Identificare il malware mediante la soluzione Malware Assessment in Log AnalyticsIdentify malware using the Malware Assessment solution in Log Analytics

Simbolo di Valutazione antimalware

È possibile usare la soluzione Antimalware Assessment (Valutazione antimalware) in Log Analytics per inviare segnalazioni sullo stato della protezione antimalware nell'infrastruttura.You can use the Antimalware solution in Log Analytics to report on the status of antimalware protection in your infrastructure. L'installazione della soluzione consente di aggiornare l'agente OMS e la configurazione di base per OMS.Installing the solution updates the OMS agent and base configuration for OMS. Vengono letti lo stato di protezione antimalware e le minacce rilevate sui server monitorati.Antimalware protection status and detected threats on the monitored servers are read. Quindi, i dati vengono inviati al servizio di Log Analytics per l'elaborazione.Then, the data is sent to the Log Analytics service for processing. Viene applicata la logica ai dati ricevuti, quindi questi ultimi vengono registrati nel servizio cloud.Logic is applied to the received data and the cloud service records the data. I server con minacce attive e protezione insufficiente vengono visualizzati nel dashboard Antimalware .Servers with detected threats and servers with insufficient protection are shown in the Antimalware dashboard. Usando le informazioni nel dashboard Antimalware , è possibile sviluppare un piano per applicare la protezione ai server per cui è necessaria.By using the information on the Antimalware dashboard, you can identify a plan to apply protection to the servers that need it.

Installazione e configurazione della soluzioneInstalling and configuring the solution

Usare le informazioni seguenti per installare e configurare la soluzione.Use the following information to install and configure the solution.

Usare antimalwareUse Antimalware

Log Analytics segnala lo stato antimalware per:Log Analytics reports antimalware status for:

  • Computer che eseguono Windows Defender su Windows 8, Windows 8.1, Windows 10 e Windows Server 2016Computers running Windows Defender on Windows 8, Windows 8.1, Windows 10, and Windows Server 2016
  • Centro sicurezza PC Windows su Windows 8, Windows 8.1, Windows 10, Windows Server 2016Windows Security Center (WSC) on Windows 8, Windows 8.1, Windows 10, Windows Server 2016
  • Server che eseguono System Center Endpoint Protection (v4.5.216 o versione successiva) o macchine virtuali di Azure con estensione antimalwaree Windows Malicious Software Removal Tool (MSRT)Servers running System Center Endpoint Protection (v4.5.216 or later), Azure virtual machines with the antimalware extension, and Windows Malicious Software Removal Tool (MSRT)
  • Server con Windows Management Framework 3 (o versione successiva) WMF 3.0, WMF 4.0.Servers with Windows Management Framework 3 (or later) WMF 3.0, WMF 4.0.
  • Symantec Endpoint Protection 12.1.1100 e versioni successiveSymantec Endpoint Protection 12.1.1100 and higher
  • Trend Micro Deep Security versione 9.6 in computer che eseguono WindowsTrend Micro Deep Security version 9.6 on computers running Windows

Oltre a rilevare l'installazione di soluzioni di terze parti, verifica se la protezione dagli agenti è operativa.In addition to detecting when third party solutions are installed, an additional assessment is also done to determine whether protection by agents is operational. In particolare, i test di sicurezza di OMS verificano se gli agenti antimalware di questi fornitori sui server monitorati:Specifically, OMS Security tests to see if the antimalware agents from these vendors on the monitored servers are:

  • EnabledEnabled
  • Stanno eseguendo analisi a intervalli regolariRunning scans at regular intervals
  • Stanno usando firme risalenti a non più di sette giorniUsing signatures no older than seven days

La soluzione antimalware attualmente non esegue segnalazioni su:The antimalware solution does not currently report on:

  • Server che eseguono Windows Server 2008 e versioni precedentiServers running Windows Server 2008 and earlier
  • Ruoli Web e di lavoro in Microsoft AzureWeb and Worker roles in Microsoft Azure

Contribuire a classificare in ordine di priorità le nuove funzionalità votando o aggiungendo un nuovo suggerimento nella pagina dei commenti e suggerimenti.Help us prioritize new features by voting or by adding a new suggestion on our feedback page.

Informazioni dettagliate sulla raccolta dei dati di Malware AssessmentMalware Assessment data collection details

Malware Assessment raccoglie dati di configurazione, metadati e dati dello stato tramite gli agenti abilitati.Malware Assessment collects configuration data, metadata, and state data using the agents that you have enabled.

La tabella seguente illustra i metodi di raccolta dei dati e altre informazioni dettagliate sul modo in cui vengono raccolti i dati di Malware Assessment.The following table shows data collection methods and other details about how data is collected for Malware Assessment.

piattaformaplatform Agente direttoDirect Agent Agente di Operations ManagerOperations Manager agent Archiviazione di AzureAzure Storage È necessario Operations Manager?Operations Manager required? Dati dell'agente Operations Manager inviati con il gruppo di gestioneOperations Manager agent data sent via management group Frequenza della raccoltacollection frequency
WindowsWindows ogni orahourly

La tabella seguente illustra esempi di tipi di dati raccolti da Malware Assessment:The following table shows examples of data types collected by Malware Assessment:

Tipo di datiData type FieldsFields
ConfigurazioneConfiguration CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDateCustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
MetadataMetadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTimeBaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
StatoState StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModifiedStateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Analisi delle minacce per i serverReview threats for servers

Quando i computer sono protetti in modo adeguato, le minacce attive vengono messe rapidamente in quarantena dal software antimalware e dovrebbero essere visualizzate raramente come minacce attive.When your computers are adequately protected, active threats are quickly quarantined by your antimalware software and should rarely appear as active threats. Per questo motivo, analizzare le minacce risolte che mostrano l'efficacia della soluzione di valutazione antimalware nella seguente procedura di esempio:For that reason, review remediated threats that show the effectiveness of the Antimalware Assessment solution in the following example procedure:

  1. Nella pagina Panoramica fare clic sul riquadro Valutazione antimalware.On the Overview page, click the Antimalware Assessment tile.
    Riquadro Valutazione malwareMalware Assessment Tile
  2. Nel dashboard Antimalware esaminare l'area Detected Threats (Minacce rilevate) e fare clic sul nome di un server con minacce risolte.On the Antimalware dashboard, review the Detected Threats area and click a server name with remediated threats.
    Dashboard antimalwareAntimalware dashboard
  3. Nella pagina Cerca è possibile visualizzare informazioni dettagliate sulla minaccia messa in quarantena.On the Search page, you can see detailed information about the quarantined threat. Accanto a Minaccia fare clic su Visualizza.Next to Threat, click View.
    Pagina di ricercaSearch page
  4. Nella pagina Search the malware encyclopedia , fare clic sull'elemento di malware per visualizzare maggiori dettagli.On the Search the malware encyclopedia page, click the malware item to view more details about it.
    Pagina del Malware Protection CenterMalware Protection Center page
  5. Nella pagina Microsoft Malware Protection Center relativa al malware analizzare le informazioni nella sezione Riepilogo.On the Microsoft Malware Protection Center page for the malware item, review information in the Summary section. Descrive in che modo il software antimalware è in grado di rilevare e rimuovere la minaccia.It describes how your antimalware software can detect and remove the threat. Fornisce anche informazioni sul tipo di minaccia costituita dal malware per i computer.It also provides information about what threat the malware might have to your computers.
    informazioni di riepilogo sulla minacciasummary information about the threat

Analisi dello stato di protezioneReview protection status

  1. Nel dashboard Antimalware analizzare l'area Stato protezione e fare clic su Nessuna protezione in tempo reale.On the Antimalware dashboard, review the Protection Status area and click No real-time protection.
    Dashboard antimalwareAntimalware dashboard
  2. Ricerca Mostra un elenco di server senza protezione.Search shows a list of servers without protection.
    Pagina di ricerca che mostra server senza protezione
  3. Vengono visualizzati i server senza protezione in tempo reale.Servers without real-time protection are displayed.

Per i computer che non supportano software antimalware viene segnalato Nessuna protezione in tempo reale.Computers that do not have supported antimalware software are reported as No real-time protection.

Passaggi successiviNext steps