你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

有关 Defender for Servers 的常见问题

获取有关 Microsoft Defender for Servers 的常见问题的解答。

是否可以在订阅中的一部分计算机上启用 Defender for Servers?

是的。 现在可以在订阅中的特定资源上管理 Defender for Servers,从而完全控制保护策略。 借助此功能,可以使用与订阅级别配置的设置不同的自定义配置来配置特定资源。 详细了解如何在资源级别启用 Defender for Servers。 但是,在连接的 AWS 帐户或 GCP 项目上启用 Microsoft Defender for Servers 时,所有连接的计算机都将受到 Defender for Servers 的保护。

如果我已拥有 Microsoft Defender for Endpoint 许可证,是否可以获得折扣?

如果你已拥有 Microsoft Defender for Endpoint for Servers 的许可证,则不需要为 Microsoft Defender for Servers 计划 1 和计划 2 许可证的相应部分付费。

若要请求折扣,请在帮助和支持中心创建新的支持请求,通过 Azure 门户联系 Defender for Cloud 支持团队。

  1. 登录 Azure 门户

  2. 选择“支持和故障排除”

    屏幕截图显示了“支持和故障排除”按钮在 Azure 主屏幕上的位置

  3. 选择“帮助 + 支持”。

  4. 选择“创建支持请求”。

  5. 输入以下信息:

    屏幕截图显示了已填写信息的支持票证说明。

  6. 选择“下一步”。

  7. 选择“下一步”。

  8. 在“其他详细信息”选项卡中,输入客户组织名称、租户 ID、Microsoft Defender for Endpoint for Servers 购买数量、所购买的 Microsoft Defender for Endpoint for Servers 的到期日期,以及所有其他必填字段。

  9. 选择“下一步”。

  10. 选择“创建”。

注意

折扣从批准日期开始生效。 折扣不可追溯。

我需要为订阅中的哪些服务器付费?

在订阅中启用 Defender for Servers 时,将需要根据所有计算机的开通状态向你收费。

Azure VM:

状态 详细信息 计费
正在启动 VM 正在启动。 不计费
正在运行 正常工作状态。 计费
正在停止 过渡。 完成后进入“已停止”状态。 计费
已停止 已从来宾操作系统内部或使用 PowerOff API 关闭 VM。 仍然分配了硬件,计算机仍在主机上。 计费
正在解除分配 过渡。 完成后进入“已解除分配”状态。 不计费
已解除分配 VM 已停止并已从主机中删除。 不计费

Azure Arc 计算机:

State 详细信息 Billing
Connecting 服务器已连接,但尚未收到检测信号。 不计费
已连接 正在从 Connected Machine 代理接收常规检测信号。 计费
脱机/已断开连接 在 15-30 分钟内未收到检测信号。 不计费
已过期 如果断开连接 45 天,状态可能会更改为“已过期”。 不计费

是否需要在订阅和工作区上启用 Defender for Servers?

Defender for Servers 计划 1 不依赖于 Log Analytics。 在订阅级别启用 Defender for Servers 计划 2 后,Defender for Cloud 将在默认 Log Analytics 工作区中自动启用该计划。 如果使用自定义工作区,请确保在工作区上启用该计划。 详细信息如下:

  • 如果你为订阅和已连接的自定义工作区启用 Defender for Servers,则不需要为两者付费。 系统会识别唯一的 VM。
  • 如果在跨订阅工作区中启用 Defender for Servers:
    • 对于 Log Analytics 代理,所有订阅中的已连接计算机都将计费,包括未启用 Defender for Servers 计划的订阅。
    • 对于 Azure Monitor 代理,Defender for Servers 的计费和功能范围仅取决于订阅中启用的计划。

如果我在工作区级别启用了 Defender for Servers 计划(不在订阅级别),会发生什么情况?

