Microsoft Antimalware pour les services cloud Azure et les machines virtuelles

Microsoft Antimalware pour Azure offre une protection en temps réel qui permet d’identifier et de supprimer les virus, logiciels espions et autres logiciels malveillants. Il fournit des alertes lorsqu’un logiciel malveillant ou indésirable connu essaye de s’installer ou de s’exécuter sur vos systèmes Azure.

La solution s’appuie sur la même plateforme anti-programme malveillant que Microsoft Security Essentials [MSE], Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune et Microsoft Defender. Microsoft Antimalware pour Azure est une solution d’agent unique pour les applications et les environnements client, conçue pour s’exécuter en arrière-plan sans intervention humaine. La protection peut être déployée en fonction des besoins des charges de travail d’application, avec une configuration de base sécurisée par défaut ou une configuration personnalisée avancée, y compris pour la surveillance anti-programmes malveillants.

Lorsque vous déployez et activez Microsoft Antimalware pour Azure pour vos applications, les fonctionnalités essentielles suivantes sont disponibles :

  • Protection en temps réel : surveille l’activité dans les Services cloud et les machines virtuelles pour détecter et bloquer l’exécution de logiciels malveillants.
  • Analyse planifiée : analyse périodiquement pour détecter les logiciels malveillants, notamment les programmes en cours d’exécution.
  • Correction de logiciels malveillants : prend automatiquement des mesures sur les programmes malveillants détectés, notamment la suppression ou la mise en quarantaine des fichiers malveillants et le nettoyage des entrées de Registre malveillantes.
  • Mises à jour de signatures : installe automatiquement les dernières signatures de protection (définitions de virus) pour garantir la mise à jour de la protection d’après une fréquence prédéfinie.
  • Mises à jour du moteur Antimalware : met automatiquement à jour le moteur Microsoft Antimalware.
  • Mises à jour de la plateforme Antimalware : met automatiquement à jour la plateforme Microsoft Antimalware.
  • Protection active : signale les métadonnées de télémétrie relatives aux menaces détectées et aux ressources suspectes à Microsoft Azure afin d’assurer une réaction rapide au paysage de menaces en constante évolution, et d’activer la remise de signatures synchrones en temps réel par le biais du système MAPS (système de protection active Microsoft).
  • Exemples de création de rapport: crée et fournit des exemples de rapports au service Microsoft Antimalware pour contribuer à améliorer le service et permettre la résolution des problèmes.
  • Exclusions : permet aux administrateurs d’applications et de services fédérés de configurer des exclusions pour les fichiers, les processus et les lecteurs.
  • Collecte d’événements Antimalware : enregistre l’intégrité du service Antimalware, les activités suspectes et les mesures de correction prises dans le journal des événements du système d’exploitation et les rassemble dans le compte de stockage Azure du client.

Notes

Microsoft Antimalware peut également être déployé à l’aide de Azure Security Center. Consultez Installer Endpoint Protection dans Azure Security Center pour plus d’informations.

Architecture

Microsoft Antimalware pour Azure inclut Microsoft Antimalware Client et Service, le modèle de déploiement classique Antimalware, les applets de commande Antimalware PowerShell et l’extension de diagnostics Azure. Microsoft Antimalware est pris en charge sur Windows Server 2008 R2, Windows Server 2012 et les familles de systèmes d’exploitation Windows Server 2012 R2. Elle n’est pas prise en charge sur le système d’exploitation Windows Server 2008, ni sur Linux.

Microsoft Antimalware Client et Service est installé par défaut à l’état désactivé dans toutes les familles de systèmes d’exploitation invités Azure prises en charge dans la plateforme Services cloud. Microsoft Antimalware Client et Service n’est pas installé par défaut dans la plateforme de machines virtuelles, mais est disponible comme fonctionnalité facultative via le portail Azure et la configuration de machines virtuelles Visual Studio sous Extensions de sécurité.

Si vous utilisez Azure App Service sur Windows, le serveur sous-jacent qui héberge l’application web dispose d’une version activée de Microsoft Antimalware. Elle permet de protéger l’infrastructure d’Azure App Service et ne s’exécute pas sur le contenu du client.

