取得適用於伺服器的 Microsoft Defender 常見問題的解答。
我是否可在訂用帳戶的機器子集上啟用適用於伺服器的 Defender?
是。 您現在可以管理訂用帳戶內特定資源上適用於伺服器的 Defender,讓您完全掌控您的保護策略。 您可以透過這項功能,使用與訂用帳戶層級所設定不同的設定自訂設定來設定特定資源。 深入了解如何在資源層級啟用適用於伺服器的 Defender。 不過,當您在連線的 AWS 帳戶或 GCP 專案上啟用適用於伺服器的 Microsoft Defender 時,所有連線的機器都會受到適用於伺服器的 Defender 保護。
如果我已有適用於端點的 Microsoft Defender 授權,可以享有折扣嗎?
如果您已有適用於伺服器端點的 Microsoft Defender 授權,就不需要支付適用於伺服器的 Microsoft Defender 方案 1 或 2 授權費用。
若要要求折扣,請在說明及支援中心建立新的支援要求,透過 Azure 入口網站連絡適用於雲端的 Defender 支援小組。
登入 Azure 入口網站。
選取 [支援與疑難排解]
![顯示 Azure 主畫面上 [支援與疑難排解] 按鈕位置的螢幕擷取畫面](media/faq-defender-for-servers/support-and-troubleshoot.png)
選取 [說明 + 支援]。
選取建立支援要求。
輸入下列資訊:
選取 [下一步]。
選取 [下一步]。
在 [其他詳細資料] 索引標籤中,輸入您的客戶組織名稱、租用戶識別碼、已購買的適用於伺服器端點的 Microsoft Defender 授權數目、已購買的適用於伺服器端點的 Microsoft Defender 授權到期日,以及所有其他必要欄位。
選取 [下一步]。
選取 建立。
注意
折扣會在核准日期開始生效。 折扣沒有追溯性。
在訂用帳戶中我要支付哪些伺服器?
當您在訂用帳戶上啟用適用於伺服器的 Defender 時,系統會根據電源狀態向您收取所有機器的費用。
Azure VM:
| 州/省 | 詳細資料 | 計費 |
|---|---|---|
| 啟動中 | VM 正在啟動。 | 不會計費 |
| 執行中 | 正常工作狀態。 | 已計費 |
| 停止中 | 過渡。 完成時移至已停止狀態。 | 已計費 |
| 已停止 | VM 從客體 OS 內或使用 PowerOff API 關閉。 硬體仍會進行配置,且機器會留在主機上。 | 已計費 |
| 正在解除配置 | 過渡。 完成時移至已解除配置狀態。 | 不會計費 |
| 已解除配置 | VM 已停止並從主機中移除。 | 不會計費 |
Azure Arc 機器:
| 州 (縣/市) | 詳細資料 | Billing |
|---|---|---|
| 連線 | 伺服器已連線,但尚未收到活動訊號。 | 不會計費 |
| Connected | 正在從連線的機器代理程式接收一般活動訊號。 | 已計費 |
| 離線/已中斷連線 | 未在 15-30 分鐘內收到任何活動訊號。 | 不會計費 |
| 已過期 | 如果已中斷連線 45 天,狀態可能會變更為過期。 | 不會計費 |
我需要在訂用帳戶和工作區上啟用適用於伺服器的 Defender 嗎?
適用於伺服器的 Defender 方案 1 不依賴 Log Analytics。 當您在訂用帳戶層級啟用適用於伺服器的 Defender 方案 2 時,適用於雲端的 Defender 會在您的預設 Log Analytics 工作區上自動啟用該方案。 如果您使用自訂工作區,請確定您在工作區上啟用方案。 詳細資訊如下:
- 如果您針對訂用帳戶和已連線的自訂工作區開啟適用於伺服器的 Defender,則不會針對這兩者付費。 系統會識別唯一的 VM。
- 如果您在跨訂用帳戶工作區上啟用適用於伺服器的 Defender:
- 針對 Log Analytics 代理程式,來自所有訂用帳戶的連線機器都會計費,包括未啟用適用於伺服器的 Defender 方案的訂用帳戶。
- 針對 Azure 監視器代理程式,適用於伺服器的 Defender 計費和功能涵蓋範圍只取決於訂用帳戶中啟用的方案。
如果我只在工作區層級 (不在訂用帳戶) 啟用了適用於伺服器的Defender方案,會發生什麼情況?
