获取有关 Microsoft Defender for Servers 的常见问题的解答。
是否可以在订阅中的一部分计算机上启用 Defender for Servers?
否。 在 Azure 订阅上启用 Microsoft Defender for Servers 时,所有已连接的计算机都将受到 Defender for Servers 的保护。 未安装 Log Analytics 代理或 Azure Monitor 代理的服务器也受到保护。
我需要为订阅中的哪些服务器付费?
在订阅中启用 Defender for Servers 时,将需要根据所有计算机的开通状态向你收费。
Azure VM:
状态 | 详细信息 | 计费 |
---|---|---|
正在启动 | VM 正在启动。 | 不计费 |
正在运行 | 正常工作状态。 | 计费 |
正在停止 | 过渡。 完成后进入“已停止”状态。 | 计费 |
已停止 | 已从来宾操作系统内部或使用 PowerOff API 关闭 VM。 仍然分配了硬件,计算机仍在主机上。 | 计费 |
正在解除分配 | 过渡。 完成后进入“已解除分配”状态。 | 不计费 |
已解除分配 | VM 已停止并已从主机中删除。 | 不计费 |
Azure Arc 计算机:
State | 详细信息 | Billing |
---|---|---|
Connecting | 服务器已连接,但尚未收到检测信号。 | 不计费 |
已连接 | 正在从 Connected Machine 代理接收常规检测信号。 | 计费 |
脱机/已断开连接 | 在 15-30 分钟内未收到检测信号。 | 不计费 |
已过期 | 如果断开连接 45 天,状态可能会更改为“已过期”。 | 不计费 |
是否需要在订阅和工作区上启用 Defender for Servers?
在订阅级别启用“服务器”计划后,Defender for Cloud 将自动在默认工作区中启用该计划。 如果你使用的是自定义工作区,则需要选择它才能启用该计划。 请注意:
- 如果你为订阅和已连接的自定义工作区启用 Defender for Servers,则不需要为两者付费。 系统会识别唯一的 VM。
- 如果在跨订阅工作区中启用 Defender for Servers:
- 对于 Log Analytics 代理,所有订阅中的已连接计算机都将计费,包括未启用 Defender for Servers 计划的订阅。
- 对于 Azure Monitor 代理,Defender for Servers 的计费和功能范围仅取决于订阅中启用的计划。
如果我在工作区级别启用了 Defender for Servers 计划(不在订阅级别),会发生什么情况?
可以在 Log Analytics 工作区级别启用 Microsoft Defender for Servers,但只有向该工作区报告的服务器才会受到保护并进行计费,而这些服务器不会获得某些权益,例如漏洞评估和实时 VM 访问。
500 MB 的免费数据引入限额是按工作区还是按计算机应用的?
对于连接到工作区的每个 VM,你每天可以免费引入 500 MB 数据。 此限额仅适用于直接由 Defender for Cloud 收集的安全数据类型。
此限额在所有节点中按每日比率平摊。 每日免费限额总量等于 [计算机数] x 500 MB。 即使某些计算机发送 100 MB,而其他计算机发送 800 MB,只要总量不超过每日总免费限额,则不会收取额外费用。
每日限额包含哪些数据类型?
Defender for Cloud 的计费与 Log Analytics 计费密切相关。 Microsoft Defender for Servers 根据以下安全数据类型子集为计算机提供每天每节点 500 MB 配额:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- Update 和 UpdateSummary(当工作区中未运行更新管理解决方案或者启用了解决方案目标设定时)。
- MDCFileIntegrityMonitoringEvents
如果工作区位于旧的每节点定价层,则将合并 Defender for Cloud 和 Log Analytics 分配,并合用于所有可计费的引入数据。
我是否需要为未安装 Log Analytics 的计算机付费?
是。 需要为 Azure 订阅中受 Defender for Servers 保护的所有计算机付费。 “计算机”一词包括 Azure 虚拟机、Azure 虚拟机规模集实例和已启用 Azure Arc 的服务器。 未安装 Log Analytics 的计算机受不依赖于 Log Analytics 代理的保护功能保护。
为什么资产清单中没有显示我的所有资源,例如订阅、计算机、存储帐户?
清单视图从云安全态势管理 (CSPM) 的角度列出已连接到 Defender for Cloud 的资源。 筛选器仅显示具有活动建议的资源。
例如,如果有权访问八个订阅,但当前只有七个订阅有建议,则按“资源类型 = 订阅”筛选仅显示具有活动建议的七个订阅:
为何我的某些资源在 Defender for Cloud 或监视代理列中显示空白值?
并非所有受 Defender for Cloud 监视的资源都需要代理。 例如,Defender for Cloud 不需要代理监视 Azure 存储帐户或 PaaS 资源(如磁盘、逻辑应用、Data Lake Analysis 和事件中心)。
当定价或代理监视与资源无关时,库存的这些列中不会显示任何内容。
何时应使用“拒绝所有流量”规则?
如果由于运行算法而导致 Defender for Cloud 未根据现有 NSG 配置识别应允许的流量,则建议使用“拒绝所有流量”规则。 因此,建议的规则是拒绝发往指定端口的所有流量。 此类型规则的名称显示为“系统生成”。 强制执行此规则后,此规则在 NSG 中的实际名称将是包含协议、流量方向、“DENY”和随机数字的字符串。
如何实现部署安全配置建议的先决条件?