Notes

Microsoft Defender est le logiciel anti-programme malveillant intégré activé dans Windows Server 2016. L’interface de Microsoft Defender est également activée par défaut sur certaines références (SKU) de Windows Server 2016. Voir ici pour plus d’informations. L’extension de logiciel anti-programme malveillant pour machine virtuelle Azure peut toujours être ajoutée à une machine virtuelle Azure Windows Server 2016 avec Microsoft Defender mais, dans ce scénario, l’extension applique les stratégies de configuration facultatives devant être utilisées par Microsoft Defender, et ne déploie aucun service de logiciel anti-programme malveillant supplémentaire. Vous pouvez en savoir plus sur cette mise à jour ici.

Workflow Microsoft Antimalware

L’administrateur de services Azure peut activer Antimalware pour Azure avec une configuration par défaut ou personnalisée pour vos machines virtuelles et services cloud à l’aide des options suivantes :

  • Machines virtuelles : dans le portail Azure, sous Extensions de sécurité
  • Machines virtuelles : à l’aide de la configuration de machines virtuelles Visual Studio dans l’Explorateur de serveurs
  • Machines virtuelles et services cloud : à l’aide du modèle de déploiement classique Antimalware
  • Machines virtuelles et services cloud : à l’aide des applets de commande Antimalware PowerShell

Le portail Azure ou les applets de commande PowerShell transmettent le fichier de package de l’extension Antimalware au système Azure vers un emplacement fixe prédéfini. L’agent invité Azure (ou l’agent de structure) lance l’extension Antimalware, en appliquant les paramètres de configuration Antimalware fournis en tant qu’entrée. Cette étape active le service Antimalware avec les paramètres de configuration par défaut ou personnalisés. Si aucune configuration personnalisée n’est fournie, le service Antimalware est activé avec les paramètres de configuration par défaut. Pour plus d’informations, consultez la section Configuration Antimalware dans Microsoft Antimalware pour Azure - Exemples de code.

Une fois exécuté, le client Microsoft Antimalware télécharge les dernières définitions de moteur de protection et de signature à partir d’Internet et les charge sur le système Azure. Le service Microsoft Antimalware écrit les événements relatifs au service dans le journal des événements du système d’exploitation sous la source d’événements « Microsoft Antimalware ». Les événements incluent l’état d’intégrité du client Antimalware, l’état de protection et de correction, les paramètres de configuration nouveaux et anciens, les mises à jour du moteur et les définitions de signature, entre autres.

Vous pouvez activer la surveillance Antimalware pour les services cloud ou vos machines virtuelles, de sorte que les événements du journal des événements Antimalware soient écrits alors qu’ils sont produits sur votre compte de stockage Azure. Le service Antimalware utilise l’extension des diagnostics Azure pour collecter les événements Antimalware à partir du système Azure dans des tables dans le compte de stockage Azure du client.

Le flux de travail de déploiement, incluant les étapes et les options de configuration prises en charge pour les scénarios ci-dessus, est documenté dans la section Scénarios de déploiement Antimalware de ce document.

Microsoft Antimalware dans Azure

Notes

Vous pouvez toutefois utiliser PowerShell ou des API et des modèles Azure Resource Manager pour déployer des jeux de mise à l’échelle de machine virtuelle avec l’extension Microsoft Anti-Malware. Pour installer une extension sur une machine virtuelle en cours d’exécution, vous pouvez utiliser l’exemple de script python vmssextn.py. Ce script obtient la configuration de l’extension existant sur le jeu de mise à l’échelle et ajoute une extension à la liste des extensions existantes sur le jeu de mise à l’échelle de machine virtuelle.

Configuration Antimalware par défaut et personnalisée

Les paramètres de configuration par défaut sont appliqués pour activer Antimalware pour les services cloud Azure ou les machines virtuelles lorsque vous ne fournissez pas de paramètres de configuration personnalisés. Les paramètres de configuration par défaut ont été préalablement optimisés pour l’exécution dans l’environnement Azure. Éventuellement, vous pouvez personnaliser ces paramètres de configuration par défaut en fonction des besoins de votre déploiement d’applications ou de services Azure, et les appliquer à d’autres scénarios de déploiement.

Le tableau suivant résume les paramètres de configuration disponibles pour le service Antimalware. Les paramètres de configuration par défaut sont marqués dans la colonne intitulée « Par défaut » ci-dessous.

Table 1

Scénarios de déploiement Antimalware

Les scénarios permettant d’activer et de configurer Antimalware, notamment la surveillance des services cloud Azure et des machines virtuelles, sont présentés dans cette section.

