Microsoft Antimalware for Azure Cloud Services and Virtual Machines

O Microsoft Antimalware para Azure é uma proteção gratuita em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. Ele gera alertas quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure.

A solução foi desenvolvida na mesma plataforma antimalware do Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender for Cloud. O Microsoft Antimalware para Azure é uma solução de agente único para aplicativos e ambientes de locatário, projetada para ser executada em segundo plano sem intervenção humana. A proteção pode ser implantada com base nas necessidades das cargas de trabalho do aplicativo, com configuração básica segura por padrão ou personalizada avançada, incluindo monitoramento antimalware.

Quando você implanta e habilita o Microsoft Antimalware para Azure para seus aplicativos, os seguintes recursos principais estão disponíveis:

• Proteção em tempo real - monitoriza a atividade nos Serviços na Nuvem e em Máquinas Virtuais para detetar e bloquear a execução de malware.
• Verificação programada - Verifica periodicamente para detetar malware, incluindo programas em execução ativa.
• Remediação de malware - executa automaticamente ações sobre malware detetado, como excluir ou colocar em quarentena arquivos maliciosos e limpar entradas de registro maliciosas.
• Atualizações de assinatura - instala automaticamente as assinaturas de proteção mais recentes (definições de vírus) para garantir que a proteção esteja atualizada em uma frequência predeterminada.
• Atualizações do mecanismo antimalware - atualiza automaticamente o mecanismo antimalware da Microsoft.
• Atualizações da plataforma antimalware - atualiza automaticamente a plataforma antimalware da Microsoft.
• Proteção ativa - reporta metadados de telemetria sobre ameaças detetadas e recursos suspeitos ao Microsoft Azure para garantir uma resposta rápida à evolução do cenário de ameaças e permite a entrega de assinaturas síncronas em tempo real através do Microsoft Ative Protection System (MAPS).
• Relatórios de amostras - fornece e relata amostras para o serviço Microsoft Antimalware para ajudar a refinar o serviço e habilitar a solução de problemas.
• Exclusões - permite que os administradores de aplicativos e serviços configurem exclusões para arquivos, processos e unidades.
• Coleta de eventos antimalware - registra a integridade do serviço antimalware, atividades suspeitas e ações de correção tomadas no log de eventos do sistema operacional e as coleta na conta de Armazenamento do Azure do cliente.

Nota

O Microsoft Antimalware também pode ser implantado usando o Microsoft Defender for Cloud. Leia Instalar o Endpoint Protection no Microsoft Defender for Cloud para obter mais informações.

Arquitetura

O Microsoft Antimalware para Azure inclui o Cliente e Serviço Antimalware da Microsoft, o modelo de implantação clássico do Antimalware, cmdlets do PowerShell Antimalware e a Extensão de Diagnóstico do Azure. O Microsoft Antimalware é suportado nas famílias de sistemas operacionais Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Ele não é suportado no sistema operacional Windows Server 2008 e também não é suportado no Linux.

O Cliente e Serviço Antimalware da Microsoft é instalado por padrão em um estado desabilitado em todas as famílias de sistemas operacionais convidados do Azure com suporte na plataforma de Serviços de Nuvem. O Cliente e Serviço Antimalware da Microsoft não é instalado por padrão na plataforma de Máquinas Virtuais e está disponível como um recurso opcional por meio do portal do Azure e da configuração da Máquina Virtual do Visual Studio em Extensões de Segurança.

Ao usar o Serviço de Aplicativo do Azure no Windows, o serviço subjacente que hospeda o aplicativo Web tem o Microsoft Antimalware habilitado. Isso é usado para proteger a infraestrutura do Serviço de Aplicativo do Azure e não é executado no conteúdo do cliente.

Nota

O Microsoft Defender Antivírus é o Antimalware integrado habilitado no Windows Server 2016 e superior. A extensão Azure VM Antimalware ainda pode ser adicionada a uma VM do Azure do Windows Server 2016 e superior com o Microsoft Defender Antivirus. Nesse cenário, a extensão aplica quaisquer políticas de configuração opcionais a serem usadas pelo Microsoft Defender Antivírus A extensão não implanta nenhum outro serviço antimalware. Para obter mais informações, consulte a seção Exemplos deste artigo para obter mais detalhes.

Fluxo de trabalho antimalware da Microsoft

O administrador de serviço do Azure pode habilitar o Antimalware para Azure com uma configuração padrão ou personalizada para suas Máquinas Virtuais e Serviços de Nuvem usando as seguintes opções:

• Máquinas Virtuais - No portal do Azure, em Extensões de Segurança
• Máquinas Virtuais - Usando a configuração de máquinas virtuais do Visual Studio no Gerenciador de Servidores
• Máquinas Virtuais e Serviços na Nuvem - Usando o modelo de implantação clássico do Antimalware
• Máquinas Virtuais e Serviços de Nuvem - Usando cmdlets do PowerShell Antimalware

O portal do Azure ou cmdlets do PowerShell enviam o arquivo do pacote de extensão Antimalware para o sistema do Azure em um local fixo predeterminado. O Agente Convidado do Azure (ou o Agente de Malha) inicia a Extensão Antimalware, aplicando as definições de configuração de Antimalware fornecidas como entrada. Esta etapa habilita o serviço Antimalware com definições de configuração padrão ou personalizadas. Se nenhuma configuração personalizada for fornecida, o serviço antimalware será habilitado com as definições de configuração padrão. Para obter mais informações, consulte a seção Exemplos deste artigo para obter mais detalhes.

