你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
选择 Defender for Servers 计划
本文帮助你选择适合组织的 Microsoft Defender for Servers 计划。
Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。
准备阶段
本文是 Defender for Servers 规划指南系列中的第四篇文章。 在开始之前,请查看前面的文章:
查看计划
可以从两个付费计划中进行选择:
Defender for Servers 计划 1 是入门级计划,必须在订阅级别启用。 功能包括:
Defender for Cloud 免费提供的基础云安全态势管理 (CSPM)。
- 对于 Azure 虚拟机、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 计算机,无需启用 Defender for Cloud 计划即可使用基础 CSPM 功能。
- 对于本地服务器,若要接收配置建议,必须通过 Azure Arc 将计算机加入 Azure,并且必须启用 Defender for Servers。
Microsoft Defender for Endpoint 计划 2 提供的终结点检测和响应 (EDR) 功能。
Defender for Servers 计划 2 提供所有功能。 必须在订阅级别和工作区级别启用该计划才能获得完整功能。 功能包括:
- Defender for Servers 计划 1 提供的所有功能。
- 其他扩展检测和响应 (XDR) 功能。
注意
Defender for Servers 的计划 1 和计划 2 与 Defender for Endpoint 的计划 1 和计划 2 不同。
计划功能
| 功能 | 详细信息 | 计划 1 | 计划 2 |
|---|---|---|---|
| Defender for Endpoint 集成 | Defender for Servers 与 Defender for Endpoint 集成,并使用所有功能保护服务器,包括: - 减少攻击面以降低攻击风险。 - 下一代保护,包括实时扫描和保护以及 Microsoft Defender 防病毒。 - EDR,包括威胁分析、自动调查和响应、高级搜寻和终结点攻击通知。 - Microsoft Defender 漏洞管理 (MDVM) 在 Defender for Endpoint 集成中提供的漏洞评估与缓解。 使用计划 2,你可以获得 MDVM 附加产品提供的高级 MDVM 功能。 |
|
|
| 许可 | Defender for Servers 涵盖 Defender for Endpoint 的许可。 许可按小时而不是按席位收费,它仅保护使用中的虚拟机,从而可以降低成本。 |
|
|
| Defender for Endpoint 预配 | Defender for Servers 在连接到 Defender for Cloud 的每台受支持计算机上自动预配 Defender for Endpoint 传感器。 |
|
|
| 统一视图 | Defender for Cloud 门户中会显示来自 Defender for Endpoint 的警报。 可以在 Defender for Endpoint 门户中获取详细信息。 |
|
|
| OS 级别的威胁检测(基于代理) | Defender for Servers 和 Defender for Endpoint 在 OS 级别检测威胁,包括虚拟机行为检测和无文件攻击检测,后者生成详细的安全警报,以加快警报会审、关联和下游响应时间。 详细了解 Windows 计算机的警报 详细了解 Linux 计算机的警报 详细了解 DNS 的警报 |
由 MDE 提供 |
|
| 网络级别的威胁检测(无代理安全警报) | Defender for Servers 会检测针对网络上控制平面的威胁,包括针对 Azure 虚拟机的基于网络的安全警报。 了解详细信息 | 在计划 1 中不受支持 |
|
| Microsoft Defender 漏洞管理 (MDVM) 附加产品 | 增强漏洞管理计划整合资产清单、安全基线评估、应用程序块功能等。 了解详细信息。 | 在计划 1 中不受支持 |
|
| 安全策略与合规性 | 自定义订阅的安全策略,并将资源配置与行业标准、法规和基准中的要求进行比较。 详细了解监管合规性和安全策略 | 在计划 1 中不受支持 |
|
| Qualys 漏洞评估 | 作为 Defender 漏洞管理的替代方法,Defender for Cloud 可以部署 Qualys 扫描程序并显示扫描结果。 不需要 Qualys 许可证或帐户。 | 在计划 1 中不受支持 |
|
| 自适应应用程序控制 | 自适应应用程序控制定义计算机的已知安全应用程序的允许列表。 若要使用此功能,必须在订阅上启用 Defender for Cloud。 | 在计划 1 中不受支持 |
|
| 至 Log Analytics 工作区的免费数据引入 (500 MB) | 对于特定数据类型,提供至 Log Analytics 工作区的免费数据引入。 数据引入是按每个节点、报告的每个工作区每天计算的。 它适用于安装了“安全”或“反恶意软件”解决方案的每个工作区。 | 在计划 1 中不受支持 |
|
| 针对 Arc 计算机的免费 Azure 更新管理器修复 | 对于已启用 Arc 的计算机,你可以在不增加费用的情况下使用 Azure 更新管理器对运行不正常资源的修复和建议。 | 在计划 1 中不受支持 |
|
| 恰时虚拟机访问 | 实时虚拟机访问会锁定计算机端口以减少攻击面。 若要使用此功能,必须在订阅上启用 Defender for Cloud。 | 在计划 1 中不受支持 |
|
| 自适应网络强化 | 网络强化通过网络安全组 (NSG) 筛选进出资源的流量,以改善网络安全态势。 通过根据实际流量模式强化 NSG 规则来进一步提高安全性。 若要使用此功能,必须在订阅上启用 Defender for Cloud。 | 在计划 1 中不受支持 |
|
| 文件完整性监视 | 文件完整性监视检查文件和注册表中可能指示攻击的更改。 使用比较方法确定是否对文件进行了可疑修改。 | 在计划 1 中不受支持 |
|
| Docker 主机强化 | 评估运行 Docker 容器的 Linux 计算机上托管的容器,然后将其与 Internet 安全中心 (CIS) Docker 基准进行比较。 | 在计划 1 中不受支持 |
|
| 网络映射 | 提供有关强化网络资源的建议的地理视图。 | 在计划 1 中不受支持 |
|
| 无代理扫描 | 使用云 API 收集数据并扫描 Azure 虚拟机。 | 在计划 1 中不受支持 |
|
注意
启用计划后,开始 30 天的试用期。 无法停止、暂停或延长此试用期。 若要享受完整的 30 天试用期,请务必提前计划以满足评估目的。
选择漏洞评估解决方案
Defender for Servers 中提供了多个漏洞评估选项:
Microsoft Defender 漏洞管理:与 Defender for Endpoint 集成。
在 Defender for Servers 计划 1 和 Defender for Servers 计划 2 中可用。
默认情况下,加入 Defender for Endpoint 的计算机上已启用 Defender 漏洞管理。
不需要其他软件。
注意
Microsoft Defender 漏洞管理加载项功能包含在 Defender for Servers 计划 2 中。 这提供了整合的清单、新的评估以及缓解工具,可进一步增强漏洞管理计划。 要了解详细信息,请参阅面向服务器的漏洞管理功能。
Defender 漏洞管理加载项功能只能通过 Microsoft Defender 365 门户使用。
Qualys 漏洞扫描程序:由 Defender for Cloud Qualys 集成提供。
- 仅在 Defender for Servers 计划 2 中可用。
- 如果你使用第三方 EDR 解决方案或基于 Fanotify 的解决方案,则此功能非常合适。 在这种情况下,可能无法部署 Defender for Endpoint 进行漏洞评估。
- 集成的 Defender for Cloud Qualys 解决方案不支持代理配置,并且无法连接到现有的 Qualys 部署。 漏洞检测结果仅在 Defender for Cloud 中提供。
后续步骤
完成这些规划步骤后,请查看 Azure Arc、代理和扩展要求。