Microsoft Defender for Cloud 的增強(qiáng)的安全性功能

Azure 安全中心和 Azure Defender 現(xiàn)在稱為 Microsoft Defender For Cloud。 我們還將 Azure Defender 計(jì)劃重命名為了 Microsoft Defender 計(jì)劃 。 例如，Azure Defender for Storage 現(xiàn)在名為 Microsoft Defender for Storage。

詳細(xì)了解 Microsoft 安全服務(wù)最近的重命名。

增強(qiáng)的安全性功能在前 30 天內(nèi)免費(fèi)。 30 天后，如果決定繼續(xù)使用服務(wù)，我們會(huì)自動(dòng)開始收取使用費(fèi)用。

可以從“環(huán)境設(shè)置”頁升級(jí)，如快速入門：啟用增強(qiáng)的安全性功能中所述。 有關(guān)所選貨幣以及你所在區(qū)域的定價(jià)詳細(xì)信息，請(qǐng)參閱定價(jià)頁。

啟用增強(qiáng)的安全性功能有什么好處？

Defender for Cloud 支持兩種模式：

• 未啟用增強(qiáng)的安全性功能（免費(fèi)）- 當(dāng)你首次在 Azure 門戶中訪問工作負(fù)載保護(hù)儀表板時(shí)，或者通過 API 以編程方式啟用后，會(huì)在你的所有 Azure 訂閱上免費(fèi)啟用 Defender for Cloud。 此免費(fèi)模式可提供安全分?jǐn)?shù)及其相關(guān)功能：安全策略、持續(xù)的安全評(píng)估和切實(shí)可行的安全建議，用以幫助你保護(hù) Azure 資源。

• 啟用了所有增強(qiáng)的安全性功能的 Defender for Cloud - 啟用增強(qiáng)的安全性后，會(huì)將免費(fèi)模式的功能擴(kuò)展到私有云和其他公有云中運(yùn)行的工作負(fù)載，并在混合云工作負(fù)載中提供了統(tǒng)一的安全管理和威脅防護(hù)。 部分主要好處包括：

• Microsoft Defender for Endpoint - 適用于服務(wù)器的 Microsoft Defender 包括 Microsoft Defender for Endpoint，以實(shí)現(xiàn)全面的終結(jié)點(diǎn)檢測和響應(yīng) (EDR)。 如需詳細(xì)了解結(jié)合使用 Microsoft Defender for Endpoint 和 Defender for Cloud 的好處，請(qǐng)參閱使用 Defender for Cloud 的集成 EDR 解決方案。

• 針對(duì)虛擬機(jī)、容器注冊表和 SQL 資源的漏洞評(píng)估 - 輕松啟用漏洞評(píng)估解決方案來發(fā)現(xiàn)、管理和解決漏洞。 直接從 Defender for Cloud 中查看、調(diào)查和修正結(jié)果。

• 多云安全性 - 從 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 連接你的帳戶，以使用一系列 Microsoft Defender for Cloud 安全性功能保護(hù)這些平臺(tái)上的資源和工作負(fù)載。

• 混合安全 – 在所有本地和云工作負(fù)載上獲得統(tǒng)一的安全視圖。 應(yīng)用安全策略并持續(xù)評(píng)估混合云工作負(fù)載的安全性，確保符合安全標(biāo)準(zhǔn)。 收集、搜索并分析來自多個(gè)源（包括防火墻和其他合作伙伴解決方案）的安全數(shù)據(jù)。

• 威脅防護(hù)警報(bào) - 高級(jí)行為分析和 Microsoft Intelligent Security Graph 針對(duì)不斷演變的網(wǎng)絡(luò)攻擊提供防護(hù)邊界。 內(nèi)置行為分析和機(jī)器學(xué)習(xí)可識(shí)別攻擊和零時(shí)差攻擊。 監(jiān)視網(wǎng)絡(luò)、計(jì)算機(jī)、數(shù)據(jù)存儲(chǔ)（托管在 Azure、Azure SQL 數(shù)據(jù)庫、Azure SQL 托管實(shí)例和 Azure 存儲(chǔ)內(nèi)部和外部的 SQL 服務(wù)器）和云服務(wù)是否有傳入的攻擊和入侵后活動(dòng)。 使用交互工具和上下文威脅智能簡化調(diào)查。