您可以在 Log Analytics 工作區層級啟用適用於伺服器的 Microsoft Defender,但只有向該工作區報告的伺服器會受到保護和計費,而且這些伺服器不會收到一些權益,例如適用於端點的 Microsoft Defender、弱點評量和 Just-In-Time VM 存取。
每個工作區或每部機器是否套用了 500 MB 的免費資料擷取額度?
當您已啟用適用於伺服器的 Defender 方案 2 時,每天會得到 500 MB 的免費資料擷取。 此額度特別是針對適用於雲端的 Microsoft Defender 直接收集的安全性資料類型。
此額度是所有節點的平均每日速率。 您的每日免費限制總計等於 [機器數目] x 500 MB。 即使有些機器傳送了 100 MB,而其他機器傳送了 800 MB,只要總計未超過您的每日免費限制總計,則不需支付額外費用。
每日額度中包含哪些資料類型?
適用於雲端的 Defender 計費與 Log Analytics 的計費關係密切。 適用於伺服器的 Microsoft Defender 會針對下列安全性資料類型的子集,為機器提供每天每個節點 500 MB 的配置:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- 當更新管理解決方案未在工作區中執行或解決方案目標已啟用時,則會進行更新和 UpdateSummary。
- MDCFileIntegrityMonitoringEvents
如果工作區位於舊版每個節點定價層中,適用於雲端的 Microsoft Defender 和 Log Analytics 配置會合併,並一併套用至所有可計費的擷取資料。
我需對未安裝 Log Analytics 的機器付費嗎?
是。 針對受 Azure 訂用帳戶中適用於伺服器的 Defender 保護的所有機器、連線的 AWS 帳戶或連線的 GCP 專案,您需支付費用。 「機器」一詞包含 Azure 虛擬機器、Azure 虛擬機器擴展集的執行個體,以及已啟用 Azure Arc 的伺服器。 未安裝 Log Analytics 的機器會受到不依賴 Log Analytics 的代理程式所保護。
在我的電腦上執行的 "MDE.Windows"/"MDE.Linux" 延伸模組是什麼?
在過去,Log Analytics 代理程式已佈建適用於端點的 Microsoft Defender。 當我們擴充支援以包含 Windows Server 2019 和 Linux 時,我們也新增了延伸模組來執行自動上線。
適用於雲端的 Defender會自動將延伸模組部署到執行下列系統的機器:
- Windows Server 2019 和 Windows Server 2022
- 如果已啟用 MDE 統一解決方案整合,則是 Windows Server 2012 R2 和 2016
- Azure 虛擬桌面的 Windows 10。
- 在適用於雲端的 Defender 無法辨識 OS 版本 (例如使用自訂 VM 映像) 時,其他版本的 Windows 伺服器。 在此情況下,Log Analytics 代理程式仍會佈建適用於端點的 Microsoft Defender。
- Linux。
重要
如果您刪除 MDE.Windows/MDE.Linux 延伸模組,則其不會移除適用於端點的 Microsoft Defender。 若要下架機器,請參閱下架 Windows 伺服器。
我已啟用解決方案,但 `MDE.Windows`/`MDE.Linux` 延伸模組未顯示在我的機器上
如果您已啟用整合,但仍然沒看到延伸模組在機器上執行:
- 您必須等候至少 12 小時,才能確保有問題需要調查。
- 如果 12 小時後仍然沒看到延伸模組在機器上執行,請檢查您是否符合整合的必要條件。
- 請確定您已針對與所調查電腦相關的訂用帳戶,啟用適用於伺服器的 Microsoft Defender 方案。
- 如果您已在 Azure 租用戶之間移動 Azure 訂用帳戶,則需要一些手動準備步驟,然後適用於雲端的 Defender 才能部署適用於端點的 Defender。 如需完整詳細資料,請連絡 Microsoft 支援服務。
適用於端點的 Microsoft Defender 聆聽需求為何?
