Integracja usługi Defender for Endpoint/Defender for Vulnerability Management

Usługa Microsoft Defender dla punktów końcowych i zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender są zintegrowane natywnie z usługą Defender for Cloud, aby zapewnić:

• Zintegrowane funkcje zabezpieczeń: funkcje zabezpieczeń udostępniane przez usługę Defender for Endpoint, Defender Vulnerability Management i Defender for Cloud łączą się w celu zapewnienia kompleksowej ochrony maszyn chronionych przez plan usługi Defender for Servers.
• Licencjonowanie: licencja usługi Defender for Servers zapewnia klientom te same korzyści na ich serwerach, jakie usługa Defender for Endpoint Plan 2 dostarcza na urządzeniach końcowych klienta. Opłaty za licencjonowanie są naliczane za godzinę zamiast za użytkownika, co zmniejsza koszty dzięki ochronie maszyn wirtualnych tylko wtedy, gdy są używane.
• Aprowizowanie agenta: Defender for Cloud może automatycznie aprowizować czujnik Defender for Endpoint na obsługiwanych maszynach połączonych z Defender for Cloud.
• Ujednolicone alerty: alerty i dane luk w zabezpieczeniach z usługi Defender for Endpoint są wyświetlane w Defender dla Chmury w witrynie Azure Portal. Możesz przejść do portalu usługi Defender, aby przejść do szczegółów szczegółowych informacji i kontekstu alertu.

Możliwości zabezpieczeń

Usługa Defender for Cloud integruje funkcje zabezpieczeń zapewniane przez usługę Defender for Endpoint i Defender Vulnerability Management.

• Zarządzanie lukami w zabezpieczeniach: zapewniane przez usługę Defender Vulnerability Management.

  • Funkcje obejmują spis znanych oprogramowania, ciągłą ocenę luk w zabezpieczeniach i szczegółowe informacje, wskaźnik bezpieczeństwa dla urządzeń, zalecenia dotyczące zabezpieczeń z priorytetem i korygowanie luk w zabezpieczeniach.
  • Integracja z usługą Defender Vulnerability Management zapewnia również funkcje w warstwie Premium w usłudze Defender for Servers (plan 2).

• Zmniejszenie obszaru podatnego na ataki: stosowanie reguł zmniejszania obszaru ataków w celu zmniejszenia narażenia na zabezpieczenia.

• Ochrona nowej generacji zapewniająca ochronę przed złośliwym kodem i oprogramowaniem antywirusowym.

• Wykrywanie i reagowanie na punkty końcowe (EDR): EDR wykrywa, bada i reaguje na zaawansowane zagrożenia, w tym zaawansowane wyszukiwanie zagrożeń oraz funkcje automatycznego badania i korygowania.

• Analiza zagrożeń. Uzyskiwanie danych analizy zagrożeń udostępnianych przez zespoły łowców zagrożeń i zespołów ds. zabezpieczeń firmy Microsoft, uzupełnione danymi wywiadowczymi udostępnianymi przez partnerów. Alerty zabezpieczeń są generowane, gdy usługa Defender for Endpoint identyfikuje narzędzia, techniki i procedury atakujące.

Architektura integracji

Usługa Defender for Endpoint automatycznie tworzy konto dzierżawcy, gdy korzystasz z usługi Defender for Cloud do monitorowania maszyn.

Usługa Defender for Endpoint przechowuje zebrane dane w lokalizacji geograficznej klienta zidentyfikowanej podczas aprowizacji.

• Dane klienta w formie pseudonimizowanej mogą być również przechowywane w centralnych systemach magazynowania i przetwarzania w Stany Zjednoczone.
• Po skonfigurowaniu lokalizacji nie można jej zmienić.
• Jeśli masz własną licencję dla usługi Defender dla punktu końcowego i musisz przenieść dane do innej lokalizacji, skontaktuj się z pomocą techniczną firmy Microsoft, aby zresetować dzierżawę.

Stan wykrywania i włączenia zasobów

Usługa Defender for Cloud może odnajdywać maszyny niezależnie od wdrożenia usługi Microsoft Defender for Endpoint.

Maszyny istniejące w środowiskach platformy Azure, z obsługą usługi Azure Arc lub połączone konta wielochmurowe (AWS, GCP) są identyfikowane przez usługę Defender for Cloud za pośrednictwem natywnych procesów odnajdywania zasobów. Te maszyny mogą być wyświetlane w spisie urządzeń usługi Defender for Endpoint jeszcze przed zainstalowaniem i raportowaniem czujnika usługi Defender for Endpoint.

