Microsoft Defender for Endpoint (MDE) to korporacyjna platforma ochrony punktów końcowych Microsoftu, dostępna w dwóch wariantach licencyjnych: Plan 1 i Plan 2. Różnica sprowadza się do zakresu możliwości wykrywania i reagowania — Plan 1 zapewnia solidną ochronę prewencyjną (antywirus, redukcję powierzchni ataku, ręczne akcje reagowania), natomiast Plan 2 dodaje pełne EDR, automatyczne śledztwa, zaawansowane polowanie na zagrożenia (advanced hunting) oraz zarządzanie lukami w zabezpieczeniach — czyli wszystko, czego zespół SOC potrzebuje do analizy zaawansowanych incydentów.
W skrócie
- Plan 1 = ochrona nowej generacji (NGAV), reguły ASR, ręczne reagowanie, kontrola urządzeń, ochrona sieci i web — zawarty w Microsoft 365 E3
- Plan 2 = wszystko z P1 + EDR, automatyczne śledztwa i remediacja (AIR), advanced hunting, threat intelligence, sandbox, deception, Microsoft Security Copilot — zawarty w Microsoft 365 E5
- Oba plany obejmują Windows, macOS, Linux, Android, iOS
- Plan 2 oferuje automatyczne zakłócanie ataków ransomware (średni czas przerwania: 3 minuty) — Plan 1 nie ma tej funkcji
- Plan 1 nie zawiera zarządzania podatnościami (TVM) ani zaawansowanego polowania (KQL)
- Nowość 2026: Predictive Shielding (zapobiegawcze hartowanie) dostępne tylko w Plan 2 (wersja preview)
- Plan 1 sprawdza się w małych i średnich firmach potrzebujących solidnej ochrony antywirusowej z kontrolą urządzeń; Plan 2 to wybór organizacji z własnym SOC lub wymogami compliance
Tabela porównawcza: Defender for Endpoint Plan 1 vs Plan 2
| Obszar / funkcja | Plan 1 (M365 E3) | Plan 2 (M365 E5) |
|---|---|---|
| Ochrona nowej generacji (NGAV) — antywirus, ochrona w chmurze, heurystyki | ✅ Tak | ✅ Tak |
| Redukcja powierzchni ataku (ASR) — reguły ASR, ochrona przed ransomware (controlled folder access) | ✅ Tak | ✅ Tak |
| Zapora sieciowa (Windows Defender Firewall) | ✅ Tak | ✅ Tak |
| Ochrona sieci (network protection) — blokowanie złośliwych domen i adresów IP | ✅ Tak | ✅ Tak |
| Ochrona sieci Web (web protection) — filtrowanie kategorii URL, ochrona przed phishingiem | ✅ Tak | ✅ Tak |
| Kontrola urządzeń (device control) — blokowanie/zezwalanie na USB i nośniki wymienne | ✅ Tak | ✅ Tak |
| Kontrola aplikacji (application control / WDAC) | ✅ Tak | ✅ Tak |
| Ręczne akcje reagowania — skanowanie AV, izolacja urządzenia, kwarantanna pliku, wskaźniki IOC | ✅ Tak | ✅ Tak (plus dodatkowe akcje automatyczne) |
| Endpoint Detection and Response (EDR) — pełna telemetria behawioralna, oś czasu ataku | ❌ Nie (tylko alerty podstawowe) | ✅ Tak — rdzeń Planu 2 |
| Advanced Hunting — polowanie na zagrożenia w języku KQL, niestandardowe detekcje | ❌ Nie | ✅ Tak |
| Automatyczne śledztwo i remediacja (AIR) | ❌ Nie | ✅ Tak |
| Automatyczne zakłócanie ataków (attack disruption) — przerywanie ransomware, lateral movement | ❌ Nie | ✅ Tak |
| EDR w trybie blokowania (EDR in block mode) — ochrona przy pasywnym AV | ❌ Nie | ✅ Tak |
| Zarządzanie lukami i podatnościami (TVM / Exposure Management) | ❌ Nie | ✅ Tak |
| Threat Intelligence / analityka cyberzagrożeń | ❌ Nie | ✅ Tak |
| Sandbox (głęboka analiza plików) | ❌ Nie | ✅ Tak |
| Techniki dezinformacji (deception techniques) | ❌ Nie | ✅ Tak |
| Predictive Shielding (preview) — proaktywne hartowanie w trakcie ataku | ❌ Nie | ✅ Tak |
| Microsoft Security Copilot — generatywna AI do analizy incydentów | ❌ Nie | ✅ Tak |
| Retencja danych telemetrii | Ograniczona | 6 miesięcy |
| Obsługiwane platformy | Windows, macOS, Linux, Android, iOS | Windows, macOS, Linux, Android, iOS |
| Licencjonowanie | Microsoft 365 E3, oddzielna subskrypcja P1 | Microsoft 365 E5, oddzielna subskrypcja P2 |
Co zawiera Defender for Endpoint Plan 1
Defender for Endpoint Plan 1 to pakiet prewencyjny — jego zadaniem jest maksymalne utrudnienie ataku jeszcze przed jego rozpoczęciem. Oparty na tym samym silniku antywirusowym Microsoft Defender, który od 2024 roku regularnie zdobywa najwyższe noty w testach AV-TEST i AV-Comparatives (potrójna ocena AAA w SE Labs), zapewnia ochronę działającą w czasie rzeczywistym na wszystkich głównych platformach.
