Defender per server
Il piano Defender per server in Microsoft Defender per il cloud riduce i rischi di sicurezza e l'esposizione per i computer dell'organizzazione fornendo raccomandazioni utili per migliorare e correggere il comportamento di sicurezza. Defender per server consente anche di proteggere i computer da minacce e attacchi di sicurezza in tempo reale.
Nota
Il supporto per l'uso dell'agente di Log Analytics e dell'agente di monitoraggio di Azure in Defender per server è terminato. Per la maggior parte delle funzionalità del piano, l'uso di questi agenti viene sostituito dall'analisi automatica senza agente o dall'integrazione con Microsoft Defender per endpoint.
Vantaggi di Defender per Server
Defender per server offre numerosi vantaggi per la sicurezza.
- Proteggere i computer multicloud e locali: Defender per server protegge i computer Windows e Linux in ambienti multicloud (Azure, AWS, GCP) e in locale.
- Centralizzare la gestione e la creazione di report: Defender per il cloud offre una singola visualizzazione delle risorse monitorate, inclusi i computer protetti da Defender per server. È possibile filtrare, ordinare e fare riferimento incrociato ai dati per comprendere, analizzare e analizzare la sicurezza dei computer.
- Integrazione con i servizi di Defender: Defender per server si integra in modo nativo con le funzionalità di sicurezza fornite da Defender per endpoint e Gestione delle vulnerabilità di Microsoft Defender.
- Migliorare la postura e ridurre i rischi: Defender per server valuta il comportamento di sicurezza dei computer rispetto agli standard di conformità e fornisce raccomandazioni di sicurezza utilizzabili per correggere e migliorare il comportamento di sicurezza.
- Trarre vantaggio dall'analisi senza agente: Defender per server piano 2 offre l'analisi automatica senza agente. Senza la necessità di un agente negli endpoint, è possibile analizzare l'inventario software, valutare le vulnerabilità, analizzare i segreti del computer e rilevare minacce malware.
- Protezione dalle minacce quasi in tempo reale: Defender per server identifica e analizza le minacce in tempo reale e genera avvisi di sicurezza in base alle esigenze.
- Ottenere il rilevamento intelligente delle minacce: Defender per il cloud valuta gli eventi e rileva le minacce usando funzionalità avanzate di analisi della sicurezza e tecnologie di Machine Learning con più origini di intelligence sulle minacce, tra cui Microsoft Security Response Center (MSRC).
Integrazione di Defender per endpoint
Defender per endpoint e Defender for Vulnerability Management si integrano in modo nativo in Defender per il cloud.
Questa integrazione predefinita consente a Defender per server di sfruttare le funzionalità rilevamento e reazione dagli endpoint (EDR) di Defender per endpoint e l'analisi delle vulnerabilità, l'inventario software e le funzionalità Premium fornite da Defender per la gestione delle vulnerabilità.
Altre informazioni sull'integrazione.
Piani di Defender per server
Defender per server offre due piani:
- Defender per server Piano 1 è di base e si concentra sulle funzionalità EDR fornite dall'integrazione di Defender per endpoint.
- Defender per server piano 2 offre le stesse funzionalità del piano 1 e delle funzionalità aggiuntive.
Pianificare le funzionalità di protezione
Le funzionalità di piano sono riepilogate nella tabella.
| Funzionalità | Pianificare il supporto | Dettagli |
|---|---|---|
| Supporto multi-cloud e ibrido | Supportato nel piano 1 e 2 | Defender per server può proteggere macchine virtuali di Azure, VM AWS/GCP e computer locali connessi a Defender per il cloud. Vedere Supporto e requisiti di Defender per server. |
| Onboarding automatico di Defender per endpoint | Supportato nel piano 1 e 2 | Defender per il cloud esegue automaticamente l'onboarding dei computer in Defender per endpoint installando l'estensione Defender per endpoint nei computer connessi. |
| Defender per endpoint EDR | Supportato nel piano 1 e 2 | Gli endpoint supportati ricevono il rilevamento delle minacce quasi in tempo reale usando le funzionalità EDR di Defender per endpoint. |
| Rilevamento delle minacce (a livello di sistema operativo) | Supportato nel piano 1 e 2 | L'integrazione con Defender per endpoint offre il rilevamento delle minacce a livello di sistema operativo. |
| Avvisi e eventi imprevisti integrati | Supportato nel piano 1 e 2 | Gli avvisi e gli eventi imprevisti di Defender per endpoint per i computer connessi vengono visualizzati in Defender per il cloud, con il drill-down nel portale di Defender. Altre informazioni. |
| Rilevamento delle minacce (livello di rete di Azure) | Supportato solo nel piano 2 | Il rilevamento senza agente rileva le minacce indirizzate al piano di controllo sulla rete, inclusi gli avvisi di sicurezza basati sulla rete per le macchine virtuali di Azure. |
| Individuazione inventario software | Supportato nel piano 1 e 2 | L'individuazione dell'inventario software (fornita da Defender Vulnerability Management) è integrata in Defender per il cloud. |
| Analisi delle vulnerabilità (basata su agente) | Supportato nel piano 1 e 2 | Con l'agente di Defender per endpoint, Defender per server valuta le vulnerabilità con La gestione delle vulnerabilità di Defender. |
| Analisi delle vulnerabilità (senza agente) | Supportato solo nel piano 2 | Come parte delle funzionalità di analisi senza agente, Defender per il cloud fornisce una valutazione della vulnerabilità senza agente, usando Gestione delle vulnerabilità di Defender. La valutazione senza agente è aggiunta all'analisi delle vulnerabilità basata su agente. |
