Selezionare un piano e un ambito di distribuzione di Defender per server
Questo articolo illustra ilpiano di Defender per server da distribuire in Microsoft Defender per il cloud.
Operazioni preliminari
Questo articolo è il terzo articolo della guida alla pianificazione di Defender per server. Prima di iniziare, esaminare gli articoli precedenti:
- Iniziare a pianificare la distribuzione.
- Esaminare i ruoli di accesso a Defender per server.
Rivedi piani
Defender per server offre due piani a pagamento:
Defender per server Piano 1 è di base e si concentra sulle funzionalità rilevamento e reazione dagli endpoint (EDR) fornite dall'integrazione di Defender per endpoint con Defender per il cloud.
Defender per server piano 2 offre le stesse funzionalità del piano 1 e altro ancora
- Analisi senza agente per l'analisi del comportamento del computer, valutazione della vulnerabilità, protezione dalle minacce, analisi malware e analisi dei segreti.
- Valutazione della conformità rispetto a vari standard normativi. Disponibile con Defender per server Piano 2 o qualsiasi altro piano a pagamento.
- Funzionalità fornite da Gestione delle vulnerabilità di Microsoft Defender Premium.
- Vantaggio gratuito per l'inserimento di dati per tipi di dati specifici.
- Valutazione della configurazione del sistema operativo rispetto alle baseline di sicurezza di calcolo in Microsoft Cloud Security Benchmark.
- Valutazione degli aggiornamenti del sistema operativo con Gli aggiornamenti di Azure integrati in Defender per server.
- Monitoraggio dell'integrità dei file per esaminare i file e i registri per le modifiche che potrebbero indicare un attacco.
- Accesso jite alla macchina per bloccare le porte del computer e ridurre le superfici di attacco.
- Mappa di rete per ottenere una visualizzazione geografica delle raccomandazioni di rete.
Per un elenco completo, vedere Funzionalità del piano di Defender per server.
Decidere l'ambito di distribuzione
È consigliabile abilitare Defender per server a livello di sottoscrizione, ma è possibile abilitare e disabilitare i piani di Defender per server a livello di risorsa se è necessaria la granularità della distribuzione.
| Scope | Piano 1 | Piano 2 |
|---|---|---|
| Abilitare per la sottoscrizione di Azure | Sì | Sì |
| Abilitare per la risorsa | Sì | No |
| Disabilitare per la risorsa | Sì | Sì |
- Il piano 1 può essere abilitato e disabilitato a livello di risorsa.
- Il piano 2 non può essere abilitato a livello di risorsa, ma è possibile disabilitare il piano a livello di risorsa.
Ecco alcuni esempi di casi d'uso che consentono di decidere l'ambito di distribuzione di Defender per server.
| Caso d'uso | Abilitato nella sottoscrizione | Dettagli | Metodo |
|---|---|---|---|
| Attivare per una sottoscrizione | Sì | Questa opzione è consigliata. | Attivare il portale. È anche possibile disattivare il piano per un'intera sottoscrizione nel portale. |
| Attivare piano 1 per più computer | No | È possibile usare uno script o un criterio per abilitare il piano 1 per un gruppo di computer senza attivare il piano per un'intera sottoscrizione. | Nello script specificare i computer pertinenti usando un tag di risorsa o un gruppo di risorse. Seguire quindi l'istruzione sullo schermo. Con i criteri creare l'assegnazione in un gruppo di risorse o specificare i computer pertinenti usando un tag di risorsa. Il tag è specifico del cliente. |
| Attivare piano 1 per più computer | Sì | Se Defender per server Piano 2 è abilitato in una sottoscrizione, è possibile usare uno script o un'assegnazione di criteri per effettuare il downgrade di un gruppo di computer a Defender per server piano 1. | Nello script specificare i computer pertinenti usando un tag di risorsa o un gruppo di risorse. Seguire quindi l'istruzione sullo schermo. Con i criteri creare l'assegnazione in un gruppo di risorse o specificare i computer pertinenti usando un tag di risorsa. Il tag è specifico del cliente. |
