Faaala pessoal!!! Nesses dias muitas pessoas me questionaram sobre as principais diferenças no licenciamento e recursos do MICROSOFT DEFENDER BUSINESS. Pensando nisso, estou aproveitando para escrever um pouco e tirar de uma vez as duvidas de vocês.
O Microsoft Defender for Business (MDB) é o novo produto Defender com escopo para pequenas empresas. Defender for Business é uma nova solução de segurança de ponto de extremidade, agora disponível no Microsoft 365 Business Premium.
Atualmente, os seguintes produtos Defender for Endpoint estão disponíveis:
- Defender for Business
- Defender for Endpoint P1
- Defender Endpoint P2
- Defender for Server ( visualização )
O Defender for Business faz parte da licença do Microsoft 365 Business Premium. Para clientes com o Microsoft 365 Business Basic ou Standard, você pode atualizar para o Business Premium ou usar o novo produto Defender for Business. Se você tiver o Microsoft 365 Business Premium, o Defender for Business está incluído.
Para gerenciar dispositivos, o Defender for Business suporta atualmente os seguintes sistemas operacionais.
– Windows 10 Business ou posterior
– Windows 10 Professional ou posterior
– Windows 10 Enterprise ou posterior
– macOS (as três versões mais recentes são suportadas)
Caso de uso do Defender for Business
Atualmente, o Defender for Business está se concentrando apenas em plataformas de usuários finais. Clientes Windows, macOS, iOS e Android são suportados.
O suporte ao servidor agora está disponível no Defender for Business. Veja o anúncio
“ Estamos adicionando suporte para servidores Windows e Linux ao Microsoft Defender for Business com até 300 funcionários, chegando ainda este ano com uma solução complementar. Você poderá gerenciar endpoints de cliente e servidor a partir de uma única experiência. A experiência do Windows Server será a mesma do cliente Windows. Os servidores Linux usarão scripts de implantação, permitindo que você integre suas plataformas de gerenciamento existentes, como Chef, Puppet e Ansible.”
Atualmente, a integração é possível para:
- Windows 10/11
- Mac OS
- iOS
Licença e recursos
Para obter a melhor experiência de integração e gerenciamento de segurança, é recomendável usar o Defender for Business com o Microsoft Intune. O Intune está incluído no Microsoft 365 Business Premium.
Há alguma diferença entre o Defender for Business e o Microsoft 365 Business Premium, onde o Defender for Business está incluído. Leia mais aqui .
Outros produtos de proteção que fazem parte do Microsoft 365 Business Premium
O Microsoft 365 Business Premium vem com algumas outras licenças de segurança conforme abaixo:
Produtividade + Defender
O Microsoft 365 Business Premium vem com o Exchange Online Plan 1 e o Defender for Office 365 Plan 1.
Azure AD
O Microsoft 365 Business Premium vem com o Azure Active Directory Premium Plan 1 e o Conditional Access Plan 1.
Proteção de informações
O Microsoft 365 Business Premium vem com o Azure Information Protection Premium P1.
Combinação importante de P1/ P2/ Defender for Cloud
Se você tiver uma licença existente do Microsoft Defender para Endpoint em seu tenant, isso afetará a experiência administrativa, no portal de segurança do Microsoft 365 Defender. Quando o serviço do Defender for Business estiver ativado, a seguinte experiência será alterada:
- O Microsoft Defender for Endpoint P1 será alterado para Microsoft Defender for Business.
- O Microsoft Defender for Endpoint P2 permanecerá em vigor e a experiência do produto Microsoft Defender for Business não será vista até que a licença do Defender for Endpoint P2 seja completamente removida do tenant. Nesse momento, a experiência do Defender for Business será vista.
- O Microsoft Defender for Servers ou o Microsoft Defender for Cloud está ativo no tenant do Azure. Isso também afetará o centro de administração do Microsoft 365 Defender e o mudará para uma experiência de produto mais avançada do Microsoft Defender for Endpoint Plan 2. A experiência do Defender for Business não será vista.
Situação: quando o Defender for Business está habilitado e a integração do Defender for Cloud está habilitada para o Defender for Cloud; A experiência avançada do Defender for Endpoint Plano 2 é o padrão. Verifique sempre quais licenças são necessárias para o caso de uso da organização e combinação de diferentes produtos Defender.
Mais informações do produto:
- Microsoft: Nova segurança de endpoint para pequenas e médias empresas agora disponível com o Defender for Business.
- Microsoft: Obtenha o Microsoft Defender para Business
Como configurar o Defender for Business ?
