Microsoft Antimalware per Servizi cloud di Azure e macchine virtuali

Microsoft Antimalware per Azure è una funzionalità di protezione in tempo reale gratuita che aiuta a identificare e rimuovere virus, spyware e altro software dannoso e genera avvisi quando un software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.

La soluzione è basata sulla stessa piattaforma antimalware di Microsoft Security Essentials (M edizione Standard), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender per il cloud. Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente. È possibile distribuire la protezione in base alle esigenze dei carichi di lavoro dell'applicazione, con una configurazione sicura per impostazione predefinita o avanzata personalizzata, incluso il monitoraggio antimalware.

Quando si distribuisce e si abilita Microsoft Antimalware per Azure per le applicazioni, sono disponibili le funzionalità di base seguenti:

• Protezione in tempo reale: monitora l'attività in Servizi cloud e Macchine virtuali per rilevare e bloccare l'esecuzione di malware.
• Analisi pianificata: esegue periodicamente un'analisi per rilevare il malware, inclusi i programmi in esecuzione attiva.
• Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.
• Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.
• Aggiornamenti del motore antimalware: aggiorna automaticamente il motore di Microsoft Antimalware.
• Aggiornamenti della piattaforma Antimalware: aggiorna automaticamente la piattaforma Microsoft Antimalware.
• Protezione attiva: segnala i metadati di telemetria sulle minacce rilevate e sulle risorse sospette in Microsoft Azure per garantire una risposta rapida al panorama delle minacce in evoluzione e consente il recapito delle firme sincrone in tempo reale tramite Microsoft Active Protection System (M piattaforma di strumenti analitici).
• Creazione di report di esempio: raccoglie e segnala al servizio Microsoft Antimalware esempi che consentono di perfezionare il servizio e risolvere i problemi.
• Esclusioni : consente agli amministratori di applicazioni e servizi di configurare le esclusioni per file, processi e unità.
• Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account Archiviazione di Azure del cliente.

Nota

È anche possibile distribuire Microsoft Antimalware usando Microsoft Defender per il cloud. Per altre informazioni, vedere Installare Endpoint Protection in Microsoft Defender per il cloud.

Architettura

Microsoft Antimalware per Azure include Microsoft Antimalware Client and Service, il modello di distribuzione classico antimalware, i cmdlet di PowerShell per Antimalware e l'estensione Diagnostica di Azure. Microsoft Antimalware è supportata nelle famiglie dei sistemi operativi Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. Non è supportata nel sistema operativo Windows Server 2008 e non è supportata anche in Linux.

Microsoft Antimalware Client and Service viene installato per impostazione predefinita con lo stato disabilitato in tutte le famiglie di sistemi operativi guest Azure supportati nella piattaforma Servizi cloud. Il client e il servizio Microsoft Antimalware non sono installati per impostazione predefinita nella piattaforma Macchine virtuali ed è disponibile come funzionalità facoltativa tramite la configurazione delle macchine virtuali di portale di Azure e Visual Studio in Estensioni di sicurezza.

Quando si usa Servizio app di Azure su Windows, per il servizio sottostante che ospita l'app Web è abilitato Microsoft Antimalware. Viene usato per proteggere l'infrastruttura di Servizio app di Azure ma non viene eseguito sui contenuti dei clienti.

Nota

Antivirus Microsoft Defender è l'antimalware predefinito abilitato in Windows Server 2016 e versioni successive. L'estensione Antimalware della macchina virtuale di Azure può comunque essere aggiunta a una macchina virtuale Windows Server 2016 e versioni successive di Azure con Antivirus Microsoft Defender. In questo scenario, l'estensione applica eventuali criteri di configurazione facoltativi da usare da Antivirus Microsoft Defender L'estensione non distribuisce altri servizi antimalware. Per altre informazioni, vedere la sezione Esempi di questo articolo per altri dettagli.

Flusso di lavoro dell'antimalware Microsoft

L'amministratore del servizio Azure può abilitare Antimalware per Azure con una configurazione predefinita o personalizzata per le macchine virtuali e i servizi cloud usando le opzioni seguenti:

• Macchine virtuali - Nella portale di Azure, in Estensioni di sicurezza
• Macchine virtuali - Uso della configurazione delle macchine virtuali di Visual Studio in Esplora server
• Macchine virtuali e Servizi cloud - Uso del modello di distribuzione classica antimalware
• Macchine virtuali e Servizi cloud - Uso dei cmdlet di PowerShell antimalware

I cmdlet di portale di Azure o PowerShell esezionano il file del pacchetto dell'estensione Antimalware nel sistema di Azure in una posizione fissa predeterminata. L'agente guest di Azure (o agente dell'infrastruttura) avvia l'estensione Antimalware, applicando le impostazioni di configurazione di Antimalware fornite come input. Questo passaggio abilita il servizio Antimalware con le impostazioni di configurazione predefinite o personalizzate. Se non viene specificata alcuna configurazione personalizzata, il servizio antimalware viene abilitato con le impostazioni di configurazione predefinite. Per altre informazioni, vedere la sezione Esempi di questo articolo per altri dettagli.