部署具有以下先决条件的来宾配置扩展:
对于选定的计算机,请遵循“实施安全最佳做法”安全控制中的安全建议“应在计算机上安装来宾配置扩展” 。
大规模分配策略计划“部署先决条件以在虚拟机上启用来宾配置策略”。
为什么计算机显示为“不适用”?
“不适用”选项卡中的资源列表包含“原因”列 。 一些常见原因包括:
Reason | 详细信息 |
---|---|
计算机上没有可用的扫描数据 | 在 Azure Resource Graph 中,此计算机没有任何符合性结果。 所有符合性结果均由来宾配置扩展写入 Azure Resource Graph。 可使用 Azure 策略来宾配置-示例 ARG 查询中的示例查询来检查 Azure Resource Graph 中的数据。 |
计算机上未安装来宾配置扩展 | 计算机缺少来宾配置扩展,这是评估 Azure 安全基线的符合性的先决条件。 |
计算机上未配置系统托管标识 | 必须在计算机上部署系统分配的托管标识。 |
策略中禁用了建议 | 在包含相关计算机的作用域上禁用评估 OS 基线的策略定义。 |
是否需要为未安装 Log Analytics 代理的计算机付费?
是的。 在 Azure 订阅上启用 Microsoft Defender for Servers 时,将对所有连接到 Azure 订阅的计算机收费。 计算机一词包括 Azure 虚拟机、Azure 虚拟机规模集实例和已启用 Azure Arc 的服务器。 未安装 Log Analytics 的计算机受不依赖于 Log Analytics 代理的保护功能保护。
如果 Log Analytics 代理向多个工作区报告,是否需要重复付费?
如果计算机向多个工作区报告,而所有这些工作区都启用了 Defender for Servers,则系统会针对每个附加的工作区向计算机收费。
如果 Log Analytics 代理向多个工作区报告,是否所有工作区上均提供 500-MB 的免费数据引入?
是的。 如果已将 Log Analytics 代理配置为将数据发送到两个或多个不同的 Log Analytics 工作区(多宿主),则你将在每个工作区获得 500 MB 的免费数据引入。 它是按每个节点、每个报告的工作区、每一天来计算的,适用于安装了“安全”或“反恶意软件”解决方案的所有工作区。 你将需要为超出 500 MB 限制的引入数据付费。
500 MB 免费数据引入量是针对整个工作区计算还是严格按每台计算机计算得出的?
每个连接到工作区的虚拟机 (VM) 每天可获得 500 MB 的免费数据限额。 此分配特别适用于 Defender for Cloud 直接收集的安全数据类型。
数据限额是综合所有已连接计算机计算出的每日额度。 每日免费限额总量等于 [计算机数] x 500 MB。 因此,即使某一日某些计算机发送 100 MB 的数据,而另一些发送 800 MB 的数据,只要所有计算机的数据总量不超过每日免费限额,你就不会额外付费。
每日 500 MB 数据限额中包含哪些数据类型?
Defender for Cloud 的账单与 Log Analytics 账单密切相关。 Microsoft Defender for Servers 根据以下安全数据类型子集对计算机提供 500 MB/节点/天分配额:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- Update 和 UpdateSummary(当工作区中未运行更新管理解决方案或者启用了解决方案目标设定时)。
如果工作区位于旧的每节点定价层,则将合并 Defender for Cloud 和 Log Analytics 分配,并合用于所有可计费的引入数据。 若要详细了解 Microsoft Sentinel 客户如何受益,请参阅 Microsoft Sentinel 定价页。
如何监视每日使用情况?
可以通过两种不同的方式查看数据使用情况,即通过 Azure 门户或运行脚本。
在 Azure 门户中查看使用情况:
登录 Azure 门户。
导航到“Log Analytics 工作区”。
选择工作区。
选择“使用情况和预估成本”。
还可以通过为每个定价层选择 ,查看不同定价层的预估成本。
使用脚本查看使用情况:
登录 Azure 门户。
导航到“Log Analytics 工作区”>“日志”。
选择时间范围。 了解时间范围。
将以下查询复制并粘贴到“在此处键入查询”部分。
let Unit= 'GB'; Usage | where IsBillable == 'TRUE' | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary') | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit | summarize DataConsumedPerDataType = sum(Quantity)/1024 by DataType, DataUnit = Unit | sort by DataConsumedPerDataType desc
选择“运行”。
可以了解如何分析 Log Analytics 工作区中的使用情况。
根据使用情况,除非使用了每日津贴,否则不会被收取费用。 如果收到帐单,则该帐单仅针对达到 500 MB 限制后使用的数据,或针对不属于 Defender for Cloud 覆盖范围的其他服务。
如何管理成本?
你可能希望管理你的成本,并通过仅允许特定的一组代理使用解决方案来限制为解决方案收集的数据量。 使用解决方案目标向解决方案应用一个范围,并可将目标设定为工作区中的一个计算机子集。 如果使用解决方案目标功能,Defender for Cloud 会将工作区列为没有解决方案。
重要
解决方案目标功能已弃用,因为 Log Analytics 代理正在替换为 Azure Monitor 代理,并且 Azure Monitor 中的解决方案正在替换为见解。 如果配置了解决方案目标设定功能,则可以继续使用该功能,但在新区域中不可用。 2024 年 8 月 31 日之后,不支持该功能。 在弃用日期之前支持解决方案目标功能的区域有:
气隙云 | 区域代码 | 区域名称 |
---|---|---|
中国 | MC | ChinaEast2 |