Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure

L'attuale panorama delle minacce per gli ambienti cloud è estremamente dinamico e costringe i sottoscrittori di cloud IT aziendali a mantenere attiva la protezione per soddisfare i requisiti di conformità e sicurezza. Microsoft Antimalware per Azure è una funzionalità di protezione in tempo reale gratuita che consente di identificare e rimuovere virus, spyware e altro software dannoso e offre avvisi configurabili per i casi in cui software dannoso o indesiderato tenta di installarsi o eseguirsi nei sistemi Azure.

La soluzione è basata sulla stessa piattaforma antimalware di Microsoft Security Essentials [MSE], Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune e Windows Defender per Windows 8.0 e versioni successive. Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.

Quando si distribuisce e si abilita Microsoft Antimalware per Azure per le applicazioni, sono disponibili le funzionalità di base seguenti:

  • Protezione in tempo reale: monitora l'attività in Servizi cloud e Macchine virtuali per rilevare e bloccare l'esecuzione di malware.
  • Analisi pianificata: esegue periodicamente un'analisi mirata per rilevare il malware, inclusi i programmi in esecuzione attiva.
  • Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.
  • Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.
  • Aggiornamenti del motore antimalware: aggiorna automaticamente il motore di Microsoft Antimalware.
  • Aggiornamenti della piattaforma antimalware: aggiorna automaticamente la piattaforma di Microsoft Antimalware.
  • Protezione attiva: segnala a Microsoft Azure i metadati di telemetria sulle minacce rilevate e sulle risorse sospette per garantire una risposta rapida al mutevole panorama delle minacce, oltre ad abilitare la distribuzione di firme sincrone in tempo reale tramite Microsoft Active Protection System (MAPS).
  • Creazione di report di esempio: raccoglie e segnala al servizio Microsoft Antimalware esempi che consentono di perfezionare il servizio e risolvere i problemi.
  • Esclusioni: consente agli amministratori dell'applicazione e del servizio di configurare alcuni file, processi e unità per escluderli dalla protezione e dall'analisi per motivi di prestazioni e/o di altro tipo.
  • Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account di archiviazione di Azure del cliente.
Nota

Microsoft Antimalware può anche essere distribuito mediante il Centro sicurezza di Azure. Per altre informazioni, leggere Installare Endpoint Protection nel Centro sicurezza di Azure.

Architettura

La soluzione Microsoft Antimalware per Azure include Microsoft Antimalware Client and Service, il modello di distribuzione classico antimalware, i cmdlet di PowerShell per Antimalware e l'estensione Diagnostica di Azure. La soluzione Microsoft Antimalware è supportata nelle famiglie dei sistemi operativi Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Non è supportata nel sistema operativo Windows Server 2008. È stato rilasciato il supporto per Windows Server 2016 con Defender. Informazioni su questo aggiornamento sono disponibili qui.

Microsoft Antimalware Client and Service viene installato per impostazione predefinita con lo stato disabilitato in tutte le famiglie di sistemi operativi guest Azure supportati nella piattaforma Servizi cloud. Per impostazione predefinita, Microsoft Antimalware Client and Service non viene installato nella piattaforma Macchine virtuali ed è disponibile come funzionalità opzionale nel portale di Azure e nella configurazione macchina virtuale di Visual Studio in Estensioni di sicurezza.

Quando si usa Siti Web di Azure, sul servizio sottostante che ospita l'app Web è abilitato Microsoft Antimalware. Viene usato per proteggere l'infrastruttura dei siti Web di Azure ma non viene eseguito sui contenuti dei clienti.

Flusso di lavoro dell'antimalware Microsoft

L'amministratore del servizio Azure può abilitare Antimalware per Azure con una configurazione predefinita o personalizzata per le macchine virtuali e i servizi cloud usando le opzioni seguenti:

  • Macchine virtuali: nel portale di Azure, in Estensioni di sicurezza
  • Macchine virtuali: con la configurazione macchina virtuale di Visual Studio in Esplora server
  • Macchine virtuali e servizi cloud: con il modello di distribuzione classica Antimalware
  • Macchine virtuali e servizi cloud: con i cmdlet di PowerShell per Antimalware

Il portale di Azure o i cmdlet di PowerShell effettuano il push del file del pacchetto di estensione Antimalware nel sistema Azure in un percorso fisso predeterminato. L'agente guest di Azure (o agente dell'infrastruttura) avvia l'estensione Antimalware, applicando le impostazioni di configurazione di Antimalware fornite come input. Questo passaggio abilita il servizio Antimalware con le impostazioni di configurazione predefinite o personalizzate. Se non viene specificata alcuna configurazione personalizzata, il servizio antimalware viene abilitato con le impostazioni di configurazione predefinite. Per altri dettagli, vedere la sezione sulla configurazione di Antimalware nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure.