適用於端點的 Defender 授權隨附於適用於伺服器的 Microsoft Defender。
我需要購買個別的反惡意程式碼解決方案來保護我的機器嗎?
否。 在適用於伺服器的 Defender 中整合適用於端點的 Defender 之後,您也會在機器上得到惡意程式碼保護。
- 在已啟用適用於端點的 Defender 統一解決方案整合的 Windows Server 2012 R2 上,適用於伺服器的 Defender 會以「主動模式」部署 Microsoft Defender 防毒軟體。
- 在較新的 Windows Server 作業系統上,Microsoft Defender 防毒軟體是作業系統的一部分,並且將會以「主動模式」予以啟用。
- 在 Linux 上,適用於伺服器的 Defender 會部署適用於端點的 Defender (包括反惡意程式碼元件),並以「被動模式」設定元件。
如何切換自協力廠商 EDR 工具?
如需從非 Microsoft 端點解決方案移轉的完整指示,請參閱適用於端點的 Microsoft Defender 文件:移轉概觀。
「適用於伺服器的 Defender」支援哪個「適用於端點的 Microsoft Defender」方案?
適用於伺服器的 Defender 方案 1 和方案 2 提供適用於端點的 Microsoft Defender 方案 2 的功能。
為什麼會在建議的應用程式中看到 Qualys 應用程式?
適用於伺服器的 Microsoft Defender 包含機器的弱點掃描。 您不需要 Qualys 授權或甚至 Qualys 帳戶 - 一切都可以在適用於雲端的 Defender 內順暢地處理。 如需此掃描器的詳細資料以及掃描器部署方式的指示,請參閱適用於雲端的 Defender 整合式 Qualys 弱點評估解決方案。
為什麼我的資產清查中未顯示我的所有資源,例如訂用帳戶、機器、儲存體帳戶?
清查檢視會從雲端安全性態勢管理 (CSPM) 觀點列出適用於雲端的 Defender 連線資源。 篩選條件只會顯示具有作用中建議的資源。
例如,如果您有八個訂用帳戶的存取權,但目前只有七個訂用帳戶具有建議,則依 [資源類型 = 訂用帳戶] 進行篩選,只會顯示具有作用中建議的七個訂用帳戶:
為什麼我的某些資源會在適用於雲端的 Defender 或監視代理程式資料行中顯示空白值?
並非所有適用於雲端的 Defender 受監視資源都需要代理程式。 例如,適用於雲端的 Defender 不需要代理程式,監視 Azure 儲存體帳戶或磁碟、Logic Apps、Data Lake Analysis 和事件中樞等 PaaS 資源。
當價格或代理程式監視與資源無關時,清查的資料行不會顯示任何內容。
何時應該使用「拒絕所有流量」規則?
當適用於雲端的 Defender 因為有演算法在執行而不會根據現有的 NSG 設定來識別哪些流量應該允許時,建議使用拒絕所有流量規則。 因此,建議的規則是要拒絕所有傳送至特定連接埠的流量。 此規則類型的名稱會顯示為「由系統產生」。 強制執行此規則之後,該規則在 NSG 中的實際名稱將會是由通訊協定、流量方向、「DENY」和一個隨機數字所組成的字串。
如何部署資訊安全設定建議的必要條件?
若要使用其必要條件部署來賓設定擴充功能:
針對選取的機器,請遵循來自實作安全性最佳做法安全性控制中,在您的機器上應安裝來賓設定擴充功能的安全性建議。
大規模指派原則方案部署必要條件,以在虛擬機器上啟用來賓設定原則。
為什麼機器顯示為不適用?