Para o Defender for Business, certifique-se de que a licença seja atribuída ao usuário conectado. Depois de comprar ou habilitar a avaliação, a seguinte licença estará disponível; Microsoft Defender for Business
Configuração inicial do Defender for Business
Durante a configuração, o usuário final pode configurar diretamente as permissões do usuário, notificações por e-mail e integração/configuração de dispositivos Windows.
Agora precisamos garantir que os usuários corretos sejam atribuídos. Diretamente do assistente security.microsoft.com é possível atribuir permissões de função Leitor de Segurança ou Administrador de Segurança. As atribuições podem ser criadas/alteradas posteriormente no Azure Active Directory. É claro; é possível pular a configuração.
Dispositivos Windows integrados é importante. O Defender for Business oferece suporte a diferentes métodos de integração de dispositivos no Defender for Endpoint. A integração é semelhante em comparação com a solução P1 e P2 da Microsoft.
Para integração, as seguintes opções são possíveis;
- Microsoft Endpoint Manager/Microsoft Intune
- Script local
- Política de grupo
- Script de integração de VDI
O assistente inicial cria automaticamente a conexão necessária entre o Intune (Endpoint Manager) e o Microsoft Defender for Business. Todas as políticas padrão são criadas diretamente no Intune e os recursos avançados são habilitados automaticamente.
Atualmente todos os recursos avançados estão ativados, exceto os recursos de visualização, proteção contra adulteração. É aconselhável ativar a proteção contra adulteração. Os recursos de visualização podem ser usados para obter novos recursos de segurança no anel de lançamento antecipado.
Políticas Empresariais
Com base na primeira configuração inicial – a Microsoft habilita as configurações de linha de base para detecção e resposta de antivírus, firewall e endpoint.
No portal do gerenciador de endpoints ( https://endpoint.microsoft.com ), encontramos em Segurança de endpoints os seguintes perfis:
- Antivírus – política padrão do Windows NGP
- Firewall – Política padrão de firewall do Windows
É possível editar as políticas padrão, não é possível excluir as políticas padrão criadas durante o assistente. As políticas padrão terão a ordem de precedência mais baixa, portanto, se outra política for criada com base em uma classificação mais alta, as configurações serão aplicadas seguindo a ordem.
Pontos-chave a serem lembrados sobre a ordem política
- As políticas são atribuídas a uma ordem de prioridade.
- Os dispositivos recebem apenas a primeira política aplicada.
- Você pode alterar a ordem de prioridade das políticas.
- As políticas padrão recebem a ordem de prioridade mais baixa.
Gerenciamento de configurações
O gerenciamento de configuração é habilitado usando o Microsoft Endpoint Manager. A configuração padrão é configurada com base nos dispositivos Windows Client. Observação : atualmente, o servidor não está incluído no produto Defender for Business.
Integração
Como já explicado, diferentes métodos de integração podem ser usados para o Windows. Para integração manual, o GPO ou o script de integração local podem ser usados.
Para dispositivos locais que não fazem parte do MEM, é possível gerenciar as configurações usando MDE e MEM, com base no recurso de gerenciamento de segurança. Após a integração, os dispositivos são integrados no AzureAD e no MEM.
Importante: Certifique-se de que os patches e requisitos corretos estejam instalados. Atualize o Defender para a atualização mais recente do produto Defender, que é necessária para o recurso de gerenciamento. Use aka.ms/mdeclientanalyzer para verificar a conectividade e o status de atualização/sistema.
Integração com Sentinel
Para exportar eventos/alertas é possível usar o Microsoft Sentinel. Com base no meu laboratório de teste, os conectores do Microsoft Defender for Endpoint funcionam e criam incidentes com base nos alertas do Defender for Endpoint.
Experiência do administrador
A experiência do administrador do Security.microsoft.com é diferente para a seção Endpoint. O Defender for Business não tem os seguintes itens de configuração:
- APIs - SIEM
- Permissões - Funções
- Permissões – Grupos de dispositivos
- Regras - Indicadores de Memória de Processo
- Regras – Uploads de automação
- Regras – Exclusões de pastas de automação
Não há suporte para criar grupos de dispositivos personalizados. O Defender for Business oferece suporte às seguintes funções:
Nível de permissão | Descrição |
---|---|
Administradores globais (também chamados de administradores globais) Como prática recomendada, limite o número de administradores globais. | Os administradores globais podem realizar todos os tipos de tarefas. A pessoa que inscreveu sua empresa no Microsoft 365 ou no Microsoft Defender for Business é um administrador global por padrão. Os administradores globais podem acessar/alterar as configurações em todos os portais do Microsoft 365, como: – Centro de administração do Microsoft 365 ( https://admin.microsoft.com ) – Portal do Microsoft 365 Defender ( https://security.microsoft.com ) |
Administradores de segurança (também chamados de administradores de segurança) | Os administradores de segurança podem executar as seguintes tarefas: – Exibir e gerenciar políticas de segurança – Exibir e gerenciar ameaças e alertas de segurança (essas atividades incluem a execução de ações de resposta em terminais) – Exibir informações e relatórios de segurança |
Leitor de segurança | Os leitores de segurança podem executar as seguintes tarefas: – Exibir políticas de segurança – Exibir ameaças e alertas de segurança |
Mais informações: Funções do Microsoft Defender for Business
Experiência de incidente
A experiência de incidente do Defender for Business é diferente. Em comparação com o Defender for Endpoint P2, existem algumas diferenças na experiência de incidente/investigação.
