Identificare il malware mediante la soluzione Malware Assessment in Log Analytics

Simbolo di Valutazione antimalware

È possibile usare la soluzione Antimalware Assessment (Valutazione antimalware) in Log Analytics per inviare segnalazioni sullo stato della protezione antimalware nell'infrastruttura. L'installazione della soluzione consente di aggiornare l'agente OMS e la configurazione di base per OMS. Vengono letti lo stato di protezione antimalware e le minacce rilevate sui server monitorati. Quindi, i dati vengono inviati al servizio di Log Analytics per l'elaborazione. Viene applicata la logica ai dati ricevuti, quindi questi ultimi vengono registrati nel servizio cloud. I server con minacce attive e protezione insufficiente vengono visualizzati nel dashboard Antimalware . Usando le informazioni nel dashboard Antimalware , è possibile sviluppare un piano per applicare la protezione ai server per cui è necessaria.

Installazione e configurazione della soluzione

Usare le informazioni seguenti per installare e configurare la soluzione.

Usare antimalware

Log Analytics segnala lo stato antimalware per:

  • Computer che eseguono Windows Defender su Windows 8, Windows 8.1, Windows 10 e Windows Server 2016 TP4 o versione successiva
  • Windows Security Center (WSC) su Windows 8, Windows 8.1, Windows 10, Windows Server 2016 TP4 o versione successiva
  • Server che eseguono System Center Endpoint Protection (v4.5.216 o versione successiva) o macchine virtuali di Azure con estensione antimalwaree Windows Malicious Software Removal Tool (MSRT)
  • Server con Windows Management Framework 3 (o versione successiva) WMF 3.0, WMF 4.0.
  • Protezione Symantec Endpoint 12.x e 14.x
  • Trend Micro Deep Security versione 9.6 in computer che eseguono Windows

Oltre a rilevare l'installazione di soluzioni di terze parti, verifica se la protezione dagli agenti è operativa. In particolare, i test di sicurezza di OMS verificano se gli agenti antimalware di questi fornitori sui server monitorati:

  • Enabled
  • Stanno eseguendo analisi a intervalli regolari
  • Stanno usando firme risalenti a non più di sette giorni

La soluzione antimalware attualmente non esegue segnalazioni su:

  • Server che eseguono Windows Server 2008 e versioni precedenti
  • Ruoli Web e di lavoro in Microsoft Azure

Contribuire a classificare in ordine di priorità le nuove funzionalità votando o aggiungendo un nuovo suggerimento nella pagina dei commenti e suggerimenti.

Informazioni dettagliate sulla raccolta dei dati di Malware Assessment

Malware Assessment raccoglie dati di configurazione, metadati e dati dello stato tramite gli agenti abilitati.

La tabella seguente illustra i metodi di raccolta dei dati e altre informazioni dettagliate sul modo in cui vengono raccolti i dati di Malware Assessment.

piattaforma Agente diretto Agente di Operations Manager Archiviazione di Azure È necessario Operations Manager? Dati dell'agente Operations Manager inviati con il gruppo di gestione Frequenza della raccolta
Windows ogni ora

La tabella seguente illustra esempi di tipi di dati raccolti da Malware Assessment:

Tipo di dati Fields
Configurazione CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
Metadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
Stato StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Analisi delle minacce per i server

Quando i computer sono protetti in modo adeguato, le minacce attive vengono messe rapidamente in quarantena dal software antimalware e dovrebbero essere visualizzate raramente come minacce attive. Per questo motivo, analizzare le minacce risolte che mostrano l'efficacia della soluzione di valutazione antimalware nella seguente procedura di esempio:

  1. Nella pagina Panoramica fare clic sul riquadro Valutazione antimalware.
    Riquadro Valutazione malware
  2. Nel dashboard Antimalware esaminare l'area Detected Threats (Minacce rilevate) e fare clic sul nome di un server con minacce risolte.
    Dashboard antimalware
  3. Nella pagina Cerca è possibile visualizzare informazioni dettagliate sulla minaccia messa in quarantena. Accanto a Minaccia fare clic su Visualizza.
    Pagina di ricerca
  4. Nella pagina Search the malware encyclopedia , fare clic sull'elemento di malware per visualizzare maggiori dettagli.
    Pagina del Malware Protection Center
  5. Nella pagina Microsoft Malware Protection Center relativa al malware analizzare le informazioni nella sezione Riepilogo. Descrive in che modo il software antimalware è in grado di rilevare e rimuovere la minaccia. Fornisce anche informazioni sul tipo di minaccia costituita dal malware per i computer.
    informazioni di riepilogo sulla minaccia

Analisi dello stato di protezione

  1. Nel dashboard Antimalware analizzare l'area Stato protezione e fare clic su Nessuna protezione in tempo reale.
    Dashboard antimalware
  2. Ricerca Mostra un elenco di server senza protezione.
    Pagina di ricerca che mostra server senza protezione
  3. Vengono visualizzati i server senza protezione in tempo reale.

Per i computer che non supportano software antimalware viene segnalato Nessuna protezione in tempo reale.

Passaggi successivi