Распространенные вопросы о Defender для серверов

Получите ответы на распространенные вопросы о Microsoft Defender для серверов.

Можно ли включить Defender для серверов в подмножестве компьютеров в подписке?

Да. Теперь вы можете управлять Defender для серверов на определенных ресурсах в подписке, обеспечивая полный контроль над стратегией защиты. С помощью этой возможности можно настроить определенные ресурсы с настраиваемыми конфигурациями, которые отличаются от параметров, настроенных на уровне подписки. Дополнительные сведения о включении Defender для серверов на уровне ресурсов. Однако при включении Microsoft Defender для серверов в подключенной учетной записи AWS или проекте GCP все подключенные компьютеры защищены Защитником серверов.

Можно ли получить скидку, если у меня уже есть лицензия Microsoft Defender для конечной точки?

Если у вас уже есть лицензия на Microsoft Defender для конечной точки для серверов, вам не придется платить за эту часть лицензии Microsoft Defender для серверов плана 1 или 2.

Чтобы запросить скидку, обратитесь в службу поддержки Defender для облака через портал Azure, создав новый запрос на поддержку в центре поддержки и справки.

  1. Войдите на портал Azure.

  2. Выбор поддержки и устранения неполадок

    Снимок экрана: расположение кнопки

  3. Выберите Справка и поддержка.

  4. Выберите Создать запрос на обслуживание.

  5. Введите следующие данные:

    Снимок экрана: описание запроса в службу поддержки с заполненными сведениями.

  6. Выберите Далее.

  7. Выберите Далее.

  8. На вкладке "Дополнительные сведения" введите имя организации клиента, идентификатор клиента, количество Microsoft Defender для конечной точки лицензий на серверы, которые были приобретены, дату окончания срока действия Microsoft Defender для конечной точки для приобретенных лицензий серверов и всех остальных обязательных полей.

  9. Выберите Далее.

  10. Нажмите кнопку создания.

Примечание.

Скидка начинается с даты утверждения. Скидка не является ретроактивной.

За какие серверы я плачу в подписке?

При включении Defender для серверов в подписке взимается плата за все компьютеры на основе их состояний питания.

Виртуальные машины Azure:

Штат Сведения Выставление счетов
Запуск Запуск виртуальной машины. Счет не выставляется
Выполняется Нормальное рабочее состояние. Счета выставляются
Остановка Переходный. Перемещается в остановленное состояние после завершения. Счета выставляются
Остановлена Виртуальная машина завершает работу из гостевой ОС или с помощью API PowerOff. Оборудование по-прежнему выделяется, и компьютер остается на узле. Счета выставляются
Отмена выделения Переходный. Перемещается в состояние Deallocated по завершении. Счет не выставляется
Выделение отменено Виртуальная машина остановлена и удалена из узла. Счет не выставляется

Компьютеры Azure Arc:

Штат Сведения Выставление счетов
Соединение Серверы подключены, но пульс еще не получен. Счет не выставляется
Connected Получение регулярного пульса из агента подключенного компьютера. Счета выставляются
Автономный или отключенный Пульс не получил в течение 15-30 минут. Счет не выставляется
Срок действия истек Если состояние отключено в течение 45 дней, состояние может измениться на истекший срок действия. Счет не выставляется

Нужно ли включить Defender для серверов в подписке и рабочей области?

Защитник для серверов плана 1 не зависит от Log Analytics. При включении Defender для серверов плана 2 на уровне подписки Defender для облака автоматически включает план в рабочих областях Log Analytics по умолчанию. Если вы используете пользовательскую рабочую область, убедитесь, что вы включите план в рабочей области. Дополнительные сведения:

  • Если включить Defender для серверов для подписки и подключенной пользовательской рабочей области, плата за оба не взимается. Система определяет уникальные виртуальные машины.
  • Если включить Defender для серверов в рабочих областях между подписками, выполните следующие действия.
    • Для агента Log Analytics счета выставляются на подключенные компьютеры со всех подписок, включая подписки, которые не имеют плана Defender для серверов.
    • Для агента Azure Monitor выставление счетов и покрытие компонентов для Defender для серверов зависит только от плана, включенного в подписке.