Depois de executado, o cliente Microsoft Antimalware baixa o mecanismo de proteção e as definições de assinatura mais recentes da Internet e as carrega no sistema Azure. O serviço Microsoft Antimalware grava eventos relacionados ao serviço no log de eventos do sistema operacional sob a fonte de eventos "Microsoft Antimalware". Os eventos incluem o estado de integridade do cliente Antimalware, status de proteção e correção, definições de configuração novas e antigas, atualizações do mecanismo e definições de assinatura e outros.

Você pode habilitar o monitoramento de Antimalware para seu Serviço de Nuvem ou Máquina Virtual para que os eventos do log de eventos Antimalware sejam gravados à medida que são produzidos em sua conta de armazenamento do Azure. O Serviço Antimalware usa a extensão de Diagnóstico do Azure para coletar eventos Antimalware do sistema do Azure em tabelas na conta de Armazenamento do Azure do cliente.

O fluxo de trabalho de implantação, incluindo etapas de configuração e opções suportadas para os cenários acima, está documentado na seção Cenários de implantação de antimalware deste documento.

Nota

No entanto, você pode usar modelos PowerShell/APIs e Azure Resource Manager para implantar Conjuntos de Dimensionamento de Máquina Virtual com a extensão Microsoft Anti-Malware. Para instalar uma extensão em uma máquina virtual já em execução, você pode usar o exemplo de script Python vmssextn.py. Esse script obtém a configuração de extensão existente no Conjunto de Escala e adiciona uma extensão à lista de extensões existentes nos Conjuntos de Escala de VM.

Configuração antimalware padrão e personalizada

As definições de configuração padrão são aplicadas para habilitar o Antimalware para Serviços de Nuvem do Azure ou Máquinas Virtuais quando você não fornece definições de configuração personalizadas. As definições de configuração padrão foram pré-otimizadas para execução no ambiente do Azure. Opcionalmente, você pode personalizar essas definições de configuração padrão conforme necessário para sua implantação de aplicativo ou serviço do Azure e aplicá-las para outros cenários de implantação.

A tabela a seguir resume as definições de configuração disponíveis para o serviço Antimalware. As definições de configuração padrão são marcadas na coluna "Padrão".

Cenários de implantação de antimalware

Os cenários para habilitar e configurar o antimalware, incluindo o monitoramento dos Serviços de Nuvem do Azure e Máquinas Virtuais, são discutidos nesta seção.

Máquinas virtuais - ativar e configurar antimalware

Implantação ao criar uma VM usando o portal do Azure

Siga estas etapas para habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando o portal do Azure ao provisionar uma Máquina Virtual:

1. Inicie sessão no portal do Azure.
2. Para criar uma nova máquina virtual, navegue até Máquinas virtuais, selecione Adicionar e escolha Windows Server.
3. Selecione a versão do servidor Windows que você gostaria de usar.
4. Selecione Criar.
5. Forneça um Nome, Nome de Usuário, Senha e crie um novo grupo de recursos ou escolha um grupo de recursos existente.
6. Selecione OK.
7. Escolha um tamanho de vm.
8. Na próxima seção, faça as escolhas apropriadas para suas necessidades, selecione a seção Extensões .
9. Selecione Adicionar extensão
10. Em Novo recurso, escolha Microsoft Antimalware.
11. Selecione Criar
12. No arquivo de seção Instalar extensão, os locais e as exclusões de processo podem ser configurados, bem como outras opções de verificação. Escolha Ok.
13. Escolha Ok.
14. De volta à seção Configurações , escolha Ok.
15. Na tela Criar, escolha Ok.

Consulte este modelo do Azure Resource Manager para implantar a extensão de VM Antimalware para Windows.

Implantação usando a configuração da máquina virtual do Visual Studio

Para habilitar e configurar o serviço Microsoft Antimalware usando o Visual Studio:

1. Conecte-se ao Microsoft Azure no Visual Studio.

2. Escolha sua Máquina Virtual no nó Máquinas Virtuais no Gerenciador de Servidores

   

3. Clique com o botão direito do mouse em configurar para exibir a página de configuração da Máquina Virtual

4. Selecione a extensão Microsoft Antimalware na lista suspensa em Extensões instaladas e clique em Adicionar para configurar com a configuração antimalware padrão.

5. Para personalizar a configuração padrão do Antimalware, selecione (destaque) a extensão Antimalware na lista de extensões instaladas e clique em Configurar.

6. Substitua a configuração padrão do Antimalware pela configuração personalizada no formato JSON suportado na caixa de texto de configuração pública e clique em OK.

7. Clique no botão Atualizar para enviar as atualizações de configuração para sua máquina virtual.

   

Nota

A configuração de Máquinas Virtuais do Visual Studio para Antimalware suporta apenas a configuração do formato JSON. Para obter mais informações, consulte a seção Exemplos deste artigo para obter mais detalhes.

Implantação usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando cmdlets do PowerShell.

Para habilitar e configurar o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet Set-AzureVMMicrosoftAntimalwareExtension para habilitar e configurar o Microsoft Antimalware para sua máquina virtual.

Nota

A configuração de Máquinas Virtuais do Azure para Antimalware suporta apenas a configuração do formato JSON. Para obter mais informações, consulte a seção Exemplos deste artigo para obter mais detalhes.

Habilitar e configurar cmdlets antimalware usando o PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para Serviços de Nuvem do Azure usando cmdlets do PowerShell. O Microsoft Antimalware é instalado em um estado desabilitado na plataforma de Serviços de Nuvem e requer uma ação de um aplicativo do Azure para habilitá-lo.

Para habilitar e configurar o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet Set-AzureServiceExtension para habilitar e configurar o Microsoft Antimalware para seu Serviço de Nuvem.

Para obter mais informações, consulte a seção Exemplos deste artigo para obter mais detalhes.

Serviços de nuvem e máquinas virtuais - Configuração usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode recuperar a configuração do Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais usando cmdlets do PowerShell.

Para recuperar a configuração do Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Para máquinas virtuais: use o cmdlet Get-AzureVMMicrosoftAntimalwareExtension para obter a configuração antimalware.
3. Para Serviços de Nuvem: use o cmdlet Get-AzureServiceExtension para obter a configuração de Antimalware.

Amostras

Remover configuração de antimalware usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode remover a configuração de Antimalware e qualquer configuração de monitoramento de Antimalware associada das extensões de serviço de diagnóstico e Antimalware do Azure relevantes associadas ao Serviço de Nuvem ou à Máquina Virtual.

Para remover o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Para máquinas virtuais: use o cmdlet Remove-AzureVMMicrosoftAntimalwareExtension .
3. Para Serviços de Nuvem: use o cmdlet Remove-AzureServiceExtension .

Para habilitar a coleta de eventos antimalware para uma máquina virtual usando o Portal de Visualização do Azure:

1. Clique em qualquer parte da lente Monitoramento na folha Máquina Virtual
2. Clique no comando Diagnóstico na folha Métrica
3. Selecione Status ON e marque a opção para o sistema de eventos do Windows
4. . Você pode optar por desmarcar todas as outras opções na lista ou deixá-las ativadas de acordo com suas necessidades de serviço de aplicativo.
5. As categorias de evento Antimalware "Erro", "Aviso", "Informativo", etc., são capturadas na sua conta de Armazenamento do Azure.

Os eventos antimalware são coletados dos logs do sistema de eventos do Windows para sua conta de Armazenamento do Azure. Você pode configurar a Conta de Armazenamento para sua Máquina Virtual para coletar eventos Antimalware selecionando a conta de armazenamento apropriada.

Habilitar e configurar o Antimalware usando cmdlets do PowerShell para VMs do Azure Resource Manager

Para habilitar e configurar o Microsoft Antimalware para VMs do Azure Resource Manager usando cmdlets do PowerShell:

1. Configure seu ambiente do PowerShell usando esta documentação no GitHub.
2. Use o cmdlet Set-AzureRmVMExtension para habilitar e configurar o Microsoft Antimalware para sua VM.

Os seguintes exemplos de código estão disponíveis:

• Implantar o Microsoft Antimalware em VMs ARM
• Adicionar o Microsoft Antimalware aos Clusters do Azure Service Fabric

Habilitar e configurar o Antimalware para o Suporte Estendido do Serviço de Nuvem do Azure (CS-ES) usando cmdlets do PowerShell

Para habilitar e configurar o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet New-AzCloudServiceExtensionObject para habilitar e configurar o Microsoft Antimalware para sua VM do Serviço de Nuvem.

O exemplo de código a seguir está disponível:

• Adicionar o Microsoft Antimalware ao Serviço de Nuvem do Azure usando o Suporte Estendido (CS-ES)

Habilitar e configurar o Antimalware usando cmdlets do PowerShell para servidores habilitados para Azure Arc

Para habilitar e configurar o Microsoft Antimalware para servidores habilitados para Azure Arc usando cmdlets do PowerShell:

1. Configure seu ambiente do PowerShell usando esta documentação no GitHub.
2. Use o cmdlet New-AzConnectedMachineExtension para habilitar e configurar o Microsoft Antimalware para seus servidores habilitados para Arc.

Os seguintes exemplos de código estão disponíveis:

• Adicionar Microsoft Antimalware para servidores habilitados para Azure Arc

Próximos passos

Consulte exemplos de código para habilitar e configurar o Microsoft Antimalware para máquinas virtuais do Azure Resource Manager (ARM).