Microsoft Antimalware per Servizi cloud e macchine virtuali di Azure

Microsoft Antimalware per Azure è una funzionalità di protezione in tempo reale gratuita che aiuta a identificare e rimuovere virus, spyware e altro software dannoso e genera avvisi quando un software dannoso o indesiderato tenta l'installazione o l'esecuzione nei sistemi di Azure.

La soluzione è basata sulla stessa piattaforma antimalware di Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender per il cloud. Microsoft Antimalware per Azure è una soluzione con un agente singolo per applicazioni e ambienti tenant, progettata per l'esecuzione in background senza intervento da parte dell'utente. La protezione può essere distribuita in base alle esigenze dei carichi di lavoro dell'applicazione, con configurazione sicura di base per impostazione predefinita o avanzata, incluso il monitoraggio antimalware.

Quando si distribuisce e si abilita Microsoft Antimalware per Azure per le applicazioni, sono disponibili le funzionalità di base seguenti:

• Protezione in tempo reale: monitora l'attività in Servizi cloud e Macchine virtuali per rilevare e bloccare l'esecuzione di malware.
• Analisi pianificata: esegue periodicamente un'analisi per rilevare il malware, inclusi i programmi in esecuzione attiva.
• Correzione del malware: interviene automaticamente sul malware rilevato, ad esempio eliminando o mettendo in quarantena i file dannosi e pulendo le voci dannose del Registro di sistema.
• Aggiornamenti delle firme: installa automaticamente le firme di protezione più recenti (definizioni di virus) per garantire che la protezione sia aggiornata in base a una frequenza predeterminata.
• Aggiornamenti del motore antimalware: aggiorna automaticamente il motore di Microsoft Antimalware.
• Aggiornamenti della piattaforma antimalware: aggiorna automaticamente la piattaforma Microsoft Antimalware.
• Protezione attiva: segnala a Microsoft Azure i metadati di telemetria sulle minacce rilevate e sulle risorse sospette per garantire una risposta rapida al mutevole panorama delle minacce, oltre ad abilitare la distribuzione di firme sincrone in tempo reale tramite Microsoft Active Protection System (MAPS).
• Creazione di report di esempio: raccoglie e segnala al servizio Microsoft Antimalware esempi che consentono di perfezionare il servizio e risolvere i problemi.
• Esclusioni: consente all'applicazione e agli amministratori del servizio di configurare le esclusioni per file, processi e unità.
• Raccolta di eventi antimalware: registra l'integrità del servizio antimalware, le attività sospette e le azioni di correzione eseguite nel registro eventi del sistema operativo e le raccoglie nell'account di archiviazione di Azure del cliente.

Nota

Microsoft Antimalware può essere distribuito anche con Microsoft Defender per il cloud. Per altre informazioni, leggere Installare Endpoint Protection in Microsoft Defender per il cloud.

Architettura

Microsoft Antimalware per Azure è costituito da diversi componenti:

• Il client e il servizio Microsoft Antimalware
• Modello di distribuzione classica antimalware
• Antimalware cmdlet di PowerShell
• Estensione di Diagnostica di Azure

Supporto e distribuzione della piattaforma

Macchine virtuali:

• Non installato per impostazione predefinita
• Disponibile come estensione di sicurezza facoltativa tramite il portale di Azure o la configurazione della macchina virtuale di Visual Studio
• Supportato in Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2
• Non supportato nei sistemi operativi Windows Server 2008 e Linux

Servizi cloud:

• Installato per impostazione predefinita in uno stato disabilitato in tutti i sistemi operativi guest di Azure supportati
• Richiede l'attivazione esplicita per proteggere il servizio cloud

Servizio app di Azure:

• Abilitato nel servizio sottostante che ospita app Web basate su Windows
• Limitato alla protezione solo dell'infrastruttura del servizio app di Azure, non ai contenuti dei clienti
• Non sufficiente per la sicurezza completa delle applicazioni Web (implementare altri controlli di sicurezza, come descritto nelle procedure consigliate per la sicurezza delle applicazioni Web di Azure)

Nota

Antivirus Microsoft Defender è l'antimalware predefinito abilitato in Windows Server 2016 e versioni successive. L'estensione Antimalware della macchina virtuale di Azure può comunque essere aggiunta a una macchina virtuale Windows Server 2016 e versioni successive di Azure con Microsoft Defender Antivirus. In questo scenario, l'estensione applica tutti i criteri di configurazione facoltativi da usare da Microsoft Defender Antivirus. L'estensione non distribuisce altri servizi antimalware. Per altre informazioni su Antivirus Microsoft Defender, vedere Esempi di codice per abilitare e configurare Microsoft Antimalware per Azure.

