Perguntas comuns sobre o Defender for Servers

Obtenha respostas a perguntas comuns sobre o Microsoft Defender for Servers.

Posso habilitar o Defender for Servers em um subconjunto de máquinas em uma assinatura?

Sim. Agora é possível gerenciar o Defender for Servers em recursos específicos dentro da sua assinatura, dando a você controle total sobre sua estratégia de proteção. Com esse recurso, você pode configurar recursos específicos com configurações personalizadas que diferem das configurações definidas no nível da assinatura. Saiba mais sobre como habilitar o Defender for Servers no nível de recursos. No entanto, quando você habilita o Microsoft Defender for Servers em uma conta da AWS conectada ou projeto GCP, todas as máquinas conectadas são protegidas pelo Defender for Servers.

Posso obter um desconto se já tiver uma licença do Microsoft Defender for Endpoint?

Se você já tiver uma licença do Microsoft Defender for Endpoint for Servers, não precisará pagar por essa parte da licença do Microsoft Defender for Servers Plan 1 ou 2.

Para solicitar seu desconto, entre em contato com a equipe de suporte do Defender for Cloud por meio do portal do Azure criando uma nova solicitação de suporte no centro de ajuda e suporte.

  1. Inicie sessão no portal do Azure.

  2. Selecione Suporte e solução de problemas

    Captura de ecrã que mostra a localização do botão Suporte e Resolução de Problemas no ecrã inicial do Azure

  3. Selecione Ajuda + suporte.

  4. Selecione Criar um novo pedido de suporte.

  5. Introduza as informações seguintes:

    Captura de tela que mostra a descrição do tíquete de suporte com as informações preenchidas.

  6. Selecione Seguinte.

  7. Selecione Seguinte.

  8. Na guia Detalhes adicionais, insira o nome da organização do cliente, a ID do locatário, o número de licenças do Microsoft Defender for Endpoint for Servers que foram compradas, a data de expiração das licenças do Microsoft Defender for Endpoint for Servers que foram compradas e todos os outros campos obrigatórios.

  9. Selecione Seguinte.

  10. Selecione Criar.

Nota

O desconto entra em vigor a partir da data de aprovação. O desconto não é retroativo.

Quais os servidores que pago numa subscrição?

Quando você habilita o Defender for Servers em uma assinatura, é cobrado por todas as máquinas com base em seus estados de energia.

VMs do Azure:

Estado Detalhes Faturação
A iniciar Inicialização da VM. Não faturado
Em Execução Estado normal de trabalho. Faturado
A parar Transitório. Move para o estado Interrompido quando terminar. Faturado
Parada A VM é desligada de dentro do SO convidado ou usando APIs de PowerOff. O hardware ainda está alocado e a máquina permanece no host. Faturado
A desalocar Transitório. Move para o estado Desalocado quando terminar. Não faturado
Desalocada VM interrompida e removida do host. Não faturado

Máquinas Azure Arc:

Distrito Detalhes Faturação
Ligação Servidores conectados, mas pulsação ainda não recebida. Não faturado
Ligado Receber batimento cardíaco regular do agente Connected Machine. Faturado
Offline/Desconectado Nenhum batimento cardíaco recebido em 15-30 minutos. Não faturado
Fora do prazo Se desconectado por 45 dias, o status pode mudar para Expirado. Não faturado

Preciso habilitar o Defender for Servers na assinatura e no espaço de trabalho?

O Plano 1 do Defender for Servers não depende do Log Analytics. Quando você habilita o Plano 2 do Defender for Servers no nível de assinatura, o Defender for Cloud habilita automaticamente o plano em seus espaços de trabalho padrão do Log Analytics. Se você usar um espaço de trabalho personalizado, certifique-se de habilitar o plano no espaço de trabalho. Aqui estão mais informações:

  • Se você ativar o Defender for Servers para uma assinatura e para um espaço de trabalho personalizado conectado, não será cobrado por ambos. O sistema identifica VMs exclusivas.
  • Se você habilitar o Defender for Servers em espaços de trabalho entre assinaturas:
    • Para o agente do Log Analytics, as máquinas conectadas de todas as assinaturas são cobradas, incluindo assinaturas que não têm o plano Defender for Servers habilitado.
    • Para o agente do Azure Monitor, a cobrança e a cobertura de recursos do Defender for Servers dependem apenas do plano habilitado na assinatura.