Una volta in esecuzione, il client Microsoft Antimalware scarica le definizioni delle firme e il motore di protezione più recenti da Internet e li carica nel sistema Azure. Il servizio Microsoft Antimalware scrive gli eventi correlati al servizio nel registro eventi del sistema operativo sotto l'origine evento "Microsoft Antimalware". Gli eventi includono lo stato di integrità del client Antimalware, lo stato di protezione e correzione, le impostazioni di configurazione vecchie e nuove, gli aggiornamenti del motore, le definizioni delle firme e altro ancora.

È possibile abilitare il monitoraggio antimalware per il servizio cloud o la macchina virtuale affinché gli eventi del registro eventi Antimalware vengano scritti durante la produzione nell'account di archiviazione di Azure. Il servizio Antimalware usa l'estensione Diagnostica di Azure per raccogliere eventi Antimalware dal sistema di Azure in tabelle nell'account Archiviazione di Azure del cliente.

Il flusso di lavoro di distribuzione, inclusi i passaggi di configurazione e le opzioni supportate per gli scenari precedenti, è documentato nella sezione Scenari di distribuzione di Antimalware di questo documento.

Nota

È tuttavia possibile usare PowerShell/API e modelli di Azure Resource Manager per distribuire set di scalabilità di macchine virtuali con l'estensione Microsoft Anti-Malware. Per installare un'estensione in una macchina virtuale già in esecuzione, è possibile usare lo script Python di esempio vmssextn.py. Questo script recupera la configurazione dell'estensione esistente nel set di scalabilità e aggiunge un'estensione all'elenco di estensioni esistenti nel set di scalabilità di macchine virtuali.

Configurazione di Antimalware predefinita e personalizzata

Le impostazioni di configurazione predefinite vengono applicate per abilitare Antimalware per Azure Servizi cloud o Macchine virtuali quando non si forniscono impostazioni di configurazione personalizzate. Le impostazioni di configurazione predefinite sono state preottimizzate per l'esecuzione nell'ambiente Azure. Facoltativamente è possibile personalizzare queste impostazioni di configurazione predefinite come richiesto per la distribuzione dell'applicazione o del servizio di Azure e applicarle per altri scenari di distribuzione.

La tabella seguente riepiloga le impostazioni di configurazione disponibili per il servizio Antimalware. Le impostazioni di configurazione predefinite sono contrassegnate sotto la colonna con etichetta "Default".

Scenari di distribuzione di Antimalware

In questa sezione vengono illustrati gli scenari per abilitare e configurare l'antimalware, incluso il monitoraggio per Servizi cloud e Macchine virtuali di Azure.

Macchine virtuali - Abilitare e configurare Antimalware

Distribuzione durante la creazione di una macchina virtuale tramite il portale di Azure

Seguire questa procedura per abilitare e configurare Microsoft Antimalware per Azure Macchine virtuali usando il portale di Azure durante il provisioning di una macchina virtuale:

1. Accedi al portale di Azure.
2. Per creare una nuova macchina virtuale, passare a Macchine virtuali, selezionare Aggiungi, quindi scegliere Windows Server.
3. Selezionare la versione di Windows server da usare.
4. Seleziona Crea.
5. Scegliere un Nome, un Nome utente e una Password per creare un nuovo gruppo di risorse o scegliere un gruppo di risorse esistente.
6. Selezionare OK.
7. Scegliere le dimensioni per la macchina virtuale.
8. Nella sezione successiva, effettuare le scelte appropriate per le proprie esigenze selezionando la sezione Estensioni.
9. Selezionare Aggiungi estensione
10. Sotto Nuova risorsa, scegliere Microsoft Antimalware.
11. Selezionare Crea.
12. Nella sezione Installa estensione è possibile configurare le esclusioni per file, percorsi e processi e altre opzioni di analisi. Scegliere OK.
13. Scegliere OK.
14. Nella sezione Impostazioni, scegliere Ok.
15. Nella schermata Crea, scegliere Ok.

Vedere questo modello di Azure Resource Manager per la distribuzione dell'estensione vm Antimalware per Windows.

Distribuzione mediante la configurazione macchina virtuale di Visual Studio

Per abilitare e configurare il servizio Microsoft Antimalware con Visual Studio:

1. Connettersi a Microsoft Azure in Visual Studio.

2. Scegliere la macchina virtuale nel nodo Macchine virtuali in Esplora Server

   

3. Fare clic con il pulsante destro del mouse su Configura per visualizzare la pagina di configurazione della macchina virtuale

4. Selezionare l'estensione Microsoft Antimalware dall'elenco a discesa sotto Estensioni installate e fare clic su Aggiungi per impostare la configurazione antimalware predefinita.

5. Per personalizzare la configurazione di Antimalware predefinita, selezionare (evidenziare) l'estensione Antimalware nell'elenco Estensioni installate e fare clic su Configura.

