خدمة مكافحة البرامج الضارة في Microsoft لخدمات Azure Cloud Services والأجهزة الظاهرية

  • مقالة
  • قراءة خلال 10 دقائق

يعد Microsoft Antimalware for Azure حماية مجانية في الوقت الفعلي تساعد على تحديد الفيروسات وبرامج التجسس والبرامج الضارة الأخرى وإزالتها. حيث تولد تنبيهات عند محاولة البرامج الضارة أو غير المرغوب فيها التثبيت أو التشغيل على أنظمة Azure.

تم بناء الحل على نفس النظام الأساسي لمكافحة البرامج الضارة مثل Microsoft Security Essentials [MSE] و Microsoft Forefront Endpoint Protection و Microsoft System Center Endpoint Protection و Microsoft Intune و Microsoft Defender for Cloud. يعد Microsoft Antimalware for Azure حلا أحادي الوكيل للتطبيقات وبيئات المستأجرين، وهو مصمم للتشغيل في الخلفية دون تدخل بشري. يمكن نشر الحماية بناء على احتياجات أحمال عمل التطبيق، إما مع تكوين أساسي آمن بشكل افتراضي أو تكوين مخصص متقدم، بما في ذلك مراقبة مكافحة البرامج الضارة.

عند نشر Microsoft Antimalware for Azure وتمكينه لتطبيقاتك، تتوفر الميزات الأساسية التالية:

  • الحماية في الوقت الفعلي - تراقب النشاط في الخدمات السحابية وعلى الأجهزة الظاهرية للكشف عن تنفيذ البرامج الضارة وحظره.
  • الفحص المجدول - يقوم بالمسح الضوئي بشكل دوري للكشف عن البرامج الضارة ، بما في ذلك البرامج قيد التشغيل بنشاط.
  • معالجة البرامج الضارة - تتخذ تلقائيا إجراءات بشأن البرامج الضارة المكتشفة، مثل حذف الملفات الضارة أو وضعها في الحجر الصحي وتنظيف إدخالات التسجيل الضارة.
  • تحديثات التوقيع - يقوم تلقائيا بتثبيت أحدث توقيعات الحماية (تعريفات الفيروسات) لضمان تحديث الحماية على تردد محدد مسبقا.
  • تحديثات محرك مكافحة البرامج الضارة - يقوم تلقائيا بتحديث محرك مكافحة البرامج الضارة من Microsoft.
  • تحديثات النظام الأساسي لمكافحة البرامج الضارة - يقوم تلقائيا بتحديث النظام الأساسي لمكافحة البرامج الضارة من Microsoft.
  • الحماية النشطة - تقارير بيانات تعريف القياس عن بعد حول التهديدات المكتشفة والموارد المشبوهة إلى Microsoft Azure لضمان الاستجابة السريعة لمشهد التهديدات المتطور، بالإضافة إلى تمكين تسليم التوقيع المتزامن في الوقت الفعلي من خلال نظام الحماية النشطة من Microsoft (MAPS).
  • إعداد تقارير العينات - يوفر عينات ويبلغ عنها إلى خدمة مكافحة البرامج الضارة من Microsoft للمساعدة في تحسين الخدمة وتمكين استكشاف الأخطاء وإصلاحها.
  • الاستثناءات - تسمح لمسؤولي التطبيقات والخدمات بتكوين الاستثناءات للملفات والعمليات ومحركات الأقراص.
  • جمع أحداث مكافحة البرامج الضارة - يسجل حالة خدمة مكافحة البرامج الضارة والأنشطة المشبوهة وإجراءات المعالجة المتخذة في سجل أحداث نظام التشغيل ويجمعها في حساب Azure Storage الخاص بالعميل.

ملاحظة

يمكن أيضا نشر برنامج مكافحة البرامج الضارة من Microsoft باستخدام Microsoft Defender for Cloud. اقرأ تثبيت Endpoint Protection في Microsoft Defender for Cloud للحصول على مزيد من المعلومات.

التصميم

يتضمن Microsoft Antimalware for Azure عميل وخدمة مكافحة البرامج الضارة من Microsoft، ونموذج النشر الكلاسيكي لمكافحة البرامج الضارة، وcmdlets PowerShell لمكافحة البرامج الضارة، وملحق تشخيص Azure. يتم دعم برنامج مكافحة البرامج الضارة ل Microsoft على عائلات أنظمة التشغيل Windows Server 2008 R2 و Windows Server 2012 و Windows Server 2012 R2. وهو غير معتمد على نظام التشغيل Windows Server 2008 ، كما أنه غير مدعوم في Linux.

