Auswählen eines Defender for Servers-Plans und eines Bereitstellungsbereichs
In diesem Artikel erfahren Sie, wie Defender for Servers-Plan Sie in Microsoft Defender for Cloud bereitstellen sollten.
Voraussetzungen
Der vorliegende Artikel ist der dritte Teil der Reihe „Planungshandbuch für Defender for Servers“. Bevor Sie beginnen, lesen Sie sich die vorherigen Artikel durch:
- Beginnen Sie mir der Planung der Bereitstellung.
- Überprüfen Sie Defender for Servers-Zugriffsrollen.
Überprüfen von Plänen
Defender for Servers bietet zwei verschiedene kostenpflichtige Pläne:
Defender for Servers-Plan 1 ist die Einstiegsvariante und konzentriert sich auf die EDR-Funktionen (Erkennung und Reaktion am Endpunkt), die durch die Integration von Defender for Endpoint bereitgestellt werden.
Defender for Servers-Plan 2 bietet zusätzlich zu den Features von Plan 1 und mehr
- Agentloses Scannen für Computerstatusüberprüfung, Sicherheitsrisikobewertung, Bedrohungsschutz, Schadsoftwareüberprüfung und Geheinmisscans.
- Konformitätsbewertung anhand verschiedener regulatorischer Standards. Verfügbar mit Defender for Servers-Plan 2 oder einem anderen kostenpflichtigen Plan.
- Funktionen, die von Premium Microsoft Defender Vulnerability Management bereitgestellt werden.
- Ein kostenloser Datenerfassungsvorteil für bestimmte Datentypen.
- Bewertung des Betriebssystemkonfiguration anhand von Sicherheitsbaselines im Microsoft Cloud Security Benchmark.
- Bewertung von Betriebssystemupdates mit Azure Updates, die in Defender for Servers integriert sind.
- Überwachung der Dateiintegrität zur Überprüfung von Dateien und Registrierungen auf Änderungen, die auf einen Angriff hindeuten könnten.
- Just-in-Time-Computerzugriff zum Sperren von Computerports und Reduzieren der Angriffsflächen.
- Netzwerkkarte zum Erhalten eines geografischen Überblick über Netzwerkempfehlungen.
Eine vollständige Liste finden Sie unter Defender for Servers-Planfeatures.
Entscheiden für einen Bereitstellungsumfang
Sie sollten Defender for Servers auf Abonnementebene aktivieren, aber Sie können Defender for Servers-Pläne auch auf Ressourcenebene aktivieren und deaktivieren, wenn Sie die Granularität der Bereitstellung benötigen.
| Umfang | Plan 1 | Plan 2 |
|---|---|---|
| Aktivieren für ein Azure-Abonnement | Ja | Ja |
| Aktivieren für eine Ressource | Ja | Nein |
| Deaktivieren für eine Ressource | Ja | Ja |
- Plan 1 kann auf Ressourcenebene pro Server aktiviert und deaktiviert werden.
- Plan 2 kann nicht auf Ressourcenebene aktiviert werden, Aber Sie können den Plan auf Ressourcenebene deaktivieren.
Hier sind einige Anwendungsfallbeispiele, die Ihnen bei der Entscheidung über den Bereitstellungsbereich von Defender for Servers helfen.
| Anwendungsfall | Im Abonnement aktiviert | Details | Methode |
|---|---|---|---|
| Aktivieren für ein Abonnement | Ja | Diese Option wird empfohlen. | Aktivieren im Portal. Sie können den Plan auch für ein gesamtes Abonnement im Portal deaktivieren. |
| Aktivieren von Plan 1 für mehrere Computer | No | Sie können ein Skript oder eine Richtlinie verwenden, um Plan 1 für eine Gruppe von Computern zu aktivieren, ohne den Plan für ein gesamtes Abonnement zu aktivieren. | Geben Sie im Skript die relevanten Computer mithilfe eines Ressourcentags oder einer Ressourcengruppe an. Befolgen Sie dann die Anweisungen auf dem Bildschirm. Erstellen Sie mit der Richtlinie die Zuordnung einer Ressourcengruppe, oder geben Sie die relevanten Computer mithilfe eines Ressourcentags an. Das Tag ist kundenspezifisch. |
| Aktivieren von Plan 1 für mehrere Computer | Ja | Wenn Defender for Servers-Plan 2 in einem Abonnement aktiviert ist, können Sie ein Skript oder eine Richtlinienzuweisung verwenden, um eine Gruppe von Computern auf Defender for Servers-Plan 1 zu downgraden. | Geben Sie im Skript die relevanten Computer mithilfe eines Ressourcentags oder einer Ressourcengruppe an. Befolgen Sie dann die Anweisungen auf dem Bildschirm. Erstellen Sie mit der Richtlinie die Zuordnung einer Ressourcengruppe, oder geben Sie die relevanten Computer mithilfe eines Ressourcentags an. Das Tag ist kundenspezifisch. |