O que acontece se eu habilitar o plano do Defender for Servers apenas no nível do espaço de trabalho (não na assinatura)?

Você pode habilitar o Microsoft Defender for Servers no nível do espaço de trabalho do Log Analytics, mas apenas os servidores que relatam esse espaço de trabalho serão protegidos e cobrados, e esses servidores não receberão alguns benefícios, como o Microsoft Defender for Endpoint, a avaliação de vulnerabilidades e o acesso just-in-time de VM.

Os 500 MB de franquia gratuita de ingestão de dados são aplicados por espaço de trabalho ou por máquina?

Quando você tem o Defender for Servers Plan 2 ativado, você recebe 500 MB de ingestão gratuita de dados por dia. A permissão é especificamente para os tipos de dados de segurança que são coletados diretamente pelo Defender for Cloud.

Esta franquia é uma taxa diária calculada em média em todos os nós. O seu limite total diário livre é igual a [número de máquinas] × 500 MB. Você não será cobrado extra se o total não exceder seu limite total diário gratuito, mesmo que algumas máquinas enviem 100 MB e outras enviem 800 MB.

Que tipos de dados estão incluídos nas ajudas de custo?

A faturação do Defender for Cloud está intimamente ligada à faturação do Log Analytics. O Microsoft Defender for Servers fornece uma alocação de 500 MB por nó por dia para máquinas em relação ao seguinte subconjunto de tipos de dados de segurança:

Se o espaço de trabalho estiver no nível de preço herdado por nó, as alocações do Defender for Cloud e do Log Analytics serão combinadas e aplicadas conjuntamente a todos os dados ingeridos faturáveis.

Sou cobrado por máquinas que não têm o Log Analytics instalado?

Sim. Você será cobrado por todas as máquinas protegidas pelo Defender for Servers em assinaturas do Azure, contas da AWS conectadas ou projetos GCP conectados. O termo máquinas inclui máquinas virtuais do Azure, instâncias de Conjuntos de Escala de Máquina Virtual do Azure e servidores habilitados para Azure Arc. As máquinas que não têm o Log Analytics instalado são cobertas por proteções que não dependem do agente do Log Analytics.

O que é este "MDE. Windows" / "MDE. Linux" em execução na minha máquina?

No passado, o Microsoft Defender for Endpoint era provisionado pelo agente do Log Analytics. Quando expandimos o suporte para incluir o Windows Server 2019 e o Linux, também adicionamos uma extensão para realizar a integração automática.

O Defender for Cloud implanta automaticamente a extensão em máquinas que executam:

  • Windows Server 2019 e Windows Server 2022
  • Windows Server 2012 R2 e 2016 se a integração da Solução Unificada MDE estiver habilitada
  • Windows 10 na Área de Trabalho Virtual do Azure.
  • Outras versões do Windows Server se o Defender for Cloud não reconhecer a versão do sistema operacional (por exemplo, quando uma imagem de VM personalizada é usada). Nesse caso, o Microsoft Defender for Endpoint ainda é provisionado pelo agente do Log Analytics.
  • Linux.

Importante

Se você excluir o MDE. Windows/MDE. Extensão Linux, ele não removerá o Microsoft Defender for Endpoint. Para desligar a máquina, consulte Servidores Windows offboard..

Eu habilitei a solução, mas o 'MDE. Windows'/'MDE. A extensão do Linux não está aparecendo na minha máquina

Se você ativou a integração, mas ainda não vê a extensão em execução em suas máquinas:

  1. Você precisa esperar pelo menos 12 horas para ter certeza de que há um problema a ser investigado.
  2. Se após 12 horas você ainda não vir a extensão em execução em suas máquinas, verifique se você atendeu aos pré-requisitos para a integração.
  3. Certifique-se de que ativou o plano Microsoft Defender for Servers para as subscrições relacionadas com as máquinas que está a investigar.
  4. Se você moveu sua assinatura do Azure entre locatários do Azure, algumas etapas preparatórias manuais são necessárias antes que o Defender for Cloud implante o Defender for Endpoint. Para obter detalhes completos, entre em contato com o suporte da Microsoft.

Quais são os requisitos de licenciamento para o Microsoft Defender for Endpoint?