| Configurazioni errate della baseline del sistema operativo | Le raccomandazioni del sistema operativo basate sulle baseline di sicurezza di calcolo Linux e Windows sono supportate solo nel piano 2. Altre raccomandazioni MCSB in Defender per il cloud continuano a essere incluse nella gestione del comportamento di base gratuita. |
Defender per il cloud valuta e applica le configurazioni di sicurezza usando iniziative predefinite di Criteri di Azure, inclusa l'iniziativa predefinita Microsoft Cloud Security Benchmark (MCSB). Defender per server raccoglie informazioni sul computer usando l'estensione di configurazione del computer di Azure. |
| Valutazione della conformità alle normative | Supportato nel piano 1 e 2 | Come parte della gestione del comportamento di base libera, Defender per il cloud fornisce un paio di standard di conformità predefiniti. Se è abilitato un piano defender per server (o qualsiasi altro piano a pagamento), è possibile abilitare standard di conformità aggiuntivi. |
| Aggiornamenti del sistema operativo | Supportato solo nel piano 2 | Defender per server valuta il computer per verificare che siano installati gli aggiornamenti e le patch. Usa Gestione aggiornamenti di Azure per raccogliere informazioni sugli aggiornamenti. Per sfruttare i vantaggi dell'integrazione di Azure Update in Defender per server piano 2, i computer locali, AWS e GCP devono essere onboarding con Azure Arc. Altre informazioni. |
| Funzionalità Premium di Defender per la gestione delle vulnerabilità | Supportato solo nel piano 2 | Defender per server piano 2 include funzionalità Premium nella gestione delle vulnerabilità di Defender. Le funzionalità Premium includono valutazioni dei certificati, valutazioni delle baseline di sicurezza del sistema operativo e altro ancora e sono disponibili solo nel portale di Defender. |
| Analisi malware (senza agente) | Supportato solo nel piano 2 | Oltre alla protezione antimalware di nuova generazione fornita dall'integrazione di Defender per endpoint, Defender per server piano 2 fornisce l'analisi malware come parte delle funzionalità di analisi senza agente. |
| Analisi dei segreti del computer (senza agente) | Supportato solo nel piano 2 | Come parte delle funzionalità di analisi dei segreti senza agente, Defender per il cloud fornisce l'analisi dei segreti dei computer per individuare segreti di testo normale nei computer. L'analisi dei segreti è disponibile anche con il piano CSPM (Defender Cloud Security Posture Management). |
| Monitoraggio dell'integrità dei file | Supportato solo nel piano 2 | Il monitoraggio dell'integrità dei file esamina i file e i registri per individuare le modifiche che potrebbero indicare un attacco. È possibile configurare il monitoraggio dell'integrità dei file dopo aver abilitato Defender per server piano 2. Il monitoraggio dell'integrità dei file usa l'estensione Defender per endpoint per raccogliere informazioni. Il metodo di raccolta precedente che usava MMA è ora deprecato. Altre informazioni sulla migrazione all'estensione Defender per endpoint. |
| Accesso Just-In-Time alle macchine virtuali | Supportato solo nel piano 2 | L'accesso just-in-time alle macchine virtuali blocca le porte della macchina per ridurre la superficie di attacco. |
| Mappa di rete | Supportato solo nel piano 2 | La mappa di rete offre una visualizzazione geografica delle raccomandazioni per la protezione avanzata delle risorse di rete. |
| Inserimento dati gratuito (500 MB) | Supportato solo nel piano 2 | L'inserimento dati gratuito è disponibile per tipi di dati specifici nelle aree di lavoro Log Analytics. Altre informazioni. |
Ambito di distribuzione
È consigliabile abilitare Defender per server a livello di sottoscrizione, ma è possibile abilitare e disabilitare Defender per server a livello di risorsa se è necessaria la granularità della distribuzione, come indicato di seguito:
| Scope | Piano 1 | Piano 2 |
|---|---|---|
| Abilitare per una sottoscrizione di Azure | Sì | Sì |
| Abilitare per una risorsa | Sì | No |
| Disabilitare per una risorsa | Sì | Sì |
- Il piano 1 può essere abilitato e disabilitato a livello di risorsa per server.
- Il piano 2 non può essere abilitato a livello di risorsa, ma è possibile disabilitare il piano a livello di risorsa.
Dopo l'abilitazione
Dopo l'abilitazione di un piano, si applica quanto segue:
- Periodo di valutazione: inizia il periodo di valutazione di 30 giorni. Non è possibile arrestare, sospendere o estendere questo periodo di valutazione. Per godere della versione di valutazione completa di 30 giorni, pianificare in anticipo per soddisfare gli obiettivi di valutazione.
- Endpoint Protection: l'estensione Defender per endpoint viene installata automaticamente in tutti i computer supportati connessi a Defender per il cloud. Se necessario, è possibile disabilitare il provisioning automatico.
- Valutazione della vulnerabilità: La gestione delle vulnerabilità di Defender è abilitata per impostazione predefinita nei computer con l'estensione Defender per endpoint installata.
- Analisi senza agente: l'analisi senza agente è abilitata per impostazione predefinita quando si attiva Defender per server piano 2.
- Valutazione della configurazione del sistema operativo: quando si abilita Defender per server piano 2, Defender per il cloud valuta le impostazioni di configurazione del sistema operativo rispetto alle baseline di sicurezza di calcolo in Microsoft Cloud Security Benchmark. Per usare questa funzionalità, i computer devono eseguire l'estensione di configurazione del computer di Azure. Altre informazioni sulla configurazione dell'estensione.
- Monitoraggio dell'integrità dei file: è possibile configurare il monitoraggio dell'integrità dei file dopo aver abilitato Defender per server piano 2.
Passaggi successivi
- Vedere le domande comuni su Defender per server.
- Pianificare la distribuzione di Defender per server.