Microsoft Defender for Cloud 的增強的安全性功能

Azure 安全中心和 Azure Defender 現(xiàn)在稱為 Microsoft Defender For Cloud。 我們還將 Azure Defender 計劃重命名為了 Microsoft Defender 計劃 。 例如，Azure Defender for Storage 現(xiàn)在名為 Microsoft Defender for Storage。

詳細(xì)了解 Microsoft 安全服務(wù)最近的重命名。

增強的安全性功能在前 30 天內(nèi)免費。 30 天后，如果決定繼續(xù)使用服務(wù)，我們會自動開始收取使用費用。

可以從“環(huán)境設(shè)置”頁升級，如快速入門：啟用增強的安全性功能中所述。 有關(guān)所選貨幣以及你所在區(qū)域的定價詳細(xì)信息，請參閱定價頁。

啟用增強的安全性功能有什么好處？

Defender for Cloud 支持兩種模式：

• 未啟用增強的安全性功能（免費）- 當(dāng)你首次在 Azure 門戶中訪問工作負(fù)載保護儀表板時，或者通過 API 以編程方式啟用后，會在你的所有 Azure 訂閱上免費啟用 Defender for Cloud。 此免費模式可提供安全分?jǐn)?shù)及其相關(guān)功能：安全策略、持續(xù)的安全評估和切實可行的安全建議，用以幫助你保護 Azure 資源。

• 啟用了所有增強的安全性功能的 Defender for Cloud - 啟用增強的安全性后，會將免費模式的功能擴展到私有云和其他公有云中運行的工作負(fù)載，并在混合云工作負(fù)載中提供了統(tǒng)一的安全管理和威脅防護。 部分主要好處包括：

• Microsoft Defender for Endpoint - 適用于服務(wù)器的 Microsoft Defender 包括 Microsoft Defender for Endpoint，以實現(xiàn)全面的終結(jié)點檢測和響應(yīng) (EDR)。 如需詳細(xì)了解結(jié)合使用 Microsoft Defender for Endpoint 和 Defender for Cloud 的好處，請參閱使用 Defender for Cloud 的集成 EDR 解決方案。

• 針對虛擬機、容器注冊表和 SQL 資源的漏洞評估 - 輕松啟用漏洞評估解決方案來發(fā)現(xiàn)、管理和解決漏洞。 直接從 Defender for Cloud 中查看、調(diào)查和修正結(jié)果。

• 多云安全性 - 從 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 連接你的帳戶，以使用一系列 Microsoft Defender for Cloud 安全性功能保護這些平臺上的資源和工作負(fù)載。

• 混合安全 – 在所有本地和云工作負(fù)載上獲得統(tǒng)一的安全視圖。 應(yīng)用安全策略并持續(xù)評估混合云工作負(fù)載的安全性，確保符合安全標(biāo)準(zhǔn)。 收集、搜索并分析來自多個源（包括防火墻和其他合作伙伴解決方案）的安全數(shù)據(jù)。

• 威脅防護警報 - 高級行為分析和 Microsoft Intelligent Security Graph 針對不斷演變的網(wǎng)絡(luò)攻擊提供防護邊界。 內(nèi)置行為分析和機器學(xué)習(xí)可識別攻擊和零時差攻擊。 監(jiān)視網(wǎng)絡(luò)、計算機、數(shù)據(jù)存儲（托管在 Azure、Azure SQL 數(shù)據(jù)庫、Azure SQL 托管實例和 Azure 存儲內(nèi)部和外部的 SQL 服務(wù)器）和云服務(wù)是否有傳入的攻擊和入侵后活動。 使用交互工具和上下文威脅智能簡化調(diào)查。

• 跟蹤是否符合一系列標(biāo)準(zhǔn) - Defender for Cloud 持續(xù)評估混合云環(huán)境，根據(jù) Azure 安全基準(zhǔn)中的控制措施和最佳做法來分析風(fēng)險因素。 啟用增強的安全性功能后，可以根據(jù)組織的需要應(yīng)用一系列其他行業(yè)標(biāo)準(zhǔn)、監(jiān)管標(biāo)準(zhǔn)和基準(zhǔn)。 添加標(biāo)準(zhǔn)并在監(jiān)管合規(guī)性儀表板中跟蹤是否符合這些標(biāo)準(zhǔn)。

• 訪問權(quán)限和應(yīng)用程序控制 - 通過應(yīng)用適合特定工作負(fù)載且由機器學(xué)習(xí)提供支持的建議來創(chuàng)建允許列表和阻止列表，阻止惡意軟件和其他不需要的應(yīng)用程序。 實時減小網(wǎng)絡(luò)受攻擊面，控制對 Azure VM 上的管理端口的訪問。 訪問和應(yīng)用程序控制顯著降低了遭受暴力攻擊和其他網(wǎng)絡(luò)攻擊的風(fēng)險。

• 容器安全功能 - 獲得在容器化環(huán)境中進行漏洞管理和實時威脅保護的好處。 根據(jù)推送到已連接注冊表的唯一容器映像的數(shù)量收費。 一個映像經(jīng)過一次掃描后，不會再對其收取相關(guān)費用，除非再次對其進行了修改和推送。

• 適用于連接到 Azure 的資源的廣度威脅防護 - 針對所有資源通用的 Azure 服務(wù)的云原生威脅防護：Azure 資源管理器、Azure DNS、Azure 網(wǎng)絡(luò)層和 Azure Key Vault。 Defender for Cloud 對 Azure 管理層和 Azure DNS 層具有獨特的可見性，因此可以保護連接到這些層的云資源。

