Microsoft Antimalware per Servizi cloud e Macchine virtuali di Azure

Microsoft Antimalware per Azure è una funzionalità di protezione in tempo reale gratuita che aiuta a identificare e rimuovere virus, spyware e altro software dannoso e genera avvisi quando un software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.

La soluzione si basa sulla stessa piattaforma antimalware di Microsoft Security Essentials [ ] MSE, Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender per cloud. Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.

Quando si distribuisce e si abilita Microsoft Antimalware per Azure per le applicazioni, sono disponibili le funzionalità di base seguenti:

  • Protezione in tempo reale: monitora l'attività in Servizi cloud e Macchine virtuali per rilevare e bloccare l'esecuzione di malware.
  • Analisi pianificata: esegue periodicamente un'analisi per rilevare il malware, inclusi i programmi in esecuzione attiva.
  • Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.
  • Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.
  • Aggiornamenti del motore antimalware: aggiorna automaticamente il motore antimalware di Microsoft.
  • Aggiornamenti della piattaforma antimalware: aggiorna automaticamente la piattaforma di Microsoft Antimalware.
  • Protezione attiva: segnala a Microsoft Azure i metadati di telemetria sulle minacce rilevate e sulle risorse sospette per garantire una risposta rapida al mutevole panorama delle minacce, oltre ad abilitare la distribuzione di firme sincrone in tempo reale tramite Microsoft Active Protection System (MAPS).
  • Creazione di report di esempio: raccoglie e segnala al servizio Microsoft Antimalware esempi che consentono di perfezionare il servizio e risolvere i problemi.
  • Esclusioni - consente all'applicazione e agli amministratori del servizio di configurare le esclusioni per file, processi e unità.
  • Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account Archiviazione di Azure del cliente.

Nota

Microsoft Antimalware può essere distribuito anche usando Microsoft Defender per cloud. Per altre informazioni, vedere Installare Endpoint Protection in Microsoft Defender per cloud.

Architecture

Microsoft Antimalware per Azure include Microsoft Antimalware Client and Service, il modello di distribuzione classico antimalware, i cmdlet di PowerShell per Antimalware e l'estensione Diagnostica di Azure. Microsoft Antimalware è supportata nelle famiglie dei sistemi operativi Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Non è supportata nel sistema operativo Windows Server 2008 e nemmeno in Linux.

Microsoft Antimalware Client and Service viene installato per impostazione predefinita con lo stato disabilitato in tutte le famiglie di sistemi operativi guest Azure supportati nella piattaforma Servizi cloud. Per impostazione predefinita, Microsoft Antimalware Client and Service non viene installato nella piattaforma Macchine virtuali ed è disponibile come funzionalità opzionale nel portale di Azure e nella configurazione macchina virtuale di Visual Studio in Estensioni di sicurezza.

Quando si usa Servizio app di Azure su Windows, per il servizio sottostante che ospita l'app Web è abilitato Microsoft Antimalware. Viene usato per proteggere l'infrastruttura di Servizio app di Azure ma non viene eseguito sui contenuti dei clienti.

Nota

Microsoft Defender per cloud è l'antimalware integrato abilitato in Windows Server 2016. Microsoft Defender per l'interfaccia cloud è abilitato anche per impostazione predefinita in alcuni SKU Windows Server 2016 vedere qui per altre informazioni. L'estensione Antimalware per macchine virtuali di Azure può ancora essere aggiunta a una macchina virtuale di Azure Windows Server 2016 con Microsoft Defender per cloud, ma in questo scenario l'estensione applierà eventuali criteri di configurazione facoltativi che verranno usati da Microsoft Defender per cloud, l'estensione non distribuirà servizi antimalware aggiuntivi. Altre informazioni su questo aggiornamento, sono disponibili qui.

Flusso di lavoro dell'antimalware Microsoft

L'amministratore del servizio Azure può abilitare Antimalware per Azure con una configurazione predefinita o personalizzata per le macchine virtuali e i servizi cloud usando le opzioni seguenti:

  • Macchine virtuali: nel portale di Azure, in Estensioni di sicurezza
  • Macchine virtuali: con la configurazione macchina virtuale di Visual Studio in Esplora server
  • Macchine virtuali e servizi cloud: con il modello di distribuzione classica Antimalware
  • Macchine virtuali e servizi cloud: con i cmdlet di PowerShell per Antimalware

Il portale di Azure o i cmdlet di PowerShell effettuano il push del file del pacchetto di estensione Antimalware nel sistema Azure in un percorso fisso predeterminato. L'agente guest di Azure (o agente dell'infrastruttura) avvia l'estensione Antimalware, applicando le impostazioni di configurazione di Antimalware fornite come input. Questo passaggio abilita il servizio Antimalware con le impostazioni di configurazione predefinite o personalizzate. Se non viene specificata alcuna configurazione personalizzata, il servizio antimalware viene abilitato con le impostazioni di configurazione predefinite. Per altri dettagli, vedere la sezione sulla configurazione di Antimalware nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure.