Una volta in esecuzione, il client Microsoft Antimalware scarica le definizioni delle firme e il motore di protezione più recenti da Internet e li carica nel sistema Azure. Il servizio Microsoft Antimalware scrive gli eventi correlati al servizio nel registro eventi del sistema operativo nell'origine evento "Microsoft Antimalware". Gli eventi includono lo stato di integrità del client Antimalware, lo stato di protezione e correzione, le impostazioni di configurazione vecchie e nuove, gli aggiornamenti del motore, le definizioni delle firme e altro ancora.

È possibile abilitare il monitoraggio di Antimalware per il servizio cloud o la macchina virtuale in modo che gli eventi del registro eventi di Antimalware vengano scritti non appena generati nell'account di archiviazione di Azure. Il servizio Antimalware usa l'estensione Diagnostica di Azure per raccogliere gli eventi di Antimalware dal sistema Azure in tabelle nell'account di archiviazione di Azure del cliente.

Il flusso di lavoro di distribuzione, inclusi i passaggi di configurazione e le opzioni supportate per gli scenari precedenti, è documentato nella sezione Scenari di distribuzione di Antimalware di questo documento.

Microsoft Antimalware in Azure

Nota

È tuttavia possibile usare Powershell/API e i modelli di Azure Resource Manager per distribuire il set di scalabilità di macchine virtuali con l'estensione Microsoft Antimalware . Per installare un'estensione in una macchina virtuale già in esecuzione, è possibile usare lo script Python di esempio vmssextn.py disponibile qui. Questo script recupera la configurazione dell'estensione esistente nel set di scalabilità e aggiunge un'estensione all'elenco di estensioni esistenti nel set di scalabilità di macchine virtuali.

Configurazione di Antimalware predefinita e personalizzata

Le impostazioni di configurazione predefinite vengono applicate per abilitare Antimalware per Servizi cloud o Macchine virtuali di Azure quando non si specificano impostazioni di configurazione personalizzate. Le impostazioni di configurazione predefinite sono state preottimizzate per l'esecuzione nell'ambiente Azure. Facoltativamente è possibile personalizzare queste impostazioni di configurazione predefinite come richiesto per la distribuzione dell'applicazione o del servizio di Azure e applicarle per altri scenari di distribuzione.

Nota

Per impostazione predefinita l'interfaccia utente di Microsoft Antimalware in Azure Resource Manager è disabilitata e non è supportato il file cleanuppolicy.xml per ignorare questo messaggio di errore. Per informazioni su come creare un criterio personalizzato, vedere l'articolo sull'abilitazione dell'interfaccia utente di Microsoft Antimalware in VM di Azure Resource Manager dopo la distribuzione.

La tabella seguente riepiloga le impostazioni di configurazione disponibili per il servizio Antimalware. Le impostazioni di configurazione predefinite sono contrassegnate nella colonna "Predefinita" sotto.

Tabella 1

Scenari di distribuzione di Antimalware

In questa sezione vengono illustrati gli scenari per abilitare e configurare l'antimalware, incluso il monitoraggio per Servizi cloud e Macchine virtuali di Azure.

Macchine virtuali - Abilitare e configurare Antimalware

Distribuzione mediante il portale di Azure

Per abilitare il servizio Antimalware, fare clic su Aggiungi nel pannello Estensioni, selezionare Microsoft Antimalware nel pannello Nuova risorsa e fare clic su Crea nel pannello Microsoft Antimalware. Fare clic su Crea senza inserire alcun valore di configurazione per abilitare Antimalware con le impostazioni predefinite oppure immettere le impostazioni di configurazione di Antimalware per la macchina virtuale configurata, come illustrato nella figura 2. Per visualizzare i valori di configurazione supportati, vedere le descrizioni comandi specificate con ogni impostazione di configurazione nel pannello Aggiungi estensione.