| Aktivieren von Plan 1 für einzelne Computer | No | Wenn Defender for Servers in einem Abonnement nicht aktiviert ist, können Sie die API verwenden, um Plan 1 für einzelne Computer zu aktivieren. | Verwenden Sie die Azure Microsoft Security Vorgangsgruppe „Preise”. Verwenden Sie in Preise aktualisieren eine PUT-Anforderung, um die pricingTier-Eigenschaft auf Standard und den subPlan auf P1 festzulegen. Die pricingTier-Eigenschaft gibt an, ob der Plan im ausgewählten Bereich aktiviert ist. |
| Aktivieren von Plan 1 für einzelne Computer | Ja | Wenn Defender for Servers-Plan 2 in einem Abonnement aktiviert ist, können Sie die API verwenden, um Plan 1 anstelle von Plan 2 für einzelne Computer zu aktivieren. | Verwenden Sie die Azure Microsoft Security Vorgangsgruppe „Preise”. Verwenden Sie in Preise aktualisieren eine PUT-Anforderung, um die pricingTier-Eigenschaft auf Standard und den subPlan auf P1 festzulegen. Die pricingTier-Eigenschaft gibt an, ob der Plan im ausgewählten Bereich aktiviert ist. |
| Deaktivieren eines Plans für mehrere Computer | Ja/Nein | Unabhängig davon, ob ein Plan in einem Abonnement aktiviert oder deaktiviert ist, können Sie den Plan für eine Gruppe von Computern deaktivieren. | Verwenden Sie das Skript oder die Richtlinie, um die relevanten Computer mithilfe eines Ressourcentags oder einer Ressourcengruppe anzugeben. |
| Deaktivieren eines Plans für bestimmte Computer | Ja/Nein | Unabhängig davon, ob ein Plan in einem Abonnement aktiviert oder deaktiviert ist, können Sie einen Plan für bestimmte Computer deaktivieren. | Verwenden Sie in Preise aktualisieren eine PUT-Anforderung, um die pricingTier-Eigenschaft auf kostenlos und den subPlan auf P1 festzulegen. |
| Löschen der Plankonfiguration auf einzelnen Computern | Ja/Nein | Entfernen Sie die Konfiguration von einem Computer, damit die abonnementweite Einstellung wirksam wird. | Verwenden Sie in „Preise aktualisieren” eine Delete-Anforderung, um die Konfiguration zu entfernen. |
| Löschen des Plans für mehrere Ressourcen | Entfernen Sie die Konfiguration von einer Gruppe von Ressourcen, damit die abonnementweite Einstellung wirksam wird. | Geben Sie im Skript die relevanten Computer mithilfe einer Ressourcengruppe oder eines Ressourcentags an. Folgen Sie dann einfach den Anweisungen auf dem Bildschirm. |
Erfahren Sie mehr darüber, wie Sie den Plan in einem Abonnement und für bestimmte Ressourcen bereitstellen.
Überlegungen zum Arbeitsbereich
Defender for Servers benötigt einen Log Analytics-Arbeitsbereich, wenn:
- Sie Defender for Servers-Plan 2 bereitstellen unddie kostenlose tägliche Erfassung für bestimmte Datentypen nutzen möchten. Weitere Informationen
- Sie Defender for Servers-Plan 2 bereitstellen und die Dateiintegritätsüberwachung verwenden. Weitere Informationen
Azure ARC-Onboarding
Es wird empfohlen, einen Computer in Nicht-Azure-Clouds und lokal in Azure als Azure Arc-fähige VMs zu integrieren. Wenn Sie Azure Arc-VMs aktivieren, können Computer die Vorteile von Defender for Servers-Features vollständig nutzen. Azure Arc-fähige Computer haben den Azure Arc Connected Machine-Agent installiert.
- Wenn Sie den Defender for Cloud-Multicloud-Connector zum Herstellen einer Verbindung mit AWS-Konten und GCP-Projekten verwenden, können Sie den Azure Arc-Agent automatisch auf AWS- oder GCP-Servern integrieren.
- Es wird empfohlen, lokale Computer als Azure Arc-fähig aufzunehmen.
- Obwohl Sie lokale Computer integrieren, indem Sie den Defender für Endpunkt-Agent direkt installieren, anstatt Computer mit Azure Arc zu integrieren, ist die Defender for Servers-Planfunktionalität verfügbar. Für Defender for Servers-Plan 2 sind zusätzlich zu den Features von Plan 1 nur die Premium Defender Vulnerability Management-Features verfügbar.
Vor der Bereitstellung von Azure Arc:
- Überprüfen Sie eine vollständige Liste von Betriebssystemen, die von Azure Arc unterstützt werden.
- Überprüfen Sie die Azure Arc Planungsempfehlungen und die Voraussetzungen für die Bereitstellung.
- Überprüfen Sie die Netzwerkanforderungen für den Connected Machine-Agent.
- Öffnen Sie die Netzwerkports für Azure Arc in Ihrer Firewall.
- Überprüfen Sie die Anforderungen für den Connected Machine-Agent:
- Agent-Komponenten und von Computern gesammelte Daten.
- Netzwerk- und Internetzugriff des Agents
- Verbindungsoptionen für den Agent