Machines virtuelles : activer et configurer Antimalware

Déploiement lors de la création d’une machine virtuelle à l’aide du portail Azure

Pour activer et configurer Microsoft Antimalware pour les machines virtuelles Azure à l’aide du portail Azure lors de l’approvisionnement d’une machine virtuelle, procédez comme suit :

  1. Connectez-vous au portail Azure sur https://portal.azure.com.
  2. Pour créer une machine virtuelle, accédez à Machines virtuelles, sélectionnez Ajouter, puis choisissez Windows Server.
  3. Sélectionnez la version du serveur Windows que vous souhaitez utiliser.
  4. Sélectionnez Create (Créer). Créer une machine virtuelle
  5. Fournissez un Nom, un Nom d'utilisateur et un Mot de passe, puis créez un groupe de ressources ou choisissez un groupe de ressources existant.
  6. Sélectionnez OK.
  7. Choisir une taille de machine virtuelle.
  8. Dans la section suivante, faites les choix adaptés à vos besoins, puis sélectionnez la section Extensions.
  9. Sélectionnez Ajouter l'extension
  10. Sous Nouvelle ressource, choisissez Microsoft Antimalware.
  11. Sélectionnez Créer
  12. Dans la section Installer l’extension, des exclusions de fichier, d’emplacements et de processus peuvent être configurées, ainsi que d’autres options d’analyse. Choisissez Ok.
  13. Choisissez Ok.
  14. Dans la section Paramètres, cliquez sur OK.
  15. Dans l’écran Créer, choisissez OK.

Consultez ce modèle Azure Resource Manager pour le déploiement d’une extension de machine virtuelle anti-programme malveillant pour Windows.

Déploiement à l’aide de la configuration de machine virtuelle de Visual Studio

Pour activer et configurer le service Microsoft Antimalware à l’aide de Visual Studio :

  1. Connectez-vous à Microsoft Azure dans Visual Studio.

  2. Choisissez votre machine virtuelle sous le nœud Machines virtuelles dans l’Explorateur de serveurs

    Configuration des machines virtuelles dans Visual Studio

  3. Cliquez avec le bouton droit sur Configurer pour afficher la page de configuration des machines virtuelles

  4. Sélectionnez l’extension Microsoft Antimalware dans la liste déroulante sous Extensions installées, puis cliquez sur Ajouter pour configurer avec la configuration Antimalware par défaut. Extensions installées

  5. Pour personnaliser la configuration Antimalware par défaut, sélectionnez (en surbrillance) l’extension Antimalware dans la liste des extensions installées, puis cliquez sur Configurer.

  6. Remplacez la configuration Antimalware par défaut par votre configuration personnalisée au format JSON pris en charge dans la zone de texte Configuration publique, puis cliquez sur OK.

  7. Cliquez sur le bouton Mettre à jour pour envoyer les mises à jour de la configuration à votre machine virtuelle.

    Extension de la configuration des machines virtuelles

Notes

La configuration des machines virtuelles de Visual Studio pour Antimalware prend uniquement en charge la configuration au format JSON. Le modèle de paramètres de configuration JSON Antimalware, inclus dans Microsoft Antimalware pour Azure - Exemples de code, indique les paramètres de configuration Antimalware pris en charge.

Déploiement à l’aide des cmdlets PowerShell

Une application ou un service Azure peut activer et configurer Microsoft Antimalware pour les machines virtuelles Azure à l’aide des applets de commande PowerShell.

Pour activer et configurer Microsoft Antimalware à l’aide des applets de commande PowerShell :

  1. Configurez votre environnement PowerShell. Consultez la documentation sur https://github.com/Azure/azure-powershell
  2. Utilisez la cmdlet Set-AzureVMMicrosoftAntimalwareExtension pour activer et configurer Microsoft Antimalware pour votre machine virtuelle.

Notes

La configuration des machines virtuelles Azure pour Antimalware prend uniquement en charge la configuration au format JSON. Le modèle de paramètres de configuration JSON Antimalware, inclus dans Microsoft Antimalware pour Azure - Exemples de code, indique les paramètres de configuration Antimalware pris en charge.

Activer et configurer Antimalware à l’aide des applets de commande PowerShell

Une application ou un service Azure peut activer et configurer Microsoft Antimalware pour les services cloud Azure à l’aide des applets de commande PowerShell. Notez que Microsoft Antimalware est installé à l’état désactivé dans la plateforme Services cloud et nécessite une action d’une application Azure pour être activé.

