многооблачных средах.

Как включить функции усиленной безопасности Defender для облака для моей подписки?

Включить функции усиленной безопасности для подписки можно любым из следующих способов:

Метод Инструкции
Страницы Defender для облака на портале Azure Включение функций усиленной защиты
REST API API цен
Azure CLI az security pricing
PowerShell Set-AzSecurityPricing
Политика Azure Цены на пакеты

Можно ли включить Microsoft Defender для серверов для некоторого подмножества серверов?

Нет. Если в подписке Azure или подключенной учетной записи AWS включено средство Microsoft Defender для серверов, оно будет защищать все подключенные компьютеры.

Другой альтернативой является включение Microsoft Defender для серверов на уровне рабочей области Log Analytics. В этом случае защита и выставление счетов будет осуществляться только для серверов, отправляющих отчеты в эту рабочую область. Но некоторые возможности будут недоступны. К ним относятся Microsoft Defender для конечной точки, решение VA (TVM/Qualys), JIT-доступ к виртуальным машинам и многое другое.

Если у меня уже есть лицензия на Microsoft Defender для конечной точки, могу ли я получить скидку на Defender для серверов?

Если у вас есть лицензия на Microsoft Defender для конечной точки для Плана серверов 2, вам не придется платить за эту часть лицензии на Microsoft Defender для серверов. Дополнительные сведения об этой лицензии см. здесь.

Чтобы запросить скидку, обратитесь в службу поддержки Defender для облака. В этом запросе нужно указать идентификатор используемой рабочей области, регион и число лицензий на Microsoft Defender для конечной точки для серверов, установленных на компьютерах в этой рабочей области.

Скидка вступит в силу с даты ее утверждения, но не задним числом.

В моей подписке включена Microsoft Defender для серверов, за какие компьютеры я платю?

При включении Microsoft Defender для серверов в подписке все компьютеры в этой подписке (включая компьютеры, которые являются частью служб PaaS и находятся в этой подписке) оплачиваются в соответствии с состоянием их питания, как показано в следующей таблице:

Состояние Описание Выставляются ли счета за использование экземпляра
Запуск Выполняется запуск виртуальной машины. Счет не выставляется
Запущен Нормальное рабочее состояние для виртуальной машины Счета выставляются
Остановка Это состояние — переходное. По завершении оно будет отображаться как Остановлено. Счета выставляются
Остановлена Виртуальная машина была отключена из гостевой ОС или с помощью API PowerOff. Оборудование по-прежнему выделяется на виртуальную машину и остается на узле. Счета выставляются
Отмена выделения Это состояние — переходное. По завершении виртуальная машина будет отображаться как Освобождена. Счет не выставляется
Освобождено Виртуальная машина была успешно остановлена и удалена с узла. Счет не выставляется

Виртуальные машины Azure, для которых отображается состояние

Если включить план Defender для облачных серверов на уровне подписки, нужно ли включать его на уровне рабочей области?

При включении плана "Серверы" на уровне подписки Defender для облака автоматически включает план "Серверы" в рабочих областях по умолчанию. Подключитесь к рабочей области по умолчанию, выбрав Подключение виртуальных машин Azure к рабочим областям по умолчанию, созданным Defender для облака , и нажмите кнопку Применить.

Снимок экрана: автоматическая подготовка Defender для облака для управления рабочими областями.

Однако если вы используете настраиваемую рабочую область вместо рабочей области по умолчанию, необходимо включить план "Серверы" для всех пользовательских рабочих областей, для которых она не включена.

Если вы используете настраиваемую рабочую область и включаете план только на уровне подписки, рекомендация Microsoft Defender for servers should be enabled on workspaces появится на странице "Рекомендации". Эта рекомендация даст вам возможность включить план серверов на уровне рабочей области с помощью кнопки "Исправить". Плата взимается за все виртуальные машины в подписке, даже если план "Серверы" для рабочей области не включен. Виртуальные машины не смогут воспользоваться функциями, зависящими от рабочей области Log Analytics, такими как Microsoft Defender для конечной точки, решение VA (TVM/Qualys) и JIT-доступ к виртуальной машине.

За включение плана "Серверы" для подписки и подключенных рабочих областей двойная плата взиматься не будет. Система определит каждую уникальную виртуальную машину.

Если вы включите план "Серверы" в рабочих областях между подписками, счета будут выставляться по подключенным виртуальным машинам во всех подписках, даже в подписках, в которых такой план не включен.

Будет ли взиматься плата за компьютеры без установленного агента Log Analytics?