As licenças do Defender for Endpoint para servidores estão incluídas no Microsoft Defender for Servers.

Preciso comprar uma solução antimalware separada para proteger minhas máquinas?

N.º Com a integração do Defender for Endpoint no Defender for Servers, você também terá proteção contra malware em suas máquinas.

  • No Windows Server 2012 R2 com a integração da solução unificada do Defender for Endpoint habilitada, o Defender for Servers implanta o Microsoft Defender Antivírus no modo ativo.
  • Nos sistemas operacionais Windows Server mais recentes, o Microsoft Defender Antivírus faz parte do sistema operacional e será habilitado no modo ativo.
  • No Linux, o Defender for Servers implanta o Defender for Endpoint incluindo o componente antimalware e define o componente no modo passivo.

Como posso mudar de uma ferramenta EDR de terceiros?

Instruções completas para alternar de uma solução de ponto de extremidade que não seja da Microsoft estão disponíveis na documentação do Microsoft Defender for Endpoint: Visão geral da migração.

Qual plano do Microsoft Defender for Endpoint é suportado no Defender for Servers?

O Defender for Servers Plan 1 e Plan 2 fornece os recursos do Microsoft Defender for Endpoint Plan 2.

Por que vejo um aplicativo Qualys em meus aplicativos recomendados?

O Microsoft Defender for Servers inclui a verificação de vulnerabilidades para suas máquinas. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro do Defender for Cloud. Para obter detalhes sobre esse scanner e instruções sobre como implantá-lo, consulte a solução integrada de avaliação de vulnerabilidades Qualys do Defender for Cloud.

Por que nem todos os meus recursos são mostrados, como assinaturas, máquinas, contas de armazenamento no meu inventário de ativos?

A visualização de inventário lista seus recursos conectados ao Defender for Cloud de uma perspetiva de Gerenciamento de Postura de Segurança na Nuvem (CSPM). Os filtros mostram apenas os recursos com recomendações ativas.

Por exemplo, se você tiver acesso a oito assinaturas, mas apenas sete tiverem recomendações no momento, o filtro por Tipo de recurso = Assinaturas mostrará apenas as sete assinaturas com recomendações ativas:

Nem todas as assinaturas retornam quando não há recomendações ativas.

Por que alguns dos meus recursos mostram valores em branco nas colunas do Defender for Cloud ou do agente de monitoramento?

Nem todos os recursos monitorados pelo Defender for Cloud exigem agentes. Por exemplo, o Defender for Cloud não exige que os agentes monitorem contas de Armazenamento do Azure ou recursos de PaaS, como discos, Aplicativos Lógicos, Análise Data Lake e Hubs de Eventos.

Quando o monitoramento de preços ou agentes não é relevante para um recurso, nada é mostrado nessas colunas de inventário.

Alguns recursos mostram informações em branco nas colunas do agente de monitoramento ou do Defender for Cloud.

Quando devo usar uma regra "Negar todo o tráfego"?

Uma regra Negar todo o tráfego é recomendada quando, como resultado da execução do algoritmo, o Defender for Cloud não identifica o tráfego que deve ser permitido, com base na configuração NSG existente. Portanto, a regra recomendada é negar todo o tráfego para a porta especificada. O nome deste tipo de regra é exibido como "Sistema Gerado". Depois de aplicar essa regra, seu nome real no NSG será uma cadeia de caracteres composta pelo protocolo, direção do tráfego, "DENY" e um número aleatório.

Como implanto os pré-requisitos para as recomendações de configuração de segurança?

Para implantar a extensão Configuração de convidado com seus pré-requisitos:

  • Para máquinas selecionadas, siga a recomendação de segurança A extensão Configuração de convidado deve ser instalada em suas máquinas a partir do controle de segurança Implementar práticas recomendadas de segurança.

  • Em escala, atribua a iniciativa de política Implantar pré-requisitos para habilitar políticas de Configuração de Convidado em máquinas virtuais.

Porque é que uma máquina é mostrada como não aplicável?

