Microsoft Antimalware pro Azure cloud služby a virtuální stroje

Microsoft Antimalware for Azure je bezplatná ochrana v reálném čase, která pomáhá identifikovat a odstraňovat viry, spyware a další škodlivý software. Vytváří výstrahy, když se známý škodlivý nebo nežádoucí software pokusí instalovat nebo spustit na vašem systému Azure.

Řešení je postaveno na stejné antimalwarové platformě jako Microsoft Security Essentials [MSE], Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune a Windows Defender. Microsoft Antimalware for Azure je řešení s jediným agentem pro aplikace a prostory pro nájemce, určené k běhu na pozadí bez zásahu člověka. Ochrana může být rozmístěna na základě potřeb pracovních úloh aplikací, a to buď se standardní zabezpečenou výchozí konfigurací nebo s pokročilou vlastní konfigurací, včetně kontroly antimalware.

Při nasazování a povolení aplikace Microsoft Antimalware for Azure pro vaše aplikace jsou k dispozici následující základní funkce:

 Poznámka

Microsoft Antimalware lze také nasadit pomocí Azure Security Center. Další informace naleznete v části Ochrana instalace koncového bodu v programu Azure Security Center .

Architektura

Microsoft Antimalware for Azure obsahuje software Microsoft Antimalware Client a Service, model Antimalware classic, rutiny Antimalware PowerShell a rozšíření Azure Diagnostics Extension. Program Microsoft Antimalware je podporován na systémech operačních systémů Windows Server 2008 R2, Windows Server 2012 a Windows Server 2012 R2. Není podporována v operačním systému Windows Server 2008 a v Linuxu není podporována.

Klient a služba služby Microsoft Antimalware jsou ve výchozím stavu nainstalovány v zakázaném stavu ve všech podporovaných skupinách operačních systémů pro hosty Azure na platformě Cloud Services. Služba Microsoft Antimalware Client and Service není ve výchozím nastavení nainstalována na platformě Virtuální počítače a je k dispozici jako volitelná funkce prostřednictvím portálu Azure a konfigurace virtuálního počítače Visual Studio v části Rozšíření zabezpečení.

Když používáte službu Azure App Service, podkladová služba, která je hostitelem webové aplikace, má v ní povolenou službu Microsoft Antimalware. Používá se k ochraně infrastruktury služby Azure App Service a neběží v obsahu zákazníka.

 Poznámka

Windows Defender je vestavěný systém Antimalware povolený v systému Windows Server 2016. Rozhraní Windows Defender je také ve výchozím nastavení povoleno v některých systémech Windows Server 2016, které naleznete zde . Rozšíření Azure VM Antimalware může být stále přidáno k Windows Server 2016 Azure VM s programem Windows Defender, ale v tomto scénáři bude přípona používat libovolnou volitelnou konfigurační politiku , kterou použije program Windows Defender, rozšíření nebude nasazovat žádné další antimalware služby. Více informací o této aktualizaci naleznete zde .

Pracovní postup Microsoft antimalware

Správce služby Azure může povolit službu Antimalware for Azure s výchozí nebo vlastní konfigurací pro virtuální počítače a služby cloud pomocí následujících možností:

Portál Azure nebo skripty PowerShell posunují soubor balíčku s příponou Antimalware do systému Azure na předem určeném pevném místě. Azure Guest Agent (nebo agent Fabric) spouští rozšíření Antimalware pomocí konfiguračních nastavení Antimalware dodávaných jako vstup. Tento krok umožňuje službě Antimalware buď s výchozím nastavením, nebo s vlastními konfiguračními nastaveními. Není-li k dispozici žádná vlastní konfigurace, služba antimalware je povolena s výchozím nastavením konfigurace. Další podrobnosti naleznete v části Konfigurace Antimalware v části Antimalware for Azure - Code Samples .

