Microsoft Defender for Business 和 Defender for Enterprise 比較

Microsoft Defender for Business 有三個方案可供選擇:

⭐Defender for Endpoint Plan 1:僅包含防病毒功能。

⭐Defender for Endpoint Plan 2 :它涵蓋了許多功能,如防病毒、端點檢測和響應(EDR)、攻擊面減少、高級搜尋和自動調查和響應。

⭐Defender for Business

功能比較

Microsoft Learn 上提供了不同方案之間的完整比較。本文中,將比較 Defender for Endpoint Plan 2 與Defender for Business 兩種方案。而 Plan 1,因為它是一個基本方案,缺少關鍵功能,如端點檢測和響應。正在尋找端點保護系統的組織應該選擇具有 EDR 功能的系統。EDR 提供比傳統防病毒更深入的監控功能,因為它不是基於簽名,而是會掃描所有在雲端數據庫中的活動,提供更深入的檢測。

Defender for Endpoint Plan 2 和 Defender for Business 之間存在幾個重要的區別。下面列出了其中最重要的兩個,這些將在本文後面進行深入探討。

在 Defender for Business 中,工作站上的端點代理設置變得更加簡單。

商務許可證不包括任何威脅搜索功能。

除了這些差異外,還有幾個關於 Defender for Business 的小差異是值得知道的,包括:

🟣缺少設備組。

🟣無法查看設備的當前登錄用戶。

🟣缺少自定義檢測規則。

威脅搜捕

當微軟表示 Defender for Business 沒有威脅搜捕功能時,他們的意思是沒有辦法獲取 Defender for Endpoint 收集的原始數據。原始數據包括設備時間軸,這是端點上收集的所有事件的視覺表示,以及高級搜捕,它允許您通過 KQL 檢索此數據。

人們使用 Microsoft Defender 的主要原因是為了調查事件。如果發生事件,您會進行詳細調查,檢查是否需要進行任何後續操作:

🔹我應該重置用戶的密碼嗎?

🔹我需要重新安裝設備嗎?

🔹是否需要進行用戶教育,以避免未來發生這樣的事件?

Defender for Business 受到 Microsoft 提供訊息的限制。每個事件都有一個警報故事,描述 Defender 認為可疑的操作。

對於缺乏高級搜捕功能也是一樣的情況。高級搜捕允許您創建 KQL 查詢,以在查詢有結果時生成事件。由於缺少高級搜捕,您無法根據條件或邏輯創建事件。

由於 Defender for Business 面向中小型企業,因此上述情況對於沒有專門的安全或 IT 工程師的組織可能不會是個問題。深入日誌以獲取更多訊息不是每個 IT 工程師都會做的事情,因為他們缺乏這樣的調查知識或時間。

客戶端配置

Defender for Business 簡化了端點的部署和配置。相較之下,一般的 Defender for Endpoint 上線是透過Microsoft Intune 入口網站來進行,透過部署必要的上線和配置策略。Defender for Business 支援透過設定精靈對 Intune 注冊的 Windows 設備進行上線。這意味著不需要透過 Intune 入口網站進行額外的配置,因為Microsoft 在背景中設定好了一切。除了上線,Defender for Business 還會部署 Microsoft 建議的防病毒軟體配置(包括掃描配置)和端點防火牆。對於沒有深入了解 Microsoft 安全防護的小型 IT 團隊來說,這是一個不錯的選擇。

次要差異

🟡最後登入的使用者

如果您導覽到裝置的頁面,Defender for Endpoint 會顯示一個「最後登入的使用者」屬性,顯示哪個使用者最常登入該裝置。這是一種方便的方式來識別使用裝置的最終用戶。Defender for Business 租戶無法使用此類信息。

🟡裝置群組

裝置群組用於創建不同集合的計算機的邏輯分組。一些例子是伺服器與終端、移動與桌面或活躍與非活躍裝置。

一套強大的核心功能

儘管企業版和商業版授權之間存在相當多的差異,但核心功能仍然相同。使用 Defender for Business 授權,我們可以獲得以下功能:

🔵根據 Microsoft 最佳實踐配置的全面、現代化的防病毒系統。

🔵使用行為監控的 EDR 系統掃描您的端點並在需要時阻止威脅。

🔵使用內置的漏洞管理授權獲得有關漏洞的見解。

你組織的安全需求

Microsoft Defender for Business 是小企業在不需要具有端點安全良好知識的 IT 工程師的情況下使用企業級保護和檢測的好方法。它通過從組織中更複雜的工作流程,簡化了事件調查和設備上線。這使得 Defender for Business 非常適合小型組織,因為易於部署和維護。

然而,對於需要深入,高級安全解決方案的中型組織而言,Defender for Business 並不是最佳選擇。某些組織擁有 200 名以下員工,因此符合 Business 授權,但需要更高級別的安全解決方案。這類組織可能會尋找外包 SOC 或專門的安全工程師,需要使用高級搜捕和設備時間線等工具。對於這類組織,建議使用 Defender for Endpoint Plan 2。

適用於 Office 365 的 Microsoft Defender

Comments are closed, but trackbacks and pingbacks are open.