Microsoft Antimalware para Azure Cloud Services y Virtual Machines

Microsoft Antimalware para Azure es una protección gratuita en tiempo real que ayuda a identificar y eliminar virus, spyware y otro software malintencionado. Genera alertas cuando software no deseado o malintencionado intenta instalarse o ejecutarse en los sistemas de Azure.

La solución se basa en la misma plataforma antimalware que Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune y Microsoft Defender for Cloud. Microsoft Antimalware para Azure es una solución de un único agente dirigida a entornos de aplicaciones e inquilinos, concebida para ejecutarse en segundo plano sin intervención humana. La protección puede implementarse en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica predeterminada o personalizada avanzada que incluye la supervisión antimalware.

Al implementar y habilitar Microsoft Antimalware para Azure en sus aplicaciones, están disponibles las siguientes características principales:

  • Protección en tiempo real: supervisa la actividad en Cloud Services y Virtual Machines para detectar y bloquear la ejecución de malware.
  • Análisis programado: realiza un análisis periódico para detectar malware, lo que incluye programas que se ejecutan activamente.
  • Corrección de malware: actúa automáticamente sobre el malware detectado y elimina o pone en cuarentena los archivos malintencionados y limpia las entradas del Registro malintencionadas.
  • Actualizaciones de firmas: instala automáticamente las últimas firmas de protección (definiciones de virus) para garantizar que la protección está actualizada con una frecuencia determinada previamente.
  • Actualizaciones de Antimalware Engine: actualiza automáticamente el motor de Microsoft Antimalware.
  • Actualizaciones de la plataforma Antimalware: actualiza automáticamente la plataforma de Microsoft Antimalware.
  • Protección activa: envía a Microsoft Azure informes de metadatos de telemetría sobre las amenazas detectadas y los recursos sospechosos para garantizar una respuesta rápida a las amenazas en constante evolución, y para permitir la entrega sincrónica de firmas en tiempo real a través de Microsoft Active Protection System (MAPS).
  • Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft Antimalware que ayudan a mejorar el servicio y permiten la solución de problemas.
  • Exclusiones : permite a los administradores de aplicaciones y servicios configurar las exclusiones de archivos, procesos y unidades.
  • Recopilación de eventos antimalware: registra el estado del servicio de antimalware, las actividades sospechosas y las acciones de corrección adoptadas en el registro de eventos del sistema operativo y los recopila en la cuenta de Azure Storage del cliente.

Nota

Microsoft Antimalware también se puede implementar mediante Microsoft Defender for Cloud. Para más información, vea Instalación de Endpoint Protection en Microsoft Defender for Cloud.

Architecture

La solución Microsoft Antimalware para Azure incluye el cliente y el servicio de Microsoft Antimalware, el modelo de implementación clásica de Antimalware, los cmdlets de PowerShell para Antimalware y la extensión Azure Diagnostics. Microsoft Antimalware es compatible con las familias de sistemas operativos Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2. No se admite en el sistema operativo de Windows Server 2008 y tampoco es compatible en Linux.

El cliente y servicio de Microsoft Antimalware se instala de forma predeterminada en un estado deshabilitado en todas las familias de sistemas operativos invitados compatibles con Azure en la plataforma de Cloud Services. El cliente y el servicio de Microsoft Antimalware no se instalan de forma predeterminada en la plataforma de Virtual Machines, sino que está disponible como una característica opcional en Azure Portal y en la configuración de máquinas virtuales de Visual Studio en Extensiones de seguridad.

Si usa Azure App Service en Windows, el servicio subyacente que hospeda la aplicación web tiene Microsoft Antimalware habilitado. Esto se utiliza para proteger la infraestructura de Azure App Service y no se ejecuta en el contenido del cliente.