Po spuštění aplikace Microsoft Antimalware stáhne nejnovější bezpečnostní definice motoru a podpisu z Internetu a načte je do systému Azure. Služba Microsoft Antimalware zapíše události týkající se služby do protokolu událostí systému OS v rámci zdroje událostí "Microsoft Antimalware". Události zahrnují stav zdravotního stavu klienta Antimalware, stav ochrany a nápravy, nové a staré konfigurační nastavení, aktualizace a definice podpisů a další.

Můžete aktivovat sledování systému Antimalware pro službu Cloud nebo virtuální počítač, aby byly zaznamenány události protokolu událostí Antimalware, jak jsou vytvářeny na vašem úložišti Azure. Služba Antimalware používá rozšíření Azure Diagnostics pro shromažďování událostí Antimalware ze systému Azure do tabulek v účtu Azure Storage zákazníka.

Pracovní postup nasazení, včetně konfiguračních kroků a možností podporovaných pro výše uvedené scénáře, je popsán v části scénářů nasazení programu Antimalware tohoto dokumentu.

Microsoft Antimalware v Azure

 Poznámka

Pomocí šablon Powershell / API a Azure Resource Manager můžete nasadit sady Microsoft Virtual Machine Scale s rozšířením Microsoft Anti-Malware. Pro instalaci rozšíření na již spuštěný virtuální počítač můžete použít vzorový skript python vmssextn.py . Tento skript obdrží existující konfiguraci rozšíření v sadě měřítka a přidá rozšíření do seznamu existujících rozšíření v sadě měřítka VM.

Výchozí a vlastní konfigurace antimalwaru

Výchozí nastavení konfigurace se použije pro povolení služby Antimalware pro službu cloud služby Azure nebo virtuálních počítačů, pokud neposkytnete vlastní konfigurační nastavení. Výchozí nastavení konfigurace byla předem optimalizována pro běh v prostředí Azure. Volitelně můžete přizpůsobit tato výchozí nastavení konfigurace podle potřeby pro nasazení aplikace nebo služby Azure a použít je pro jiné scénáře nasazení.

 Poznámka

Ve výchozím nastavení je uživatelské rozhraní Microsoft Antimalware na Azure Resource Manager vypnuto, soubor cleanuppolicy.xml k vynechání této chybové zprávy není podporován. Informace o vytvoření vlastní zásady naleznete v části Povolení uživatelského rozhraní Microsoft Antimalware v nástroji Azure Resource Manager VMs Post Deployment .

Následující tabulka shrnuje nastavení konfigurace, které jsou k dispozici pro službu Antimalware. Výchozí nastavení konfigurace jsou označena pod sloupcem označeným jako "Výchozí" níže.

stůl 1

Scénáře nasazení antimalware

Scénáře umožňující a konfigurovat antimalware, včetně sledování služeb Azure Cloud Services a virtuálních strojů, jsou popsány v této části.

Virtuální stroje - umožňují a konfigurují antimalware

Nasazení Při vytváření VM pomocí portálu Azure

Chcete-li aktivovat a konfigurovat program Microsoft Antimalware pro virtuální stroje Azure pomocí portálu Azure při poskytování virtuálního počítače, postupujte takto:

  1. Přihlaste se k portálu Azure na adrese https://portal.azure.com .

  2. Chcete-li vytvořit nový virtuální počítač, přejděte na položku Virtuální počítače , vyberte možnost Přidat a vyberte položku Windows Server .

  3. Vyberte verzi serveru Windows, kterou chcete použít.

  4. Vyberte možnost Vytvořit .Vytvořte virtuální počítač

  5. Zadejte jméno , uživatelské jméno , heslo a vytvořte novou skupinu prostředků nebo vyberte existující skupinu prostředků.

  6. Zvolte Ok .

  7. Vyberte velikost vm.

  8. V další části proveďte příslušné volby pro vaše potřeby a vyberte sekci Rozšíření .

  9. Zvolte možnost Přidat rozšíření

  10. V části Nový zdroj vyberte položku Microsoft Antimalware .

  11. Vyberte možnost Vytvořit

  12. souboru oddílu Rozšíření instalace lze konfigurovat umístění a vyloučení procesů, stejně jako další možnosti skenování. Zvolte Ok .