يتم تثبيت عميل وخدمة مكافحة البرامج الضارة من Microsoft بشكل افتراضي في حالة تعطيل في جميع عائلات أنظمة تشغيل ضيوف Azure المدعومة في النظام الأساسي للخدمات السحابية. لا يتم تثبيت عميل وخدمة مكافحة البرامج الضارة ل Microsoft بشكل افتراضي في النظام الأساسي للأجهزة الظاهرية ويتوفر كميزة اختيارية من خلال مدخل Azure Visual Studio تكوين الجهاز الظاهري ضمن ملحقات الأمان.

عند استخدام خدمة تطبيقات Azure على Windows، فإن الخدمة الأساسية التي تستضيف تطبيق الويب تحتوي على ميزة Microsoft Antimalware ممكنة عليها. يستخدم هذا لحماية البنية الأساسية لخدمة تطبيقات Azure ولا يتم تشغيله على محتوى العميل.

ملاحظة

برنامج الحماية من الفيروسات من Microsoft Defender هو برنامج مكافحة البرامج الضارة المضمن الذي تم تمكينه في Windows Server 2016. يتم أيضا تمكين واجهة برنامج الحماية من الفيروسات من Microsoft Defender بشكل افتراضي على بعض وحدات SKU Windows Server 2016 انظر هنا لمزيد من المعلومات. لا يزال من الممكن إضافة ملحق Azure VM Antimalware إلى جهاز Azure الظاهري Windows Server 2016 مع برنامج الحماية من الفيروسات من Microsoft Defender، ولكن في هذا السيناريو سيطبق الملحق أي نهج تكوين اختيارية لاستخدامها من قبل برنامج الحماية من الفيروسات من Microsoft Defender، لن تنشر الإضافة أي خدمات إضافية لمكافحة البرامج الضارة. يمكنك قراءة المزيد حول هذا التحديث هنا.

سير عمل مكافحة البرامج الضارة من Microsoft

يمكن لمسؤول خدمة Azure تمكين مكافحة البرامج الضارة ل Azure باستخدام تكوين افتراضي أو مخصص للأجهزة الظاهرية والخدمات السحابية باستخدام الخيارات التالية:

  • الأجهزة الظاهرية – في مدخل Azure، ضمن ملحقات الأمان
  • الأجهزة الظاهرية - باستخدام تكوين الأجهزة الظاهرية Visual Studio في مستكشف الخادم
  • الأجهزة الافتراضية والخدمات السحابية - باستخدام نموذج النشر الكلاسيكي لمكافحة البرامج الضارة
  • الأجهزة الظاهرية والخدمات السحابية - باستخدام أوامر cmdlets PowerShell لمكافحة البرامج الضارة

تدفع بوابة Azure أو PowerShell cmdlets ملف حزمة ملحق مكافحة البرامج الضارة إلى نظام Azure في موقع ثابت محدد مسبقا. يقوم وكيل Azure Guest (أو عامل Fabric) بتشغيل ملحق مكافحة البرامج الضارة، وتطبيق إعدادات تكوين مكافحة البرامج الضارة المتوفرة كإدخال. تمكن هذه الخطوة خدمة مكافحة البرامج الضارة باستخدام إعدادات التكوين الافتراضية أو المخصصة. إذا لم يتم توفير تكوين مخصص، تمكين خدمة مكافحة البرامج الضارة باستخدام إعدادات التكوين الافتراضية. راجع قسم تكوين مكافحة البرامج الضارة في Microsoft Antimalware for Azure – نماذج التعليمات البرمجية لمزيد من التفاصيل.

بمجرد التشغيل، يقوم عميل Microsoft Antimalware بتنزيل أحدث تعريفات محرك الحماية والتوقيع من الإنترنت وتحميلها على نظام Azure. تقوم خدمة مكافحة البرامج الضارة من Microsoft بكتابة الأحداث المتعلقة بالخدمة إلى سجل أحداث نظام التشغيل ضمن مصدر الحدث "مكافحة البرامج الضارة ل Microsoft". تتضمن الأحداث حالة سلامة عميل مكافحة البرامج الضارة وحالة الحماية والمعالجة وإعدادات التكوين الجديدة والقديمة وتحديثات المحرك وتعريفات التوقيع وغيرها.