Что произойдет, если включен план Defender для серверов только на уровне рабочей области (не в подписке)?

Вы можете включить Microsoft Defender для серверов на уровне рабочей области Log Analytics, но только серверы, сообщающие этой рабочей области, будут защищены и выставлены счета, и эти серверы не получат некоторые преимущества, такие как Microsoft Defender для конечной точки, оценка уязвимостей и JIT-доступ к виртуальной машине.

Применяется ли 500 МБ бесплатного приема данных на каждую рабочую область или на компьютер?

Если у вас включен план 2 Defender для серверов, вы получаете 500 МБ бесплатного приема данных в день. Это пособие предназначено специально для типов данных безопасности, которые непосредственно собираются Defender для облака.

Это ежедневная ставка, которая в среднем по всем узлам. Общий ежедневный бесплатный лимит равен [количеству компьютеров] × 500 МБ. Плата не взимается, если общий объем не превышает общий бесплатный лимит, даже если некоторые компьютеры отправляют 100 МБ и другие отправляют 800 МБ.

Какие типы данных включены в ежедневное пособие?

Defender для облака выставление счетов тесно связано с выставлением счетов для Log Analytics. Microsoft Defender для серверов обеспечивает выделение 500 МБ на узел в день для компьютеров в соответствии со следующим подмножеством типов данных безопасности:

Если рабочая область находится в устаревшей ценовой категории для каждого узла, распределение Defender для облака и Log Analytics объединяются и применяются совместно ко всем оплачиваемым данным.

Взимается ли плата за компьютеры, которые не установлены Log Analytics?

Да. Плата взимается за все компьютеры, защищенные Defender для серверов в подписках Azure, подключенных учетных записей AWS или подключенных проектов GCP. Эти термины включают виртуальные машины Azure, экземпляры Масштабируемые наборы виртуальных машин Azure и серверы с поддержкой Azure Arc. На компьютеры, на которых не установлен агент Log Analytics, распространяется защита, которая не зависит от агента Log Analytics.

Что за расширение MDE.Windows или MDE.Linux выполняется на моем компьютере?

В прошлом Microsoft Defender для конечной точки подготавливался агентом Log Analytics. Когда мы расширили поддержку для включения Windows Server 2019 и Linux, мы также добавили расширение для выполнения автоматического подключения.

Defender для облака автоматически развертывает это расширение для компьютеров со следующими ОС:

  • Windows Server 2019 и Windows Server 2022
  • Windows Server 2012 R2 и 2016, если включена интеграция единого решения MDE
  • Windows 10 на Виртуальном рабочем столе Azure.
  • Другие версии Windows Server, если Defender для облака не распознает версию ОС (например, при использовании пользовательского образа виртуальной машины). В этом случае Microsoft Defender для конечной точки по-прежнему подготавливается агентом Log Analytics.
  • Linux.

Внимание

При удалении MDE. Windows/MDE. Расширение Linux не удаляет Microsoft Defender для конечной точки. Чтобы отключить компьютер, ознакомьтесь с разделом Offboard Windows servers..

Я включил решение, но MDE. Windows'/'MDE. Расширение Linux не отображается на моем компьютере

Если вы включили интеграцию, но по-прежнему не видите, что расширение работает на ваших компьютерах, сделайте следующее:

  1. Вам нужно подождать не менее 12 часов, чтобы убедиться, что есть проблема для расследования.
  2. Если через 12 часов вы по-прежнему не видите расширение, работающее на компьютерах, убедитесь, что вы выполнили необходимые условия для интеграции.
  3. Убедитесь, что вы включили план Microsoft Defender для серверов для подписок, связанных с исследуемыми компьютерами.
  4. Если вы переместили подписку Azure между клиентами Azure, перед Defender для облака развертыванием Defender для конечной точки необходимо выполнить некоторые предварительные действия вручную. Для получения подробных сведений обратитесь в службу поддержки Майкрософт.