Una volta in esecuzione, il client Microsoft Antimalware scarica le definizioni delle firme e il motore di protezione più recenti da Internet e li carica nel sistema Azure. Il Microsoft Antimalware scrive gli eventi correlati al servizio nel registro eventi del sistema operativo nell'origine evento "Microsoft Antimalware". Gli eventi includono lo stato di integrità del client Antimalware, lo stato di protezione e correzione, le impostazioni di configurazione vecchie e nuove, gli aggiornamenti del motore, le definizioni delle firme e altro ancora.

È possibile abilitare il monitoraggio di Antimalware per il servizio cloud o la macchina virtuale in modo che gli eventi del registro eventi di Antimalware vengano scritti non appena generati nell'account di archiviazione di Azure. Il servizio Antimalware usa l'estensione Diagnostica di Azure per raccogliere gli eventi Antimalware dal sistema Di Azure nelle tabelle nell'account Archiviazione di Azure del cliente.

Il flusso di lavoro di distribuzione, inclusi i passaggi di configurazione e le opzioni supportate per gli scenari precedenti, è documentato nella sezione Scenari di distribuzione di Antimalware di questo documento.

Microsoft Antimalware in Azure

Nota

È tuttavia possibile usare Powershell/API e i modelli di Azure Resource Manager per distribuire il set di scalabilità di macchine virtuali con l'estensione Microsoft Antimalware . Per installare un'estensione in una macchina virtuale già in esecuzione, è possibile usare lo script Python di esempio vmssextn.py. Questo script recupera la configurazione dell'estensione esistente nel set di scalabilità e aggiunge un'estensione all'elenco di estensioni esistenti nel set di scalabilità di macchine virtuali.

Configurazione di Antimalware predefinita e personalizzata

Le impostazioni di configurazione predefinite vengono applicate per abilitare Antimalware per Servizi cloud o Macchine virtuali di Azure quando non si specificano impostazioni di configurazione personalizzate. Le impostazioni di configurazione predefinite sono state preottimizzate per l'esecuzione nell'ambiente Azure. Facoltativamente è possibile personalizzare queste impostazioni di configurazione predefinite come richiesto per la distribuzione dell'applicazione o del servizio di Azure e applicarle per altri scenari di distribuzione.

La tabella seguente riepiloga le impostazioni di configurazione disponibili per il servizio Antimalware. Le impostazioni di configurazione predefinite sono contrassegnate nella colonna "Default" riportata di seguito.

Tabella 1

Scenari di distribuzione di Antimalware

In questa sezione vengono illustrati gli scenari per abilitare e configurare l'antimalware, incluso il monitoraggio per Servizi cloud e Macchine virtuali di Azure.

Macchine virtuali - Abilitare e configurare Antimalware

Distribuzione durante la creazione di una macchina virtuale tramite il portale di Azure

Per abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con il portale di Azure durante il provisioning di una macchina virtuale, seguire questa procedura:

  1. Accedere al portale di Azure all'indirizzo https://portal.azure.com.
  2. Per creare una nuova macchina virtuale, passare a Macchine virtuali, selezionare Aggiungi, quindi scegliere Windows Server.
  3. Selezionare la versione di Windows server da usare.
  4. Selezionare Create (Crea). Creare la macchina virtuale
  5. Scegliere un Nome, un Nome utente e una Password per creare un nuovo gruppo di risorse o scegliere un gruppo di risorse esistente.
  6. Selezionare OK.
  7. Scegliere le dimensioni per la macchina virtuale.
  8. Nella sezione successiva, effettuare le scelte appropriate per le proprie esigenze selezionando la sezione Estensioni.
  9. Selezionare Aggiungi estensione
  10. Sotto Nuova risorsa, scegliere Microsoft Antimalware.
  11. Selezionare Crea
  12. Nella sezione Installa estensione è possibile configurare le esclusioni per file, percorsi e processi e altre opzioni di analisi. Scegliere OK.
  13. Scegliere OK.
  14. Nella sezione Impostazioni, scegliere Ok.
  15. Nella schermata Crea, scegliere Ok.

Vedere questo modello Azure Resource Manager per la distribuzione dell'estensione macchina virtuale Antimalware per Windows.

Distribuzione mediante la configurazione macchina virtuale di Visual Studio

Per abilitare e configurare il servizio Microsoft Antimalware con Visual Studio:

  1. Connettersi a Microsoft Azure in Visual Studio.

  2. Scegliere la macchina virtuale nel nodo Macchine virtuali in Esplora Server

    Configurazione della macchina virtuale in Visual Studio

  3. Fare clic con il pulsante destro del mouse su Configura per visualizzare la pagina di configurazione della macchina virtuale

  4. Selezionare l'estensione Microsoft Antimalware dall'elenco a discesa sotto Estensioni installate e fare clic su Aggiungi per impostare la configurazione antimalware predefinita. Estensioni installate

  5. Per personalizzare la configurazione di Antimalware predefinita, selezionare (evidenziare) l'estensione Antimalware nell'elenco Estensioni installate e fare clic su Configura.

  6. Sostituire la configurazione di Antimalware predefinita con la configurazione personalizzata nel formato JSON supportato nella casella di testo Configurazione pubblica e fare clic su OK.