يمكنك تمكين مراقبة مكافحة البرامج الضارة لخدمة السحابة أو الجهاز الظاهري لكتابة أحداث سجل أحداث مكافحة البرامج الضارة عند إنتاجها إلى حساب تخزين Azure الخاص بك. تستخدم خدمة مكافحة البرامج الضارة ملحق Azure Diagnostics لجمع أحداث مكافحة البرامج الضارة من نظام Azure في جداول في حساب Azure Storage الخاص بالعميل.

يتم توثيق سير عمل النشر بما في ذلك خطوات التكوين والخيارات المدعومة للسيناريوهات المذكورة أعلاه في قسم سيناريوهات نشر مكافحة البرامج الضارة من هذا المستند.

Microsoft Antimalware in Azure

ملاحظة

ومع ذلك، يمكنك استخدام PowerShell/واجهات برمجة التطبيقات وقوالب Azure Resource Manager لنشر مجموعات مقاييس الجهاز الظاهري باستخدام ملحق مكافحة البرامج الضارة من Microsoft. لتثبيت ملحق على جهاز ظاهري قيد التشغيل بالفعل، يمكنك استخدام نموذج البرنامج النصي Python vmssextn.py. يحصل هذا البرنامج النصي على تكوين الملحق الموجود على مجموعة المقاييس ويضيف امتدادا إلى قائمة الملحقات الموجودة على مجموعات مقياس VM.

التكوين الافتراضي والمخصص لمكافحة البرامج الضارة

يتم تطبيق إعدادات التكوين الافتراضية لتمكين مكافحة البرامج الضارة لخدمات Azure Cloud أو الأجهزة الظاهرية عند عدم توفير إعدادات تكوين مخصصة. تم تحسين إعدادات التكوين الافتراضية مسبقا للتشغيل في بيئة Azure. اختياريا، يمكنك تخصيص إعدادات التكوين الافتراضية هذه كما هو مطلوب لنشر تطبيق Azure أو الخدمة وتطبيقها على سيناريوهات النشر الأخرى.

يلخص الجدول التالي إعدادات التكوين المتوفرة لخدمة مكافحة البرامج الضارة. يتم وضع علامة على إعدادات التكوين الافتراضية أسفل العمود المسمى "افتراضي" أدناه.

Table 1

سيناريوهات توزيع مكافحة البرامج الضارة

تتم مناقشة سيناريوهات تمكين وتكوين مكافحة البرامج الضارة، بما في ذلك مراقبة خدمات Azure Cloud والأجهزة الظاهرية، في هذا القسم.

الأجهزة الظاهرية - تمكين وتكوين مكافحة البرامج الضارة

النشر أثناء إنشاء جهاز ظاهري باستخدام مدخل Azure

لتمكين Microsoft Antimalware لأجهزة Azure الظاهرية وتكوينها باستخدام مدخل Azure أثناء توفير جهاز ظاهري، اتبع الخطوات التالية:

  1. سجّل الدخول إلى مدخل Azure على https://portal.azure.com.
  2. لإنشاء جهاز ظاهري جديد، انتقل إلى الأجهزة الظاهرية، وحدد إضافة، واختر خادم Windows.
  3. حدد إصدار خادم Windows ترغب في استخدامه.
  4. حدد Create. Create virtual machine
  5. قم بتوفير اسمواسم مستخدموكلمة مرور وإنشاء مجموعة موارد جديدة أو اختر مجموعة موارد موجودة.
  6. حدد OK.
  7. اختر حجم vm.
  8. في القسم التالي، حدد الخيارات المناسبة لاحتياجاتك قسم الإضافات .
  9. حدد إضافة إضافة
  10. ضمن مورد جديد، اختر Microsoft Antimalware.
  11. حدد ⁧⁩Create⁧
  12. في ملف قسم تثبيت الملحق ، يمكن تكوين المواقع واستثناءات العمليات بالإضافة إلى خيارات الفحص الأخرى. اختر موافق.
  13. اختر موافق.
  14. مرة أخرى في قسم الإعدادات، اختر موافق.
  15. في شاشة إنشاء ، اختر موافق.

راجع قالب Azure Resource Manager هذا لنشر ملحق مكافحة البرامج الضارة VM Windows.

النشر باستخدام تكوين الجهاز الظاهري Visual Studio

لتمكين خدمة مكافحة البرامج الضارة من Microsoft وتكوينها باستخدام Visual Studio:

  1. الاتصال إلى Microsoft Azure في Visual Studio.