Pour activer et configurer Microsoft Antimalware à l’aide des applets de commande PowerShell :

  1. Configurez votre environnement PowerShell. Consultez la documentation sur https://github.com/Azure/azure-powershell
  2. Utilisez la cmdlet Set-AzureServiceExtension pour activer et configurer Microsoft Antimalware pour votre service cloud.

Le modèle de paramètres de configuration XML Antimalware, inclus dans Microsoft Antimalware pour Azure - Exemples de code, indique les paramètres de configuration Antimalware pris en charge.

Services cloud et les machines virtuelles : configuration à l’aide des applets de commande PowerShell

Une application ou un service Azure peut récupérer la configuration de Microsoft Antimalware pour les services cloud et les machines virtuelles à l’aide des applets de commande PowerShell.

Pour récupérer la configuration de Microsoft Antimalware à l’aide des applets de commande PowerShell :

  1. Configurez votre environnement PowerShell. Consultez la documentation sur https://github.com/Azure/azure-powershell
  2. Pour les machines virtuelles : utilisez la cmdlet Get-AzureVMMicrosoftAntimalwareExtension pour obtenir la configuration du logiciel anti-programme malveillant.
  3. Pour les services cloud : utilisez la cmdlet Get-AzureServiceExtension pour obtenir la configuration du logiciel anti-programme malveillant.

Supprimer la configuration Antimalware à l’aide des applets de commande PowerShell

Une application ou un service Azure peut supprimer la configuration Antimalware et toute configuration de surveillance Antimalware des extensions Azure Antimalware et de service de diagnostics pertinentes associées aux services cloud ou aux machines virtuelles.

Pour supprimer Microsoft Antimalware à l’aide des applets de commande PowerShell :

  1. Configurez votre environnement PowerShell. Consultez la documentation sur https://github.com/Azure/azure-powershell
  2. Pour les machines virtuelles : utilisez la cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Pour les services cloud : utilisez la cmdlet Remove-AzureServiceExtension.

Pour activer la collecte d’événements Antimalware pour une machine virtuelle à l’aide du portail Azure en version préliminaire :

  1. Cliquez n’importe où dans la thématique Surveillance du panneau Machine virtuelle.
  2. Cliquez sur la commande Diagnostics dans le panneau Mesures.
  3. Activez l’État et l’option des événements système Windows
  4. . Vous pouvez choisir de désactiver toutes les autres options de la liste ou les laisser activées en fonction des besoins de votre service d’application.
  5. Les catégories d’événements Antimalware (« Erreur », « Avertissement », « Information », etc.) sont capturées dans votre compte de stockage Azure.

Les événements Antimalware sont collectés à partir des journaux des événements système Windows vers votre compte de stockage Azure. Vous pouvez configurer le compte de stockage pour que votre machine virtuelle collecte les événements Antimalware en sélectionnant le compte de stockage approprié.

Mesures et diagnostics

Activer et configurer un logiciel anti-programme malveillant à l’aide de cmdlets PowerShell pour machines virtuelles Azure Resource Manager

Vous pouvez activer et configurer Microsoft Antimalware pour des machines virtuelles Azure Resource Manager à l’aide de cmdlets PowerShell.

Pour activer et configurer Microsoft Antimalware à l’aide des applets de commande Antimalware PowerShell :

  1. Configurez votre environnement PowerShell en vous référant à cette documentation sur GitHub.
  2. Utilisez la cmdlet Set-AzureRmVMExtension pour activer et configurer Microsoft Antimalware pour votre machine virtuelle.

Les exemples de code suivants sont disponibles :

Activer et configurer un logiciel anti-programme malveillant sur Azure Cloud Service support étendu (CS-ES) à l’aide d’applets de commande PowerShell

Pour activer et configurer Microsoft Antimalware à l’aide des applets de commande PowerShell :

  1. Configurez votre environnement PowerShell. Consultez la documentation sur https://github.com/Azure/azure-powershell
  2. Utilisez la cmdlet New-AzCloudServiceExtensionObject pour activer et configurer Microsoft Antimalware pour votre machine virtuelle de service cloud.

L’exemple de code suivant est disponible :

Étapes suivantes

Consultez des exemples de code pour activer et configurer Microsoft Antimalware pour des machines virtuelles Azure Resource Manager (ARM).