Nota

El Antivirus de Microsoft Defender es el antimalware integrado habilitado en Windows Server 2016 y versiones posteriores. La extensión de Antimalware para máquinas virtuales de Azure todavía se puede agregar a una máquina virtual de Azure de Windows Server 2016 (y versiones posteriores) con Antivirus de Microsoft Defender. En este escenario, la extensión aplica las directivas de configuración opcionales que va a usar Antivirus de Microsoft Defender. La extensión no implementa ningún otro servicio antimalware. Para obtener más información, consulte la sección Ejemplos de este artículo para obtener más detalles.

Flujo de trabajo de Microsoft Antimalware

El administrador de servicios de Azure puede habilitar Antimalware para Azure con una configuración predeterminada o personalizada para Máquinas virtuales y Cloud Services mediante las siguientes opciones:

  • Virtual Machines: en Azure Portal, en Extensiones de seguridad
  • Máquinas virtuales: mediante la configuración de máquinas virtuales de Visual Studio en el Explorador de servidores
  • Virtual Machines y Cloud Services: con el modelo de implementación clásica de Antimalware
  • Virtual Machines y Cloud Services: mediante los cmdlets de PowerShell para Antimalware

Azure Portal o los cmdlets de PowerShell insertan el archivo del paquete de extensiones de Antimalware en el sistema de Azure en una ubicación fija predeterminada. El agente invitado de Azure (o el agente de tejido) inicia la extensión de Antimalware y aplicar los valores de configuración de Antimalware proporcionados como entrada. Este paso habilita el servicio Antimalware con valores de configuración predeterminados o personalizados. Si no se proporciona ninguna configuración personalizada, el servicio Antimalware se habilita con la configuración predeterminada. Para obtener más información, consulte la sección Ejemplos de este artículo para obtener más detalles.

Una vez en ejecución, el cliente de Microsoft Antimalware descarga de Internet las definiciones más recientes de firmas y del motor de protección y las carga en el sistema de Azure. El servicio Microsoft Antimalware escribe eventos relacionados con el servicio en el registro de eventos del SO del sistema, en el origen de eventos "Microsoft Antimalware". Los eventos incluyen, entre otros, el estado de mantenimiento, protección y corrección del cliente Antimalware, valores de configuración nuevos y antiguos, actualizaciones del motor y definiciones de firmas.

Puede habilitar la supervisión Antimalware para que en el servicio en la nube o la máquina virtual se escriban los eventos del registro de eventos Antimalware a medida que se generan en la cuenta de almacenamiento de Azure. El servicio Antimalware usa la extensión de diagnósticos de Azure para recopilar eventos antimalware del sistema de Azure en tablas de la cuenta de Azure Storage del cliente.

El flujo de trabajo de implementación, que incluye pasos de configuración y opciones admitidas para los escenarios anteriores, se documenta en la sección Escenarios de implementación de Antimalware de este documento.

Microsoft Antimalware in Azure

Nota:

Sin embargo, puede usar las plantillas de Azure Resource Manager o las API o PowerShell para implementar conjuntos de escalado de máquinas virtuales con la extensión antimalware de Microsoft. Para instalar una extensión en una máquina virtual que ya se esté ejecutando, puede usar el script de ejemplo de Python vmssextn.py. Este script obtiene la configuración de extensión existente del conjunto de escalado y agrega una extensión a la lista de extensiones actuales de los conjuntos de escalado de máquinas virtuales.

Configuración predeterminada y personalizada de Antimalware

Si no se proporcionan valores de configuración personalizados, se aplican los valores de configuración predeterminados para habilitar Antimalware para Azure Cloud Services y Virtual Machines. Los valores de configuración predeterminados se han optimizado previamente para ejecutarse en el entorno de Azure. Opcionalmente, puede personalizar estos valores de configuración predeterminados para adaptarlos a la implementación de su aplicación o servicio de Azure y aplicarlos en otros escenarios de implementación.

En la tabla siguiente se resumen las opciones de configuración disponibles para el servicio Antimalware. La configuración predeterminada se marca en la columna etiquetada como "Predeterminada".

