Protección de servidores con análisis de malware sin agente
El plan 2 de Defender para servidores de Microsoft Defender for Cloud admite una funcionalidad de análisis de malware sin agente que examina y detecta malware y virus. El analizador está disponible para máquinas virtuales (VM) de Azure, instancias de AWS EC2 e instancias de máquina virtual de GCP.
El análisis de malware sin agente proporciona:
Funcionalidades de detección de malware actualizadas y completas que usan el motor de Antivirus de Microsoft Defender y la fuente de firmas de protección en la nube que admiten las fuentes de inteligencia de Microsoft.
Exámenes rápidos y completos que usan la detección de amenazas heurística y basada en firmas.
Alertas de seguridad que se generan cuando se detecta malware. Estas alertas proporcionan detalles adicionales y contexto para las investigaciones, y se envían a la página Alertas de Defender for Cloud y a Defender XDR.
Importante
El análisis de malware sin agente solo está disponible a través del plan 2 de Defender para servidores con el examen sin agente habilitado.
Detección de malware sin agente
El análisis de malware sin agente ofrece las siguientes ventajas para las máquinas protegidas y desprotegidas:
Cobertura mejorada: si una máquina no tiene habilitada una solución antivirus, el detector sin agente examina esa máquina para detectar actividades malintencionadas.
Detectar posibles amenazas: el analizador sin agente examina todos los archivos y carpetas, incluidos los archivos o carpetas que se excluyen de los exámenes antivirus basados en agente, sin tener ningún efecto en el rendimiento de la máquina.
Puede obtener más información sobre el examen de máquinas sin agente y sobre cómo habilitar el examen sin agente de máquinas virtuales.
Importante
Las alertas de seguridad aparecen en el portal solo en los casos en los que se detectan amenazas en el entorno. Si no tiene ninguna alerta, puede deberse a que no hay amenazas en el entorno. Puede probar a ver si la funcionalidad de análisis de malware sin agente se ha incorporado correctamente y está informando a Defender for Cloud.
Alertas de seguridad de Defender for Cloud
Cuando se detecta un archivo malintencionado, Microsoft Defender for Cloud genera una alerta de seguridad de Microsoft Defender for Cloud. Para ver la alerta, vaya a alertas de seguridad de Microsoft Defender for Cloud. La alerta de seguridad contiene detalles y contexto en el archivo, el tipo de malware y los pasos de investigación y corrección recomendados. Para usar estas alertas para la corrección, puede hacer lo siguiente:
- Consulte las alertas de seguridad en Azure Portal accediendo a Microsoft Defender for Cloud: >Alertas de seguridad.
- Configure automatizaciones basadas en estas alertas.
- Exporte las alertas de seguridad a un SIEM. Puede exportar continuamente alertas de seguridad de Microsoft Sentinel (SIEM de Microsoft) mediante el conector de Microsoft Sentinel u otro SIEM de su elección.
Obtenga más información sobre cómo responder a las alertas de seguridad.
Control de posibles falsos positivos
Si cree que un archivo se detecta incorrectamente como malware (falso positivo), puede enviarlo para su análisis a través del portal de envío de ejemplo. Los analistas de seguridad de Defender analizarán el archivo enviado. Si el informe de análisis indica que el archivo está limpio, el archivo ya no desencadenará nuevas alertas a partir de ese momento.
Defender for Cloud permite suprimir alertas de falsos positivos. Asegúrese de limitar la regla de supresión mediante el nombre de malware o el hash de archivo.
Paso siguiente
Obtenga más información sobre cómo habilitar el examen sin agente de máquinas virtuales.