入正&展示 Microsfot Defender For Endpoint plan2

Fadouse

今天下午闲的没事看了下能不能单买MDE P2，结果发现还真可以
而且价格不算特别贵 一台用户一个月5.2美金




微软在文档里说MDE P2订阅是 per user且一个user可以同时并行运行5个设备。
这点非常重要，只要在不同的设备上登入同一个你分配license的微软工作账号，就可以同时在5台设备上部署MDE（实际测试确实可以）
也就是1.04 美金一台设备一个月，可谓是性价比非常高了


需要注意的一点是，在购买后可能不能立即使用（微软不知道在干啥）
在购买订阅并分配的28小时后，安全与合规性（security center）终于可以使用了
引用隔山打空气的一句：微软的东西要随时做好拉大的准备，做的好是情分 做的烂是本分



在部署设备前，首先需要添加策略 Endpoints->Configuration Management->Endpoint Security Policies。现在的MDE支持在安全与合规性直接配置ASR和常规配置（终于不用在intune和security center来回切了）


部署设备的脚本 Settings->Endpoints->Device management->Onboarding 中下载部署脚本。部署设备后可能需要等待1天左右才能被MDE注册管理。
刚部署的：

一天过后：

主力机的配置是超级舰队Elastic + Sentinelone + MDE(EDR Block Mode)
*EDR Block Mode 和 Automated investigation and response (AIR) 仅限 MDE P2订阅才有

所以相关组件加在一起，CPU典型负载1% + 内存2.8G（ES的组件贡献了1.6G）
由于MDE和Elastic都是基于ETW和内核回调实现的检测，所以并不会和S1有兼容性问题。
只有S1设有破坏性钩子（inprocessclient64.dll）但并不影响整体流畅性。


EDR Block Mode的占用也不算大，作为自动化兜底+威胁情报+漏洞扫描来说非常不错。
没想到MDE 的EDR Block mode也会拦截静态动态威胁，且占用比正常模式的MDE占用低非常多，估计是类似卡巴的启动时扫描（？)


且MDE P2的AIR会在警报严重级别 ≥ Medium 且置信度 ≥ Medium 时触发。
AIR相应的结果将会在Action Center -> History 中呈现，以下是一个典型的报告（？


漏洞管理

ANY.LNK

大概一个月人民币40吧，以及……可以麻烦看看你那边EDR in block mode以及进程注入、安全软件篡改检测能正常生效吗？

Fadouse

ANY.LNK 发表于 2025-6-22 20:58
大概一个月人民币40吧，以及……可以麻烦看看你那边EDR in block mode以及进程注入、安全软件篡改检测能正 ...

我security center好了就去测试（）

驭龙

其实MDB性价比最好，不过MDE P2的功能更全面，算得上是MDE的高配版了，期待你的最新测试

wohaofan1200

恭喜入正！感觉对初级用户不友好，比方说部署和维护复杂

aikafans

恭喜入正！期待后续分享

小小龙

体验怎么样？感觉卡吗？

djxjzkz

这个和卡巴之类的比有什么优势？

allentong

40元一个月其实价格还行。MDB\MDE-P1\P2都是按用户分配许可证，一个用户可以安装5台设备的

Fadouse

驭龙 发表于 2025-6-22 22:42
其实MDB性价比最好，不过MDE P2的功能更全面，算得上是MDE的高配版了，期待你的最新测试

根据坛友的提醒和网上的搜索，MDE的一个License似乎可以安装在5台设备上。
这样看来，性价比似乎比MDB更高？