Каковы требования к лицензированию Microsoft Defender для конечной точки?

Лицензии Defender для конечных точек для серверов включены в Microsoft Defender для серверов.

Нужно ли приобретать отдельное решение для защиты компьютеров от вредоносных программ?

№ Интеграция Defender для конечной точки в Defender для серверов также обеспечивает защиту от вредоносных программ на компьютерах.

  • В Windows Server 2012 R2 с поддержкой интеграции единого решения Defender для конечной точки Защитник для серверов развертывает антивирусная программа в Microsoft Defender в активном режиме.
  • В новых серверных операционных системах Windows антивирусная программа в Microsoft Defender входит в состав операционной системы и будет включена в активном режиме.
  • В Linux Защитник для серверов развертывает Defender для конечной точки, включая компонент защиты от вредоносных программ, и задает компонент в пассивном режиме.

Как перейти со стороннего средства EDR?

Полные инструкции по переходу с решения для конечной точки, отличной от Майкрософт, доступны в документации Microsoft Defender для конечной точки: Общие сведения о миграции.

Какой план Microsoft Defender для конечной точки поддерживается в Defender для серверов?

Defender для серверов (план 1 и план 2) предоставляет возможности Microsoft Defender для конечной точки, план 2.

Почему в моих рекомендуемых приложениях отображается приложение Qualys?

Microsoft Defender для серверов включает сканирование уязвимостей на компьютерах. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Defender для облака. Дополнительные сведения об этом сканере и инструкции по его развертыванию см. в статье Встроенное в Defender для облака решение по оценке уязвимостей Qualys.

Почему не отображаются все мои ресурсы, такие как подписки, компьютеры, учетные записи хранения в инвентаризации активов?

В представлении "Инвентаризация" отображаются ресурсы, подключенные к Defender для облака для целей Управления состоянием безопасности облака (CSPM). Фильтры отображают только ресурсы с активными рекомендациями.

Например, если у вас есть доступ к восьми подпискам, но только семь в настоящее время имеют рекомендации, фильтрация по типу ресурса = подписки отображаются только семь подписок с активными рекомендациями:

Не все подписки возвращаются при отсутствии активных рекомендаций.

Почему у некоторых ресурсов в столбцах "Defender для облака" или "Агент мониторинга" ничего не отображается?

Не все Defender для облака отслеживаемые ресурсы требуют агентов. Например, Defender для облака не требуются агенты для мониторинга учетных записей служба хранилища Azure или ресурсов PaaS, таких как диски, Logic Apps, Data Lake Analysis и Центры событий.

Если цены или мониторинг агента не относятся к ресурсу, ничего не отображается в этих столбцах инвентаризации.

Некоторые ресурсы отображают пустые сведения в агенте мониторинга или столбцах Defender для облака.

Когда следует использовать правило "Запретить весь трафик"?

Правило "Запретить весь трафик" рекомендуется, если в результате выполнения алгоритма Defender для облака не определяет трафик, который должен быть разрешен на основе существующей конфигурации группы безопасности сети. Следовательно, рекомендуемое правило предназначено для запрета всего трафика на указанный порт. Для такого правила отображается тип Созданное системой. После применения этого правила его фактическое имя в группе безопасности сети будет представлять собой строку, состоящую из протокола, направления трафика, слова DENY и случайного числа.

Как развернуть необходимые компоненты для рекомендаций по конфигурации безопасности?

Для развертывания расширения "Гостевая конфигурация" с необходимыми компонентами сделайте следующее:

  • Для выбранных компьютеров следуйте рекомендации по обеспечению безопасности На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" из средства управления безопасностью Реализация рекомендаций по безопасности.

  • В требуемом масштабе назначьте инициативу политики Разверните необходимые компоненты, чтобы включить политики гостевой конфигурации на виртуальных машинах.