可以在 Log Analytics 工作区级别启用 Microsoft Defender for Servers,但只有向该工作区报告的服务器才会受到保护和计费,并且这些服务器不会获得某些权益,例如 Microsoft Defender for Endpoint、漏洞评估和即时 VM 访问。

500 MB 的免费数据引入限额是按工作区还是按计算机应用的?

启用 Defender for Servers 计划 2 后,每天可获得 500 MB 的免费数据引入。 此授权额度仅适用于直接由 Defender for Cloud 收集的安全数据类型。

此授权额度在所有节点中按每日比率平摊。 每日免费限额总量等于 [计算机数] x 500 MB。 即使某些计算机发送 100 MB,而其他计算机发送 800 MB,只要总量不超过每日总免费限额,则不会收取额外费用。

每日限额包含哪些数据类型?

Defender for Cloud 的计费与 Log Analytics 计费密切相关。 Microsoft Defender for Servers 根据以下安全数据类型子集为计算机提供每天每节点 500 MB 配额:

如果工作区位于旧的每节点定价层,则将合并 Defender for Cloud 和 Log Analytics 分配,并合用于所有可计费的引入数据。

我是否需要为未安装 Log Analytics 的计算机付费?

是。 需要为 Azure 订阅、连接的 AWS 帐户或连接的 GCP 项目中受 Defender for Servers 保护的所有计算机付费。 “计算机”一词包括 Azure 虚拟机、Azure 虚拟机规模集实例和已启用 Azure Arc 的服务器。 未安装 Log Analytics 的计算机受不依赖于 Log Analytics 代理的保护功能保护。

计算机上 运行的这个“MDE.Windows”/“MDE.Linux”扩展是什么?

过去,Microsoft Defender for Endpoint 由 Log Analytics 代理预配。 扩展支持以包括 Windows Server 2019 和 Linux 时,我们还添加了一个扩展来执行自动载入。

Defender for Cloud 会自动将扩展部署到运行以下内容的计算机:

  • Windows Server 2019 和 Windows Server 2022
  • Windows Server 2012 R2 和 2016(如果启用了 MDE 统一解决方案集成
  • Azure 虚拟桌面上的 Windows 10。
  • 其他版本的 Windows Server,前提是 Defender for Cloud 无法识别操作系统版本(例如,使用自定义 VM 映像时)。 在本例中,Microsoft Defender for Endpoint 仍然由 Log Analytics 代理预配。
  • Linux。

重要

如果删除 MDE.Windows/MDE.Linux 扩展,系统不会删除 Microsoft Defender for Endpoint。 要登出计算机,请参阅登出 Windows 服务器

我已启用解决方案,但 `MDE.Windows`/`MDE.Linux` 扩展未在计算机上显示

如果已启用集成,但仍未看到扩展在计算机上运行:

  1. 需要等待至少 12 小时才能确定存在要调查的问题。
  2. 如果 12 小时后仍看不到扩展在计算机上运行,请检查是否满足集成的先决条件
  3. 确保已为与要调查的计算机相关的订阅启用 Microsoft Defender for Servers 计划。
  4. 如果在 Azure 租户之间移动了 Azure 订阅,则还需要执行一些手动预备步骤,然后 Defender for Cloud 才会部署 Defender for Endpoint。 有关完整的详细信息,请联系 Microsoft 支持人员

Microsoft Defender for Endpoint 有哪些许可要求?

适用于服务器的 Defender for Endpoint 许可证在 Microsoft Defender for Servers 中随附。

我是否需要购买单独的反恶意软件解决方案来保护我的计算机?

不是。 通过 Defender for Servers 中的 Defender for Endpoint 集成,你还将在计算机上获得恶保护。

  • 在启用了 Defender for Endpoint 统一解决方案集成的 Windows Server 2012 R2 上,Defender for Servers 会在主动模式下部署 Microsoft Defender 防病毒
  • 在较新的 Windows Server 操作系统上,Microsoft Defender Antivirus 是操作系统的一部分,将在活动模式下启用。
  • 在 Linux 上,Defender for Servers 会部署包含反恶意软件组件的 Defender for Endpoint,并将组件设置为被动模式

如何从非 Microsoft EDR 工具进行切换?

有关从非 Microsoft 终结点解决方案进行切换的完整说明,请参阅 Microsoft Defender for Endpoint 文档:迁移概述

Defender for Servers 支持哪个 Microsoft Defender for Endpoint 计划?

Defender for Servers 计划 1 和计划 2 提供 Microsoft Defender for Endpoint 计划 2 的功能。

为什么我会在我的推荐应用程序中看到 Qualys 应用?