• 跟蹤是否符合一系列標(biāo)準(zhǔn) - Defender for Cloud 持續(xù)評(píng)估混合云環(huán)境，根據(jù) Azure 安全基準(zhǔn)中的控制措施和最佳做法來分析風(fēng)險(xiǎn)因素。 啟用增強(qiáng)的安全性功能后，可以根據(jù)組織的需要應(yīng)用一系列其他行業(yè)標(biāo)準(zhǔn)、監(jiān)管標(biāo)準(zhǔn)和基準(zhǔn)。 添加標(biāo)準(zhǔn)并在監(jiān)管合規(guī)性儀表板中跟蹤是否符合這些標(biāo)準(zhǔn)。

• 訪問權(quán)限和應(yīng)用程序控制 - 通過應(yīng)用適合特定工作負(fù)載且由機(jī)器學(xué)習(xí)提供支持的建議來創(chuàng)建允許列表和阻止列表，阻止惡意軟件和其他不需要的應(yīng)用程序。 實(shí)時(shí)減小網(wǎng)絡(luò)受攻擊面，控制對(duì) Azure VM 上的管理端口的訪問。 訪問和應(yīng)用程序控制顯著降低了遭受暴力攻擊和其他網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

• 容器安全功能 - 獲得在容器化環(huán)境中進(jìn)行漏洞管理和實(shí)時(shí)威脅保護(hù)的好處。 根據(jù)推送到已連接注冊表的唯一容器映像的數(shù)量收費(fèi)。 一個(gè)映像經(jīng)過一次掃描后，不會(huì)再對(duì)其收取相關(guān)費(fèi)用，除非再次對(duì)其進(jìn)行了修改和推送。

• 適用于連接到 Azure 的資源的廣度威脅防護(hù) - 針對(duì)所有資源通用的 Azure 服務(wù)的云原生威脅防護(hù)：Azure 資源管理器、Azure DNS、Azure 網(wǎng)絡(luò)層和 Azure Key Vault。 Defender for Cloud 對(duì) Azure 管理層和 Azure DNS 層具有獨(dú)特的可見性，因此可以保護(hù)連接到這些層的云資源。

如何跟蹤組織中的哪個(gè)成員在 Defender for Cloud 中啟用了 Microsoft Defender 計(jì)劃？

Azure 訂閱可能具有多個(gè)管理員，這些管理員有權(quán)更改定價(jià)設(shè)置。 若要找到做出更改的用戶，請(qǐng)使用 Azure 活動(dòng)日志。

如果“事件發(fā)起者”列中未列出用戶信息，請(qǐng)查看事件的 JSON 了解相關(guān)詳細(xì)信息。

Defender for Cloud 提供哪些計(jì)劃？

Microsoft Defender for Cloud 的免費(fèi)產(chǎn)品/服務(wù)提供安全評(píng)分和相關(guān)工具。 啟用增強(qiáng)的安全性會(huì)開啟所有 Microsoft Defender 計(jì)劃，為 Azure、混合和多云環(huán)境中的所有資源提供一系列安全性好處。

如何為我的訂閱啟用 Defender for Cloud 的增強(qiáng)的安全性？

可以使用以下任一方法為訂閱啟用增強(qiáng)的安全性：

能否在我的訂閱中為服務(wù)器子集上的服務(wù)器啟用 Microsoft Defender？

不是。 在訂閱上啟用適用于服務(wù)器的 Microsoft Defender 時(shí)，適用于服務(wù)器的 Defender 會(huì)保護(hù)訂閱中的所有計(jì)算機(jī)。

替代方法如下：在 Log Analytics 工作區(qū)級(jí)別為服務(wù)器啟用 Microsoft Defender。 如果執(zhí)行此操作，將僅保護(hù)向該工作區(qū)報(bào)告的服務(wù)器并對(duì)其計(jì)費(fèi)。 但某些功能將不可用。 其中包括實(shí)時(shí) VM 訪問、網(wǎng)絡(luò)檢測、法規(guī)合規(guī)性、自適應(yīng)網(wǎng)絡(luò)強(qiáng)化、自適應(yīng)應(yīng)用程序控制等。

如果已有 Microsoft Defender for Endpoint 許可證，能否為服務(wù)器獲得 Defender 的折扣？

如果你已獲得 Microsoft Defender for Endpoint 的許可證，則無需為適用于服務(wù)器的 Defender 許可證的相應(yīng)部分付費(fèi)。

若要請(qǐng)求折扣，請(qǐng)與 Defender for Cloud 的支持團(tuán)隊(duì)聯(lián)系，并提供相關(guān)的工作區(qū) ID、區(qū)域以及為給定工作區(qū)中的計(jì)算機(jī)應(yīng)用的 Microsoft Defender for Endpoint 許可證數(shù)。