Table 1

Escenarios de implementación de Antimalware

Los escenarios para habilitar y configurar Antimalware, incluida la supervisión de Azure Cloud Services y Virtual Machines, se tratan en esta sección.

Virtual Machines: habilitación y configuración de Antimalware

Implementación mientras crea una máquina virtual mediante Azure Portal

Siga estos pasos para habilitar y configurar Microsoft Antimalware en Azure Virtual Machines mediante Azure Portal mientras aprovisiona una máquina virtual:

  1. Inicie sesión en Azure Portal.
  2. Para crear una nueva máquina virtual, vaya a Máquinas virtuales, seleccione Agregar y elija Windows Server.
  3. Seleccione la versión de Windows Server que quiera usar.
  4. Seleccione Crear. Create virtual machine
  5. Proporcione un Nombre, un Nombre de usuario, una Contraseña y cree un nuevo grupo de recursos o elija un grupo de recursos existente.
  6. Seleccione Aceptar.
  7. Seleccione un tamaño de máquina virtual.
  8. En la sección siguiente, realice las elecciones adecuadas para sus necesidades, seleccione la sección Extensiones.
  9. Seleccione Agregar extensión.
  10. En Nuevo recurso, elija Microsoft Antimalware.
  11. Seleccione Crear
  12. En la sección Instalar extensión se puede configurar el archivo, las ubicaciones y las exclusiones del proceso, así como otras opciones de análisis. Elija Aceptar.
  13. Elija Aceptar.
  14. En la sección Configuración, elija Aceptar.
  15. En la pantalla Crear, elija Aceptar.

Consulte esta plantilla de Azure Resource Manager para ver la implementación de la extensión de VM de Antimalware para Windows.

Implementación mediante la configuración de máquinas virtuales de Visual Studio

Para habilitar y configurar el servicio Microsoft Antimalware con Visual Studio:

  1. Conéctese a Microsoft Azure en Visual Studio.

  2. Elija su máquina virtual en el nodo Virtual Machines del Explorador de servidores.

    Virtual Machine configuration in Visual Studio

  3. Haga clic con el botón derecho en configurar para ver la página de configuración de máquinas virtuales.

  4. Seleccione la extensión Microsoft Antimalware en la lista desplegable bajo Extensiones instaladas y haga clic en Agregar para realizar la configuración predeterminada de Antimalware. Installed extensions

  5. Para personalizar la configuración predeterminada de Antimalware, seleccione (resalte) la extensión Antimalware en la lista de extensiones instaladas y haga clic en Configurar.

  6. Reemplace la configuración predeterminada de Antimalware por la configuración personalizada en formato JSON admitido en el cuadro de texto Configuración pública y haga clic en Aceptar.

  7. Haga clic en el botón Actualizar para insertar las actualizaciones de configuración en la máquina virtual.

    Virtual Machine configuration extension

Nota:

La configuración de Virtual Machines de Visual Studio para Antimalware solo admite el formato JSON. Para obtener más información, consulte la sección Ejemplos de este artículo para obtener más detalles.

Implementación mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede habilitar y configurar Microsoft Antimalware para Azure Virtual Machines mediante cmdlets de PowerShell.

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell: consulte la documentación en https://github.com/Azure/azure-powershell.
  2. Use el cmdlet Set-AzureVMMicrosoftAntimalwareExtension para habilitar y configurar Microsoft Antimalware para su máquina virtual.

Nota

La configuración de Azure Virtual Machines para Antimalware solo admite el formato JSON. Para obtener más información, consulte la sección Ejemplos de este artículo para obtener más detalles.

Habilitación y configuración de Antimalware mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede habilitar y configurar Microsoft Antimalware para Azure Cloud Services mediante cmdlets de PowerShell. Microsoft Antimalware se instala con un estado deshabilitado en la plataforma de Cloud Services y requiere la acción de una aplicación de Azure para habilitarlo.

