你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于服务器的 Defender

Microsoft Defender for Cloud 中的 Defender for Servers 计划通过提供可操作的建议来改善和修正安全态势,从而减少组织中计算机的安全和暴露风险。 Defender for Servers 还有助于保护计算机免受实时安全威胁和攻击。

注意

在 Defender for Servers 中使用 Log Analytics 代理和 Azure 监视代理 (AMA) 的支持已结束。 大多数计划功能将改为使用无代理计算机扫描,或与 Microsoft Defender for Endpoint 集成。

Defender for Server 的好处

Defender for Servers 提供了许多安全优势。

  • 保护多云和本地计算机:Defender for Servers 保护多云环境 (Azure、AWS、GCP) 中和本地的 Windows 和 Linux 计算机。
  • 集中管理和报告:Defender for Cloud 提供受监视资源的单个视图,包括 Defender for Servers 保护的计算机。 可以筛选、排序和交叉引用数据,以了解、调查和分析计算机安全状况。
  • 与 Defender 服务集成:Defender for Servers 与 Defender for Endpoint 和 Microsoft Defender 漏洞管理提供的安全功能本机集成。
  • 改善状况并降低风险:Defender for Servers 根据合规性标准评估计算机的安全状况,并提供可操作的安全建议来修正和改进安全态势。
  • 受益于无代理扫描:Defender for Servers 计划 2 提供无代理计算机扫描功能。 无需在终结点上使用代理,即可扫描软件清单、评估计算机是否存在漏洞、扫描计算机机密和检测恶意软件威胁。
  • 准实时防范威胁:Defender for Servers 可识别和分析实时威胁,并根据需要发出安全警报。
  • 获取智能威胁检测:Defender for Cloud 使用具有多个威胁情报源的高级安全分析和机器学习技术(包括 Microsoft 安全响应中心 (MSRC))来评估事件并检测威胁。

Defender for Endpoint 集成

Defender for Endpoint 和 Defender 漏洞管理本机集成到 Defender for Cloud 中。

Defender for Servers 可通过此集成利用 Defender for Endpoint 的终结点检测和响应 (EDR) 功能,以及 Defender 漏洞管理提供的漏洞扫描、软件清单和高级功能。

详细了解该集成。

Defender for Servers 计划

Defender for Servers 提供两种计划:

  • Defender for Servers 计划 1 是入门级,侧重于 Defender for Endpoint 集成提供的 EDR 功能。
  • Defender for Servers 计划 2 在计划 1 的基础上提供更多功能。

计划保护功能

表中汇总了计划功能。

功能 计划支持 详细信息
多云和混合支持 在计划 1 和 2 中受支持 Defender for Servers 可以保护连接到 Defender for Cloud 的 Azure 虚拟机、AWS/GCP 虚拟机和本地计算机。

查看 Defender for Servers 支持和要求
Defender for Endpoint 自动载入 在计划 1 和 2 中受支持 Defender for Cloud 通过在连接的计算机上安装 Defender for Endpoint 扩展,自动将计算机载入 Defender for Endpoint
Defender for Endpoint EDR 在计划 1 和 2 中受支持 支持的终结点使用 Defender for Endpoint EDR 功能接收准实时威胁检测。
威胁检测(OS 级) 在计划 1 和 2 中受支持 与 Defender for Endpoint 的集成提供 OS 级威胁检测。
集成警报和事件 在计划 1 和 2 中受支持 连接的计算机的 Defender for Endpoint 警报和事件显示在 Defender for Cloud 中,并可在 Defender 门户中向下钻取。 了解详细信息
威胁检测(Azure 网络层) 仅在计划 2 中受支持 无代理检测会检测针对网络上控制平面的威胁,包括针对 Azure 虚拟机的基于网络的安全警报
软件清单发现 在计划 1 和 2 中受支持 软件清单发现(由 Defender 漏洞管理提供)已集成到 Defender for Cloud 中。
漏洞扫描(基于代理) 在计划 1 和 2 中受支持 使用 Defender for Endpoint 代理,Defender for Servers 可通过 Defender 漏洞管理评估计算机是否存在漏洞
漏洞扫描(无代理) 仅在计划 2 中受支持 Defender for Cloud 的无代理扫描功能包括使用 Defender 漏洞管理提供无代理漏洞评估