A lista de recursos na guia Não aplicável inclui uma coluna Motivo . Algumas das razões comuns incluem:

Razão Detalhes
Não há dados de varredura disponíveis na máquina Não há resultados de conformidade para esta máquina no Azure Resource Graph. Todos os resultados de conformidade são gravados no Gráfico de Recursos do Azure pela extensão Configuração de Convidado. Você pode verificar os dados no Gráfico de Recursos do Azure usando as consultas de exemplo em Configuração de Convidado de Política do Azure - consultas ARG de exemplo.
A extensão de Configuração de Convidado não está instalada na máquina A máquina está faltando a extensão Configuração de Convidado, que é um pré-requisito para avaliar a conformidade com a linha de base de segurança do Azure.
A identidade gerenciada pelo sistema não está configurada na máquina Uma identidade gerenciada atribuída pelo sistema deve ser implantada na máquina.
A recomendação está desativada na política A definição de política que avalia a linha de base do SO está desativada no escopo que inclui a máquina relevante.

Se eu habilitar o plano do Defender for Clouds Servers no nível de assinatura, preciso habilitá-lo no nível do espaço de trabalho?

Quando você habilita o plano Servidores no nível de assinatura, o Defender for Cloud habilita o plano Servidores em seus espaços de trabalho padrão automaticamente. Conecte-se ao espaço de trabalho padrão selecionando Conectar VMs do Azure ao(s) espaço(s) de trabalho padrão(is) criado(s) pelo Defender for Cloud e selecionando Aplicar.

Captura de tela mostrando como provisionar automaticamente o Defender for Cloud para gerenciar seus espaços de trabalho.

No entanto, se você estiver usando um espaço de trabalho personalizado no lugar do espaço de trabalho padrão, precisará habilitar o plano Servidores em todos os espaços de trabalho personalizados que não o tenham habilitado.

Se estiver a utilizar uma área de trabalho personalizada e ativar o plano apenas ao nível da subscrição, a Microsoft Defender for servers should be enabled on workspaces recomendação é apresentada na página Recomendações. Essa recomendação oferece a opção de habilitar o plano de servidores no nível do espaço de trabalho com o botão Corrigir. Você será cobrado por todas as VMs na assinatura, mesmo que o plano Servidores não esteja habilitado para o espaço de trabalho. As VMs não se beneficiarão de recursos que dependem do espaço de trabalho do Log Analytics, como o Microsoft Defender for Endpoint, a solução VA (MDVM/Qualys) e o acesso à VM Just-in-Time.

Habilitar o plano Servidores na assinatura e em seus espaços de trabalho conectados não incorrerá em cobrança dupla. O sistema identificará cada VM exclusiva.

Se você habilitar o plano Servidores em espaços de trabalho entre assinaturas, as VMs conectadas de todas as assinaturas serão cobradas, incluindo assinaturas que não tenham o plano Servidores habilitado.

Serei cobrado por máquinas sem o agente do Log Analytics instalado?

Sim. Ao habilitar o Microsoft Defender for Servers em uma assinatura do Azure ou em uma conta da AWS conectada, você será cobrado por todas as máquinas conectadas à sua assinatura do Azure ou conta da AWS. Os termos máquinas incluem máquinas virtuais do Azure, instâncias do Azure Virtual Machine Scale Sets e servidores habilitados para Azure Arc. As máquinas que não têm o Log Analytics instalado são cobertas por proteções que não dependem do agente do Log Analytics.

Se um agente do Log Analytics reportar a vários espaços de trabalho, serei cobrado duas vezes?

Se uma máquina, relatórios para vários espaços de trabalho, e todos eles têm o Defender for Servers habilitado, as máquinas serão cobradas por cada espaço de trabalho anexado.

Se um agente do Log Analytics reportar para vários espaços de trabalho, a ingestão gratuita de dados de 500 MB estará disponível em todos eles?

Sim. Se você configurar seu agente do Log Analytics para enviar dados para dois ou mais espaços de trabalho diferentes do Log Analytics (multi-homing), obterá 500 MB de ingestão de dados gratuitos para cada espaço de trabalho. É calculado por nó, por espaço de trabalho relatado, por dia e está disponível para cada espaço de trabalho que tenha uma solução de 'Segurança' ou 'AntiMalware' instalada. Você será cobrado por todos os dados ingeridos acima do limite de 500 MB.

Os 500 MB gratuitos de ingestão de dados são calculados para a totalidade de uma área de trabalho ou apenas por máquina?