  13. Zvolte Ok .

  14. V části Nastavení vyberte možnost Ok .

  15. Na obrazovce Vytvořit zvolte Ok .

Nasazení pomocí konfigurace virtuálního stroje Visual Studio

Povolení a konfigurace služby Microsoft Antimalware pomocí aplikace Visual Studio:

  1. Připojte se k aplikaci Microsoft Azure v aplikaci Visual Studio.

  2. Vyberte virtuální počítač v uzlu virtuálních strojů v Průzkumníku

    Konfigurace virtuálního stroje v aplikaci Visual Studio

  3. Klepněte pravým tlačítkem myši na konfiguraci a zobrazte konfigurační stránku virtuálního stroje

  4. V rozbalovacím seznamu v části Instalovaná rozšíření vyberte rozšíření Microsoft Antimalware a klikněte na Přidat pro konfiguraci s výchozí konfigurací antimalware.Instalované rozšíření

  5. Chcete-li přizpůsobit výchozí konfiguraci Antimalware, vyberte (zvýrazněte) rozšíření Antimalware v seznamu nainstalovaných rozšíření a klepněte na tlačítko Konfigurovat .

  6. Nahradit výchozí konfiguraci Antimalware vlastní konfigurací v podporovaném formátu JSON ve veřejné textové konfiguraci a klepněte na tlačítko OK.

  7. Klepnutím na tlačítko Aktualizovat tisknete aktualizace konfigurace do virtuálního počítače.

    Rozšíření o konfiguraci virtuálního stroje

 Poznámka

Konfigurace Visual Studio Virtual Machines pro Antimalware podporuje pouze konfiguraci formátu JSON. Šablona nastavení konfigurace Antimalware JSON je součástí modelu Antimalware For Azure - Code Samples a zobrazuje podporovaná nastavení konfigurace Antimalware.

Nasazení pomocí skriptů PowerShell

Aplikace nebo služba Azure mohou povolit a konfigurovat antimalware společnosti Microsoft pro virtuální počítače Azure pomocí skriptů PowerShell.

Povolení a konfigurace antimalware společnosti Microsoft pomocí antimalware PowerShell:

  1. Nastavení prostředí PowerShell - viz dokumentaci na adrese https://github.com/Azure/azure-powershell

  2. Pomocí rutiny Set-AzureVMMicrosoftAntimalwareExtension Antimalware aktivujte a konfigurujte program Microsoft Antimalware pro váš virtuální počítač.

 Poznámka

Konfigurace Azure Virtual Machines pro Antimalware podporuje pouze konfiguraci formátu JSON. Šablona nastavení konfigurace Antimalware JSON je součástí modelu Antimalware For Azure - Code Samples a zobrazuje podporovaná nastavení konfigurace Antimalware.

Povolit a konfigurovat antimalware pomocí rutiny PowerShell

Aplikace nebo služba společnosti Azure mohou povolit a konfigurovat program Microsoft Antimalware pro službu cloud služby Azure pomocí skriptů PowerShell. Všimněte si, že Microsoft Antimalware je nainstalován v zakázaném stavu na platformě Cloud Services a vyžaduje, aby ji aktivovala aplikace Azure.

Povolení a konfigurace programu Microsoft Antimalware pomocí rutin PowerShell:

  1. Nastavení prostředí PowerShell - viz dokumentaci na adrese https://github.com/Azure/azure-sdk-tools#get-started

  2. Pomocí rutiny Set-AzureServiceAntimalwareExtension Antimalware aktivujte a konfigurujte službu Microsoft Antimalware pro službu Cloud.

Šablona nastavení konfigurace Antimalware XML je součástí modelu Microsoft Antimalware For Azure - Code Samples a zobrazuje podporovaná nastavení konfigurace Antimalware.

Cloud Services a virtuální počítače - Konfigurace pomocí skriptů PowerShell

Aplikace nebo služba Azure mohou načíst konfiguraci Microsoft Antimalware pro služby Cloud Services a virtuální počítače pomocí skriptů PowerShell.