Impostazioni di configurazione della macchina virtuale per Microsoft Antimalware

Distribuzione mediante il portale di Azure classico

Per abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con il portale di Azure durante il provisioning di una macchina virtuale, seguire questa procedura:

1.Accedere al portale di Azure all'indirizzo https://portal.azure.com

2.Per creare una nuova macchina virtuale, fare clic su Nuovo, Calcolo, Macchina virtuale, Da raccolta (non usare Creazione rapida), come descritto di seguito:

Nuova macchina virtuale

3.Selezionare l'immagine Microsoft Windows Server nella pagina Scegli un'immagine.

4.Fare clic sulla freccia destra e inserire la configurazione della macchina virtuale.

5.Selezionare la casella di controllo Microsoft Antimalware sotto Estensioni di sicurezza nella pagina Configurazione macchina virtuale.

6.Fare clic sul pulsante Invia per abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con le impostazioni di configurazione predefinite.

Configurazione della macchina virtuale

Distribuzione mediante la configurazione macchina virtuale di Visual Studio

Per abilitare e configurare il servizio Microsoft Antimalware con Visual Studio:

1.Connettersi a Microsoft Azure in Visual Studio.

2.Scegliere la macchina virtuale nel nodo Macchine virtuali in Esplora Server

Configurazione della macchina virtuale in Visual Studio

3.Fare clic con il pulsante destro del mouse su Configura per visualizzare la pagina di configurazione della macchina virtuale

4.Selezionare l'estensione Microsoft Antimalware dall'elenco a discesa sotto Estensioni installate e fare clic su Aggiungi per impostare la configurazione antimalware predefinita.

Estensioni installate

5.Per personalizzare la configurazione di Antimalware predefinita, selezionare (evidenziare) l'estensione Antimalware nell'elenco Estensioni installate e fare clic su Configura.

6.Sostituire la configurazione di Antimalware predefinita con la configurazione personalizzata nel formato JSON supportato nella casella di testo Configurazione pubblica e fare clic su OK.

7.Fare clic sul pulsante Aggiorna per effettuare il push degli aggiornamenti della configurazione nella macchina virtuale.

Estensione della configurazione della macchina virtuale

Nota: la configurazione Macchine virtuali di Visual Studio per Antimalware supporta solo la configurazione nel formato JSON. Il modello di impostazioni della configurazione antimalware JSON è incluso nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure, che illustra le impostazioni di configurazione antimalware supportate.

Distribuzione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con i cmdlet di PowerShell.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell per Antimalware:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
  2. Usare il cmdlet Set-AzureVMMicrosoftAntimalwareExtension per Antimalware per abilitare e configurare Microsoft Antimalware per la macchina virtuale, come documentato in http://msdn.microsoft.com/library/azure/dn771718.aspx

Nota: la configurazione di Macchine virtuali di Azure per Antimalware supporta solo la configurazione nel formato JSON. Il modello di impostazioni della configurazione antimalware JSON è incluso nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure, che illustra le impostazioni di configurazione antimalware supportate.

Abilitare e configurare Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Servizi cloud di Azure con i cmdlet di PowerShell. Tenere presente che Microsoft Antimalware viene installato con lo stato disabilitato nella piattaforma Servizi cloud e, per abilitarlo, è necessaria un'azione da parte di un'applicazione Azure.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-sdk-tools#get-started
  2. Usare il cmdlet Set-AzureServiceAntimalwareExtension per Antimalware per abilitare e configurare Microsoft Antimalware per il servizio cloud, come documentato in http://msdn.microsoft.com/library/azure/dn771718.aspx

Il modello di impostazioni della configurazione antimalware XML è incluso nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure, che illustra le impostazioni di configurazione antimalware supportate.

Servizi cloud e Macchine virtuali - Configurazione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può recuperare la configurazione di Microsoft Antimalware per Servizi cloud e Macchine virtuali con i cmdlet di PowerShell.

Per recuperare la configurazione di Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-sdk-tools#get-started
  2. Per Macchine virtuali: usare il cmdlet Get-AzureVMMicrosoftAntimalwareExtension per Antimalware per ottenere la configurazione antimalware, come documentato in http://msdn.microsoft.com/library/azure/dn771719.aspx
  3. Per Servizi cloud: usare il cmdlet Get-AzureServiceAntimalwareConfig per Antimalware per ottenere la configurazione antimalware, come documentato in http://msdn.microsoft.com/library/azure/dn771722.aspx

Rimuovere la configurazione di Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può rimuovere la configurazione di Antimalware e l'eventuale configurazione di monitoraggio di Antimalware associata dalle estensioni pertinenti del servizio di diagnostica e Antimalware di Azure associate al servizio cloud o alla macchina virtuale.

Per rimuovere Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-sdk-tools#get-started
  2. Per Macchine virtuali: usare il cmdlet Remove-AzureVMMicrosoftAntimalwareExtension per Antimalware come documentato in http://msdn.microsoft.com/library/azure/dn771720.aspx
  3. Per Servizi cloud: usare il cmdlet Remove-AzureVMMicrosoftAntimalwareExtension per Antimalware come documentato in http://msdn.microsoft.com/library/azure/dn771717.aspx

Per abilitare la raccolta di eventi antimalware per una macchina virtuale con il portale di anteprima di Azure:

  1. Fare clic in un punto qualsiasi della sezione Monitoraggio nel pannello Macchina virtuale.
  2. Fare clic sul comando Diagnostica nel pannello Metrica.
  3. In Stato fare clic sul pulsante di attivazione e selezionare l'opzione per il log degli eventi di sistema di Windows
  4. . È possibile scegliere di deselezionare tutte le altre opzioni dell'elenco o di lasciarle abilitate in base alle esigenze del servizio dell'applicazione.
  5. Le categorie di eventi di Antimalware "Errore", "Avviso", "Informativo" e così via vengono acquisite nell'account di archiviazione di Azure.

Gli eventi di Antimalware vengono raccolti dai log eventi del sistema di Windows nell'account di archiviazione di Azure. È possibile configurare l'account di archiviazione per la macchina virtuale per raccogliere gli eventi di Antimalware selezionando l'account di archiviazione appropriato.

Metrica e diagnostica

Nota

Per altre informazioni sulla registrazione diagnostica per Azure Antimalware, vedere l'articolo sull'abilitazione della registrazione diagnostica per Azure Antimalware.

Abilitare e configurare il monitoraggio di Antimalware mediante cmdlet di PowerShell

È possibile abilitare la raccolta degli eventi di Microsoft Antimalware per il servizio cloud o per la macchina virtuale usando Diagnostica di Azure con i cmdlet di PowerShell per Antimalware. L'estensione Diagnostica di Azure può essere configurata per acquisire gli eventi dall'origine dei log eventi del sistema "Microsoft Antimalware" nell'account di archiviazione di Azure. Le categorie di eventi di Antimalware "Errore", "Avviso", "Informativo" e così via vengono acquisite nell'account di archiviazione di Azure.

Per abilitare la raccolta di eventi di Antimalware nell'account di archiviazione di Azure con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere https://github.com/Azure/azure-sdk-tools#get-started
  2. Per Macchine virtuali: usare il cmdlet Set-AzureVMMicrosoftAntimalwareExtension per Antimalware con l'opzione di monitoraggio attiva, come documentato in http://msdn.microsoft.com/library/azure/dn771716.aspx
  3. Per Servizi cloud: usare il cmdlet Set-AzureVMMicrosoftAntimalwareExtension per Antimalware con l'opzione di monitoraggio attiva, come documentato in http://msdn.microsoft.com/library/azure/dn771718.aspx

È possibile visualizzare gli eventi non elaborati di Antimalware esaminando la tabella WADWindowsEventLogsTable nell'account di archiviazione di Azure configurato per abilitare il monitoraggio di Antimalware. Questo può essere utile per verificare che la raccolta di eventi di Antimalware sia in funzione, oltre che per ottenere informazioni sull'integrità del servizio Antimalware. Per altre informazioni, tra cui il codice di esempio su come estrarre gli eventi Antimalware dall'account di archiviazione, vedere il documento sui codici di esempio per Microsoft Antimalware per Azure.