Você recebe uma franquia diária de 500 MB de ingestão gratuita de dados para cada máquina virtual (VM) conectada ao espaço de trabalho. Essa alocação se aplica especificamente aos tipos de dados de segurança coletados diretamente pelo Defender for Cloud.

A franquia de dados é uma taxa diária calculada em todas as máquinas conectadas. O seu limite total diário livre é igual ao [número de máquinas] x 500 MB. Assim, mesmo que num determinado dia algumas máquinas enviem 100 MB e outras enviem 800 MB, se o total de dados de todas as máquinas não exceder o seu limite diário gratuito, não lhe será cobrado um valor extra.

Que tipos de dados estão incluídos na franquia diária de dados de 500 MB?

A faturação do Defender for Cloud está intimamente ligada à faturação do Log Analytics. O Microsoft Defender for Servers fornece uma alocação de 500 MB/nó/dia para máquinas em relação ao seguinte subconjunto de tipos de dados de segurança:

Se o espaço de trabalho estiver no nível de preço herdado Por Nó, as alocações do Defender for Cloud e do Log Analytics serão combinadas e aplicadas conjuntamente a todos os dados ingeridos faturáveis. Para saber mais sobre como os clientes do Microsoft Sentinel podem se beneficiar, consulte a página de preços do Microsoft Sentinel.

Como posso monitorizar a minha utilização diária?

Você pode exibir seu uso de dados de duas maneiras diferentes, no portal do Azure ou executando um script.

Para exibir seu uso no portal do Azure:

  1. Inicie sessão no portal do Azure.

  2. Navegue até espaços de trabalho do Log Analytics.

  3. Selecione a área de trabalho.

  4. Selecione Uso e custos estimados.

    Captura de ecrã da utilização de dados da área de trabalho de análise de registos.

Você também pode visualizar os custos estimados em diferentes níveis de preços selecionando para cada nível de preço.

Captura de tela mostrando como exibir os custos estimados em níveis de preços adicionais.

Para exibir seu uso usando um script:

  1. Inicie sessão no portal do Azure.

  2. Navegue até Logs de espaços de trabalho do>Log Analytics.

  3. Selecione o seu intervalo de tempo. Saiba mais sobre intervalos de tempo.

  4. Copie e passe a seguinte consulta para a seção Digite sua consulta aqui .

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. Selecione Executar.

    Captura de tela mostrando onde inserir sua consulta e onde o botão selecionar executar está localizado.

Você pode aprender como Analisar o uso no espaço de trabalho do Log Analytics.

Com base no seu uso, você não será cobrado até que tenha usado sua franquia diária. Se você estiver recebendo uma fatura, é apenas para os dados usados depois que o limite de 500 MB for atingido, ou para outro serviço que não se enquadre na cobertura do Defender for Cloud.

Como posso gerir os meus custos?

Talvez você queira gerenciar seus custos e limitar a quantidade de dados coletados para uma solução, limitando-a a um conjunto específico de agentes. Use a segmentação de solução para aplicar um escopo à solução e direcionar um subconjunto de computadores no espaço de trabalho. Se você estiver usando a segmentação por solução, o Defender for Cloud listará o espaço de trabalho como não tendo uma solução.

Importante

A segmentação da solução foi preterida porque o agente do Log Analytics está sendo substituído pelo agente do Azure Monitor e as soluções no Azure Monitor estão sendo substituídas por insights. Você pode continuar a usar a segmentação por solução se já a tiver configurada, mas ela não estiver disponível em novas regiões. O recurso não será suportado após 31 de agosto de 2024. As regiões que oferecem suporte à segmentação de soluções até a data de substituição são:

Código da região Nome da região
CCAN canadacentral
CHN norte da suíça
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
UEA australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU Norte da Europa
NÃO norwayeast
PAR FranceCentral
SCUS E.U.A Centro-Sul
SE KoreaCentral
SEA Sudeste Asiático
SEAU australiasoutheast
SUK uksouth
WCUS E.U.A. Centro-Oeste
UEO westeurope
WUS westus
WUS2 westus2
Nuvens cobertas de ar Código da região Nome da região
UsNat EXE USNATEAST
UsNat EXW USNATWEST
UsGov FF USGovVirginia
China MC ChinaEast2
UsGov PHX USGOVARIZONA
UsSec RXE UssecEast
UsSec RXW USSECWEST