Načtení konfigurace Microsoft Antimalware pomocí rutin PowerShell:

  1. Nastavení prostředí PowerShell - viz dokumentaci na adrese https://github.com/Azure/azure-powershell

  2. Pro virtuální počítače : Pomocí rutiny Get-AzureVMMicrosoftAntimalwareExtension Antimalwarezískáte konfiguraci antimalware.

  3. Pro cloudové služby : Pomocí rutiny Get-AzureServiceAntimalwareConfig Antimalware získáte konfiguraci Antimalware.

Odstranění konfigurace antimalware pomocí rutin PowerShell

Aplikace nebo služba Azure mohou odstranit konfiguraci Antimalware a jakoukoli přidruženou konfiguraci sledování Antimalware z příslušných rozšíření služby Azure Antimalware a diagnostiky spojených se službou Cloud nebo virtuálním počítačem.

Odstranění programu Microsoft Antimalware pomocí rutin PowerShell:

  1. Nastavení prostředí PowerShell - viz dokumentaci na adrese https://github.com/Azure/azure-powershell

  2. U virtuálních strojů : Použijte cmdlet Remove-AzureVMMicrosoftAntimalwareExtension Antimalware .

  3. Služba Cloud Services: Použijte cmdlet Remove-AzureServiceAntimalwareExtension Antimalware .

Chcete-li povolit sběr událostí antimalware pro virtuální počítač pomocí portálu Azure Preview:

  1. Klepněte na libovolnou část monitorovacího objektivu v listu virtuálního stroje

  2. Klikněte na příkaz Diagnostika na břitu Metric

  3. Vyberte stav ON a zkontrolujte volbu systému událostí systému Windows

  4. . Můžete se rozhodnout zrušit zaškrtnutí všech ostatních možností v seznamu nebo je nechat zapnuty podle potřeby vaší aplikační služby.

  5. V účtu Azure Storage jsou zaznamenány kategorie událostí Antimalware "Chyba", "Varování", "Informační" atd.

Události antimalware jsou shromažďovány z protokolů systému událostí systému Windows do účtu Azure Storage. Účet úložiště pro váš virtuální počítač můžete nakonfigurovat tak, že sbíráte antimalwarové události výběrem příslušného úložiště.

Metriky a diagnostika

 Poznámka

Další informace o diagnostice protokolování Azure Antimalware naleznete v části Povolení protokolování diagnostiky pro Azure Antimalware .

Povolení a konfigurace antimalware sledování pomocí cmdletů powerShell

Můžete povolit sběr událostí společnosti Microsoft Antimalware pro službu Cloud nebo virtuální počítač pomocí nástroje Azure Diagnostics pomocí rutin Antimalware PowerShell. Rozšíření Azure Diagnostics může být nakonfigurováno tak, aby zachytilo události ze zdroje protokolu událostí systému "Microsoft Antimalware" do vašeho účtu Azure Storage. V účtu Azure Storage jsou zaznamenány kategorie událostí Antimalware "Chyba", "Varování", "Informační" atd.

Chcete-li aktivovat sbírku událostí Antimalware do účtu Azure Storage pomocí rutin PowerShell:

  1. Nastavení prostředí PowerShell - viz https://github.com/Azure/azure-powershell

  2. Pro virtuální počítače - použijte rutinu Set-AzureVMMicrosoftAntimalwareExtension Antimalware s možností monitorování ON.

  3. Pro cloudové služby - Použijte rutinu Set-AzureServiceAntimalwareExtension Antimalware s možností monitorování ON.

Surové události Antimalware můžete zobrazit pomocí tabulky WADWindowsEventLogsTable v účtu Azure Storage, který jste nakonfigurovali tak, aby umožňoval sledování systému Antimalware. To může být užitečné k ověření toho, že sbírka událostí Antimalware pracuje, včetně získání informací o zdraví služby Antimalware. Další informace, včetně ukázkového kódu o tom, jak extrahovat události Antimalware z úložiště úložiště