如何跟蹤組織中的哪個成員在 Defender for Cloud 中啟用了 Microsoft Defender 計劃？

Azure 訂閱可能具有多個管理員，這些管理員有權(quán)更改定價設(shè)置。 若要找到做出更改的用戶，請使用 Azure 活動日志。

如果“事件發(fā)起者”列中未列出用戶信息，請查看事件的 JSON 了解相關(guān)詳細(xì)信息。

Defender for Cloud 提供哪些計劃？

Microsoft Defender for Cloud 的免費產(chǎn)品/服務(wù)提供安全評分和相關(guān)工具。 啟用增強的安全性會開啟所有 Microsoft Defender 計劃，為 Azure、混合和多云環(huán)境中的所有資源提供一系列安全性好處。

如何為我的訂閱啟用 Defender for Cloud 的增強的安全性？

可以使用以下任一方法為訂閱啟用增強的安全性：

能否在我的訂閱中為服務(wù)器子集上的服務(wù)器啟用 Microsoft Defender？

不是。 在訂閱上啟用適用于服務(wù)器的 Microsoft Defender 時，適用于服務(wù)器的 Defender 會保護訂閱中的所有計算機。

替代方法如下：在 Log Analytics 工作區(qū)級別為服務(wù)器啟用 Microsoft Defender。 如果執(zhí)行此操作，將僅保護向該工作區(qū)報告的服務(wù)器并對其計費。 但某些功能將不可用。 其中包括實時 VM 訪問、網(wǎng)絡(luò)檢測、法規(guī)合規(guī)性、自適應(yīng)網(wǎng)絡(luò)強化、自適應(yīng)應(yīng)用程序控制等。

如果已有 Microsoft Defender for Endpoint 許可證，能否為服務(wù)器獲得 Defender 的折扣？

如果你已獲得 Microsoft Defender for Endpoint 的許可證，則無需為適用于服務(wù)器的 Defender 許可證的相應(yīng)部分付費。

若要請求折扣，請與 Defender for Cloud 的支持團隊聯(lián)系，并提供相關(guān)的工作區(qū) ID、區(qū)域以及為給定工作區(qū)中的計算機應(yīng)用的 Microsoft Defender for Endpoint 許可證數(shù)。

該折扣將從批準(zhǔn)之日起生效，不具追溯效力。

我的訂閱已為服務(wù)器啟用了 Microsoft Defender，是否需要為未運行的服務(wù)器付費？

不是。 如果在訂閱中啟用適用于服務(wù)器的 Microsoft Defender，則在計算機處于已解除分配電源狀態(tài)時，你都無需為此狀態(tài)的任何計算機付費。 計算機按照下表中所示的電源狀態(tài)進行計費：

是否需要為未安裝 Log Analytics 代理的計算機付費？

是的。 在訂閱上啟用適用于服務(wù)器的 Microsoft Defender 時，即使未安裝 Log Analytics 代理，該訂閱中的計算機也會受到一系列保護。 這適用于 Azure 虛擬機、Azure 虛擬機規(guī)模集實例和已啟用 Azure Arc 的服務(wù)器。

如果 Log Analytics 代理向多個工作區(qū)報告，是否需要重復(fù)付費？

是的。 如果已將 Log Analytics 代理配置為將數(shù)據(jù)發(fā)送到兩個或更多個不同的 Log Analytics 工作區(qū)（多宿主），則需為每個安裝了“安全”或“反惡意軟件”解決方案的工作區(qū)付費。

如果 Log Analytics 代理向多個工作區(qū)報告，是否所有工作區(qū)上均提供 500-MB 的免費數(shù)據(jù)引入？

是的。 如果已將 Log Analytics 代理配置為將數(shù)據(jù)發(fā)送到兩個或多個不同的 Log Analytics 工作區(qū)（多宿主），則將獲得 500-MB 的免費數(shù)據(jù)引入。 它是按每個節(jié)點、每個報告的工作區(qū)、每一天來計算的，適用于安裝了“安全”或“反惡意軟件”解決方案的所有工作區(qū)。 你將需要為超出 500 MB 限制的引入數(shù)據(jù)付費。

500 MB 免費數(shù)據(jù)引入量是針對整個工作區(qū)計算還是嚴(yán)格按每臺計算機計算得出的？

對于連接到工作區(qū)的每臺 Windows 計算機，每天可免費引入 500 MB 的數(shù)據(jù)。 專用于直接由 Defender for Cloud 收集的安全數(shù)據(jù)類型。

此數(shù)據(jù)在所有節(jié)點中按每日費率平攤。 因此，即使某些計算機發(fā)送 100 MB 的數(shù)據(jù)，另一些發(fā)送 800 MB 的數(shù)據(jù)，只要總量不超過免費限額（[計算機數(shù)量] x 500 MB），我們就不會對你額外收費。

每日 500 MB 數(shù)據(jù)限額中包含哪些數(shù)據(jù)類型？

Defender for Cloud 的賬單與 Log Analytics 賬單密切相關(guān)。 Microsoft Defender for Servers 根據(jù)以下安全數(shù)據(jù)類型子集對 Windows 計算機提供 500 MB/節(jié)點/天分配額：

• SecurityAlert

• SecurityBaseline

• SecurityBaselineSummary

• SecurityDetection

• SecurityEvent

• WindowsFirewall

• MaliciousIPCommunication

• SysmonEvent

• ProtectionStatus

• 當(dāng)工作區(qū)上未在運行更新管理解決方案或者啟用了解決方案目標(biāo)設(shè)定時，將更新 UpdateSummary 數(shù)據(jù)類型

如果工作區(qū)位于舊的每節(jié)點定價層，則將合并 Defender for Cloud 和 Log Analytics 分配，并合用于所有可計費的引入數(shù)據(jù)。