Als je een aantal jaar geleden riep dat Microsoft een serieuze club was op het gebied van endpoint security, dan werd je in het beste geval glazig aangekeken en in het slechtste geval vierkant uitgelachen. Inmiddels is Microsoft door het Defender-portfolio een serieuze speler die flink inzet op het best-of-suite model. We zien dan ook dat steeds meer organisaties kiezen voor een Microsoft-first securitystrategie.
Één van de producten waar regelmatig vragen over ontstaan is Defender for Endpoint, in het specifiek Defender for Endpoint Server. In deze blog nemen we je mee in de verschillende mogelijkheden waarop Defender for Endpoint Server gelicenseerd - en in gebruik genomen kan worden.
Defender for Server in het kort
Defender for Server is de next-generation endpoint protection van Microsoft voor je serverpark en brengt dreigingsdetectie en geavanceerde verdedigingsmechanismen naar je Windows- en Linux-machines die draaien in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) en on-premises omgevingen. De dienst integreert zowel met het Defender for Endpoint platform voor ‘reguliere’ endpoints (laptops & desktops) als het Defender for Cloud platform voor resources binnen de ecosystemen van de eerdergenoemde hyperscalers.
De verschillende plannen
Defender for Servers bestaat in twee uitvoeringen: Defender for Server Plan 1 en Defender for Server Plan 2. Met beide plannen kun je machines voorzien van Next-generation bescherming, oftewel: endpoint security. Dat betekent dat het kijkt naar gedrag van applicaties in plaats van enkel naar bekende definities. Daarnaast beschikken beide plannen over ‘Automated Investigations’ en ‘Advanced Hunting’.
Uiteraard is Defender for Server Plan 2 uitgebreider. Het bevat een aantal extra functionaliteiten waaronder Just-in-time Virtual Machine access, uitgebreidere mogelijkheden voor detectie van aanvallen op (Azure) netwerkverkeer en Analyse van data via Log Analytics. Zie voor een volledig overzicht van de functionaliteiten per plan ook dit overzicht.
De Microsoft Best-Practice – Azure en ARC
Een flink aantal van de Defender for Server Plan 2 functionaliteiten hebben te maken met Azure-integraties. Dit is niet zonder reden: Defender for Server Plan 2 is gericht op resources die worden gemanaged via Microsoft Defender for Cloud – de beveiligingssuite voor cloud-infrastructuur resources. Het is mogelijk om non-Azure machines te beheren via Azure, hiervoor heeft Microsoft de overkoepelende term “Azure Arc” in het leven geroepen.
Wil je gebruik maken van Defender for Servers Plan 2 op je on-premises (of GCP/AWS)? Dan zul je deze ook moeten onboarden in Azure Resource Manager. Dit kan door je on-premises machines uit te rusten met de Azure Connected Machine agent, zie ook het onderstaande overzicht. Wanneer de machine eenmaal bekend is binnen Azure Resource Manager kan deze toegewezen worden aan een Azure subscriptie.
Per subscriptie is het vervolgens mogelijk om - via Defender for Cloud - een Defender for Server plan te selecteren. Er kan maar één plan gekozen worden per subscriptie; het is dus niet mogelijk om een deel van de machines te voorzien van Defender for Servers Plan 2 en het merendeel van de machines uit te rusten met Plan 1. Wanneer Defender for Server licenties worden toegewezen via Defender for Cloud worden de kosten voor deze licenties enkel in rekening gebracht over de tijd dat de machine in gebruik is.
On-premises zonder Defender for Cloud
Het volgen van de Microsoft best practices (middels Azure ARC) biedt verreweg de meeste flexibiliteit, maar het is zeker niet de enige methode om Defender for Server uit te rollen. Er zijn situaties waarin het niet wenselijk is om alle resources via de Azure portalen te beheren. Denk hierbij bijvoorbeeld aan een cluster zonder (of met zeer minimale) internettoegang.
In zo’n dergelijke situatie is het gelukkig mogelijk om gebruik te maken van Defender for Server. In dit geval heet het dan Defender for Endpoint for Server. Functioneel gezien is Defender for Endpoint for Server volledig gelijk aan Defender for Server Plan 1. Die dienst ‘praat’ echter alleen met het Defender for Endpoint platform en niet met het Defender for Cloud platform.
Op het gebied van licensering zorgt dit laatste wel voor een aantal uitdagingen. De Microsoft omgeving ‘ziet’ de te licenseren machines namelijk niet waardoor je de licenties niet flexibel af kan nemen. Je betaalt dan elke maand het volledige bedrag, terwijl je anders enkel hoeft te betalen wanneer de machine in gebruik is.
Daarnaast staat de technische toewijzing van de functionaliteit volledig los van de benodigde licenties. Je hebt dus een ‘papieren’ licentie, vergelijkbaar met Windows Server CAL’s. Hierdoor is het mogelijk om machines te beveiligen zonder dat hier een licentie tegenover staat, maar dan ben je niet compliant. Een andere mogelijkheid is dat je meer licenties afneemt dan je daadwerkelijk nodig hebt, wat weer zorgt voor onnodige kosten…
De installatiemethode voor de ‘Defender for Endpoint route’ verschilt per Operating System. Wil je hiermee aan de slag? Dan kan deze gedetailleerde instructie je verder helpen.
In het artikel zijn we uitgegaan van een volledig op (ondersteunde) Windows Server gebaseerde infrastructuur. Zijn er binnen jouw omgeving Windows Server 2008R2 of non-Windows Server machines (zoals bijvoorbeeld Linux Server)? En wil je die voorzien van Defender for Server functionaliteiten? Dan is de ‘Azure Arc Route’ de beste optie, aangezien deze mogelijkheden niet of nauwelijks ondersteund worden via de ‘Defender for Endpoint route’.
Jouw situatie
We hopen dat bovenstaande je geholpen heeft om wat meer inzichten te krijgen in de (licentie)mogelijkheden van Defender for Server. Uiteraard is iedere situatie anders en loont het zeker om op individuele basis naar jouw situatie te kijken. We gaan graag met je in gesprek om te bekijken welke opties voor jou en jouw organisatie het best passend zijn!
Software Solution Advisor
Software Solution Consultant
Software Solution Advisor
Software Solution Consultant
