Microsoft Antimalware voor Azure Cloud Services en Virtual Machines

Microsoft Antimalware voor Azure is een gratis realtime-beveiliging waarmee virussen, spyware en andere schadelijke software worden geïdentificeerd en verwijderd. Er worden waarschuwingen gegenereerd wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren of uit te voeren op uw Azure-systemen.

De oplossing is gebouwd op hetzelfde antimalwareplatform als Microsoft Security Essentials [MSE], Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune en Microsoft Defender voor Cloud. Microsoft Antimalware voor Azure is een oplossing met één agent voor toepassingen en tenantomgevingen, ontworpen om op de achtergrond te worden uitgevoerd zonder menselijke tussenkomst. Beveiliging kan worden geïmplementeerd op basis van de behoeften van toepassingsworkloads, met standaard beveiligde of geavanceerde aangepaste configuratie, waaronder bewaking van antimalware.

Wanneer u Microsoft Antimalware implementeert en inschakelt voor Azure voor uw toepassingen, zijn de volgende kernfuncties beschikbaar:

  • Realtime-beveiliging: bewaakt activiteiten in Cloud Services en op Virtual Machines om de uitvoering van malware te detecteren en te blokkeren.
  • Gepland scannen - Scant periodiek om malware te detecteren, inclusief actief actieve programma's.
  • Herstel van malware: neemt automatisch actie op gedetecteerde malware, zoals het verwijderen of afzetten van schadelijke bestanden en het opschonen van schadelijke registervermeldingen.
  • Handtekeningupdates : installeert automatisch de meest recente beveiligingshandtekeningen (virusdefinities) om ervoor te zorgen dat de beveiliging up-to-date is op basis van een vooraf vastgestelde frequentie.
  • Antimalware Engine updates: hiermee wordt de Microsoft Antimalware-engine automatisch bijgewerkt.
  • Updates voor antimalwareplatforms: het Microsoft Antimalware-platform automatisch bijwerken.
  • Actieve beveiliging: rapporteert telemetriemetagegevens over gedetecteerde bedreigingen en verdachte resources aan Microsoft Azure om snelle reactie op het veranderende bedreigingslandschap te garanderen, en realtime synchrone handtekeninglevering mogelijk te maken via het Microsoft Active Protection System (MAPS).
  • Voorbeelden van rapportage: biedt en rapporteert voorbeelden aan de Microsoft Antimalware-service om de service te verfijnen en probleemoplossing in te schakelen.
  • Uitsluitingen : hiermee kunnen toepassings- en servicebeheerders uitsluitingen configureren voor bestanden, processen en stations.
  • Antimalwaregebeurtenisverzameling: registreert de status van de antimalwareservice, verdachte activiteiten en herstelacties die worden uitgevoerd in het gebeurtenislogboek van het besturingssysteem en verzamelt deze in het Azure Storage-account van de klant.

Notitie

Microsoft Antimalware kan ook worden geïmplementeerd met behulp van Microsoft Defender voor Cloud. Lees Endpoint Protection installeren in Microsoft Defender voor Cloud voor meer informatie.

Architectuur

Microsoft Antimalware voor Azure bevat de Microsoft Antimalware Client en Service, het klassieke antimalware-implementatiemodel, De PowerShell-cmdlets antimalware en Azure Diagnostics-extensie. Microsoft Antimalware wordt ondersteund op Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2-besturingssysteemfamilies. Het wordt niet ondersteund op het besturingssysteem Windows Server 2008 en wordt ook niet ondersteund in Linux.

De Microsoft Antimalware Client en Service wordt standaard geïnstalleerd in een uitgeschakelde status in alle ondersteunde Azure-gastbesturingssysteemfamilies in het Cloud Services-platform. De Microsoft Antimalware Client en Service is niet standaard geïnstalleerd in het Virtual Machines-platform en is beschikbaar als een optionele functie via de configuratie van de Azure Portal en Visual Studio virtuele machine onder Beveiligingsextensies.

Wanneer u Azure App Service op Windows gebruikt, is de onderliggende service die als host fungeert voor de web-app Microsoft Antimalware ingeschakeld. Dit wordt gebruikt om Azure App Service infrastructuur te beveiligen en wordt niet uitgevoerd op klantinhoud.

