Выбор плана и области развертывания Defender для серверов
В этой статье показано, какойплан Defender для серверов необходимо развернуть в Microsoft Defender для облака.
Подготовка к работе
Эта статья является третьей статьей в руководстве по планированию Defender для серверов. Перед началом работы ознакомьтесь с предыдущими статьями:
- Начните планирование развертывания.
- Просмотрите роли доступа Defender для серверов.
Просмотр планов
Defender для серверов предлагает два платных плана:
Defender for Server Plan 1 — это начальный уровень, и основное внимание уделяется возможностям обнаружение и нейтрализация атак на конечные точки (EDR), предоставляемым интеграцией Defender для конечной точки с Defender для облака.
Defender для серверов plan 2 предоставляет те же функции, что и план 1, и многое другое
- Сканирование без агента для сканирования компьютеров, оценки уязвимостей, защиты от угроз, сканирования вредоносных программ и сканирования секретов.
- Оценка соответствия различным нормативным стандартам. Доступно с помощью Плана 2 Защитника для серверов или любого другого платного плана.
- Возможности, предоставляемые Управление уязвимостями Microsoft Defender уровня "Премиум".
- Преимущество приема данных бесплатно для определенных типов данных.
- Оценка конфигурации ОС для базовых показателей безопасности вычислений в Microsoft Cloud Security Benchmark.
- Оценка обновлений ОС с помощью обновлений Azure, встроенная в Defender для серверов.
- Мониторинг целостности файлов для проверки файлов и реестров для изменений, которые могут указывать на атаку.
- JIT-доступ к компьютеру для блокировки портов компьютера и уменьшения числа атак.
- Сетевая карта для получения географического представления рекомендаций по сети.
Полный список см . в разделе "Функции плана Defender для серверов".
Выбор области развертывания
Рекомендуется включить Defender для серверов на уровне подписки, но вы можете включить и отключить планы Defender для серверов на уровне ресурсов, если требуется степень детализации развертывания.
| Область применения | План 1 | План 2 |
|---|---|---|
| Включение подписки Azure | Да | Да |
| Включение для ресурса | Да | Нет |
| Отключение для ресурса | Да | Да |
- План 1 можно включить и отключить на уровне ресурсов.
- План 2 не может быть включен на уровне ресурсов, но вы можете отключить план на уровне ресурсов.
Ниже приведены некоторые примеры использования, которые помогут вам решить область развертывания Defender для серверов.
| Вариант использования | Включена в подписке | Сведения | Method |
|---|---|---|---|
| Включение подписки | Да | Этот вариант является рекомендуемым. | Включите на портале. Вы также можете отключить план для всей подписки на портале. |
| Включение плана 1 для нескольких компьютеров | No | Вы можете использовать сценарий или политику, чтобы включить план 1 для группы компьютеров без включения плана для всей подписки. | В скрипте укажите соответствующие компьютеры с помощью тега ресурса или группы ресурсов. Затем следуйте инструкциям на экране. С помощью политики создайте назначение в группе ресурсов или укажите соответствующие компьютеры с помощью тега ресурса. Тег является конкретным клиентом. |
| Включение плана 1 для нескольких компьютеров | Да | Если в подписке включен план Defender для серверов 2, можно использовать скрипт или назначение политики для понижения группы компьютеров до плана 1 Defender для серверов. | В скрипте укажите соответствующие компьютеры с помощью тега ресурса или группы ресурсов. Затем следуйте инструкциям на экране. С помощью политики создайте назначение в группе ресурсов или укажите соответствующие компьютеры с помощью тега ресурса. Тег является конкретным клиентом. |
| Включение плана 1 для отдельных компьютеров | No | Если Defender для серверов не включен в подписке, вы можете использовать API для включения плана 1 для отдельных компьютеров. | Используйте группу операций цен на безопасность Microsoft Azure. В разделе "Цены обновления" используйте запрос PUT, чтобы задать для свойства pricingTier значение standard и subPlan значение P1. Свойство pricingTier указывает, включен ли план в выбранной области. |
| Включение плана 1 для отдельных компьютеров | Да | Если в подписке включен план 2 Defender для серверов, вы можете использовать API для включения плана 1 вместо плана 2 для отдельных компьютеров в подписке. | Используйте группу операций цен на безопасность Microsoft Azure. В разделе "Цены обновления" используйте запрос PUT, чтобы задать для свойства pricingTier значение standard и subPlan значение P1. Свойство pricingTier указывает, включен ли план в выбранной области. |
| Отключение плана для нескольких компьютеров | Да/нет | Независимо от того, включен или отключен план в подписке, можно отключить план для группы компьютеров. | Используйте скрипт или политику, чтобы указать соответствующие компьютеры с помощью тега ресурса или группы ресурсов. |
| Отключение плана для определенных компьютеров | Да/нет | Независимо от того, включен или отключен план в подписке, можно отключить план для определенного компьютера. | В разделе "Обновления цен" используйте запрос PUT, чтобы задать свойство pricingTier для бесплатного использования и подплана на P1. |
| Удаление конфигурации плана на отдельных компьютерах | Да/нет | Удалите конфигурацию с компьютера, чтобы сделать параметр на уровне подписки эффективным. | В разделе "Цены на обновление" используйте запрос удаления для удаления конфигурации. |
| Удаление плана на нескольких ресурсах | Удалите конфигурацию из группы ресурсов, чтобы сделать параметр на уровне подписки эффективным. | В скрипте укажите соответствующие компьютеры с помощью группы ресурсов или тега. Затем следуйте инструкциям на экране. |
Узнайте больше о том, как развернуть план в подписке и конкретных ресурсах.
Рекомендации по рабочей области
Защитник для серверов должен иметь рабочую область Log Analytics, когда:
- Вы развертываете Defender для серверов плана 2 и хотите воспользоваться преимуществами бесплатного ежедневного приема для определенных типов данных. Подробнее.
- Вы развертываете Defender для серверов плана 2 и используете мониторинг целостности файлов. Подробнее.
Подключение Azure ARC
Рекомендуется подключить компьютер в облаках, отличных от Azure, и локально в Azure, как виртуальные машины с поддержкой Azure Arc. Включение в качестве виртуальных машин Azure Arc позволяет компьютерам воспользоваться всеми преимуществами функций Defender для серверов. На компьютерах с поддержкой Azure Arc на них установлен агент подключенного компьютера Azure Arc.
- При использовании соединителя Defender для облака multicloud для подключения к учетным записям AWS и проектам GCP можно автоматически подключить агент Azure Arc к серверам AWS или GCP.
- Рекомендуется подключить локальные компьютеры как с поддержкой Azure Arc.
- Хотя вы подключены к локальным компьютерам путем непосредственной установки агента Defender для конечной точки вместо подключения компьютеров с помощью Azure Arc, функция "Защитник для серверов" доступна. Для Защитника для серверов плана 2, помимо функций плана 1, доступны только функции управления уязвимостями Защитника уровня "Премиум".
Перед развертыванием Azure Arc:
- Просмотрите полный список операционных систем, поддерживаемых Azure Arc.
- Ознакомьтесь с рекомендациями по планированию Azure Arc и предварительными условиями развертывания.
- Просмотрите требования к сети для агента подключенного компьютера.
- Откройте сетевые порты для Azure Arc в брандмауэре.
- Проверьте требования к агенту подключенного компьютера:
- Компоненты агента и данные, собранные с компьютеров.
- Сетевой и интернет-доступ для агента.
- Параметры подключения для агента.
Следующие шаги
Узнайте, как собираются данные в Azure.