Microsoft Defender 商业版

a286282313

看英文介绍Microsoft Defender 商业版带有EDR，网页控制台。可以试用30天，支持银联和支付宝。

Microsoft Defender 商业版，¥21.00用户/月。（每位用户最多可在 5 台设备上使用；年度订阅 - 自动续订）
https://www.microsoft.com/zh-cn/ ... t-defender-business
                                                                                   

Traditional antivirus solutions provide businesses with limited protection and leave them vulnerable to unknown threats, malicious websites, and attackers who can easily evade detection. Microsoft Defender for Business is a cost-effective and easy-to-use solution that offers comprehensive device and server security with endpoint detection and response, next-generation antivirus, automated investigation and remediation, and the ability to track and fix vulnerabilities.

传统的防病毒解决方案为企业提供的保护有限，使他们容易受到未知威胁、恶意网站和攻击者的攻击，这些攻击者可以很容易地逃避检测。Microsoft Defender 商业版是一款经济高效且易于使用的解决方案，可通过端点检测和响应、下一代防病毒、自动化调查和补救以及跟踪和修复漏洞的功能提供全面的设备和服务器安全性。

What's included with Defender for Business?
Defender for Business包含哪些功能？

Defender for Business includes a full range of device protection capabilities, as shown in the following diagram:
Defender for Business包括全套设备保护功能，如下图所示：

With Defender for Business, you can help protect the devices and data your business uses with:
借助Defender for Business，您可以通过以下方式帮助保护企业使用的设备和数据：

• Enterprise-grade security. Defender for Business brings powerful endpoint security capabilities from our industry-leading Microsoft Defender for Endpoint solution and optimizes those capabilities for IT administrators to support small- and medium-sized businesses.
• 企业级安全性。Defender for Business从我们业界领先的Microsoft Defender for Endpoint解决方案中带来了强大的端点安全功能，并为IT管理员优化了这些功能，以支持中小型企业。
• An easy-to-use security solution. Defender for Business offers streamlined experiences that guide you to action with recommendations and insights into the security of your endpoints. No specialized knowledge is required, because Defender for Business offers wizard-driven configuration and default security policies that are designed to help protect your company's devices from day one.
• 易于使用的安全解决方案。Defender for Business提供了简化的体验，通过对端点安全性的建议和见解指导您采取行动。不需要专业知识，因为Defender for Business提供向导驱动的配置和默认安全策略，旨在帮助从第一天起保护您公司的设备。
• Flexibility for your environment. Defender for Business can work with your business environment, whether you're using Microsoft Intune or you're brand new to the Microsoft Cloud. Defender for Business works with components that are built into Windows, and with apps for Mac, iOS, and Android devices.
• 为您的环境提供灵活性Defender for Business可以与您的业务环境配合使用，无论您是使用Microsoft Intune还是全新的Microsoft Cloud。Defender for Business可与Windows中内置的组件以及适用于Mac、iOS和Android设备的应用程序配合使用。
  
  

IamAngry

defender的完全体很贵的，这个版本阉割了啥还得等版里的企业级大佬给你解答

ANY.LNK

之前用过一段时间的完整版Microsoft Defender for Endpoint E5完整套装，很强。这个可能会少些功能，但应该也不会差到哪里去

ikochina1

如果无和谐软件，不怕误报的话wd是可以选择的，就是误报有点凶

Yuki丶

他的EDR不如S1和Cybereason

隔山打空气

如您所见，MDB（Microsoft Defender 商业版）相对于MDE的一个重大的差异是高级搜寻（Advanced Hunting），这是一个对于EDR来说非常重要的功能。借助于此，您可以手动精细化地搜寻威胁并将其清除，即使未被云端判定为可疑活动。但在缺乏具有专业知识人员的情况下...无所谓，因为很多人是不太会用的，但您也可以学习，如果本来就是专业人员请无视这段话（

MDB/MDE的EDR持续接收行为并交由云端规则分析判定为可疑后，将在incidents/alerts中显示宏观事件链/详细可疑事件，但不会立即自动响应。根据事件的可疑程度与危险程度，将分配不同的严重度。您可以查看这些事件并跟踪他们，进行响应。当然，这些警报也会与已知的威胁情报相联动，警示您已知的恶意组织活动，但貌似很多时候情报不明确。

MDB/MDE的后置位的自动措施称为自动调查与响应（简称为AIR）。当它接收到EDR发送的警报事件后，在它支持的情况下，将触发自动调查。（例如：白加黑远控建立C2连接时检测到管道，内存中发现类似CobaltStrike的特征，或加载了可疑的DLL）调查时间从数分钟到数小时不等。调查完成后，将根据进程行为，机器学习引擎等综合分析，决定是否实施缓解措施/如何实施缓解措施（终止进程，隔离文件，清除注册表/计划任务，禁止服务启动等）。但就效果而言，可能会出现未能清除恶意持久化机制或未将黑文件判定为威胁的情况。另外，并非所有警报都支持AIR。（例如，检测到可疑的服务启动）

MDB可以直接在Microsoft 365 安全中心进行粗略的EPP（MD防病毒）设置，但完整的设置在Intune进行管理。
ASR（攻击面减少）规则在defender区大佬们都有说明，不再赘述（

IamAngry

买一个月试试，看了下微软的文档，功能没有下手割太狠。而且买一个用户就能用到5台设备。有点意思了。
就是后台还要看文档慢慢研究下

折腾结果：实在是用不来
我的AIR好像是废的，一手动开启就终止了，EDR也没啥操作可以做，令人摸不着头脑

Eunismal

这个不好用，管理终端要去endpoint.microsoft.com，杀毒配置又要到security.microsoft.com，分开好几个地方管理，如果是Plan2的话还要自备一个域服务器下发策略，太麻烦了。