Notitie

Microsoft Defender Antivirus is de ingebouwde antimalware ingeschakeld in Windows Server 2016. De Microsoft Defender Antivirus Interface is ook standaard ingeschakeld op sommige Windows Server 2016 SKU's voor meer informatie. De Azure VM Antimalware-extensie kan nog steeds worden toegevoegd aan een Windows Server 2016 Azure-VM met Microsoft Defender Antivirus, maar in dit scenario past de extensie eventuele optionele configuratiebeleidsregels toe die door Microsoft Defender Antivirus , de extensie implementeert geen extra antimalwareservices. Hier vindt u meer informatie over deze update.

Microsoft-werkstroom voor antimalware

De Azure-servicebeheerder kan Antimalware inschakelen voor Azure met een standaard- of aangepaste configuratie voor uw Virtual Machines en Cloud Services met behulp van de volgende opties:

  • Virtual Machines : in de Azure Portal onder Beveiligingsextensies
  • Virtual Machines: de configuratie van Visual Studio virtuele machines gebruiken in Server Explorer
  • Virtual Machines en Cloud Services: het klassieke antimalware-implementatiemodel gebruiken
  • Virtual Machines en Cloud Services: PowerShell-cmdlets voor antimalware gebruiken

De Azure Portal- of PowerShell-cmdlets pushen het pakketbestand van de Antimalware-extensie naar het Azure-systeem op een vooraf bepaalde vaste locatie. De Azure-gastagent (of de Fabric-agent) start de Antimalware-extensie, waarbij de configuratie-instellingen voor antimalware worden toegepast die als invoer zijn opgegeven. Met deze stap schakelt u de Antimalware-service in met standaard- of aangepaste configuratie-instellingen. Als er geen aangepaste configuratie is opgegeven, wordt de antimalwareservice ingeschakeld met de standaardconfiguratie-instellingen. Raadpleeg de sectie Antimalwareconfiguratie in de Microsoft Antimalware voor Azure: codevoorbeelden voor meer informatie.

Zodra de Microsoft Antimalware-client wordt uitgevoerd, worden de nieuwste beveiligingsengine en handtekeningdefinities van internet gedownload en geladen op het Azure-systeem. De Microsoft Antimalware-service schrijft servicegerelateerde gebeurtenissen naar het gebeurtenislogboek van het systeembesturingssysteem onder de gebeurtenisbron 'Microsoft Antimalware'. Gebeurtenissen omvatten de status van de antimalwareclient, beveiliging en herstelstatus, nieuwe en oude configuratie-instellingen, engine-updates en handtekeningdefinities, en andere.

U kunt antimalwarebewaking inschakelen voor uw cloudservice of virtuele machine om de gebeurtenissen in het antimalwaregebeurtenislogboek te laten schrijven terwijl ze worden geproduceerd in uw Azure-opslagaccount. De Antimalware-service gebruikt de Azure Diagnostics-extensie om antimalwaregebeurtenissen van het Azure-systeem te verzamelen in tabellen in het Azure Storage-account van de klant.

De implementatiewerkstroom, inclusief configuratiestappen en opties die worden ondersteund voor de bovenstaande scenario's, worden beschreven in de sectie Antimalware-implementatiescenario's van dit document.

Microsoft Antimalware in Azure

Notitie

U kunt echter PowerShell/API's en Azure Resource Manager-sjablonen gebruiken om Virtual Machine Scale Sets te implementeren met de Microsoft Antimalware-extensie. Voor het installeren van een extensie op een virtuele machine die al wordt uitgevoerd, kunt u het voorbeeld Python script vmssextn.py gebruiken. Met dit script wordt de bestaande extensieconfiguratie op de schaalset ophaalt en wordt een extensie toegevoegd aan de lijst met bestaande extensies in de VM-schaalsets.

Standaard- en aangepaste antimalwareconfiguratie

De standaardconfiguratie-instellingen worden toegepast om Antimalware in te schakelen voor Azure Cloud Services of Virtual Machines wanneer u geen aangepaste configuratie-instellingen opgeeft. De standaardconfiguratie-instellingen zijn vooraf geoptimaliseerd voor uitvoering in de Azure-omgeving. U kunt deze standaardconfiguratie-instellingen desgewenst aanpassen voor de implementatie van uw Azure-toepassing of -service en deze toepassen op andere implementatiescenario's.

De volgende tabel bevat een overzicht van de configuratie-instellingen die beschikbaar zijn voor de Antimalware-service. De standaardconfiguratie-instellingen worden gemarkeerd onder de kolom 'Standaard' hieronder.

Table 1

Scenario's voor implementatie van antimalware

In deze sectie worden de scenario's besproken voor het inschakelen en configureren van antimalware, waaronder bewaking voor Azure Cloud Services en Virtual Machines.

Virtuele machines : antimalware inschakelen en configureren

Implementatie tijdens het maken van een VM met behulp van de Azure Portal

Volg de onderstaande stappen om Microsoft Antimalware in te schakelen en te configureren voor Azure Virtual Machines met behulp van de Azure Portal tijdens het inrichten van een virtuele machine:

  1. Meld u aan bij de Azure-portal.
  2. Als u een nieuwe virtuele machine wilt maken, gaat u naar Virtuele machines, selecteert u Toevoegen en kiest u Windows Server.
  3. Selecteer de versie van Windows server die u wilt gebruiken.
  4. Selecteer Maken. Create virtual machine
  5. Geef een naam, gebruikersnaam, wachtwoord en maak een nieuwe resourcegroep of kies een bestaande resourcegroep.
  6. Selecteer OK.
  7. Kies een VM-grootte.
  8. Maak in de volgende sectie de juiste keuzes voor uw behoeften, selecteer de sectie Extensies .
  9. Extensie toevoegen selecteren
  10. Kies onder Nieuwe resourceMicrosoft Antimalware.
  11. Selecteer Maken
  12. In het sectiebestand Installatieextensie kunnen locaties en procesuitsluitingen worden geconfigureerd, evenals andere scanopties. Kies OK.
  13. Kies OK.
  14. Kies OK in de sectie Instellingen.
  15. Kies ok in het scherm Maken.

Zie deze Azure Resource Manager-sjabloon voor de implementatie van de VM-extensie Antimalware voor Windows.

Implementatie met behulp van de configuratie van de Visual Studio virtuele machine

De Microsoft Antimalware-service inschakelen en configureren met behulp van Visual Studio:

  1. Verbinding maken Microsoft Azure in Visual Studio.

  2. Kies uw virtuele machine in het Virtual Machines-knooppunt in Server Explorer

    Virtual Machine configuration in Visual Studio

  3. Klik met de rechtermuisknop op Configureren om de configuratiepagina van de virtuele machine weer te geven

  4. Selecteer Microsoft Antimalware extensie in de vervolgkeuzelijst onder Geïnstalleerde extensies en klik op Toevoegen om te configureren met standaard antimalwareconfiguratie. Installed extensions

  5. Als u de standaardconfiguratie van Antimalware wilt aanpassen, selecteert (markeert u) de Antimalware-extensie in de lijst met geïnstalleerde extensies en klikt u op Configureren.

  6. Vervang de standaardconfiguratie antimalware door uw aangepaste configuratie in de ondersteunde JSON-indeling in het tekstvak openbare configuratie en klik op OK.

  7. Klik op de knop Bijwerken om de configuratie-updates naar uw virtuele machine te pushen.

    Virtual Machine configuration extension

Notitie

De Visual Studio Virtual Machines-configuratie voor Antimalware ondersteunt alleen de configuratie van de JSON-indeling. De sjabloon JSON-configuratie-instellingen voor antimalware is opgenomen in de Microsoft Antimalware Voor Azure - Codevoorbeelden, met de ondersteunde antimalwareconfiguratie-instellingen.

Implementatie met PowerShell-cmdlets

Een Azure-toepassing of -service kan Microsoft Antimalware inschakelen en configureren voor Azure Virtual Machines met behulp van PowerShell-cmdlets.

Microsoft Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen : raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Gebruik de cmdlet Set-AzureVMMicrosoftAntimalwareExtension om Microsoft Antimalware in te schakelen en te configureren voor uw virtuele machine.

Notitie

De Configuratie van Azure Virtual Machines voor Antimalware ondersteunt alleen de configuratie van JSON-indelingen. De sjabloon JSON-configuratie-instellingen voor antimalware is opgenomen in de Microsoft Antimalware Voor Azure - Codevoorbeelden, met de ondersteunde antimalwareconfiguratie-instellingen.

Antimalware inschakelen en configureren met PowerShell-cmdlets

Een Azure-toepassing of -service kan Microsoft Antimalware inschakelen en configureren voor Azure Cloud Services met behulp van PowerShell-cmdlets. Houd er rekening mee dat Microsoft Antimalware is geïnstalleerd in een uitgeschakelde status in het Cloud Services-platform en een actie van een Azure-toepassing vereist om deze in te schakelen.

Microsoft Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen : raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Gebruik de cmdlet Set-AzureServiceExtension om Microsoft Antimalware in te schakelen en te configureren voor uw cloudservice.

De sjabloon antimalware-XML-configuratie-instellingen is opgenomen in de Microsoft Antimalware Voor Azure - Codevoorbeelden, met de ondersteunde configuratie-instellingen voor antimalware.

Cloud Services en Virtual Machines - Configuratie met behulp van PowerShell-cmdlets

Een Azure-toepassing of -service kan de Microsoft Antimalware-configuratie voor Cloud Services en Virtual Machines ophalen met behulp van PowerShell-cmdlets.

De Microsoft Antimalware-configuratie ophalen met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen : raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Voor Virtual Machines: Gebruik de cmdlet Get-AzureVMMicrosoftAntimalwareExtension om de antimalwareconfiguratie op te halen.
  3. Voor Cloud Services: gebruik de cmdlet Get-AzureServiceExtension om de antimalwareconfiguratie op te halen.

Antimalwareconfiguratie verwijderen met Behulp van PowerShell-cmdlets

Een Azure-toepassing of -service kan de antimalwareconfiguratie en alle bijbehorende antimalwarebewakingsconfiguratie verwijderen uit de relevante Azure Antimalware- en diagnostische service-extensies die zijn gekoppeld aan de cloudservice of virtuele machine.

Microsoft Antimalware verwijderen met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen : raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Voor Virtual Machines: gebruik de cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Voor Cloud Services: gebruik de cmdlet Remove-AzureServiceExtension.

Als u een antimalwaregebeurtenisverzameling wilt inschakelen voor een virtuele machine met behulp van de Azure Preview-portal:

  1. Klik op een deel van de bewakingslens op de blade Virtuele machine
  2. Klik op de opdracht Diagnostische gegevens op de blade Metrische gegevens
  3. Selecteer Status AAN en schakel de optie voor Windows gebeurtenissysteem in
  4. . U kunt ervoor kiezen om alle andere opties in de lijst uit te schakelen of deze ingeschakeld te laten volgens de behoeften van uw toepassingsservice.
  5. De gebeurteniscategorieën 'Fout', 'Waarschuwing', 'Informatief', enzovoort, worden vastgelegd in uw Azure Storage-account.

Antimalwaregebeurtenissen worden verzameld uit de logboeken van het Windows gebeurtenissysteem naar uw Azure Storage-account. U kunt het Storage-account voor uw virtuele machine configureren om antimalwaregebeurtenissen te verzamelen door het juiste opslagaccount te selecteren.

Metrics and diagnostics

Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets voor Azure Resource Manager VM's

Als u Microsoft Antimalware wilt inschakelen en configureren voor azure Resource Manager-VM's met behulp van PowerShell-cmdlets:

  1. Stel uw PowerShell-omgeving in met behulp van deze documentatie op GitHub.
  2. Gebruik de cmdlet Set-AzureRmVMExtension om Microsoft Antimalware in te schakelen en te configureren voor uw VM.

De volgende codevoorbeelden zijn beschikbaar:

Antimalware inschakelen en configureren voor Uitgebreide ondersteuning van Azure Cloud Service (CS-ES) met behulp van PowerShell-cmdlets

Microsoft Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen : raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Gebruik de cmdlet New-AzCloudServiceExtensionObject om Microsoft Antimalware in te schakelen en te configureren voor uw cloudservice-VM.

Het volgende codevoorbeeld is beschikbaar:

Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets voor servers met Azure Arc

Microsoft Antimalware inschakelen en configureren voor servers met Azure Arc met behulp van PowerShell-cmdlets:

  1. Stel uw PowerShell-omgeving in met behulp van deze documentatie op GitHub.
  2. Gebruik de cmdlet New-AzConnectedMachineExtension om Microsoft Antimalware in te schakelen en te configureren voor uw servers met Arc.

De volgende codevoorbeelden zijn beschikbaar:

Volgende stappen

Zie codevoorbeelden voor het inschakelen en configureren van Microsoft Antimalware voor virtuele Machines van Azure Resource Manager (ARM).