Защита серверов с помощью сканирования вредоносных программ без агента

  • Статья

Microsoft Defender для облака Defender для серверов плана 2 поддерживает возможность сканирования вредоносных программ без агента, которая сканирует и обнаруживает вредоносные программы и вирусы. Средство проверки доступно для виртуальных машин Azure, экземпляров AWS EC2 и экземпляров виртуальных машин GCP.

Сканирование вредоносных программ без агента обеспечивает:

  • Актуальные и комплексные возможности обнаружения вредоносных программ, использующие модуль антивирусная программа в Microsoft Defender и веб-канал подписи облачной защиты, которые поддерживают веб-каналы аналитики Майкрософт.

  • Быстрые и полные проверки, использующие эвристические и сигнатурные обнаружения угроз.

  • Оповещения системы безопасности, создаваемые при обнаружении вредоносных программ. Эти оповещения предоставляют дополнительные сведения и контекст для расследования и отправляются на страницу Defender для облака оповещений и XDR Защитника.

Внимание

Сканирование вредоносных программ без агента доступно только через план 2 Defender для серверов с включенным сканированием без агента.

Обнаружение вредоносных программ без агента

Сканирование вредоносных программ без агента предоставляет следующие преимущества для защищенных и незащищенных компьютеров:

  • Улучшенное покрытие . Если у компьютера нет антивирусного решения, детектор без агента проверяет, что компьютер обнаруживает вредоносные действия.

  • Обнаружение потенциальных угроз . Сканер без агента сканирует все файлы и папки, включая все файлы или папки, исключенные из антивирусной программы на основе агента, не влияя на производительность компьютера.

Дополнительные сведения о сканировании без агента и включении проверки без агента для виртуальных машин.

Внимание

Оповещения системы безопасности отображаются на портале только в тех случаях, когда угрозы обнаружены в вашей среде. Если у вас нет оповещений, это может быть вызвано отсутствием угроз в вашей среде. Вы можете проверить, правильно ли подключена возможность сканирования вредоносных программ без агента и сообщает Defender для облака.

оповещения системы безопасности Defender для облака

При обнаружении вредоносного файла Microsoft Defender для облака создает оповещение системы безопасности Microsoft Defender для облака. Чтобы просмотреть оповещение, перейдите к Microsoft Defender для облака оповещения системы безопасности. Оповещение системы безопасности содержит сведения и контекст файла, тип вредоносных программ и рекомендуемые действия по расследованию и исправлению. Чтобы использовать эти оповещения для исправления, можно:

  1. Просмотрите оповещения системы безопасности в портал Azure, перейдя к оповещениям Microsoft Defender для облака> Security.
  2. Настройте автоматизацию на основе этих оповещений.
  3. Экспорт оповещений системы безопасности в SIEM. Вы можете непрерывно экспортировать оповещения системы безопасности Microsoft Sentinel (SIEM Майкрософт) с помощью соединителя Microsoft Sentinel или другого SIEM.

Дополнительные сведения о реагировании на оповещения системы безопасности.

Обработка возможных ложных срабатываний

Если вы считаете, что файл обнаружен неправильно как вредоносные программы (ложный положительный результат), его можно отправить для анализа на портале отправки образца. Отправленный файл будет проанализирован аналитиками безопасности Defender. Если отчет анализа будет указывать на то, что файл фактически чист, файл больше не будет запускать новые оповещения.

Defender для облака позволяет подавлять ложные положительные оповещения. Не забудьте ограничить правило подавления с помощью имени вредоносных программ или хэша файлов.

Следующий шаг

Узнайте больше о том, как включить проверку без агента для виртуальных машин.