W tym stanie urządzenia mogą wyświetlać usługę Defender for Cloud jako źródło odnajdywania i stan Można dołączyć, co oznacza, że maszyna jest znana usłudze Defender for Cloud, ale nie jest jeszcze dołączona do usługi Defender for Endpoint. Dołączanie odbywa się dopiero po wdrożeniu czujnika Defender for Endpoint i pomyślnym raportowaniu do usługi.

Przenoszenie między subskrypcjami

Usługę Defender for Endpoint dla serwerów można przenieść między subskrypcjami w tej samej dzierżawie lub między różnymi dzierżawami.

• Przejdź do innej subskrypcji w tej samej dzierżawie: aby przenieść rozszerzenie usługi Defender for Endpoint dla serwerów do innej subskrypcji w tej samej dzierżawie, usuń MDE.Linux rozszerzenie lub MDE.Windows z maszyny wirtualnej. Usługa Defender for Cloud automatycznie ją ponownie wdroży.

• Przenoszenie subskrypcji między dzierżawami: w przypadku przeniesienia subskrypcji platformy Azure między dzierżawami platformy Azure wymagane są pewne ręczne kroki przygotowawcze przed Defender dla Chmury wdrożeniem usługi Defender for Endpoint. Aby uzyskać szczegółowe informacje, skontaktuj się z pomocą techniczną firmy Microsoft.

Stan kondycji usługi Defender dla punktu końcowego

Usługa Defender for Servers umożliwia monitorowanie agentów Defender for Endpoint zainstalowanych na maszynach wirtualnych.

Wymagania wstępne

Musisz mieć jedną z dwóch:

• Usługa Defender for Servers P2 jest włączona.
  lub
• Usługa Defender CSPM włączona z usługą Defender for Servers w planie 1.

Wgląd w problemy z kondycją w usłudze Defender for Servers

Usługa Defender for Servers zapewnia wgląd w dwa główne typy problemów z kondycją:

• Problemy z instalacją: błędy podczas instalacji agenta.

• Problemy z pulsem: problemy z instalacją agenta, ale nie są prawidłowo raportowane.

W niektórych sytuacjach usługa Defender dla punktu końcowego nie ma zastosowania do niektórych maszyn, takich jak w przypadku zainstalowania systemu operacyjnego klienta. Te urządzenia muszą być objęte licencjami użytkowników usługi Defender for Endpoint, takimi jak Microsoft 365 E5. Ten stan jest również wyświetlany zgodnie z opisem w ostatnim zapytaniu.

Usługa Defender for Servers wyświetla określone komunikaty o błędach dla każdego typu problemu. Te komunikaty wyjaśniają problem. Gdy jest dostępna, znajdziesz również instrukcje dotyczące rozwiązania problemu.

Stan kondycji jest aktualizowany co cztery godziny. Gwarantuje to, że problem odzwierciedla stan z ostatnich czterech godzin.

Aby wyświetlić problemy z kondycją Defender dla punktu końcowego, użyj Eksploratora zabezpieczeń w następujący sposób:

• Aby znaleźć wszystkie maszyny wirtualne w złej kondycji z wymienionymi problemami, uruchom zapytanie pokazane na poniższym zrzucie ekranu:

  

• Innym sposobem uzyskiwania dostępu do tych danych jest pokazany na poniższym zrzucie ekranu:

  

• Aby znaleźć wszystkie maszyny wirtualne w dobrej kondycji, na których działa usługa Defender for Endpoint, uruchom zapytanie pokazane na poniższym zrzucie ekranu:

  

• Aby uzyskać listę maszyn wirtualnych, na których usługa Defender dla punktu końcowego nie ma zastosowania, uruchom zapytanie pokazane na poniższym zrzucie ekranu:

  

Następne kroki

Dowiedz się więcej na temat zaleceń dotyczących usługi EDR w usłudze Defender for Servers.

Treści powiązane

• Dołączanie serwerów do Defender dla Endpoint
• Zgodność rozwiązania antywirusowego z usługą Defender for Endpoint
• Scenariusze migracji serwera z poprzedniego rozwiązania Ochrona punktu końcowego w usłudze Microsoft Defender opartego na programie MMA