Advanced Hunter
Primeiro, não há Advanced Hunter. O Defender for Endpoint não está mantendo 30 dias de dados sobre eventos . Com base nisso, não há como procurar eventos específicos do dispositivo.
Comparativos
Existem algumas diferenças em comparação com o Defender for Endpoint P2. A maioria das ações do dispositivo está disponível para o Defender for Business, exceto o recurso de especialista em ameaças.
O que não está disponível ?
Ações
Defender for Business | Defender Endpoint P2 | |
Isolar dispositivo | S | S |
Executar verificação antivírus | S | S |
Colete o pacote de investigação | S | S |
Iniciar sessão de resposta ao vivo | S | S |
Iniciar investigação automatizada | S | S |
Excluir dispositivo | S | S |
Hunter | N | S |
Restringir a execução do aplicativo | S | S |
Ativar o modo de solução de problemas | S | S |
Pergunte aos especialistas do Defensor | N | S |
Defender Business x Defender Endpoint P2
Defender for Business | ||
Proteção contra ameaças | S | S |
Saúde e conformidade do dispositivo | S | S |
Dispositivos vulneráveis | S | S |
Proteção da Web | S | S |
Firewall | N | S |
Controle de dispositivo | N | S |
Regras de redução da superfície de ataque | N | S |
Alguns limites
Nem todos os recursos estão disponíveis no Defender for Business; há um limite entre o Defender for Business e o Defender P2.
O Defender for Business inclui a maioria dos recursos do Defender for Endpoint P2. Com as seguintes diferenças:
- Falta do Advanced Hunter
- Sem retenção de dados por 6 meses ou mais
- Sem baseline do dispositivo
- Análise de ameaças otimizada para pequenas e médias empresas
- Sem recurso de sandbox
Acesso condicional
O acesso condicional para políticas de risco de dispositivo específico está incluído no Microsoft 365 Business Premium ou AzureAD P1.
Comparação dos planos do Defender
Recurso/Capacidade | Defender for Business (independente) | Defender for Endpoint Plan 1 (para clientes corporativos) | Defender for Endpoint Plan 2 (para clientes corporativos) |
---|---|---|---|
Gerenciamento de ameaças e vulnerabilidades | Sim | No | Sim |
Recursos de redução da superfície de ataque | Sim | Sim | Sim |
Proteção de última geração | Sim | Sim | Sim |
Detecção e resposta de endpoint | Sim | No | Sim |
Investigação e resposta automatizadas | Sim | No | Sim |
Thread hunter e seis meses de retenção de dados | No | No | Sim |
Descoberta de dispositivo | Sim | No | Sim |
Detecções personalizadas | No | No | Sim |
Sandbox | No | No | Sim |
Eventos da linha do tempo do dispositivo | No | No | Sim |
Análise de ameaças | Otimizado para pequenas e médias empresas | No | Sim |
Suporte multiplataforma (Windows, macOS, iOS e Android OS) | Limitado | Limitado | Sim |
Suporte ao servidor | Sim | No | Sim |
Especialistas em ameaças da Microsoft | No | No | Sim |
APIs de parceiros | Sim | Sim | Sim |
Integração do Microsoft 365 Lighthouse (para exibir incidentes de segurança em locatários do cliente) | Sim | Sim | Sim |
Transmita eventos para o Sentinel | Sim | ? | Sim |
Filtragem de conteúdo da web | Limitado | ? | Sim |
Conclusão
Para PMEs baseadas no Microsoft 365 Business Premium, o produto Defender for Business está incluído. Comparado com o Defender for Endpoint P2, alguns recursos avançados estão ausentes. Ele traz mais valor em comparação com o Defender for Endpoint P1. Esperamos que a Microsoft adicione mais suporte para regras de redução de superfície de ataque e políticas adicionais (linha de base de segurança) no gerenciamento centralizado de políticas.
Com base no preço e custo da licença – não é ruim para pequenas empresas.