Да. Если в подписке Azure или подключенной учетной записи AWS включено средство Microsoft Defender для серверов, плата будет взиматься за все компьютеры, подключенные к вашей подписке Azure или учетной записи AWS. Термин "компьютеры" включает виртуальные машины Azure, экземпляры azure Масштабируемые наборы виртуальных машин и серверы с поддержкой Azure Arc. На компьютеры, на которых не установлен агент Log Analytics, распространяется защита, которая не зависит от агента Log Analytics.

Если агент Log Analytics отправляет отчеты в несколько рабочих областей, будет ли плата взиматься дважды?

Если компьютер подотчетен нескольким рабочим областям и для каждой из них включен Defender для серверов, плата будет взиматься за каждую подключенную рабочую область.

Если агент Log Analytics отправляет отчеты в несколько рабочих областей, распространяется ли возможность бесплатного приема данных объемом 500 МБ на все рабочие области?

Да. Если вы настроили агент Log Analytics для отправки данных в две или более рабочих областей Log Analytics (многоадресная рассылка), вы получите возможность бесплатного приема данных объемом 500 МБ для каждой рабочей области. Расчет выполняется для каждого узла и каждой рабочей области в день. Возможность предоставляется для каждой рабочей области, в которой установлены решения с отметкой "Безопасность" или "Антивредоносная программа". За любые принятые данные свыше 500 МБ с вас будет взиматься плата.

Бесплатный прием данных объемом 500 МБ рассчитывается для всей рабочей области или строго для каждого компьютера?

На каждую виртуальную машину, подключенную к рабочей области, вы получаете возможность бесплатного приема 500 МБ данных в день. В первую очередь это касается типов данных безопасности, собираемых непосредственно Defender для облака.

Это значение представляет собой среднесуточный объем по всем узлам. Общий бесплатный суточный лимит равен [количество компьютеров] x 500 МБ. Таким образом, даже если с одних компьютеров отправляется 100 МБ, а с других — 800 МБ, но общая сумма не превышает бесплатный суточный лимит, дополнительная плата взиматься не будет.

Какие типы данных включены в ежедневный лимит данных 500 MB?

Выставление счетов в Defender для облака связано с выставлением счетов за Log Analytics. Microsoft Defender для серверов выделяет 500 МБ/узел/день для компьютеров для следующего подмножества типов данных безопасности:

Если для рабочей области используется устаревшая ценовая категория "За узел", выделения Defender для облака и Log Analytics объединяются и совместно применяются ко всем подлежащим оплате принимаемым данным.

Как отслеживать ежедневное потребление

Вы можете просматривать потребление данных двумя разными способами: через портал Azure или путем запуска скрипта.

Чтобы просмотреть потребление через портал Azure, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Перейдите к рабочей области Log Analytics.

  3. Щелкните рабочую область.

  4. Выберите Потребление и ожидаемые затраты.

    Снимок экрана: потребление данных рабочей области Log Analytics.

Вы также можете просмотреть предполагаемые затраты в разных ценовых категориях, выбрав для каждой ценовой категории.

Снимок экрана: предполагаемые затраты по дополнительным ценовым категориям.

Чтобы просмотреть потребление с помощью скрипта, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Перейдите в раздел Рабочие области Log Analytics>Журналы.

  3. Выберите диапазон времени. Узнайте о диапазонах времени.

  4. Скопируйте и вставьте следующий запрос в раздел Введите запрос здесь.

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. Выберите Запуск.

    Снимок экрана: ввод запроса и кнопка выполнения.

Вы можете узнать, как проводить Анализ потребления в рабочей области Log Analytics.

В зависимости от объема потребления счета не будут выставляться до тех пор, пока вы не используете свою суточную норму. Если вы получили счет, значит, он относится к данным, использованным сверх 500 МБ, или к другой службе, которая не подпадает под действие Defender для облака.

Дальнейшие действия

В этой статье объясняются варианты установки цен на Defender для облака. Дополнительные материалы:

Важно!

Нацеливание решений устарело, поскольку агент Log Analytics заменяется агентом Azure Monitor и решения в Azure Monitor заменяются аналитикой. Вы можете продолжать использовать нацеливание решений, если оно уже настроено, но оно недоступно в новых регионах. Эта функция более не будет поддерживаться после 31 августа 2024 г. Регионы, в которых поддерживается функция нацеливания решений до даты устаревания:

Код региона Имя региона
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU NorthEurope
NOE norwayeast
PAR FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
Облака, отключенные от сети Код региона Имя региона
UsNat EXE usnateast
UsNat EXW usnatwest
UsGov FF usgovvirginia
Китай MC ChinaEast2
UsGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest