Identificare il malware mediante la soluzione Malware Assessment in Log Analytics

Simbolo di Valutazione antimalware

È possibile usare la soluzione Antimalware Assessment (Valutazione antimalware) in Log Analytics per inviare segnalazioni sullo stato della protezione antimalware nell'infrastruttura. L'installazione della soluzione consente di aggiornare l'agente OMS e la configurazione di base per OMS. Viene eseguita la lettura dello stato della protezione antimalware e delle potenziali minacce per i server monitorati, quindi i dati vengono inviati al servizio Log Analytics nel cloud per l'elaborazione. Viene applicata la logica ai dati ricevuti, quindi questi ultimi vengono registrati nel servizio cloud. I server con minacce attive e protezione insufficiente vengono visualizzati nel dashboard Antimalware . Usando le informazioni nel dashboard Antimalware , è possibile sviluppare un piano per applicare la protezione ai server per cui è necessaria.

Installazione e configurazione della soluzione

Usare le informazioni seguenti per installare e configurare la soluzione.

Usare antimalware

Log Analytics segnala lo stato antimalware per:

  • Computer che eseguono Windows Defender su Windows 8, Windows 8.1, Windows 10 e Windows Server 2016 TP4 o versione successiva
  • Windows Security Center (WSC) su Windows 8, Windows 8.1, Windows 10, Windows Server 2016 TP4 o versione successiva
  • Server che eseguono System Center Endpoint Protection (v4.5.216 o versione successiva) o macchine virtuali di Azure con estensione antimalwaree Windows Malicious Software Removal Tool (MSRT)
  • Server con Windows Management Framework 3 (o versione successiva) WMF 3.0, WMF 4.0.
  • Protezione Symantec Endpoint 12.x e 14.x
  • Trend Micro Deep Security versione 9.6 in computer che eseguono Windows

Oltre a rilevare l'installazione di soluzioni di terze parti, verifica se la protezione dagli agenti è operativa. In particolare, i test di sicurezza di OMS verificano se gli agenti antimalware di questi fornitori sui server monitorati:

  • Enabled
  • Stanno eseguendo analisi a intervalli regolari
  • Stanno usando firme risalenti a non più di sette giorni

La soluzione antimalware attualmente non esegue segnalazioni su:

  • Server che eseguono Windows Server 2008 e versioni precedenti
  • Ruoli Web e di lavoro in Microsoft Azure

È possibile contribuire a stabilire la priorità di aggiunta di nuove funzionalità votando o aggiungendo un nuovo suggerimento nella pagina dei commenti e suggerimenti.

Informazioni dettagliate sulla raccolta dei dati di Malware Assessment

Malware Assessment raccoglie dati di configurazione, metadati e dati dello stato tramite gli agenti abilitati.

La tabella seguente illustra i metodi di raccolta dei dati e altre informazioni dettagliate sul modo in cui vengono raccolti i dati di Malware Assessment.

piattaforma Agente diretto Agente SCOM Archiviazione di Azure SCOM obbligatorio? Dati dell'agente SCOM inviati con il gruppo di gestione frequenza della raccolta
Windows Sì Sì No No Sì ogni ora

La tabella seguente illustra esempi di tipi di dati raccolti da Malware Assessment:

Tipo di dati Fields
Configurazione CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
Metadata BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
Stato StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Analisi delle minacce per i server

Quando i computer sono protetti in modo adeguato, le minacce attive vengono messe rapidamente in quarantena dal software antimalware e dovrebbero essere visualizzate raramente come minacce attive. Per questo motivo, analizzare le minacce risolte che mostrano l'efficacia della soluzione di valutazione antimalware nella seguente procedura di esempio.

  1. Nella pagina Panoramica fare clic sul riquadro Valutazione antimalware.
    Riquadro Valutazione malware
  2. Nel dashboard Antimalware esaminare il pannello Minacce rilevate e fare clic sul nome di un server con minacce risolte.
    Dashboard antimalware
  3. Nella pagina Cerca è possibile visualizzare informazioni dettagliate sulla minaccia messa in quarantena. Accanto a Minaccia fare clic su Visualizza.
    Pagina di ricerca
  4. Nella pagina Search the malware encyclopedia , fare clic sull'elemento di malware per visualizzare maggiori dettagli.
    Pagina del Malware Protection Center
  5. Nella pagina Microsoft Malware Protection Center relativa al malware analizzare le informazioni nella sezione Riepilogo. In questa sezione viene descritto come il software antimalware può rilevare e rimuovere la minaccia e vengono fornite informazioni su quali minacce potrebbe rappresentare il malware per i computer.
    informazioni di riepilogo sulla minaccia

Analisi dello stato di protezione

  1. Nel dashboard Antimalware analizzare il pannello Stato protezione e fare clic su Nessuna protezione in tempo reale.
    Dashboard antimalware
  2. Ricerca Mostra un elenco di server senza protezione.
    Pagina di ricerca che mostra server senza protezione
  3. Vengono visualizzati i server senza protezione in tempo reale.

Per i computer che non supportano software antimalware viene segnalato Nessuna protezione in tempo reale.

Passaggi successivi