无代理评估是对基于代理的漏洞扫描的补充。
OS 基线配置错误 仅计划 2 支持基于 LinuxWindows 计算安全基线的 OS 建议。

Defender for Cloud 中的其他 MCSB 建议将继续包含在免费基础态势管理中。
Defender for Cloud 使用内置的 Azure 策略计划评估并强制实施安全配置,包括其默认 Microsoft 云安全基准 (MCSB) 计划。

Defender for Servers 使用 Azure 计算机配置扩展收集计算机信息。
合规性评估 在计划 1 和 2 中受支持 Defender for Cloud 的免费基础态势管理提供了一些默认合规性标准

如果已启用 Defender for Servers 计划(或任何其他付费计划),则可以启用其他符合性标准
操作系统更新 仅在计划 2 中受支持 Defender for Servers 会评估计算机以检查是否已安装更新和修补程序。 它使用 Azure 更新管理器收集更新信息。

若要利用 Defender for Servers 计划 2 中的 Azure 更新集成,应将本地、AWS 和 GCP 计算机加入到 Azure Arc 中。了解详细信息
Defender 漏洞管理高级功能 仅在计划 2 中受支持 Defender for Servers 计划 2 包括 Defender 漏洞管理中的高级功能

高级功能包括证书评估、操作系统安全基线评估等,并且仅在 Defender 门户中可用。
恶意软件扫描(无代理) 仅在计划 2 中受支持 除了 Defender for Endpoint 集成提供的新一代反恶意软件保护外,Defender for Servers 计划 2 还在无代理扫描功能中提供恶意软件扫描
计算机机密扫描(无代理) 仅在计划 2 中受支持 Defender for Cloud 在其无代理机密扫描功能中提供计算机机密扫描,用于查找计算机上的纯文本机密。

Defender 云安全态势管理 (CSPM) 计划也提供了机密扫描。
文件完整性监视 仅在计划 2 中受支持 文件完整性监视可检查文件和注册表中可能表明遭到攻击的更改。 启用 Defender for Servers 计划 2 后,可以配置文件完整性监视。

文件完整性监视使用 Defender for Endpoint 扩展来收集信息。 此前使用 MMA 的集合方法现已弃用。 详细了解如何迁移到 Defender for Endpoint 扩展。
恰时虚拟机访问 仅在计划 2 中受支持 实时虚拟机访问会锁定计算机端口以减少攻击面。
网络映射 仅在计划 2 中受支持 网络映射提供有关强化网络资源的建议的地理视图。
免费数据引入 (500 MB) 仅在计划 2 中受支持 对于特定数据类型,Log Analytics 工作区中提供免费数据引入。 了解详细信息

部署范围

建议在订阅级别启用 Defender for Servers,但如果需要部署粒度,可以在资源级别启用和禁用 Defender for Servers,如下所示:

Scope 计划 1 计划 2
为 Azure 订阅启用
为资源启用
为资源禁用
  • 可以在每个服务器的资源级别启用和禁用计划 1。
  • 无法在资源级别启用计划 2,但可以在资源级别禁用该计划。

启用后

启用计划后,将应用以下各项:

  • 试用期:30 天试用期开始。 无法停止、暂停或延长此试用期。 若要享受完整的 30 天试用版,请提前计划以达成评估目标。
  • Endpoint Protection:Defender for Endpoint 扩展会自动安装在连接到 Defender for Cloud 的所有受支持计算机上。 如果需要,可以禁用自动预配。
  • 漏洞评估:默认情况下,会在安装了 Defender for Endpoint 扩展的计算机上启用 Defender 漏洞管理。
  • 无代理扫描:启用 Defender for Servers 计划 2 时,会默认启用无代理扫描
  • 操作系统配置评估:启用 Defender for Servers 计划 2 时,Defender for Cloud 会根据 Microsoft 云安全基准中的计算安全基线评估操作系统配置设置 若要使用此功能,计算机必须运行 Azure 机器配置扩展。 详细了解如何设置该扩展。
  • 文件完整性监视:启用 Defender for Servers 计划 2 后,将设置文件完整性监视

后续步骤