選取適用於伺服器的Defender方案和部署範圍
本文可協助您瞭解要在 適用於雲端的 Microsoft Defender 中部署的伺服器Defender 方案。
開始之前
本文是適用於伺服器的 Defender 規劃指南中的第三篇文章。 在開始之前,請檢閱先前的文章:
- 開始 規劃您的部署。
- 檢閱 適用於伺服器的Defender存取角色。
檢閱計畫
適用於伺服器的Defender提供兩個付費方案:
適用於伺服器的Defender方案1是入門層級,並著重於適用於端點的Defender與 適用於雲端的 Defender整合所提供的 端點偵測及回應 (EDR) 功能。
適用於伺服器的 Defender 方案 2 提供與方案 1 相同的功能等等
- 無代理程式掃描計算機狀態掃描 、弱點評估、威脅防護、惡意代碼掃描和秘密掃描。
- 針對各種法規標準的合規性評估 。 適用於伺服器的Defender方案2或任何其他付費方案都可使用。
- 進階 Microsoft Defender 弱點管理 所提供的功能。
- 特定數據類型的免費數據擷取權益 。
- 針對Microsoft雲端安全性效能評定中的計算安全性基準進行OS組態評估 。
- 已整合至適用於伺服器的 Defender 的 Azure 更新評估 作業系統更新評估。
- 檔案完整性監視 可檢查檔案和登錄是否有可能表示攻擊的變更。
- Just-In-Time 機器存取 以鎖定計算機埠並減少受攻擊面。
- 網路對應 可取得網路建議的地理檢視。
如需完整清單,請檢閱 適用於伺服器的Defender方案功能。
決定部署範圍
建議您在訂用帳戶層級啟用適用於伺服器的 Defender,但如果您需要部署粒度,可以在資源層級啟用和停用適用於伺服器的 Defender 方案。
| Scope | 方案 1 | 方案 2 |
|---|---|---|
| 啟用 Azure 訂用帳戶 | Yes | Yes |
| 啟用資源 | 是 | No |
| 停用資源 | Yes | Yes |
- 方案 1 可以在資源層級啟用和停用。
- 方案 2 無法在資源層級啟用,但您可以在資源層級停用計劃。
以下是一些使用案例範例,可協助您決定適用於伺服器的 Defender 部署範圍。
| 使用案例 | 在訂用帳戶中啟用 | 詳細資料 | 方法 |
|---|---|---|---|
| 開啟訂用帳戶 | Yes | 我們建議使用這個選項。 | 在入口網站中開啟。 您也可以在入口網站中關閉整個訂用帳戶的方案。 |
| 開啟多部計算機的方案 1 | No | 您可以使用腳本或原則來為一組機器啟用方案 1,而不需開啟整個訂用帳戶的方案。 | 在腳本中,使用資源標籤或資源群組指定相關的機器。 然後遵循畫面上的指示。 使用原則,在資源群組上建立指派,或使用資源標記指定相關的機器。 標籤是客戶專屬的。 |
| 開啟多部計算機的方案 1 | Yes | 如果訂用帳戶中已啟用適用於伺服器的 Defender 方案 2,您可以使用腳本或原則指派,將一組機器降級為適用於伺服器的 Defender 方案 1。 | 在腳本中,使用資源標籤或資源群組指定相關的機器。 然後遵循畫面上的指示。 使用原則,在資源群組上建立指派,或使用資源標記指定相關的機器。 標籤是客戶專屬的。 |
| 開啟個別計算機的方案 1 | No | 當訂用帳戶中未啟用適用於伺服器的 Defender 時,您可以使用 API 來開啟個別電腦的方案 1。 | 使用 Azure Microsoft安全性 定價作業群組。 在 [更新定價] 中,使用 PUT 要求將 pricingTier 屬性設定為 標準 ,並將 subPlan 設定為 P1。 pricingTier 屬性會指出是否在選取的範圍上啟用方案。 |
| 開啟個別計算機的方案 1 | Yes | 在訂用帳戶中啟用適用於伺服器的 Defender 方案 2 時,您可以使用 API 來針對訂用帳戶中的個別電腦開啟方案 1,而不是方案 2。 | 使用 Azure Microsoft安全性 定價作業群組。 在 [更新定價] 中,使用 PUT 要求將 pricingTier 屬性設定為 標準 ,並將 subPlan 設定為 P1。 pricingTier 屬性會指出是否在選取的範圍上啟用方案。 |
| 關閉多部機器的計劃 | 是/否 | 不論方案是在訂用帳戶中開啟或關閉,您都可以關閉一組機器的計劃。 | 使用文稿或原則,以使用資源卷標或資源群組來指定相關機器。 |
| 關閉特定機器的計劃 | 是/否 | 不論方案是在訂用帳戶中開啟或關閉,您都可以關閉特定計算機的方案。 | 在 [更新定價] 中,使用 PUT 要求將 pricingTier 屬性設定為 free ,並將 subPlan 設定為 P1。 |
| 刪除個別電腦上的計劃設定 | 是/否 | 從計算機移除組態,讓全訂用帳戶設定生效。 | 在 [更新定價] 中,使用 [刪除 ] 要求來移除設定。 |
| 刪除多個資源上的方案 | 從資源群組中移除組態,讓整個訂用帳戶設定生效。 | 在腳本中,使用資源群組或標籤指定相關的機器。 然後遵循螢幕上的指示。 |
深入瞭解 如何在訂用帳戶和特定資源上部署方案。
工作區注意事項
適用於伺服器的 Defender 需要 Log Analytics 工作區::
Azure ARC 上線
建議您在非 Azure 雲端和內部部署中將機器上線至 Azure,作為已啟用 Azure Arc 的 VM。 啟用為 Azure Arc VM 可讓機器充分利用適用於伺服器的 Defender 功能。 已啟用 Azure Arc 的機器已安裝 Azure Arc 連線機器代理程式。
- 當您使用 適用於雲端的 Defender 多重雲端連接器連線到 AWS 帳戶和 GCP 專案時,您可以自動將 Azure Arc 代理程式上線至 AWS 或 GCP 伺服器。
- 建議您將 內部部署機器上線為已啟用 Azure Arc 的機器。
- 雖然您可以直接安裝適用於端點的 Defender 代理程式,而不是使用 Azure Arc 將機器上線,但可以使用適用於伺服器的 Defender 方案功能來將內部部署機器上線。 針對適用於伺服器的 Defender 方案 2,除了方案 1 功能之外,只有進階 Defender 弱點管理功能可供使用。
部署 Azure Arc 之前:
- 檢閱 Azure Arc 所支援的作業系統完整清單 。
- 請檢閱 Azure Arc 規劃建議和部署必要條件。
- 檢閱連線機器代理程式的網路需求 。
- 在防火牆中開啟 Azure Arc 的網路連接埠。
- 檢閱連線機器代理程式的需求:
下一步
瞭解如何將數據收集 至 Azure。