Почему компьютер отображается как неприменимый?

Список ресурсов на вкладке Неприменимо содержит столбец Причина. Ниже перечислены некоторые из распространенных причин.

Причина Сведения
No scan data available on the machine (На компьютере нет доступных данных проверки) В Azure Resource Graph нет результатов соответствия для этого компьютера. Все результаты соответствия записываются в Azure Resource Graph расширением "Гостевая конфигурация". Вы можете проверить данные в Azure Resource Graph с помощью примеров запросов ARG из раздела о гостевой конфигурации Политики Azure.
Расширение гостевой конфигурации не установлено на компьютере На компьютере отсутствует расширение "Гостевая конфигурация", которое является необходимым компонентом для оценки соответствия с использованием базовых показателей системы безопасности Azure.
Управляемое удостоверение системы не настроено на компьютере На компьютере должно быть развернуто управляемое удостоверение, назначаемое системой.
The recommendation is disabled in policy (Рекомендация отключена в политике) Определение политики, оценивающее базовые показатели ОС, отключено в области, включающей в себя соответствующий компьютер.

Если включить план Defender для облачных серверов на уровне подписки, нужно ли включать его на уровне рабочей области?

При включении плана серверов на уровне подписки Defender для облака включает план серверов в рабочих областях по умолчанию. Подключитесь к рабочей области по умолчанию, выбрав "Подключить виртуальные машины Azure" к рабочим областям по умолчанию, созданным Defender для облака, и выбрав "Применить".

Снимок экрана: автоматическая подготовка Defender для облака для управления рабочими областями.

Однако если вы используете настраиваемую рабочую область вместо рабочей области по умолчанию, необходимо включить план серверов во всех пользовательских рабочих областях, которые не включены.

Если вы используете настраиваемую рабочую область и включите план только на уровне подписки, на Microsoft Defender for servers should be enabled on workspaces странице рекомендаций появится рекомендация. Эта рекомендация позволяет включить план серверов на уровне рабочей области с помощью кнопки "Исправить". Плата взимается за все виртуальные машины в подписке, даже если план "Серверы" для рабочей области не включен. Виртуальные машины не получат преимущества от функций, зависящих от рабочей области Log Analytics, таких как Microsoft Defender для конечной точки, решение VA (MDVM/Qualys) и доступ к виртуальной машине JIT.

За включение плана "Серверы" для подписки и подключенных рабочих областей двойная плата взиматься не будет. Система определит каждую уникальную виртуальную машину.

Если вы включите план "Серверы" в рабочих областях между подписками, счета будут выставляться по подключенным виртуальным машинам во всех подписках, даже в подписках, в которых такой план не включен.

Будет ли взиматься плата за компьютеры без установленного агента Log Analytics?

Да. Если в подписке Azure или подключенной учетной записи AWS включено средство Microsoft Defender для серверов, плата будет взиматься за все компьютеры, подключенные к вашей подписке Azure или учетной записи AWS. К ним относятся виртуальные машины Azure, экземпляры Масштабируемые наборы виртуальных машин Azure и серверы с поддержкой Azure Arc. На компьютеры, на которых не установлен агент Log Analytics, распространяется защита, которая не зависит от агента Log Analytics.

Если агент Log Analytics отправляет отчеты в несколько рабочих областей, будет ли плата взиматься дважды?

Если компьютер подотчетен нескольким рабочим областям и для каждой из них включен Defender для серверов, плата будет взиматься за каждую подключенную рабочую область.

Если агент Log Analytics отправляет отчеты в несколько рабочих областей, распространяется ли возможность бесплатного приема данных объемом 500 МБ на все рабочие области?

Да. Если вы настроили агент Log Analytics для отправки данных в две или более рабочих областей Log Analytics (многоадресная рассылка), вы получите возможность бесплатного приема данных объемом 500 МБ для каждой рабочей области. Расчет выполняется для каждого узла и каждой рабочей области в день. Возможность предоставляется для каждой рабочей области, в которой установлены решения с отметкой "Безопасность" или "Антивредоносная программа". За любые принятые данные свыше 500 МБ с вас будет взиматься плата.