| Attivare piano 1 per i singoli computer | No | Quando Defender per server non è abilitato in una sottoscrizione, è possibile usare l'API per attivare il piano 1 per i singoli computer. | Usare il gruppo di operazioni Prezzi di sicurezza Microsoft di Azure. In Prezzi di aggiornamento usare una richiesta PUT per impostare la proprietà pricingTier su standard e il subPlan su P1. La proprietà pricingTier indica se il piano è abilitato nell'ambito selezionato. |
| Attivare piano 1 per i singoli computer | Sì | Quando Defender per server Piano 2 è abilitato in una sottoscrizione, è possibile usare l'API per attivare il piano 1, invece del piano 2, per i singoli computer nella sottoscrizione. | Usare il gruppo di operazioni Prezzi di sicurezza Microsoft di Azure. In Prezzi di aggiornamento usare una richiesta PUT per impostare la proprietà pricingTier su standard e il subPlan su P1. La proprietà pricingTier indica se il piano è abilitato nell'ambito selezionato. |
| Disattivare un piano per più computer | Sì/No | Indipendentemente dal fatto che un piano sia attivato o disattivato in una sottoscrizione, è possibile disattivare il piano per un gruppo di computer. | Usare lo script o i criteri per specificare i computer pertinenti usando un tag di risorsa o un gruppo di risorse. |
| Disattivare un piano per computer specifici | Sì/No | Indipendentemente dal fatto che un piano sia attivato o disattivato in una sottoscrizione, è possibile disattivare un piano per un computer specifico. | In Update Pricings (Prezzi di aggiornamento) usare una richiesta PUT per impostare la proprietà pricingTier su free e il subPlan su P1. |
| Eliminare la configurazione del piano in singoli computer | Sì/No | Rimuovere la configurazione da un computer per rendere effettiva l'impostazione a livello di sottoscrizione. | In Prezzi di aggiornamento usare una richiesta di eliminazione per rimuovere la configurazione. |
| Eliminare il piano su più risorse | Rimuovere la configurazione da un gruppo di risorse per rendere effettiva l'impostazione a livello di sottoscrizione. | Nello script specificare i computer pertinenti usando un gruppo di risorse o un tag. Quindi segui le istruzioni sullo schermo. |
Altre informazioni su come distribuire il piano in una sottoscrizione e su risorse specifiche.
Considerazioni sull'area di lavoro
Defender per server richiede un'area di lavoro Log Analytics quando:
- Si distribuisce Defender per server piano 2 e si vuole sfruttare l'inserimento giornaliero gratuito per tipi di dati specifici. Altre informazioni.
- Si distribuisce Defender per server piano 2 e si usa il monitoraggio dell'integrità dei file. Altre informazioni.
Onboarding di Azure ARC
È consigliabile eseguire l'onboarding del computer in cloud non Azure e in locale in Azure come macchine virtuali abilitate per Azure Arc. L'abilitazione come macchine virtuali di Azure Arc consente ai computer di sfruttare appieno le funzionalità di Defender per server. Nei computer abilitati per Azure Arc è installato l'agente Azure Arc Connected Machine.
- Quando si usa il connettore Defender per il cloud multicloud per connettersi agli account AWS e ai progetti GCP, è possibile eseguire automaticamente l'onboarding dell'agente Di Azure Arc nei server AWS o GCP.
- È consigliabile eseguire l'onboarding di computer locali come abilitato per Azure Arc.
- Anche se si esegue l'onboarding di computer locali installando direttamente l'agente di Defender per endpoint invece di eseguire l'onboarding di computer con Azure Arc, è disponibile la funzionalità Piano di Defender per server. Per Defender per server piano 2, oltre alle funzionalità di piano 1, sono disponibili solo le funzionalità premium di Gestione delle vulnerabilità di Defender.
Prima di distribuire Azure Arc:
- Esaminare un elenco completo dei sistemi operativi supportati da Azure Arc.
- Esaminare le raccomandazioni per la pianificazione e i prerequisiti per la distribuzione di Azure Arc.
- Esaminare i requisiti di rete per l'agente Connected Machine.
- Aprire le porte di rete per Azure Arc nel firewall.
- Esaminare i requisiti per l'agente Connected Machine:
- Componenti e dati dell'agente raccolti dai computer.
- Accesso alla rete e a Internet per l'agente.
- Opzioni di connessione per l'agente.
Passaggi successivi
Informazioni sul modo in cui i dati vengono raccolti in Azure.