Kluczowe możliwości Planu 1
Ochrona nowej generacji (NGAV): Heurystyki, analiza behawioralna i ochrona w chmurze — Microsoft przetwarza 84 biliony sygnałów dziennie, co umożliwia błyskawiczne blokowanie nowych, nieznanych wcześniej zagrożeń. Silnik AV działa w trybie aktywnym na Windows i może współpracować z rozwiązaniami innych producentów w trybie pasywnym.
Redukcja powierzchni ataku (ASR): Reguły ASR blokują typowe zachowania wykorzystywane przez atakujących — na przykład próby uruchomienia pobranych plików wykonywalnych, skryptów zaciemnionych (obfuscated) czy makr w dokumentach Office. Controlled folder access chroni newralgiczne foldery przed ransomware, przepuszczając tylko zaufane aplikacje.
Kontrola urządzeń peryferyjnych: Administratorzy mogą precyzyjnie zdefiniować zasady korzystania z pamięci USB, zewnętrznych dysków czy innych nośników — od całkowitego blokowania po zezwolenie tylko na urządzenia o konkretnych identyfikatorach sprzętowych (vendor ID).
Ochrona sieci i web: Network protection blokuje dostęp do domen i adresów IP powiązanych z phishingiem, malware i serwerami C2. Web content filtering umożliwia filtrowanie ruchu w przeglądarkach według kategorii (np. blokowanie stron dla dorosłych, hazardowych, nielegalnych treści).
Ręczne reagowanie: Zespół IT może zdalnie uruchomić skanowanie antywirusowe, odizolować podejrzane urządzenie od sieci firmowej, przenieść plik do kwarantanny lub dodać wskaźnik IOC blokujący konkretny plik w całej organizacji.
Co dodatkowo oferuje Defender for Endpoint Plan 2
Plan 2 rozbudowuje fundament Planu 1 o warstwę wykrywania po naruszeniu (post-breach detection) i automatycznego reagowania. To tutaj Microsoft Defender for Endpoint przestaje być "tylko antywirusem", a staje się pełnoprawną platformą XDR.
EDR — pełna telemetria i oś czasu ataku
Sercem Planu 2 jest Endpoint Detection and Response — silnik zbierający szczegółową telemetrię behawioralną z każdego endpointu: procesy, połączenia sieciowe, operacje na rejestrze, logowania użytkowników, zmiany w systemie plików, aktywność kernela i menedżera pamięci. Dane przechowywane są przez 6 miesięcy, co umożliwia analitykom cofnięcie się wstecz do samego początku ataku i prześledzenie pełnej ścieżki — nawet jeśli incydent odkryto tygodnie po fakcie.
Advanced Hunting — polowanie w języku KQL
Zaawansowane polowanie na zagrożenia pozwala analitykom SOC pisać własne zapytania w języku Kusto Query Language (KQL) i przeszukiwać surową telemetrię z całej organizacji. Można na przykład błyskawicznie znaleźć wszystkie urządzenia, na których konkretny proces próbował nawiązać połączenie z podejrzanym adresem IP, lub stworzyć niestandardową regułę detekcji dla nowego, nieudokumentowanego jeszcze wskaźnika ataku.
Automatyczne śledztwo i remediacja (AIR)
Gdy Plan 2 wykryje zagrożenie, automatycznie uruchamia śledztwo — analizuje powiązane alerty, bada kontekst incydentu i podejmuje działania naprawcze bez udziału człowieka. Może automatycznie odizolować skompromitowane urządzenie, zatrzymać złośliwe procesy, usunąć pliki czy cofnąć złośliwe wpisy w rejestrze. Wynikiem jest gotowy raport śledztwa, który analityk SOC jedynie przegląda i zatwierdza — zamiast wykonywać każdą czynność ręcznie.