Бесплатный прием данных объемом 500 МБ рассчитывается для всей рабочей области или строго для каждого компьютера?

Вы получаете ежедневное пособие в размере 500 МБ бесплатного приема данных для каждой виртуальной машины, подключенной к рабочей области. Это выделение специально относится к типам данных безопасности, собранным непосредственно Defender для облака.

Квота на данные — это ежедневная ставка, вычисляемая на всех подключенных компьютерах. Общий ежедневный бесплатный лимит равен [количеству компьютеров] x 500 МБ. Так что даже если в определенный день некоторые компьютеры отправляют 100 МБ и другие отправляют 800 МБ, если общий объем данных со всех компьютеров не превышает ежедневное бесплатное ограничение, вы не будете взиматься дополнительно.

Какие типы данных включены в ежедневный лимит данных 500 MB?

Выставление счетов в Defender для облака связано с выставлением счетов за Log Analytics. Microsoft Defender для серверов выделяет 500 МБ/узел/день для компьютеров для следующего подмножества типов данных безопасности:

Если для рабочей области используется устаревшая ценовая категория "За узел", выделения Defender для облака и Log Analytics объединяются и совместно применяются ко всем подлежащим оплате принимаемым данным. Дополнительные сведения о том, как клиенты Microsoft Sentinel могут воспользоваться преимуществами, см . на странице цен Microsoft Sentinel.

Как отслеживать ежедневное использование?

Вы можете просматривать потребление данных двумя разными способами: через портал Azure или путем запуска скрипта.

Чтобы просмотреть потребление через портал Azure, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Перейдите к рабочей области Log Analytics.

  3. Щелкните рабочую область.

  4. Выберите Потребление и ожидаемые затраты.

    Снимок экрана: потребление данных рабочей области Log Analytics.

Вы также можете просмотреть предполагаемые затраты в разных ценовых категориях, выбрав для каждой ценовой категории.

Снимок экрана: предполагаемые затраты по дополнительным ценовым категориям.

Чтобы просмотреть потребление с помощью скрипта, выполните следующие действия:

  1. Войдите на портал Azure.

  2. Перейдите в раздел Рабочие области Log Analytics>Журналы.

  3. Выберите диапазон времени. Узнайте о диапазонах времени.

  4. Скопируйте и вставьте следующий запрос в раздел Введите запрос здесь.

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. Выберите Выполнить.

    Снимок экрана: ввод запроса и кнопка выполнения.

Вы можете узнать, как проводить Анализ потребления в рабочей области Log Analytics.

В зависимости от объема потребления счета не будут выставляться до тех пор, пока вы не используете свою суточную норму. Если вы получили счет, значит, он относится к данным, использованным сверх 500 МБ, или к другой службе, которая не подпадает под действие Defender для облака.

Как управлять затратами?

Вам может потребоваться управлять затратами и ограничить объем данных, собранных для решения, ограничив его определенным набором агентов. Используйте нацеливание решений, чтобы применять область к решениям и определять целевое подмножество компьютеров в рабочей области. Если используется нацеливание решений, рабочая область в Defender для облака отображается как область без решения.

Внимание

Нацеливание решений устарело, поскольку агент Log Analytics заменяется агентом Azure Monitor и решения в Azure Monitor заменяются аналитикой. Вы можете продолжать использовать решение, ориентированное на решение, если у вас уже настроено, но оно недоступно в новых регионах. Эта функция не будет поддерживаться после 31 августа 2024 г. Регионы, в которых поддерживается функция нацеливания решений до даты устаревания:

Код региона Имя региона
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU NorthEurope
NOE norwayeast
PAR FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
Облака, отключенные от сети Код региона Имя региона
UsNat EXE usnateast
UsNat EXW usnatwest
UsGov FF usgovvirginia
Китай MC ChinaEast2
UsGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest