Microsoft Antimalware untuk Azure Cloud Services dan Mesin Virtual

  • Artikel

Microsoft Antimalware for Azure adalah kemampuan perlindungan real time gratis yang membantu mengidentifikasi serta menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Program tersebut menghasilkan peringatan ketika perangkat lunak yang dikenal jahat atau tidak diinginkan mencoba memasang dirinya sendiri atau berjalan pada sistem Azure Anda.

Solusi ini dibangun pada platform antimalware yang sama dengan Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune, dan Microsoft Defender untuk Cloud. Microsoft Antimalware for Azure adalah solusi agen tunggal untuk aplikasi dan lingkungan penyewa, didesain untuk berjalan di latar belakang tanpa campur tangan manusia. Perlindungan dapat disebarkan berdasarkan kebutuhan beban kerja aplikasi, dengan konfigurasi kustom dasar aman secara default atau tingkat lanjut, termasuk pemantauan antimalware.

Saat Anda menyebarkan dan mengaktifkan Microsoft Antimalware for Azure untuk aplikasi Anda, fitur inti berikut ini tersedia:

  • Perlindungan real-time - memantau aktivitas di Cloud Services dan di Virtual Machines untuk mendeteksi dan memblokir eksekusi malware.
  • Pemindaian terjadwal - memindai secara berkala untuk mendeteksi malware, termasuk program yang berjalan secara aktif.
  • Remediasi malware - secara otomatis mengambil tindakan pada malware yang terdeteksi, seperti menghapus atau mengarantina file berbahaya dan membersihkan entri registri berbahaya.
  • Pembaruan tanda tangan - secara otomatis menginstal tanda tangan perlindungan terbaru (definisi virus) untuk memastikan perlindungan sudah diperbarui pada frekuensi yang telah ditentukan.
  • Pembaruan Mesin Antimalware - secara otomatis memperbarui mesin Microsoft Antimalware.
  • Pembaruan Platform Antimalware - secara otomatis memperbarui platform Microsoft Antimalware.
  • Perlindungan aktif - melaporkan metadata telemetri tentang ancaman yang terdeteksi dan sumber daya yang mencurigakan ke Microsoft Azure untuk memastikan respons cepat terhadap lanskap ancaman yang berkembang dan memungkinkan pengiriman tanda tangan sinkron real time melalui Sistem Perlindungan Aktif Microsoft (MAPS).
  • Pelaporan sampel - menyediakan dan melaporkan sampel ke layanan Microsoft Antimalware untuk membantu memperbaiki layanan dan memungkinkan pemecahan masalah.
  • Pengecualian - memungkinkan administrator aplikasi dan layanan untuk mengonfigurasi pengecualian untuk file, proses, dan drive.
  • Pengumpulan peristiwa antimalware - mencatat kesehatan layanan antimalware, aktivitas mencurigakan, dan tindakan remediasi yang dilakukan di log peristiwa sistem operasi dan mengumpulkannya ke dalam akun Azure Storage pelanggan.

Catatan

Microsoft Antimalware juga dapat digunakan menggunakan Pertahanan Microsoft untuk Cloud. Baca Menginstal Perlindungan Titik Akhir di Pertahanan Microsoft untuk Cloud untuk informasi selengkapnya.

Arsitektur

Microsoft Antimalware for Azure mencakup Klien dan Layanan Microsoft Antimalware, model penyebaran klasik Antimalware, cmdlet PowerShell Antimalware, dan Ekstensi Diagnostik Azure. Microsoft Antimalware didukung pada keluarga sistem operasi Windows Server 2008 R2, Windows Server 2012, dan Windows Server 2012 R2. Ini tidak didukung pada sistem operasi Windows Server 2008, dan juga tidak didukung di Linux.

Klien dan Layanan Microsoft Antimalware dipasang secara default dalam keadaan dinonaktifkan di semua keluarga sistem operasi tamu Azure yang didukung di platform Cloud Services. Klien dan Layanan Microsoft Antimalware tidak diinstal secara default di platform Virtual Machines dan tersedia sebagai fitur opsional melalui konfigurasi portal Azure dan Visual Studio Virtual Machine di bawah Ekstensi Keamanan.

Saat menggunakan Azure App Service di Windows, layanan yang mendasari yang menghosting aplikasi web mengaktifkan Microsoft Antimalware di dalamnya. Hal ini digunakan untuk melindungi infrastruktur Azure App Service dan tidak berjalan pada konten pelanggan.

Catatan

Antivirus Microsoft Defender adalah Antimalware bawaan yang diaktifkan di Windows Server 2016 ke atas. Ekstensi Azure VM Antimalware masih dapat ditambahkan ke Windows Server 2016 ke atas Azure VM dengan Antivirus Microsoft Defender. Dalam skenario ini, ekstensi menerapkan kebijakan konfigurasi opsional apa pun yang akan digunakan oleh Antivirus Microsoft Defender Ekstensi tidak menyebarkan layanan antimalware lainnya. Untuk informasi selengkapnya, lihat bagian Sampel di artikel ini untuk detail selengkapnya.

Alur kerja antimalware Microsoft

Administrator layanan Azure dapat mengaktifkan Antimalware untuk Azure dengan konfigurasi default atau kustom untuk Virtual Machines dan Cloud Services Anda menggunakan opsi berikut:

  • Virtual Machines - Di portal Azure, di bawah Ekstensi Keamanan
  • Virtual Machines - Menggunakan konfigurasi komputer virtual Visual Studio di Server Explorer
  • Virtual Machines dan Cloud Services - Menggunakan model penyebaran klasik Antimalware
  • Virtual Machines dan Cloud Services - Menggunakan cmdlet PowerShell Antimalware

Cmdlet portal Azure atau PowerShell mendorong file paket ekstensi Antimalware ke sistem Azure di lokasi tetap yang telah ditentukan. Azure Guest Agent (atau Agen Fabric) meluncurkan Ekstensi Antimalware, menerapkan pengaturan konfigurasi Antimalware yang disediakan sebagai input. Langkah ini mengaktifkan layanan Antimalware dengan pengaturan konfigurasi default atau kustom. Jika tidak ada konfigurasi khusus yang disediakan, maka layanan antimalware diaktifkan dengan pengaturan konfigurasi default. Untuk informasi selengkapnya, lihat bagian Sampel di artikel ini untuk detail selengkapnya..

Setelah berjalan, klien Microsoft Antimalware mengunduh mesin perlindungan terbaru dan definisi tanda tangan dari Internet dan memuatnya di sistem Azure. Layanan Microsoft Antimalware menulis peristiwa terkait layanan ke log peristiwa OS sistem di bawah sumber peristiwa "Microsoft Antimalware". Peristiwa termasuk status kesehatan klien Antimalware, status perlindungan dan remediasi, pengaturan konfigurasi baru dan lama, pembaruan mesin dan definisi tanda tangan, dan lain-lain.

Anda dapat mengaktifkan pemantauan Antimalware untuk Layanan Cloud atau Komputer Virtual Agar peristiwa log peristiwa Antimalware ditulis saat diproduksi ke akun penyimpanan Azure Anda. Layanan Antimalware menggunakan ekstensi Azure Diagnostics untuk mengumpulkan peristiwa Antimalware dari sistem Azure ke dalam tabel di akun Azure Storage pelanggan.

Alur kerja penerapan termasuk langkah-langkah konfigurasi dan opsi yang didukung untuk skenario di atas didokumentasikan di bagian skenario penyebaran Antimalware di dokumen ini.

Microsoft Antimalware in Azure

Catatan

Tetapi, Anda dapat menggunakan template PowerShell/API dan Azure Resource Manager untuk menyebarkan Virtual Machine Scale Sets dengan ekstensi Microsoft Anti-Malware. Untuk menginstal ekstensi pada Mesin Virtual yang sudah berjalan, Anda dapat menggunakan contoh skrip Python vmssextn.py. Skrip ini mendapatkan konfigurasi ekstensi yang ada pada Scale Set dan menambahkan ekstensi ke daftar ekstensi yang ada pada VM Scale Sets.

Konfigurasi Antimalware Default dan Kustom

Pengaturan konfigurasi default diterapkan untuk mengaktifkan Antimalware untuk Azure Cloud Services atau Virtual Machines saat Anda tidak menyediakan pengaturan konfigurasi kustom. Pengaturan konfigurasi default telah dioptimalkan untuk berjalan di lingkungan Azure. Secara opsional, Anda dapat mengustomisasi pengaturan konfigurasi default ini sebagaimana diperlukan untuk aplikasi atau penyebaran layanan Azure Anda dan menerapkannya untuk skenario penyebaran lainnya.

Tabel berikut ini meringkas pengaturan konfigurasi yang tersedia untuk layanan Antimalware. Pengaturan konfigurasi default ditandai di bawah kolom berlabel "Default."

Table 1

Skenario Penyebaran Antimalware

Skenario untuk mengaktifkan dan mengonfigurasi antimalware, termasuk pemantauan untuk Azure Cloud Services dan Virtual Machines, dibahas di bagian ini.

Komputer virtual - mengaktifkan dan mengonfigurasikan antimalware

Penyebaran Saat membuat VM menggunakan portal Microsoft Azure

Ikuti langkah-langkah ini untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk Azure Virtual Machines menggunakan portal Azure saat menyediakan Komputer Virtual:

  1. Masuk ke portal Azure.
  2. Untuk membuat komputer virtual baru, navigasilah ke Komputer virtual, pilih Tambahkan, dan pilih Windows Server.
  3. Pilih versi server Windows yang ingin Anda gunakan.
  4. Pilih Buat. Create virtual machine
  5. Berikan Nama, Nama Pengguna, Kata Sandi, dan buat grup sumber daya baru atau pilih grup sumber daya yang sudah ada.
  6. Pilih OK.
  7. Pilih ukuran VM.
  8. Di bagian berikutnya, buat pilihan yang sesuai untuk kebutuhan Anda dengan memilih bagian Ekstensi.
  9. Pilih Tambahkan ekstensi
  10. Di bawah Sumber daya baru, pilih Microsoft Antimalware.
  11. Pilih Buat
  12. Di bagian Memasang ekstensi, file, lokasi, dan pengecualian proses dapat dikonfigurasi beserta opsi pemindaian lainnya. Pilih Ok.
  13. Pilih Ok.
  14. Kembali ke bagian Pengaturan, pilih Ok.
  15. Di layar Buat, pilih Ok.

Lihat templat Azure Resource Manager ini untuk penyebaran ekstensi VM Antimalware untuk Windows.

Penyebaran menggunakan konfigurasi komputer virtual Visual Studio

Untuk mengaktifkan dan mengonfigurasi layanan Microsoft Antimalware menggunakan Visual Studio:

  1. Sambungkan ke Microsoft Azure di Visual Studio.

  2. Pilih Komputer Virtual Anda di simpul Komputer Virtual di Server Explorer

    Virtual Machine configuration in Visual Studio

  3. Klik kanan konfigurasikan untuk melihat halaman konfigurasi Komputer Virtual

  4. Pilih ekstensi Microsoft Antimalware dari daftar turun bawah di bawah Ekstensi Terpasang dan klik Tambahkan untuk mengonfigurasi dengan konfigurasi antimalware default. Installed extensions

  5. Untuk mengustomisasi konfigurasi Antimalware default, pilih (sorot) ekstensi Antimalware di daftar ekstensi yang dipasang dan klik Konfigurasikan.

  6. Ganti konfigurasi Antimalware default dengan konfigurasi kustom Anda dalam format JSON yang didukung di kotak teks konfigurasi publik lalu klik OK.

  7. Klik tombol Perbarui untuk menerapkan pembaruan konfigurasi ke Komputer Virtual Anda.

    Virtual Machine configuration extension

Catatan

Konfigurasi Visual Studio Virtual Machines untuk Antimalware hanya mendukung konfigurasi format JSON. Untuk informasi selengkapnya, lihat bagian Sampel di artikel ini untuk detail selengkapnya.

Penyebaran Menggunakan cmdlet PowerShell

Aplikasi atau layanan Azure dapat mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk Azure Virtual Machines menggunakan cmdlet PowerShell.

Untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware menggunakan cmdlet PowerShell:

  1. Menyiapkan lingkungan PowerShell Anda - Lihat dokumentasi di https://github.com/Azure/azure-powershell
  2. Gunakan cmdlet Set-AzureVMMicrosoftAntimalwareExtension untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk Komputer Virtual Anda.

Catatan

Konfigurasi Azure Virtual Machines untuk Antimalware hanya mendukung konfigurasi format JSON. Untuk informasi selengkapnya, lihat bagian Sampel di artikel ini untuk detail selengkapnya.

Mengaktifkan dan mengonfigurasikan Antimalware menggunakan cmdlet PowerShell

Aplikasi atau layanan Azure dapat mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk Azure Cloud Services menggunakan cmdlet PowerShell. Microsoft Antimalware diinstal dalam status dinonaktifkan di platform Cloud Services dan memerlukan tindakan oleh aplikasi Azure untuk mengaktifkannya.

Untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware menggunakan cmdlet PowerShell:

  1. Menyiapkan lingkungan PowerShell Anda - Lihat dokumentasi di https://github.com/Azure/azure-powershell
  2. Gunakan cmdlet Set-AzureServiceExtension untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk Layanan Cloud Anda.

Untuk informasi selengkapnya, lihat bagian Sampel di artikel ini untuk detail selengkapnya.

Cloud Services dan Virtual Machines - Konfigurasi Menggunakan cmdlet PowerShell

Aplikasi atau layanan Azure dapat mengambil konfigurasi Microsoft Antimalware untuk Cloud Services dan Virtual Machines menggunakan cmdlet PowerShell.

Untuk mengambil konfigurasi Microsoft Antimalware menggunakan cmdlet PowerShell:

  1. Menyiapkan lingkungan PowerShell Anda - Lihat dokumentasi di https://github.com/Azure/azure-powershell
  2. Untuk Virtual Machines: Gunakan cmdlet Get-AzureVMMicrosoftAntimalwareExtension untuk mendapatkan konfigurasi antimalware.
  3. Untuk Cloud Services: Gunakan cmdlet Get-AzureServiceExtension untuk mendapatkan konfigurasi Antimalware.

Sampel

Menghapus Konfigurasi Antimalware Menggunakan cmdlet PowerShell

Aplikasi atau layanan Azure dapat menghapus konfigurasi Antimalware dan konfigurasi pemantauan Antimalware terkait dari ekstensi layanan Antimalware dan diagnostik Azure yang relevan yang terkait dengan Layanan Cloud atau Komputer Virtual.

Untuk menghapus Microsoft Antimalware menggunakan cmdlet PowerShell:

  1. Menyiapkan lingkungan PowerShell Anda - Lihat dokumentasi di https://github.com/Azure/azure-powershell
  2. Untuk Virtual Machines:Gunakan cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Untuk Cloud Services: Gunakan cmdlet Remove-AzureServiceExtension.

Untuk mengaktifkan pengumpulan peristiwa antimalware untuk komputer virtual menggunakan Portal Pratinjau Azure:

  1. Klik bagian mana pun dari lensa Pemantauan di bilah Komputer Virtual
  2. Klik perintah Diagnostik pada bilah Metrik
  3. Pilih Status AKTIF dan centang opsi untuk sistem peristiwa Windows
  4. . Anda dapat memilih untuk menghapus centang semua opsi lain dalam daftar, atau membiarkannya aktif sesuai kebutuhan layanan aplikasi Anda.
  5. Kategori acara Antimalware "Kesalahan", "Peringatan", "Informasi", dll., ditangkap di akun Azure Storage Anda.

Kejadian Antimalware dikumpulkan dari log sistem peristiwa Windows ke akun Azure Storage Anda. Anda dapat mengonfigurasi Akun Penyimpanan untuk Komputer Virtual Anda agar mengumpulkan peristiwa Antimalware dengan memilih akun penyimpanan yang sesuai.

Metrics and diagnostics

Mengaktifkan dan mengonfigurasi Antimalware menggunakan cmdlet PowerShell untuk VM Azure Resource Manager

Untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk VM Azure Resource Manager menggunakan cmdlet PowerShell:

  1. Siapkan lingkungan PowerShell Anda menggunakan dokumentasi ini di GitHub.
  2. Gunakan cmdlet Set-AzureRmVMExtension untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk VM Anda.

Sampel kode berikut tersedia:

Mengaktifkan dan mengonfigurasi Antimalware ke Azure Cloud Service Extended Support (CS-ES) menggunakan cmdlet PowerShell

Untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware menggunakan cmdlet PowerShell:

  1. Menyiapkan lingkungan PowerShell Anda - Lihat dokumentasi di https://github.com/Azure/azure-powershell
  2. Gunakan cmdlet Set-AzCloudServiceExtensionObject untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk Layanan Cloud Anda.

Contoh kode berikut tersedia:

Mengaktifkan dan mengonfigurasi Antimalware menggunakan cmdlet PowerShell untuk server yang didukung Azure Arc

Untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk server yang didukung Azure Arc menggunakan cmdlet PowerShell:

  1. Siapkan lingkungan PowerShell Anda menggunakan dokumentasi ini di GitHub.
  2. Gunakan cmdlet New-AzConnectedMachineExtension untuk mengaktifkan dan mengonfigurasi Microsoft Antimalware untuk server yang didukung Arc.

Sampel kode berikut tersedia:

Langkah berikutnya

Lihat sampel kode untuk mengaktifkan dan mengonfigurasi komputer virtual Microsoft Antimalware untuk Azure Resource Manager (ARM).