Microsoft Defender for Servers 可为你的计算机提供漏洞扫描服务。 无需具备 Qualys 许可证,甚至不需要 Qualys 帐户 - Defender for Cloud 可无缝处理一切。 如需此扫描程序的详细信息及其部署方式说明,请参阅 Defender for Cloud 的集成 Qualys 漏洞评估解决方案

为什么资产清单中没有显示我的所有资源,例如订阅、计算机、存储帐户?

清单视图从云安全态势管理 (CSPM) 的角度列出已连接到 Defender for Cloud 的资源。 筛选器仅显示具有活动建议的资源。

例如,如果有权访问八个订阅,但当前只有七个订阅有建议,则按“资源类型 = 订阅”筛选仅显示具有活动建议的七个订阅:

何时应使用“拒绝所有流量”规则?

如果由于运行算法而导致 Defender for Cloud 未根据现有 NSG 配置识别应允许的流量,则建议使用“拒绝所有流量”规则。 因此,建议的规则是拒绝发往指定端口的所有流量。 此类型规则的名称显示为“系统生成”。 强制执行此规则后,此规则在 NSG 中的实际名称将是包含协议、流量方向、“DENY”和随机数字的字符串。

如何实现部署安全配置建议的先决条件?

部署具有以下先决条件的来宾配置扩展:

  • 对于选定的计算机,请遵循“实施安全最佳做法”安全控制中的安全建议“应在计算机上安装来宾配置扩展” 。

  • 大规模分配策略计划“部署先决条件以在虚拟机上启用来宾配置策略”。

为什么计算机显示为“不适用”?

“不适用”选项卡中的资源列表包含“原因”列 。 一些常见原因包括:

Reason 详细信息
计算机上没有可用的扫描数据 在 Azure Resource Graph 中,此计算机没有任何符合性结果。 所有符合性结果均由来宾配置扩展写入 Azure Resource Graph。 可使用 Azure 策略来宾配置-示例 ARG 查询中的示例查询来检查 Azure Resource Graph 中的数据。
计算机上未安装来宾配置扩展 计算机缺少来宾配置扩展,这是评估 Azure 安全基线的符合性的先决条件。
计算机上未配置系统托管标识 必须在计算机上部署系统分配的托管标识。
策略中禁用了建议 在包含相关计算机的作用域上禁用评估 OS 基线的策略定义。

如果我在订阅级别启用了 Defender for Clouds 服务器计划,是否需要在工作区级别启用该计划?

在订阅级别启用 Servers 计划后,Defender for Cloud 会自动在默认工作区启用 Servers 计划。 连接到默认工作区:选择“将 Azure VM 连接到 Defender for Cloud 创建的默认工作区”选项,然后选择“应用”。

屏幕截图显示如何自动预配 Defender for Cloud 来管理工作区。

但是,如果使用自定义工作区代替默认工作区,则需要在所有未启用 Servers 计划的自定义工作区上启用 Servers 计划。

如果使用自定义工作区并仅在订阅级别启用计划,则 Microsoft Defender for servers should be enabled on workspaces 建议会显示在“建议”页上。 此建议提供使用“修复”按钮在工作区级别启用服务器计划的选项。 即使未为工作区启用 Servers 计划,你也需要为订阅中的所有 VM 付费。 VM 不会从依赖于 Log Analytics 工作区的功能中受益,例如 Microsoft Defender for Endpoint、VA 解决方案 (MDVM/Qualys)、即时 VM 访问。

同时在订阅及其连接的工作区上启用 Servers 计划不会产生双重费用。 系统会识别每个唯一的 VM。

如果在跨订阅工作区上启用 Servers 计划,则所有订阅(包括未启用服务器计划的订阅)中连接的 VM 都将进行计费。

是否需要为未安装 Log Analytics 代理的计算机付费?

是的。 在 Azure 订阅或连接的 AWS 帐户上启用 Microsoft Defender for Servers 时,将对所有连接到 Azure 订阅或 AWS 帐户的计算机收费。 计算机一词包括 Azure 虚拟机、Azure 虚拟机规模集实例和已启用 Azure Arc 的服务器。 未安装 Log Analytics 的计算机受不依赖于 Log Analytics 代理的保护功能保护。

如果 Log Analytics 代理向多个工作区报告,是否需要重复付费?

