你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于服务器的 Defender
Microsoft Defender for Cloud 中的 Defender for Servers 计划通过提供可操作的建议来改善和修正安全态势,从而减少组织中计算机的安全和暴露风险。 Defender for Servers 还有助于保护计算机免受实时安全威胁和攻击。
注意
在 Defender for Servers 中使用 Log Analytics 代理和 Azure 监视代理 (AMA) 的支持已结束。 大多数计划功能将改为使用无代理计算机扫描,或与 Microsoft Defender for Endpoint 集成。
Defender for Server 的好处
Defender for Servers 提供了许多安全优势。
- 保护多云和本地计算机:Defender for Servers 保护多云环境 (Azure、AWS、GCP) 中和本地的 Windows 和 Linux 计算机。
- 集中管理和报告:Defender for Cloud 提供受监视资源的单个视图,包括 Defender for Servers 保护的计算机。 可以筛选、排序和交叉引用数据,以了解、调查和分析计算机安全状况。
- 与 Defender 服务集成:Defender for Servers 与 Defender for Endpoint 和 Microsoft Defender 漏洞管理提供的安全功能本机集成。
- 改善状况并降低风险:Defender for Servers 根据合规性标准评估计算机的安全状况,并提供可操作的安全建议来修正和改进安全态势。
- 受益于无代理扫描:Defender for Servers 计划 2 提供无代理计算机扫描功能。 无需在终结点上使用代理,即可扫描软件清单、评估计算机是否存在漏洞、扫描计算机机密和检测恶意软件威胁。
- 准实时防范威胁:Defender for Servers 可识别和分析实时威胁,并根据需要发出安全警报。
- 获取智能威胁检测:Defender for Cloud 使用具有多个威胁情报源的高级安全分析和机器学习技术(包括 Microsoft 安全响应中心 (MSRC))来评估事件并检测威胁。
Defender for Endpoint 集成
Defender for Endpoint 和 Defender 漏洞管理本机集成到 Defender for Cloud 中。
Defender for Servers 可通过此集成利用 Defender for Endpoint 的终结点检测和响应 (EDR) 功能,以及 Defender 漏洞管理提供的漏洞扫描、软件清单和高级功能。
详细了解该集成。
Defender for Servers 计划
Defender for Servers 提供两种计划:
- Defender for Servers 计划 1 是入门级,侧重于 Defender for Endpoint 集成提供的 EDR 功能。
- Defender for Servers 计划 2 在计划 1 的基础上提供更多功能。
计划保护功能
表中汇总了计划功能。
功能 | 计划支持 | 详细信息 |
---|---|---|
多云和混合支持 | 在计划 1 和 2 中受支持 | Defender for Servers 可以保护连接到 Defender for Cloud 的 Azure 虚拟机、AWS/GCP 虚拟机和本地计算机。 查看 Defender for Servers 支持和要求。 |
Defender for Endpoint 自动载入 | 在计划 1 和 2 中受支持 | Defender for Cloud 通过在连接的计算机上安装 Defender for Endpoint 扩展,自动将计算机载入 Defender for Endpoint。 |
Defender for Endpoint EDR | 在计划 1 和 2 中受支持 | 支持的终结点使用 Defender for Endpoint EDR 功能接收准实时威胁检测。 |
威胁检测(OS 级) | 在计划 1 和 2 中受支持 | 与 Defender for Endpoint 的集成提供 OS 级威胁检测。 |
集成警报和事件 | 在计划 1 和 2 中受支持 | 连接的计算机的 Defender for Endpoint 警报和事件显示在 Defender for Cloud 中,并可在 Defender 门户中向下钻取。 了解详细信息。 |
威胁检测(Azure 网络层) | 仅在计划 2 中受支持 | 无代理检测会检测针对网络上控制平面的威胁,包括针对 Azure 虚拟机的基于网络的安全警报。 |
软件清单发现 | 在计划 1 和 2 中受支持 | 软件清单发现(由 Defender 漏洞管理提供)已集成到 Defender for Cloud 中。 |
漏洞扫描(基于代理) | 在计划 1 和 2 中受支持 | 使用 Defender for Endpoint 代理,Defender for Servers 可通过 Defender 漏洞管理评估计算机是否存在漏洞。 |
漏洞扫描(无代理) | 仅在计划 2 中受支持 | Defender for Cloud 的无代理扫描功能包括使用 Defender 漏洞管理提供无代理漏洞评估。 无代理评估是对基于代理的漏洞扫描的补充。 |
OS 基线配置错误 | 仅计划 2 支持基于 Linux 和 Windows 计算安全基线的 OS 建议。 Defender for Cloud 中的其他 MCSB 建议将继续包含在免费基础态势管理中。 |
Defender for Cloud 使用内置的 Azure 策略计划评估并强制实施安全配置,包括其默认 Microsoft 云安全基准 (MCSB) 计划。 Defender for Servers 使用 Azure 计算机配置扩展收集计算机信息。 |
合规性评估 | 在计划 1 和 2 中受支持 | Defender for Cloud 的免费基础态势管理提供了一些默认合规性标准。 如果已启用 Defender for Servers 计划(或任何其他付费计划),则可以启用其他符合性标准。 |
操作系统更新 | 仅在计划 2 中受支持 | Defender for Servers 会评估计算机以检查是否已安装更新和修补程序。 它使用 Azure 更新管理器收集更新信息。 若要利用 Defender for Servers 计划 2 中的 Azure 更新集成,应将本地、AWS 和 GCP 计算机加入到 Azure Arc 中。了解详细信息。 |
Defender 漏洞管理高级功能 | 仅在计划 2 中受支持 | Defender for Servers 计划 2 包括 Defender 漏洞管理中的高级功能。 高级功能包括证书评估、操作系统安全基线评估等,并且仅在 Defender 门户中可用。 |
恶意软件扫描(无代理) | 仅在计划 2 中受支持 | 除了 Defender for Endpoint 集成提供的新一代反恶意软件保护外,Defender for Servers 计划 2 还在无代理扫描功能中提供恶意软件扫描。 |
计算机机密扫描(无代理) | 仅在计划 2 中受支持 | Defender for Cloud 在其无代理机密扫描功能中提供计算机机密扫描,用于查找计算机上的纯文本机密。 Defender 云安全态势管理 (CSPM) 计划也提供了机密扫描。 |
文件完整性监视 | 仅在计划 2 中受支持 | 文件完整性监视可检查文件和注册表中可能表明遭到攻击的更改。 启用 Defender for Servers 计划 2 后,可以配置文件完整性监视。 文件完整性监视使用 Defender for Endpoint 扩展来收集信息。 此前使用 MMA 的集合方法现已弃用。 详细了解如何迁移到 Defender for Endpoint 扩展。 |
恰时虚拟机访问 | 仅在计划 2 中受支持 | 实时虚拟机访问会锁定计算机端口以减少攻击面。 |
网络映射 | 仅在计划 2 中受支持 | 网络映射提供有关强化网络资源的建议的地理视图。 |
免费数据引入 (500 MB) | 仅在计划 2 中受支持 | 对于特定数据类型,Log Analytics 工作区中提供免费数据引入。 了解详细信息。 |
部署范围
建议在订阅级别启用 Defender for Servers,但如果需要部署粒度,可以在资源级别启用和禁用 Defender for Servers,如下所示:
Scope | 计划 1 | 计划 2 |
---|---|---|
为 Azure 订阅启用 | 是 | 是 |
为资源启用 | 是 | 否 |
为资源禁用 | 是 | 是 |
- 可以在每个服务器的资源级别启用和禁用计划 1。
- 无法在资源级别启用计划 2,但可以在资源级别禁用该计划。
启用后
启用计划后,将应用以下各项:
- 试用期:30 天试用期开始。 无法停止、暂停或延长此试用期。 若要享受完整的 30 天试用版,请提前计划以达成评估目标。
- Endpoint Protection:Defender for Endpoint 扩展会自动安装在连接到 Defender for Cloud 的所有受支持计算机上。 如果需要,可以禁用自动预配。
- 漏洞评估:默认情况下,会在安装了 Defender for Endpoint 扩展的计算机上启用 Defender 漏洞管理。
- 无代理扫描:启用 Defender for Servers 计划 2 时,会默认启用无代理扫描。
- 操作系统配置评估:启用 Defender for Servers 计划 2 时,Defender for Cloud 会根据 Microsoft 云安全基准中的计算安全基线评估操作系统配置设置。 若要使用此功能,计算机必须运行 Azure 机器配置扩展。 详细了解如何设置该扩展。
- 文件完整性监视:启用 Defender for Servers 计划 2 后,将设置文件完整性监视。
后续步骤
- 查看有关 Defender for Servers 的常见问题。
- 规划 Defender for Servers 部署。