Automatyczne zakłócanie ataków i EDR w trybie blokowania
To jedna z najbardziej widowiskowych funkcji Planu 2: gdy system wykryje aktywny atak ransomware, automatycznie przerywa go w czasie rzeczywistym, blokując ruch boczny (lateral movement) i zdalne szyfrowanie plików. Średni czas od wykrycia do przerwania ataku: 3 minuty. W połączeniu z EDR in block mode — który pozwala Defenderowi na aktywne blokowanie zagrożeń nawet gdy działa w trybie pasywnym obok innego antywirusa — stanowi to niezwykle skuteczną ostatnią linię obrony.
Zarządzanie lukami, threat intelligence i sandbox
Plan 2 wyposaża organizację w Threat and Vulnerability Management (TVM): ciągłą ocenę podatności wszystkich urządzeń, priorytetyzację ryzyka i rekomendacje naprawcze. Do tego dochodzi threat intelligence — analityka cyberzagrożeń oparta na globalnym wywiadzie Microsoftu (84 biliony sygnałów, 10 tysięcy ekspertów w 72 krajach) — oraz sandbox, który automatycznie odpalając podejrzane pliki w izolowanym środowisku, pozwala odkryć ich prawdziwe zachowanie bez ryzyka dla infrastruktury.
Microsoft Security Copilot i Predictive Shielding (nowości 2025–2026)
Od 2025 roku Plan 2 integruje się z Microsoft Security Copilot — generatywną AI, która pomaga analitykom szybciej badać incydenty, streszcza alerty naturalnym językiem i podpowiada kolejne kroki śledztwa. W 2026 roku w wersji preview debiutuje Predictive Shielding: funkcja, która podczas trwającego ataku proaktywnie przewiduje kolejne ruchy przeciwnika i stosuje ukierunkowane hartowanie — np. ograniczenia GPO, wymuszenie Safeboot czy konteneryzację użytkownika — zanim atakujący zdąży wykonać następny krok.
Kiedy wybrać Plan 1, a kiedy Plan 2
Wybierz Plan 1, jeśli:
- Twoja organizacja potrzebuje solidnej ochrony antywirusowej i prewencyjnej z kontrolą urządzeń i filtrowaniem sieci
- Nie masz wewnętrznego zespołu SOC — alerty są obsługiwane przez administratorów IT, a nie dedykowanych analityków bezpieczeństwa
- Korzystasz już z Microsoft 365 E3 — Plan 1 jest w nim zawarty bez dodatkowych kosztów
- Masz 50–300 pracowników i szukasz złotego środka między bezpieczeństwem a prostotą zarządzania
Wybierz Plan 2, jeśli:
- Potrzebujesz pełnej widoczności post-breach i zdolności do prowadzenia samodzielnych śledztw
- Masz zespół SOC lub zewnętrznego dostawcę MDR, który wykorzystuje KQL i advanced hunting
- Spełniasz wymogi regulacyjne (NIS2, DORA, ISO 27001), które wymagają ciągłego monitorowania podatności, EDR i raportowania incydentów
- Korzystasz z Microsoft 365 E5 — Plan 2 jest w nim zawarty
- Chcesz zautomatyzować reakcję na incydenty ransomware — Plan 2 przerywa ataki w 3 minuty, podczas gdy Plan 1 wymaga ręcznej interwencji
A co z Microsoft Defender for Business?
Warto wspomnieć, że dla firm do 300 pracowników istnieje też Microsoft Defender for Business — uproszczona wersja, która łączy wybrane funkcje Planu 1 i Planu 2 (m.in. NGAV, podstawowe EDR i automatyczne śledztwa) w przystępniejszej cenie i prostszym interfejsie. Jest zawarty w Microsoft 365 Business Premium.
Częste pytania
Czy Defender for Endpoint Plan 1 wystarczy do ochrony przed ransomware?
Tak, w zakresie prewencji. Plan 1 oferuje controlled folder access (ochronę kluczowych folderów przed nieautoryzowanym szyfrowaniem), reguły ASR i network protection — to solidna pierwsza linia obrony. Brakuje mu jednak automatycznego zakłócania ataku w trakcie trwania (attack disruption), które w Planie 2 przerywa ransomware średnio w 3 minuty. Jeśli ransomware ominie prewencję, Plan 1 wymaga ręcznej reakcji administratora.
Czy mogę używać Defender for Endpoint Plan 2 obok innego antywirusa (np. CrowdStrike, SentinelOne)?
Tak. Plan 2 wspiera tryb pasywny Microsoft Defender Antivirus, w którym działa obok rozwiązania innej firmy. Funkcja EDR in block mode (tylko Plan 2) pozwala wtedy Defenderowi na blokowanie zagrożeń wykrytych behawioralnie, nawet gdy głównym AV jest produkt trzeciego dostawcy. To popularny scenariusz w organizacjach migrujących stopniowo na natywny stack Microsoftu.
Czy Microsoft Defender for Endpoint Plan 1 zawiera EDR?
Nie w pełnym znaczeniu. Plan 1 generuje alerty na podstawie wykrytych zagrożeń i umożliwia ręczne akcje reagowania, ale nie zbiera pełnej telemetrii behawioralnej, nie oferuje osi czasu ataku, advanced hunting (KQL) ani automatycznych śledztw. To są funkcje wyłącznie Planu 2. W dokumentacji Microsoftu od 2026 roku EDR w Planie 1 określane jest jako "podstawowe możliwości EDR" — czyli alerty i ręczne akcje — podczas gdy pełne, zaawansowane EDR to domena Planu 2.
Jaka jest różnica w cenie między Planem 1 a Planem 2?
Microsoft nie publikuje sztywnych cen detalicznych — Defender for Endpoint jest licencjonowany głównie jako składnik pakietów Microsoft 365 (Plan 1 w M365 E3, Plan 2 w M365 E5) lub jako osobna subskrypcja (add-on) dla użytkowników bez pełnego M365. Orientacyjnie, różnica w koszcie między E3 a E5 na użytkownika miesięcznie wynosi około 60–70%, co odzwierciedla dodatkowy zakres funkcji bezpieczeństwa w E5 (nie tylko MDE Plan 2, ale też Defender for Office 365, Defender for Identity i inne).
Czy Plan 1 i Plan 2 obejmują ochronę serwerów Windows Server?
Tak. Oba plany wspierają Windows Server 2012 R2, 2016, 2019, 2022 i 2025. Serwery wymagają jednak oddzielnego procesu onboardingu (przez Microsoft Defender for Cloud, Azure Arc lub lokalny skrypt), a niektóre funkcje EDR na starszych wersjach (2012 R2, 2016) działają przez nowego, zunifikowanego klienta wprowadzonego przez Microsoft. Pełne, natywne EDR z Planu 2 jest dostępne od Windows Server 2019 wzwyż.
Czy Microsoft Defender for Endpoint obejmuje urządzenia mobilne?
Tak — oba plany obsługują Androida i iOS przez Microsoft Defender for Endpoint Mobile Threat Defense. W Planie 1 są to głównie funkcje ochrony przed phishingiem i złośliwymi aplikacjami. Plan 2 rozszerza to o zaawansowaną telemetrię, wykrywanie jailbreak/rootowania i integrację z Microsoft Intune dla polityk dostępu warunkowego (conditional access) opartych na poziomie ryzyka urządzenia.
Czy mogę dokupić Plan 2 jako dodatek do istniejącego Planu 1?
Tak — Microsoft oferuje Defender for Endpoint Plan 2 jako licencję add-on dla użytkowników, którzy mają już Plan 1 (np. przez M365 E3) i chcą rozszerzyć funkcjonalność bez przechodzenia na pełny M365 E5. Jest to korzystne zwłaszcza dla organizacji, które potrzebują EDR i TVM tylko dla wybranej grupy krytycznych stanowisk, a nie dla całej załogi.
Twoja organizacja wdraża Microsoft 365 i potrzebuje licencji?
KluczeSoft.pl oferuje legalne, pochodzące z rynku wtórnego klucze licencyjne Microsoft — w tym do pakietów Microsoft 365 Business Premium (zawierającego Defender for Business) oraz Microsoft 365 E3/E5, które zawierają odpowiednio Defender for Endpoint Plan 1 i Plan 2. Wszystkie klucze są w pełni zgodne z prawem Unii Europejskiej (wyrok TSUE w sprawie C-128/11 UsedSoft), aktywowane online na koncie Microsoft i ważne bezterminowo — to sposób na uzyskanie pełnej ochrony endpointów Microsoftu za ułamek ceny detalicznej.