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell: consulte la documentación en https://github.com/Azure/azure-powershell.
  2. Use el cmdlet Set-AzureServiceExtension para habilitar y configurar Microsoft Antimalware para su servicio en la nube.

Para obtener más información, consulte la sección Ejemplos de este artículo para obtener más detalles.

Cloud Services y Virtual Machines: configuración mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede recuperar la configuración de Microsoft Antimalware para Cloud Services y Virtual Machines mediante cmdlets de PowerShell.

Para recuperar la configuración de Microsoft Antimalware mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell: consulte la documentación en https://github.com/Azure/azure-powershell.
  2. Para Virtual Machines: use el cmdlet Get-AzureVMMicrosoftAntimalwareExtension para obtener la configuración de antimalware.
  3. Para Cloud Services: use el cmdlet Get-AzureServiceExtension para obtener la configuración de antimalware.

Ejemplos

Eliminación de la configuración de Antimalware mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede quitar la configuración Antimalware, y cualquier configuración de supervisión de Antimalware asociada, de las extensiones pertinentes del servicio de diagnóstico y del servicio Antimalware de Azure asociadas al servicio en la nube o la máquina virtual.

Para quitar Microsoft Antimalware mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell: consulte la documentación en https://github.com/Azure/azure-powershell.
  2. Para Virtual Machines: use el cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Para Cloud Services: use el cmdlet Remove-AzureServiceExtension.

Para habilitar la recopilación de eventos antimalware de una máquina virtual mediante el Portal de vista previa de Azure:

  1. Haga clic en cualquier parte de la lente Supervisión en la hoja Máquina Virtual.
  2. Haga clic en el comando Diagnóstico en la hoja Métrica.
  3. Seleccione Estado activado y marque la opción para el sistema de eventos de Windows.
  4. . Puede desactivar todas las demás opciones de la lista o dejarlas habilitadas, según las necesidades de su servicio de aplicación.
  5. Las categorías de eventos antimalware "Error", "Advertencia", "Informativo", etc., se capturan en la cuenta de Azure Storage.

Los eventos Antimalware se recopilan de los registros del sistema de eventos de Windows y se colocan en la cuenta de Azure Storage. Puede configurar la cuenta de almacenamiento de la máquina virtual para la recopilación de eventos Antimalware seleccionando la cuenta de almacenamiento adecuada.

Metrics and diagnostics

Habilitación y configuración de Antimalware con cmdlets de PowerShell para máquinas virtuales de Azure Resource Manager

A fin de habilitar y configurar Microsoft Antimalware para máquinas virtuales de Azure Resource Manager mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell con esta documentación de GitHub.
  2. Use el cmdlet Set-AzureRmVMExtension para habilitar y configurar Microsoft Antimalware para su máquina virtual.

Están disponibles los ejemplos de código siguientes:

Habilitación y configuración de Antimalware para soporte extendido del servicio en la nube de Azure (CS-ES) mediante cmdlets de PowerShell

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell: consulte la documentación en https://github.com/Azure/azure-powershell.
  2. Use el cmdlet New-AzCloudServiceExtensionObject para habilitar y configurar Microsoft Antimalware para la máquina virtual del servicio en la nube.

El ejemplo de código siguiente está disponible:

Habilitación y configuración de Antimalware con cmdlets de PowerShell para servidores habilitados para Azure Arc

Para habilitar y configurar Microsoft Antimalware para servidores habilitados para Azure Arc mediante cmdlets de PowerShell:

  1. Configure el entorno de PowerShell con esta documentación de GitHub.
  2. Use el cmdlet New-AzConnectedMachineExtension para habilitar y configurar Microsoft Antimalware para los servidores habilitados para Azure Arc.

Están disponibles los ejemplos de código siguientes:

Pasos siguientes

Consulte los ejemplos de código para habilitar y configurar Microsoft Antimalware para máquinas virtuales de Azure Resource Manager (ARM).