如果计算机向多个工作区报告,而所有这些工作区都启用了 Defender for Servers,则系统会针对每个附加的工作区向计算机收费。

如果 Log Analytics 代理向多个工作区报告,是否所有工作区上均提供 500-MB 的免费数据引入?

是的。 如果已将 Log Analytics 代理配置为将数据发送到两个或多个不同的 Log Analytics 工作区(多宿主),则你将在每个工作区获得 500 MB 的免费数据引入。 它是按每个节点、每个报告的工作区、每一天来计算的,适用于安装了“安全”或“反恶意软件”解决方案的所有工作区。 你需要为超出 500 MB 限制的引入数据付费。

500 MB 免费数据引入量是针对整个工作区计算还是严格按每台计算机计算得出的?

每个连接到工作区的虚拟机 (VM) 每天可获得 500 MB 的免费数据限额。 此分配特别适用于 Defender for Cloud 直接收集的安全数据类型。

数据限额是综合所有已连接计算机计算出的每日额度。 每日免费限额总量等于 [计算机数] x 500 MB。 因此,即使某一日某些计算机发送 100 MB 的数据,而另一些发送 800 MB 的数据,只要所有计算机的数据总量不超过每日免费限额,你就不会额外付费。

每日 500 MB 数据限额中包含哪些数据类型?

Defender for Cloud 的账单与 Log Analytics 账单密切相关。 Microsoft Defender for Servers 根据以下安全数据类型子集对计算机提供 500 MB/节点/天分配额:

如果工作区位于旧的每节点定价层,则将合并 Defender for Cloud 和 Log Analytics 分配,并合用于所有可计费的引入数据。 若要详细了解 Microsoft Sentinel 客户如何受益,请参阅 Microsoft Sentinel 定价页

如何监视每日使用情况?

可以通过两种不同的方式查看数据使用情况,即通过 Azure 门户或运行脚本。

在 Azure 门户中查看使用情况

  1. 登录 Azure 门户

  2. 导航到“Log Analytics 工作区”。

  3. 选择工作区。

  4. 选择“使用情况和预估成本”。

    Log Analytics 工作区的数据使用情况的屏幕截图。

还可以通过为每个定价层选择 ,查看不同定价层的预估成本。

屏幕截图显示如何在其他定价层下查看估计成本。

使用脚本查看使用情况

  1. 登录 Azure 门户

  2. 导航到“Log Analytics 工作区”>“日志”。

  3. 选择时间范围。 了解时间范围

  4. 将以下查询复制并粘贴到“在此处键入查询”部分。

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. 选择“运行”。

    屏幕截图显示用于输入查询的位置以及所选运行按钮所在的位置。

可以了解如何分析 Log Analytics 工作区中的使用情况

根据使用情况,除非使用了每日津贴,否则无需付费。 如果收到帐单,则该帐单仅针对达到 500 MB 限制后使用的数据,或针对不属于 Defender for Cloud 覆盖范围的其他服务。

如何管理成本?

你可能希望管理你的成本,并通过仅允许特定的一组代理使用解决方案来限制为解决方案收集的数据量。 使用解决方案目标向解决方案应用一个范围,并可将目标设定为工作区中的一个计算机子集。 如果使用解决方案目标功能,Defender for Cloud 会将工作区列为没有解决方案。

重要

解决方案目标功能已弃用,因为 Log Analytics 代理正在替换为 Azure Monitor 代理,并且 Azure Monitor 中的解决方案正在替换为见解。 如果配置了解决方案目标设定功能,则可以继续使用该功能,但在新区域中不可用。 2024 年 8 月 31 日之后,不支持该功能。 在弃用日期之前支持解决方案目标功能的区域有:

区域代码 区域名称
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB 阿拉伯联合酋长国北部
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU NorthEurope
NOE norwayeast
PAR FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
气隙云 区域代码 区域名称
UsNat EXE usnateast
UsNat EXW usnatwest
UsGov FF usgovvirginia
中国 MC ChinaEast2
UsGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest