Uma das questões mais frequentes em projectos de segurança Microsoft é: o Defender for Business que vem no Microsoft 365 Business Premium é suficiente — ou preciso do Defender for Endpoint? A resposta depende do tamanho da organização, da maturidade da equipa de segurança e dos requisitos de conformidade. Este artigo compara as três opções em detalhe e propõe um critério de decisão claro para o contexto de PME portuguesa.

1. Os três planos — Defender for Business, Plan 1 e Plan 2

A Microsoft disponibiliza três planos de protecção de endpoints sob a família Defender for Endpoint. Compreender a diferença entre eles é o primeiro passo para tomar a decisão certa:

Plano Destinado a Disponível em
Defender for Business (DfB) PME até 300 utilizadores — protecção enterprise simplificada Microsoft 365 Business Premium (incluído) · Standalone (~3€/user/mês)
Defender for Endpoint Plan 1 Organizações que querem protecção base sem EDR completo Microsoft 365 E3 (incluído) · Standalone
Defender for Endpoint Plan 2 Empresas médias/grandes com equipa de segurança dedicada Microsoft 365 E5 / E5 Security (incluído) · Standalone (~5€/user/mês)

⚠ Licenciamento misto não é suportado: Numa organização com Defender for Business (via M365 Business Premium) e com Defender for Endpoint Plan 2 (via M365 E5 Security) para alguns utilizadores, toda a experiência reverte para Defender for Business. Para usar a experiência Plan 2, é necessário licenciar todos os utilizadores no P2 e contactar o Suporte Microsoft para alterar o modo do tenant.

2. Comparação funcionalidade a funcionalidade

Funcionalidade Defender for Business MDE Plan 1 MDE Plan 2
Protecção Base
Antivírus de próxima geração (NGAV)
Redução de superfície de ataque (ASR)
Firewall e protecção de rede
Controlo de dispositivos (USB, removíveis)
Detecção e Resposta
Endpoint Detection & Response (EDR) ✓ Simplificado ✓ Completo
Investigação e remediação automatizada (AIR) ✓ Básico ✓ Avançado
Isolamento de dispositivo comprometido
Live Response (shell remota no endpoint)
Investigação Avançada
Advanced Hunting com KQL ✓ 30 dias
Timeline de dispositivo (eventos históricos) △ 30 dias ✓ 180 dias
Regras de detecção personalizadas
Gestão e Integração
Onboarding simplificado (wizard guiado)
Grupos de dispositivos (granularidade de políticas) △ Limitado
Integração com Microsoft Sentinel (SIEM) △ Via API △ Parcial ✓ Nativa
Microsoft Defender XDR (correlação cross-domain)
Gestão de vulnerabilidades (TVM) ✓ Básico ✓ Avançado
Limite de utilizadores Máx. 300 Ilimitado Ilimitado

✓ Incluído  ✗ Não disponível  △ Disponível com limitações

3. Diferenças críticas em detalhe

3.1 Advanced Hunting — a diferença mais impactante

O Advanced Hunting do Plan 2 permite consultar até 30 dias de dados raw de todos os endpoints em linguagem KQL (Kusto Query Language). É a ferramenta que transforma um alerta numa investigação completa — permite rastrear movimento lateral, identificar a origem de um ataque e confirmar se outros dispositivos foram afectados.

O Defender for Business não tem Advanced Hunting. Tem a alert story de cada incidente — uma narrativa automática dos eventos detectados — mas não permite consultas livres nos dados históricos. Numa investigação de incidente complexo (ransomware, movimento lateral), esta limitação pode significar não conseguir perceber o âmbito total do ataque sem ajuda externa.

3.2 Retenção de dados — 30 dias vs. 180 dias

O Defender for Business retém dados de alertas durante 30 dias. O Plan 2 retém dados de sensor durante 180 dias (6 meses), o que permite investigações retrospectivas muito mais profundas. Para requisitos de conformidade NIS2 que exigem retenção de logs de segurança (90+ dias recomendados), o Plan 2 é a resposta nativa; com o Defender for Business é necessário complementar com Microsoft Sentinel ou outro SIEM.

3.3 Live Response — acesso remoto forense ao endpoint

O Live Response do Plan 2 permite abrir uma shell interactiva num endpoint comprometido directamente do portal, recolher ficheiros, executar scripts e realizar análise forense em tempo real — sem depender de ferramentas de acesso remoto externas. O Defender for Business não tem esta funcionalidade; a resposta a incidentes depende da investigação automatizada ou de ferramentas externas (RMM, PowerShell remoto, etc.).

3.4 O que é igual nas duas soluções

✓ A qualidade de detecção EDR é a mesma. Tanto o Defender for Business como o Plan 2 usam o mesmo motor de análise comportamental e a mesma telemetria de ameaças da Microsoft. Um ataque sofisticado vai gerar alertas em ambas as soluções com o mesmo nível de detalhe. A diferença está na capacidade de investigar o alerta — não em detectá-lo.