6. Sostituire la configurazione di Antimalware predefinita con la configurazione personalizzata nel formato JSON supportato nella casella di testo Configurazione pubblica e fare clic su OK.

7. Fare clic sul pulsante Aggiorna per effettuare il push degli aggiornamenti della configurazione nella macchina virtuale.

   

Nota

La configurazione Macchine virtuali di Visual Studio per Antimalware supporta solo la configurazione nel formato JSON. Per altre informazioni, vedere la sezione Esempi di questo articolo per altri dettagli.

Distribuzione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con i cmdlet di PowerShell.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Usare il cmdlet Set-AzureVMMicrosoftAntimalwareExtension per abilitare e configurare Microsoft Antimalware per la macchina virtuale.

Nota

La configurazione di Macchine virtuali di Azure per Antimalware supporta solo la configurazione nel formato JSON. Per altre informazioni, vedere la sezione Esempi di questo articolo per altri dettagli.

Abilitare e configurare Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Servizi cloud di Azure con i cmdlet di PowerShell. Microsoft Antimalware viene installato in uno stato disabilitato nella piattaforma Servizi cloud e richiede un'azione da parte di un'applicazione Azure per abilitarla.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Usare il cmdlet Set-AzureServiceExtension per abilitare e configurare Microsoft Antimalware per il servizio cloud.

Per altre informazioni, vedere la sezione Esempi di questo articolo per altri dettagli.

Servizi cloud e Macchine virtuali - Configurazione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può recuperare la configurazione di Microsoft Antimalware per Servizi cloud e Macchine virtuali con i cmdlet di PowerShell.

Per recuperare la configurazione di Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Per Macchine virtuali: usare il cmdlet Get-AzureVMMicrosoftAntimalwareExtension per ottenere la configurazione antimalware.
3. Per Servizi cloud: usare il cmdlet Get-AzureServiceExtension per ottenere la configurazione antimalware.

Esempi

Rimuovere la configurazione di Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può rimuovere la configurazione di Antimalware e l'eventuale configurazione di monitoraggio di Antimalware associata dalle estensioni pertinenti del servizio di diagnostica e Antimalware di Azure associate al servizio cloud o alla macchina virtuale.

Per rimuovere Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Per Macchine virtuali: usare il cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
3. Per Servizi cloud: usare il cmdlet Remove-AzureServiceExtension.

Per abilitare la raccolta di eventi antimalware per una macchina virtuale con il portale di anteprima di Azure:

1. Fare clic in un punto qualsiasi della sezione Monitoraggio nel pannello Macchina virtuale.
2. Fare clic sul comando Diagnostica nel pannello Metrica.
3. In Stato fare clic sul pulsante di attivazione e selezionare l'opzione per il log degli eventi di sistema di Windows
4. . È possibile scegliere di deselezionare tutte le altre opzioni dell'elenco o di lasciarle abilitate in base alle esigenze del servizio dell'applicazione.
5. Le categorie di eventi Antimalware "Error", "Warning", "Informational" e così via, vengono acquisite nell'account Archiviazione di Azure.

Gli eventi di Antimalware vengono raccolti dai log eventi del sistema di Windows nell'account di archiviazione di Azure. È possibile configurare l'account di archiviazione per la macchina virtuale per raccogliere gli eventi di Antimalware selezionando l'account di archiviazione appropriato.

Abilitare e configurare Antimalware usando i cmdlet di PowerShell per le macchine virtuali di Azure Resource Manager

Per abilitare e configurare Microsoft Antimalware per le macchine virtuali di Azure Resource Manager usando i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell usando questa documentazione in GitHub.
2. Usare il cmdlet Set-AzureRmVMExtension per abilitare e configurare Microsoft Antimalware per la macchina virtuale.

Sono disponibili gli esempi di codice seguenti:

• Distribuire Microsoft Antimalware nelle macchine virtuali ARM
• Aggiungere Microsoft Antimalware ai cluster di Azure Service Fabric

Abilitare e configurare Antimalware per il supporto esteso del servizio cloud di Azure usando i cmdlet di PowerShell

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Usare il cmdlet New-AzCloudServiceExtensionObject per abilitare e configurare Microsoft Antimalware per la macchina virtuale del servizio cloud.

È disponibile l'esempio di codice seguente:

• Aggiungere Microsoft Antimalware al servizio cloud di Azure usando il supporto esteso (CS-ES)

Abilitare e configurare Antimalware usando i cmdlet di PowerShell per i server abilitati per Azure Arc

Per abilitare e configurare Microsoft Antimalware per i server abilitati per Azure Arc usando i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell usando questa documentazione in GitHub.
2. Usare il cmdlet New-Az Connessione edMachineExtension per abilitare e configurare Microsoft Antimalware per i server abilitati per Arc.

Sono disponibili gli esempi di codice seguenti:

• Aggiungere Microsoft Antimalware per i server abilitati per Azure Arc

Passaggi successivi

Vedere esempi di codice per abilitare e configurare Microsoft Antimalware per macchine virtuali di Azure Resource Manager (ARM).