  2. اختر الجهاز الظاهري الخاص بك في عقدة الأجهزة الظاهرية في مستكشف الخادم

    Virtual Machine configuration in Visual Studio

  3. انقر بزر الماوس الأيمن فوق تكوين لعرض صفحة تكوين الجهاز الظاهري

  4. حدد ملحق مكافحة البرامج الضارة ل Microsoft من القائمة المنسدلة ضمن الملحقات المثبتة وانقر فوق إضافة للتكوين باستخدام التكوين الافتراضي لمكافحة البرامج الضارة. Installed extensions

  5. لتخصيص تكوين مكافحة البرامج الضارة الافتراضي، حدد (تمييز) ملحق مكافحة البرامج الضارة في قائمة الإضافات المثبتة وانقر على تكوين.

  6. استبدل تكوين مكافحة البرامج الضارة الافتراضي بالتكوين المخصص بتنسيق JSON المدعوم في مربع نص التكوين العام وانقر فوق موافق.

  7. انقر فوق الزر تحديث للضغط على تحديثات التكوين إلى الجهاز الظاهري.

    Virtual Machine configuration extension

ملاحظة

يدعم تكوين Visual Studio الأجهزة الظاهرية لمكافحة البرامج الضارة تكوين تنسيق JSON فقط. يتم تضمين قالب إعدادات تكوين JSON لمكافحة البرامج الضارة في Microsoft Antimalware For Azure - نماذج التعليمات البرمجية، مع عرض إعدادات تكوين مكافحة البرامج الضارة المدعومة.

النشر باستخدام أوامر cmdlets ل PowerShell

يمكن لتطبيق أو خدمة Azure تمكين Microsoft Antimalware وتكوينه لأجهزة Azure الظاهرية باستخدام PowerShell cmdlets.

لتمكين وتكوين برنامج مكافحة البرامج الضارة ل Microsoft باستخدام أوامر cmdlets الخاصة ب PowerShell:

  1. إعداد بيئة PowerShell - ارجع إلى الوثائق الموجودة في https://github.com/Azure/azure-powershell
  2. استخدم cmdlet Set-AzureVMMicrosoftAntimalwareExtension لتمكين Microsoft Antimalware وتكوينه للجهاز الظاهري.

ملاحظة

يدعم تكوين أجهزة Azure الظاهرية لمكافحة البرامج الضارة تكوين تنسيق JSON فقط. يتم تضمين قالب إعدادات تكوين JSON لمكافحة البرامج الضارة في Microsoft Antimalware For Azure - نماذج التعليمات البرمجية، مع عرض إعدادات تكوين مكافحة البرامج الضارة المدعومة.

تمكين وتكوين مكافحة البرامج الضارة باستخدام أوامر cmdlets PowerShell

يمكن لتطبيق أو خدمة Azure تمكين Microsoft Antimalware وتكوينه لخدمات Azure Cloud باستخدام PowerShell cmdlets. لاحظ أن Microsoft Antimalware مثبت في حالة تعطيل في النظام الأساسي للخدمات السحابية ويتطلب إجراء بواسطة تطبيق Azure لتمكينه.

لتمكين وتكوين برنامج مكافحة البرامج الضارة ل Microsoft باستخدام أوامر cmdlets الخاصة ب PowerShell:

  1. إعداد بيئة PowerShell - ارجع إلى الوثائق الموجودة في https://github.com/Azure/azure-powershell
  2. استخدم cmdlet Set-AzureServiceExtension لتمكين Microsoft Antimalware وتكوينه لخدمة السحابة الخاصة بك.

يتم تضمين قالب إعدادات تكوين XML لمكافحة البرامج الضارة في Microsoft Antimalware For Azure - نماذج التعليمات البرمجية، مع عرض إعدادات تكوين مكافحة البرامج الضارة المدعومة.

الخدمات السحابية والأجهزة الظاهرية - التكوين باستخدام أوامر cmdlets PowerShell

يمكن لتطبيق أو خدمة Azure استرداد تكوين Microsoft Antimalware للخدمات السحابية والأجهزة الظاهرية باستخدام PowerShell cmdlets.

لاسترداد تكوين مكافحة البرامج الضارة ل Microsoft باستخدام cmdlets PowerShell:

  1. إعداد بيئة PowerShell - ارجع إلى الوثائق الموجودة في https://github.com/Azure/azure-powershell
  2. بالنسبة للأجهزة الظاهرية: استخدم cmdlet الخاص ب Get-AzureVMMicrosoftAntimalwareExtension للحصول على تكوين مكافحة البرامج الضارة.
  3. بالنسبة للخدمات السحابية: استخدم cmdlet Get-AzureServiceExtension للحصول على تكوين مكافحة البرامج الضارة.

إزالة تكوين مكافحة البرامج الضارة باستخدام cmdlets PowerShell

يمكن لتطبيق أو خدمة Azure إزالة تكوين مكافحة البرامج الضارة وأي تكوين مرتبط بمراقبة مكافحة البرامج الضارة من ملحقات خدمة Azure Antimalware و Diagnostic ذات الصلة المرتبطة بالخدمة السحابية أو الجهاز الظاهري.

لإزالة برامج مكافحة البرامج الضارة من Microsoft باستخدام cmdlets PowerShell:

  1. إعداد بيئة PowerShell - ارجع إلى الوثائق الموجودة في https://github.com/Azure/azure-powershell
  2. بالنسبة للأجهزة الظاهرية: استخدم cmdlet Remove-AzureVMMicrosoftAntimalwareExtension .
  3. للخدمات السحابية: استخدم cmdlet إزالة-AzureServiceExtension .

لتمكين جمع أحداث مكافحة البرامج الضارة لجهاز ظاهري باستخدام مدخل معاينة Azure:

  1. انقر فوق أي جزء من عدسة المراقبة في شفرة الجهاز الظاهري
  2. انقر فوق الأمر "تشخيصات" على الشفرة المترية
  3. حدد Status ON وحدد خيار نظام الأحداث Windows
  4. . يمكنك اختيار إلغاء تحديد جميع الخيارات الأخرى في القائمة، أو تركها ممكنة وفقا لاحتياجات خدمة التطبيق الخاصة بك.
  5. يتم التقاط فئات أحداث مكافحة البرامج الضارة "خطأ" و "تحذير" و "إعلامي" وما إلى ذلك في حساب تخزين Azure الخاص بك.

يتم جمع أحداث مكافحة البرامج الضارة من سجلات نظام الأحداث Windows إلى حساب Azure Storage الخاص بك. يمكنك تكوين حساب التخزين للجهاز الظاهري لجمع أحداث مكافحة البرامج الضارة عن طريق تحديد حساب التخزين المناسب.

Metrics and diagnostics

تمكين مكافحة البرامج الضارة وتكوينها باستخدام أوامر cmdlets PowerShell ل Azure Resource Manager VMs

لتمكين Microsoft Antimalware وتكوين Azure Resource Manager الأجهزة الظاهرية باستخدام PowerShell cmdets:

  1. قم بإعداد بيئة PowerShell باستخدام هذه الوثائق على GitHub.
  2. استخدم cmdlet Set-AzureRmVMExtension لتمكين Microsoft Antimalware وتكوينه للجهاز الظاهري الخاص بك.

تتوفر نماذج التعليمات البرمجية التالية:

تمكين وتكوين مكافحة البرامج الضارة إلى الدعم الموسع لخدمة Azure السحابية (CS-ES) باستخدام أوامر cmdlets PowerShell

لتمكين وتكوين برنامج مكافحة البرامج الضارة ل Microsoft باستخدام أوامر cmdlets الخاصة ب PowerShell:

  1. إعداد بيئة PowerShell - ارجع إلى الوثائق الموجودة في https://github.com/Azure/azure-powershell
  2. استخدم cmdlet الجديد AzCloudServiceExtensionObject لتمكين وتكوين Microsoft Antimalware للجهاز الظاهري لخدمة السحابة.

يتوفر نموذج التعليمات البرمجية التالي:

تمكين مكافحة البرامج الضارة وتكوينها باستخدام أوامر cmdlets PowerShell للخوادم التي تدعم Azure Arc

لتمكين Microsoft Antimalware وتكوينه للخوادم التي تدعم Azure Arc باستخدام PowerShell cmdlets:

  1. قم بإعداد بيئة PowerShell باستخدام هذه الوثائق على GitHub.
  2. استخدم cmdlet الجديد AzConnectedMachineExtension لتمكين Microsoft Antimalware وتكوينه للخوادم التي تدعم Arc.

تتوفر نماذج التعليمات البرمجية التالية:

الخطوات التالية

راجع نماذج التعليمات البرمجية لتمكين Microsoft Antimalware للأجهزة الظاهرية Azure Resource Manager (ARM) وتكوينها.