4. Licenciamento e preço em Portugal

Plano Preço estimado (por user/mês) Incluído em
Defender for Business standalone ~3 € Standalone (sem suite M365)
M365 Business Premium ~22 € (suite completa) Defender for Business + Entra P1 + Intune + Defender for Office 365 P1
Defender for Endpoint Plan 1 ~3 € standalone M365 E3 (~36 €/user/mês)
Defender for Endpoint Plan 2 ~5 € standalone M365 E5 (~57 €/user/mês) · M365 E5 Security (~20 €/user/mês)

ℹ A opção de maior valor para PME: O Microsoft 365 Business Premium é habitualmente a melhor relação qualidade-preço para PME portuguesa até 300 utilizadores. Inclui Defender for Business, Entra ID P1 (Conditional Access), Intune, Defender for Office 365 P1 e Azure Information Protection P1 — uma stack de segurança completa por ~22€/user/mês, significativamente mais barato do que comprar cada componente separadamente.

5. Protecção de servidores

O Defender for Business protege apenas endpoints cliente (Windows, macOS, iOS, Android). Para servidores Windows Server e Linux Server é necessária licença adicional:

Cenário de servidor Licença adicional necessária Limite
Até 60 servidores com DfB ou M365 Business Premium Microsoft Defender for Business Servers (~3 USD/instância/mês) Máx. 60 instâncias
Mais de 60 servidores ou com MDE Plan 2 Microsoft Defender for Servers Plan 1 ou Plan 2 (via Defender for Cloud) Ilimitado

6. Critério de decisão — qual escolher

Se a organização… Escolher
Tem até 300 utilizadores, sem equipa de segurança dedicada, já usa ou quer M365 Business Premium ✓ Defender for Business (via M365 Business Premium)
Tem até 300 utilizadores mas tem equipa de segurança com capacidade de investigação (threat hunting, KQL) ✓ Defender for Endpoint Plan 2 (standalone ou via E5 Security)
Tem mais de 300 utilizadores ✓ Defender for Endpoint Plan 1 ou Plan 2 (DfB não suporta >300 users)
Precisa de integração nativa com Microsoft Sentinel para logging centralizado (requisito NIS2) ✓ Defender for Endpoint Plan 2 + Microsoft Sentinel
Precisa de retenção de dados de segurança superior a 30 dias (conformidade NIS2) ✓ MDE Plan 2 (180 dias nativos) ou DfB + Microsoft Sentinel
É MSP e gere múltiplos tenants de clientes PME ✓ Defender for Business + Microsoft 365 Lighthouse (gestão multi-tenant)

7. Cenários típicos de PME portuguesa

Cenário A — Escritório de contabilidade, 25 utilizadores, sem IT dedicado

Recomendação: Microsoft 365 Business Premium com Defender for Business activado.

O wizard de configuração simplificado, as políticas pré-configuradas e a remediação automática fazem do DfB a escolha certa. Sem equipa de segurança, não há capacidade para gerir KQL e threat hunting — as funcionalidades do Plan 2 seriam subutilizadas.

Cenário B — Empresa industrial, 180 utilizadores, 1 sysadmin interno + MSP externo

Recomendação: Microsoft 365 Business Premium (Defender for Business) + Microsoft Defender for Business Servers para os servidores Windows Server.

O MSP externo gere via Microsoft 365 Lighthouse. A remediação automática do DfB cobre a maioria dos incidentes sem intervenção manual. Para requisitos NIS2 de retenção de logs, complementar com Microsoft Sentinel no plano básico.

Cenário C — Empresa de serviços de TI (MSP/MSSP), 250 utilizadores + gestão de 50 clientes

Recomendação: Defender for Endpoint Plan 2 internamente + Defender for Business para clientes PME via Lighthouse.

A equipa interna precisa de Advanced Hunting e Live Response para investigação de incidentes próprios e de clientes mais exigentes. Para os clientes PME geridos, o DfB via Lighthouse é a solução standard. Considerar Microsoft Sentinel como SIEM centralizado para correlação cross-tenant.

8. Primeiros passos após activação do Defender for Business

Se escolheste o Defender for Business (via M365 Business Premium), este é o fluxo de configuração inicial recomendado:

  1. Aceder ao portal: security.microsoft.com → Settings → Endpoints → confirmar que o Defender for Business está activado
  2. Concluir o wizard de configuração: Settings → Endpoints → Setup wizard — configura políticas de antivírus, firewall e redução de superfície de ataque com base em templates recomendados
  3. Fazer onboarding dos dispositivos: Settings → Endpoints → Onboarding — descarrega o script de onboarding para Windows; para macOS usa o Intune ou o pacote manual
  4. Verificar cobertura: Assets → Devices — confirma que todos os dispositivos aparecem como Active e Onboarded
  5. Rever as recomendações de vulnerabilidade: Vulnerability management → Recommendations — prioriza por risco e actua nas de maior impacto
  6. Configurar notificações de alertas: Settings → Endpoints → Email notifications — define quem recebe alertas de severidade Alta e Crítica
  7. Integrar com o Secure Score: Verificar as acções de Defender for Business no Microsoft Secure Score e implementar as recomendações de dispositivos

⚠ Filtro de conteúdo web — limitação do Defender for Business: O DfB suporta apenas uma política de filtragem web por organização. Não é possível ter políticas diferentes para grupos de utilizadores distintos. Se precisas de múltiplas políticas (ex: utilizadores de TI com acesso mais amplo vs. utilizadores gerais), considera o Defender for Endpoint Plan 2.

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário