练习 - 配置恶意软件检测
Microsoft Defender for Cloud 监视虚拟机 (VM) 的反恶意软件保护的状态。 Defender for Cloud 指出了一些问题,如检测到威胁和保护不足,这些问题可能会导致 VM 和计算机容易受到恶意软件威胁的影响。 通过参考“Endpoint Protection 问题”上的信息,可以制定计划来解决发现的任何问题。
登录 Azure 门户。
在 Azure 主页上,搜索并选择“Microsoft Defender for Cloud”。 随即显示 Defender for Cloud 的“概述”窗格。
选择“建议”。
将视图筛选到“资源类型: 虚拟机”,然后滚动到“启用 Endpoint Protection”以查看建议。
Defender for Cloud 报告以下终结点保护问题:
应在计算机上安装 Endpoint Protection
- 这些 Azure VM 上未安装受支持的反恶意软件解决方案。
应在计算机上解决 Endpoint Protection 运行状况问题
签名过期。 已在这些 VM 和计算机上安装反恶意软件解决方案,但解决方案没有最新的反恶意软件签名。
无实时保护。 已在这些 VM 和计算机上安装反恶意软件解决方案,但未配置实时保护。 例如,该服务可能已禁用。 Defender for Cloud 还可能无法获取状态,因为它不支持该解决方案。
未报告。 已安装反恶意软件解决方案,但其不报告数据。
未知。 已安装反恶意软件解决方案,但其状态未知或报告未知错误。
对于易受攻击的 VM,Defender for Cloud 将主动解决问题,并将恶意软件防护安装到未受保护的 VM 上。
不过,你也可以自己安装此防护。 我们来看一下相关步骤。
在新 VM 中安装 Antimalware
Microsoft Antimalware 作为扩展提供,你可将其添加到现有 VM,也可在新建虚拟机 (VM) 过程中将其加入。 可以使用 Azure 门户、Azure CLI/PowerShell 或 ARM 模板来添加该扩展。
我们使用 Azure 门户创建新的 VM 并安装扩展。
使用在上一个练习中所用的帐户和订阅登录到 Azure 门户。 我们将重复使用同一资源组,以便可以同时删除这两个 VM。
在 Azure 门户菜单上或在门户主页中,选择“创建资源”。 此时会显示“创建资源”窗格。
搜索并选择“虚拟机”。 “创建虚拟机”窗格随即出现。
在“基本信息”选项卡上,为每个设置输入以下值。
设置 值 项目详细信息 订阅 选择订阅。 资源组 从下拉列表中选择之前创建的资源组 (mslearnDeleteMe)。 实例详细信息 虚拟机名称 输入 VM 名称,如 testvm1。 区域 从下拉列表中选择最靠近自己的位置。 管理员帐户 用户名 选择可以记住的有效用户名。 密码 选择可以记住的有效密码。 
选择“高级”选项卡。可在此处向新的 VM 添加扩展。 选择“选择要安装的扩展”链接。 搜索并选择“Microsoft Antimalware”,然后选择“下一步”。 将显示“配置 Microsoft Antimalware 扩展”窗格。
扩展的选项包括忽略特定文件夹、文件名,并控制扩展何时以及如何扫描磁盘中的恶意软件的能力。 接受所有默认值。
选择“创建”将其添加到 VM。
“高级”选项卡现在显示恶意软件扩展已设置为“安装”。
接下来,选择“管理”选项卡,并为 Microsoft Defender for Cloud 配置监视功能。
- 可在 Azure Monitor 中查看的详细监视信息。
- 启动诊断。
- OS 来宾诊断。
如果选择了其中任一选项,则 VM 需要一个 Azure 存储帐户来用于写入日志数据。
选择“查看 + 创建”,验证设置,然后验证通过时,选择“创建”以部署新的 VM。
部署 VM 需要几分钟才能完成。 可以通过“通知”(钟形图标)视图或选择部署消息来监视部署。 部署时,让我们来看看如何向现有 VM 添加恶意软件防护。
将扩展添加到现有 VM
你也可以在部署现有 VM 后添加反恶意软件扩展。 可以使用命令行工具,因此可以编写脚本。 你还可以使用 REST API 或 Azure 门户。 下面是用于门户的步骤:
选择要在其上安装扩展的 VM。
在左侧菜单窗格的“设置”下,选择“扩展 + 应用程序”。
选择添加。
搜索并选择“Microsoft Antimalware”,然后选择“下一步”。 接受默认值,然后选择“查看 + 创建”。 扩展进行验证后,选择“创建”将扩展添加到 VM。 “正在部署”窗格随即显示。
部署成功后,返回到“扩展 + 应用程序”窗格。 此窗格显示已安装的恶意软件扩展。