  7. Fare clic sul pulsante Aggiorna per effettuare il push degli aggiornamenti della configurazione nella macchina virtuale.

    Estensione della configurazione della macchina virtuale

Nota

La configurazione Macchine virtuali di Visual Studio per Antimalware supporta solo la configurazione nel formato JSON. Il modello di impostazioni della configurazione antimalware JSON è incluso nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure, che illustra le impostazioni di configurazione antimalware supportate.

Distribuzione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con i cmdlet di PowerShell.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
  2. Usare il cmdlet Set-AzureVMMicrosoftAntimalwareExtension per abilitare e configurare Microsoft Antimalware per la macchina virtuale.

Nota

La configurazione di Macchine virtuali di Azure per Antimalware supporta solo la configurazione nel formato JSON. Il modello di impostazioni della configurazione antimalware JSON è incluso nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure, che illustra le impostazioni di configurazione antimalware supportate.

Abilitare e configurare Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Servizi cloud di Azure con i cmdlet di PowerShell. Tenere presente che Microsoft Antimalware viene installato con lo stato disabilitato nella piattaforma Servizi cloud e, per abilitarlo, è necessaria un'azione da parte di un'applicazione Azure.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
  2. Usare il cmdlet Set-AzureServiceExtension per abilitare e configurare Microsoft Antimalware per il servizio cloud.

Il modello di impostazioni della configurazione antimalware XML è incluso nel documento relativo ai codici di esempio per Microsoft Antimalware per Azure, che illustra le impostazioni di configurazione antimalware supportate.

Servizi cloud e Macchine virtuali - Configurazione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può recuperare la configurazione di Microsoft Antimalware per Servizi cloud e Macchine virtuali con i cmdlet di PowerShell.

Per recuperare la configurazione di Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
  2. Per le macchine virtuali: usare il cmdlet Get-AzureVMMicrosoftAntimalwareExtension per ottenere la configurazione antimalware.
  3. Per Servizi cloud: usare il cmdlet Get-AzureServiceExtension per ottenere la configurazione di Antimalware.

Rimuovere la configurazione di Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può rimuovere la configurazione di Antimalware e l'eventuale configurazione di monitoraggio di Antimalware associata dalle estensioni pertinenti del servizio di diagnostica e Antimalware di Azure associate al servizio cloud o alla macchina virtuale.

Per rimuovere Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
  2. Per le macchine virtuali: usare il cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Per i servizi cloud: Usare il cmdlet Remove-AzureServiceExtension.

Per abilitare la raccolta di eventi antimalware per una macchina virtuale con il portale di anteprima di Azure:

  1. Fare clic in un punto qualsiasi della sezione Monitoraggio nel pannello Macchina virtuale.
  2. Fare clic sul comando Diagnostica nel pannello Metrica.
  3. In Stato fare clic sul pulsante di attivazione e selezionare l'opzione per il log degli eventi di sistema di Windows
  4. . È possibile scegliere di deselezionare tutte le altre opzioni dell'elenco o di lasciarle abilitate in base alle esigenze del servizio dell'applicazione.
  5. Le categorie di eventi Antimalware "Error", "Warning", "Informational" e così via vengono acquisite nell'account Archiviazione di Azure account.

Gli eventi di Antimalware vengono raccolti dai log eventi del sistema di Windows nell'account di archiviazione di Azure. È possibile configurare l'account di archiviazione per la macchina virtuale per raccogliere gli eventi di Antimalware selezionando l'account di archiviazione appropriato.

Metrica e diagnostica

Abilitare e configurare Antimalware usando i cmdlet di PowerShell per Azure Resource Manager macchine virtuali

Per abilitare e configurare Microsoft Antimalware per Azure Resource Manager macchine virtuali usando i cmdlet di PowerShell:

  1. Configurare l'ambiente di PowerShell usando questa documentazione GitHub.
  2. Usare il cmdlet Set-AzureRmVMExtension per abilitare e configurare Microsoft Antimalware per la macchina virtuale.

Sono disponibili gli esempi di codice seguenti:

Abilitare e configurare Antimalware per il supporto esteso del servizio cloud di Azure (CS-ES) usando i cmdlet di PowerShell

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

  1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
  2. Usare il cmdlet New-AzCloudServiceExtensionObject per abilitare e configurare Microsoft Antimalware per la macchina virtuale del servizio cloud.

È disponibile l'esempio di codice seguente:

Abilitare e configurare Antimalware usando i cmdlet di PowerShell per Azure Arc server abilitati

Per abilitare e configurare Microsoft Antimalware per Azure Arc server abilitati per l'uso tramite i cmdlet di PowerShell:

  1. Configurare l'ambiente di PowerShell usando questa documentazione GitHub.
  2. Usare il cmdlet New-AzConnectedMachineExtension per abilitare e configurare Microsoft Antimalware per i server abilitati per Arc.

Sono disponibili gli esempi di codice seguenti:

Passaggi successivi

Vedere esempi di codice per abilitare e configurare Microsoft Antimalware per Azure Resource Manager (ARM).