[不適用] 索引標籤中的資源清單包括 [原因] 資料行。 一些常見原因包括:
| 原因 | 詳細資料 |
|---|---|
| 機器上沒有可用的掃描資料 | Azure Resource Graph 中沒有此機器的法務遵循結果。 所有法務遵循結果都會由來賓設定擴充功能寫入 Azure Resource Graph。 您可以使用 Azure 原則來賓設定 - 範例 ARG 查詢中的範例查詢,來檢查 Azure Resource Graph 中的資料。 |
| 機器上未安裝客體設定延伸模組 | 機器缺少來賓設定擴充功能,這是評估與 Azure 安全性基準法務遵循情況的必要條件。 |
| 機器上未設定系統受控識別 | 系統指派的受控識別必須部署在機器上。 |
| 原則中已停用建議 | 評估作業系統基準的原則定義會在包括相關機器的範圍上停用。 |
如果我在訂用帳戶層級上啟用了適用於雲端的 Defender 伺服器方案,那麼我是否還需要在工作區層級上啟用該方案?
當您在訂用帳戶層級上啟用伺服器方案時,適用於雲端的 Defender 會在您的預設工作區中自動啟用伺服器方案。 選取 [將 Azure VM 連線到適用於雲端的 Defender 建立的預設工作區] 選項,然後選取 [套用],以連線到預設工作區。
不過,如果您使用自訂工作區來取代預設工作區,則您必須在所有未啟用伺服器方案的自訂工作區上啟用伺服器方案。
如果您使用的是自訂工作區,並且只在訂用帳戶層級上啟用方案,則 Microsoft Defender for servers should be enabled on workspaces 建議會出現在 [建議] 頁面上。 此建議可讓您選擇使用 [修正] 按鈕,在工作區層級上啟用伺服器方案。 即使您未針對該工作區啟用伺服器方案,您仍需為訂用帳戶中所有 VM 支付費用。 VM 不會受益於依賴 Log Analytics 工作區的功能,例如適用於端點的 Microsoft Defender、VA 解決方案 (MDVM/Qualys),以及 Just-In-Time VM 存取。
在訂用帳戶及其連線的工作區上啟用伺服器方案,這兩者不會重複產生費用。 系統會識別每個唯一的 VM。
如果您在跨訂用帳戶工作區上啟用伺服器方案,則所有訂用帳戶的連線 VM 都會計費,包括未啟用伺服器方案的訂用帳戶。
我是否需支付未安裝 Log Analytics 代理程式的電腦費用?
是。 當您在 Azure 訂用帳戶或已連線的 AWS 帳戶上啟用適用於伺服器的 Microsoft Defender 時,您將需支付連線到 Azure 訂用帳戶或 AWS 帳戶的所有機器費用。 機器一詞包含 Azure 虛擬機器、Azure 虛擬機器擴展集執行個體和已啟用 Azure Arc 的伺服器。 未安裝 Log Analytics 的機器會受到不依賴 Log Analytics 的代理程式所保護。
如果 Log Analytics 代理程式向多個工作區報告,是否需要支付兩次費用?
如果電腦向多個工作區報告,且其中所有工作區都已啟用適用於伺服器的 Defender,那麼在每個連結的工作區,系統就會針對其中的機器計費。
如果 Log Analytics 代理程式向多個工作區報告,是否有 500 MB 的免費資料擷取可供使用?
是。 如果您已將 Log Analytics 代理程式設定為將資料傳送至兩個或多個不同的 Log Analytics 工作區 (多路連接),那麼您每擁有一個工作區就會取得 500 MB 的免費資料擷取。 這會依每個節點、每個報告的工作區每天計算,並適用於已安裝「安全性」或「反惡意程式碼軟體」解決方案的每個工作區。 您需支付超過 500 MB 限制的所有資料擷取費用。
要針對整個工作區計算 500 MB 的免費資料擷取,或是僅針對每台電腦計算擷取作業?
對於每部連線至工作區的虛擬機器 (VM),您會收到每日額度 500 MB 的免費資料擷取。 此配置特別適用於直接由適用於雲端的 Defender 收集的安全性資料類型。
資料額度是跨所有連線機器計算的每日速率。 您的每日免費限制總計等於 [機器數目] x 500 MB。 因此,即使有些機器在指定日傳送了 100 MB,而其他機器傳送了 800 MB,只要來自所有機器的資料總計未超過您的每日免費限制,則您不需支付額外費用。
500 MB 資料每日額度中包含哪些資料類型?
適用於雲端的 Microsoft Defender 的計費與 Log Analytics 的計費關係密切。 適用於伺服器的 Microsoft Defender 會針對下列安全性資料類型的子集,為機器提供 500 MB/節點/天的配置:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- 當更新管理解決方案未在工作區中執行或解決方案目標已啟用時,則會進行更新和 UpdateSummary。
如果工作區位於舊版每個節點定價層中,適用於雲端的 Microsoft Defender 和 Log Analytics 配置會合併,並一併套用至所有可計費的擷取資料。 若要深入了解 Microsoft Sentinel 客戶如何受益,請參閱 Microsoft Sentinel 定價頁面。
如何監視我的每日使用量?