該折扣將從批準(zhǔn)之日起生效，不具追溯效力。

我的訂閱已為服務(wù)器啟用了 Microsoft Defender，是否需要為未運(yùn)行的服務(wù)器付費(fèi)？

不是。 如果在訂閱中啟用適用于服務(wù)器的 Microsoft Defender，則在計(jì)算機(jī)處于已解除分配電源狀態(tài)時(shí)，你都無需為此狀態(tài)的任何計(jì)算機(jī)付費(fèi)。 計(jì)算機(jī)按照下表中所示的電源狀態(tài)進(jìn)行計(jì)費(fèi)：

是否需要為未安裝 Log Analytics 代理的計(jì)算機(jī)付費(fèi)？

是的。 在訂閱上啟用適用于服務(wù)器的 Microsoft Defender 時(shí)，即使未安裝 Log Analytics 代理，該訂閱中的計(jì)算機(jī)也會(huì)受到一系列保護(hù)。 這適用于 Azure 虛擬機(jī)、Azure 虛擬機(jī)規(guī)模集實(shí)例和已啟用 Azure Arc 的服務(wù)器。

如果 Log Analytics 代理向多個(gè)工作區(qū)報(bào)告，是否需要重復(fù)付費(fèi)？

是的。 如果已將 Log Analytics 代理配置為將數(shù)據(jù)發(fā)送到兩個(gè)或更多個(gè)不同的 Log Analytics 工作區(qū)（多宿主），則需為每個(gè)安裝了“安全”或“反惡意軟件”解決方案的工作區(qū)付費(fèi)。

如果 Log Analytics 代理向多個(gè)工作區(qū)報(bào)告，是否所有工作區(qū)上均提供 500-MB 的免費(fèi)數(shù)據(jù)引入？

是的。 如果已將 Log Analytics 代理配置為將數(shù)據(jù)發(fā)送到兩個(gè)或多個(gè)不同的 Log Analytics 工作區(qū)（多宿主），則將獲得 500-MB 的免費(fèi)數(shù)據(jù)引入。 它是按每個(gè)節(jié)點(diǎn)、每個(gè)報(bào)告的工作區(qū)、每一天來計(jì)算的，適用于安裝了“安全”或“反惡意軟件”解決方案的所有工作區(qū)。 你將需要為超出 500 MB 限制的引入數(shù)據(jù)付費(fèi)。

500 MB 免費(fèi)數(shù)據(jù)引入量是針對(duì)整個(gè)工作區(qū)計(jì)算還是嚴(yán)格按每臺(tái)計(jì)算機(jī)計(jì)算得出的？

對(duì)于連接到工作區(qū)的每臺(tái) Windows 計(jì)算機(jī)，每天可免費(fèi)引入 500 MB 的數(shù)據(jù)。 專用于直接由 Defender for Cloud 收集的安全數(shù)據(jù)類型。

此數(shù)據(jù)在所有節(jié)點(diǎn)中按每日費(fèi)率平攤。 因此，即使某些計(jì)算機(jī)發(fā)送 100 MB 的數(shù)據(jù)，另一些發(fā)送 800 MB 的數(shù)據(jù)，只要總量不超過免費(fèi)限額（[計(jì)算機(jī)數(shù)量] x 500 MB），我們就不會(huì)對(duì)你額外收費(fèi)。

每日 500 MB 數(shù)據(jù)限額中包含哪些數(shù)據(jù)類型？

Defender for Cloud 的賬單與 Log Analytics 賬單密切相關(guān)。 Microsoft Defender for Servers 根據(jù)以下安全數(shù)據(jù)類型子集對(duì) Windows 計(jì)算機(jī)提供 500 MB/節(jié)點(diǎn)/天分配額：

• SecurityAlert

• SecurityBaseline

• SecurityBaselineSummary

• SecurityDetection

• SecurityEvent

• WindowsFirewall

• MaliciousIPCommunication

• SysmonEvent

• ProtectionStatus

• 當(dāng)工作區(qū)上未在運(yùn)行更新管理解決方案或者啟用了解決方案目標(biāo)設(shè)定時(shí)，將更新 UpdateSummary 數(shù)據(jù)類型

如果工作區(qū)位于舊的每節(jié)點(diǎn)定價(jià)層，則將合并 Defender for Cloud 和 Log Analytics 分配，并合用于所有可計(jì)費(fèi)的引入數(shù)據(jù)。