本文可帮助你了解要在 Microsoft Defender for Cloud 中部署哪种 Defender for Servers 计划。
开始之前
本文是 Defender for Servers 规划指南系列中的第三篇文章。 在开始之前,请查看前面的文章:
- 开始规划部署。
- 查看 Defender for Servers 访问角色。
查看计划
Defender for Servers 提供两种付费计划:
Defender for Servers 计划 1 是入门级,侧重于 Defender for Endpoint 与 Defender for Cloud 集成提供的终结点检测和响应 (EDR) 功能。
Defender for Servers 计划 2 在计划 1 的基础上提供更多功能
- 无代理扫描,用于计算机状况扫描、漏洞评估、威胁防护、恶意软件扫描和机密扫描。
- 针对各种法规标准的合规性评估。 适用于 Defender for Servers 计划 2 或其他任意付费计划。
- 高级 Microsoft Defender 漏洞管理提供的功能。
- 特定数据类型的免费数据引入权益。
- Microsoft 云安全基准中针对计算安全基线的操作系统配置评估。
- 将 Azure 更新集成到 Defender for Servers 中的操作系统更新评估。
- 文件完整性监视,用于检查文件和注册表中可能表明遭到攻击的更改。
- 实时计算机访问,可锁定计算机端口并减少攻击面。
- 网络映射可获取网络建议的地理视图。
若要获取完整列表,请查看 Defender for Servers 计划功能。
确定部署范围
建议在订阅级别启用 Defender for Servers,但如果需要部署粒度,可以在资源级别启用和禁用 Defender for Servers 计划。
| Scope | 计划 1 | 计划 2 |
|---|---|---|
| 为 Azure 订阅启用 | 是 | 是 |
| 为资源启用 | 是 | 否 |
| 为资源禁用 | 是 | 是 |
- 可以在资源级别启用和禁用计划 1。
- 无法在资源级别启用计划 2,但可以在资源级别禁用该计划。
下面是一些用例示例,可帮助你决定 Defender for Servers 部署范围。
| 用例 | 在订阅中启用 | 详细信息 | 方法 |
|---|---|---|---|
| 为订阅启用 | 是 | 我们建议使用此选项。 | 在门户中启用。 也可以在门户中为整个订阅关闭该计划。 |
| 为多台计算机启用计划 1 | 否 | 可以使用脚本或策略为一组计算机启用计划 1,而无需为整个订阅启用该计划。 | 在脚本中,使用资源标记或资源组指定相关计算机。 然后,按照屏幕上的说明操作。 使用策略在资源组上创建分配,或使用资源标记指定相关计算机。 标记是特定于客户的。 |
| 为多台计算机启用计划 1 | 是 | 如果在订阅中启用了 Defender for Servers 计划 2,则可以使用脚本或策略分配将一组计算机降级到 Defender for Servers 计划 1。 | 在脚本中,使用资源标记或资源组指定相关计算机。 然后,按照屏幕上的说明操作。 使用策略在资源组上创建分配,或使用资源标记指定相关计算机。 标记是特定于客户的。 |
| 为单个计算机启用计划 1 | 否 | 当订阅中未启用 Defender for Servers 时,可以使用 API 为单个计算机启用计划 1。 | 使用 Azure Microsoft 安全定价操作组。 在“更新定价”中,使用 PUT 请求将 pricingTier 属性设置为“标准”,并将子计划设置为 P1。 pricingTier 属性指示是否在所选范围内启用该计划。 |
| 为单个计算机启用计划 1 | 是 | 在订阅中启用 Defender for Servers 计划 2 时,可以使用 API 为订阅中的单个计算机启用计划 1,而不是计划 2。 | 使用 Azure Microsoft 安全定价操作组。 在“更新定价”中,使用 PUT 请求将 pricingTier 属性设置为“标准”,并将子计划设置为 P1。 pricingTier 属性指示是否在所选范围内启用该计划。 |
| 关闭多台计算机的计划 | 是/否 | 无论计划在订阅中是打开还是关闭状态,你都可以为一组计算机关闭该计划。 | 使用脚本或策略通过资源标记或资源组指定相关计算机。 |
| 关闭特定计算机的计划 | 是/否 | 无论计划在订阅中是打开还是关闭状态,你都可以为特定计算机关闭该计划。 | 在“更新定价”中,使用 PUT 请求将 pricingTier 属性设置为“免费”,并将子计划设置为 P1。 |
| 删除单个计算机上的计划配置 | 是/否 | 从计算机中删除配置,使订阅范围的设置生效。 | 在“更新定价”中,使用 Delete 请求删除配置。 |
| 删除多个资源上的计划 | 从一组资源中删除配置,使订阅范围的设置生效。 | 在脚本中,使用资源组或标记指定相关计算机。 然后,按照屏幕上的说明操作。 |
详细了解如何在订阅和特定资源上部署计划。
工作区注意事项
在以下情形中,Defender for Servers 需要 Log Analytics 工作区:
- 你部署了 Defender for Servers 计划 2,并希望利用特定数据类型的免费每日引入。 了解详细信息。
- 你部署了 Defender for Servers 计划 2,并且正在使用文件完整性监视。 了解详细信息。
Azure Arc 载入
建议将非 Azure 云和本地的计算机作为已启用 Azure Arc 的虚拟机载入到 Azure。 启动为 Azure Arc 虚拟机后,计算机可以充分利用 Defender for Servers 功能。 已启用 Azure Arc 的计算机安装了 Azure Arc Connected Machine 代理。
- 使用 Defender for Cloud 多云连接器连接到 AWS 帐户和 GCP 项目 时,可以自动将 Azure Arc 代理载入到 AWS 或 GCP 服务器。
- 建议将本地计算机载入为已启用 Azure Arc 的计算机。
- 尽管你通过直接安装 Defender for Endpoint 代理而不是使用 Azure Arc 载入计算机来载入本地计算机,仍然可以使用 Defender for Servers 计划功能。 对于 Defender for Servers 计划 2,除了计划 1 功能之外,只有高级 Defender 漏洞管理功能可用。
在部署 Azure Arc 之前,请:
- 查看 Azure Arc 支持的操作系统的完整列表。
- 查看 Azure Arc 规划建议和部署先决条件。
- 查看 Connected Machine 代理的网络要求。
- 在防火墙中打开“Azure Arc 网络端口”。
- 查看 Connected Machine 代理的要求:
- 从计算机收集的代理组件和数据。
- 代理的网络和 Internet 访问。
- 代理的连接选项。
后续步骤
了解如何将数据收集到 Azure。