您有兩種不同的方式可用:使用 Azure 入口網站或執行指令碼來檢視資料使用量。
若要在 Azure 入口網站中檢視您的使用量:
登入 Azure 入口網站。
瀏覽至 Log Analytics 工作區。
選取您的工作區。
選取 使用量和預估成本。
您也可以選取每個定價層的 
,以便檢視不同定價層下的估計成本。
若要使用指令碼來檢視您的使用量:
登入 Azure 入口網站。
瀏覽至 [Log Analytics 工作區] > [記錄]。
選取您的年齡範圍。 了解時間範圍。
複製下列查詢,並將其貼到 [在這裡輸入您的查詢] 區段。
let Unit= 'GB'; Usage | where IsBillable == 'TRUE' | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary') | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit | summarize DataConsumedPerDataType = sum(Quantity)/1024 by DataType, DataUnit = Unit | sort by DataConsumedPerDataType desc選取執行。
![此螢幕擷取畫面顯示輸入查詢和選取 [執行] 按鈕的位置。](media/plan-defender-for-servers-data-workspace/select-run.png)
![此螢幕擷取畫面顯示輸入查詢和選取 [執行] 按鈕的位置。](media/plan-defender-for-servers-data-workspace/select-run.png#lightbox)
您可以了解如何在 Log Analytics 工作區中分析使用量。
根據您的使用量,您用完每日額度之後,系統才會開始向您收取費用。 如果您收到帳單,那麼上面的收收僅針對達到 500 MB 限制之後所使用的資料,或是不在適用於雲端的 Defender 涵蓋範圍內的其他服務。
如何管理我的成本?
您可能會想要管理您的成本,並透過將解決方案限制在一組特定的代理程式,來限制針對該解決方案所收集的資料量。 使用解決方案目標,將某個範圍套用至解決方案,並將工作區中的電腦子集設定為目標。 如果您使用解決方案目標,適用於雲端的 Microsoft Defender 會將工作區列為沒有解決方案。
重要
解決方案目標已被取代,因為 Log Analytics 代理程式正以 Azure 監視器代理程式取代,而 Azure 監視器中的解決方案正以深入解析取代。 如果您已設定解決方案目標,則可以繼續使用該目標,但其無法在新的區域中使用。 2024 年 8 月 31 日之後將不支援此功能。 下列區域對解決方案目標的支援直到取代日期為止:
| 區域碼 | 區域名稱 |
|---|---|
| CCAN | canadacentral |
| CHN | switzerlandnorth |
| CID | centralindia |
| CQ | brazilsouth |
| CUS | centralus |
| DEWC | germanywestcentral |
| DXB | UAENorth |
| EA | eastasia |
| EAU | australiaeast |
| EJP | japaneast |
| EUS | eastus |
| EUS2 | eastus2 |
| NCUS | northcentralus |
| NEU | 北歐 |
| NOE | norwayeast |
| PAR | FranceCentral |
| SCUS | southcentralus |
| SE | KoreaCentral |
| SEA | 東南亞 |
| SEAU | australiasoutheast |
| SUK | uksouth |
| WCUS | 美國中西部 |
| WEU | westeurope |
| WUS | westus |
| WUS2 | westus2 |
| 實體隔離斷網的雲端 | 區域碼 | 區域名稱 |
|---|---|---|
| UsNat | EXE | usnateast |
| UsNat | EXW | usnatwest |
| UsGov | FF | usgovvirginia |
| 中國 | MC | ChinaEast2 |
| UsGov | PHX | usgovarizona |
| UsSec | RXE | usseceast |
| UsSec | RXW | ussecwest |