Flusso di lavoro dell'antimalware Microsoft

L'amministratore del servizio Azure può abilitare Antimalware per Azure con una configurazione predefinita o personalizzata per le macchine virtuali e i servizi cloud usando le opzioni seguenti:

• Macchine virtuali: nel portale di Azure, in Estensioni di sicurezza
• Macchine virtuali: con la configurazione macchina virtuale di Visual Studio in Esplora server
• Macchine virtuali e servizi cloud: con il modello di distribuzione classica Antimalware
• Macchine virtuali e servizi cloud: con i cmdlet di PowerShell per Antimalware

Il portale di Azure o i cmdlet di PowerShell effettuano il push del file del pacchetto di estensione Antimalware nel sistema Azure in un percorso fisso predeterminato. L'agente guest di Azure (o agente dell'infrastruttura) avvia l'estensione Antimalware, applicando le impostazioni di configurazione di Antimalware fornite come input. Questo passaggio abilita il servizio Antimalware con le impostazioni di configurazione predefinite o personalizzate. Se non viene specificata alcuna configurazione personalizzata, il servizio antimalware viene abilitato con le impostazioni di configurazione predefinite. Per altre informazioni sulla configurazione di Antimalware, vedere Esempi di codice per abilitare e configurare Microsoft Antimalware per Azure.

Dopo l'inizializzazione, il client Microsoft Antimalware recupera automaticamente il motore di protezione e le definizioni di firma più recenti da Internet e li applica al sistema di Azure. Il servizio registra tutte le attività nel registro eventi del sistema operativo nella categoria dell'evento "Microsoft Antimalware". Questi log includono informazioni su:

• Stato di salute del client
• Attività di protezione e correzione
• Modifiche alla configurazione
• Aggiornamenti delle definizioni del motore e della firma
• Altri eventi operativi

È possibile abilitare il monitoraggio di Antimalware per il servizio cloud o la macchina virtuale in modo che gli eventi del registro eventi di Antimalware vengano scritti non appena generati nell'account di archiviazione di Azure. Il servizio Antimalware usa l'estensione Diagnostica di Azure per raccogliere gli eventi di Antimalware dal sistema Azure in tabelle nell'account di archiviazione di Azure del cliente.

Il flusso di lavoro di distribuzione, inclusi i passaggi di configurazione e le opzioni supportate per gli scenari precedenti, è documentato nella sezione Scenari di distribuzione di Antimalware di questo documento.

Nota

È tuttavia possibile usare PowerShell/API e i modelli di Azure Resource Manager per distribuire il set di scalabilità di macchine virtuali con l'estensione Microsoft Antimalware. Per installare un'estensione in una macchina virtuale già in esecuzione, è possibile usare lo script Python di esempio vmssextn.py. Questo script ottiene la configurazione dell'estensione esistente nel set di scalabilità e aggiunge un'estensione all'elenco delle estensioni esistenti nei set di scalabilità di macchine virtuali di Azure.

Configurazione di Antimalware predefinita e personalizzata

Le impostazioni di configurazione predefinite vengono applicate per abilitare Antimalware per Servizi cloud o Macchine virtuali di Azure quando non si specificano impostazioni di configurazione personalizzate. Le impostazioni di configurazione predefinite sono preoptimizzate per l'esecuzione nell'ambiente Azure. Facoltativamente è possibile personalizzare queste impostazioni di configurazione predefinite come richiesto per la distribuzione dell'applicazione o del servizio di Azure e applicarle per altri scenari di distribuzione.

La tabella seguente riepiloga le impostazioni di configurazione disponibili per il servizio Antimalware. Le impostazioni di configurazione predefinite sono contrassegnate nella colonna "Predefinita".

Scenari di distribuzione di Antimalware

In questa sezione vengono illustrati gli scenari per abilitare e configurare l'antimalware, incluso il monitoraggio per Servizi cloud e Macchine virtuali di Azure.

Macchine virtuali - Abilitare e configurare Antimalware

Distribuzione durante la creazione di una macchina virtuale tramite il portale di Azure

Per abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con il portale di Azure durante il provisioning di una macchina virtuale, seguire questa procedura:

1. Accedere al portale di Azure.
2. Per creare una nuova macchina virtuale, passare a Macchine virtuali, selezionare Aggiungi, quindi scegliere Windows Server.
3. Selezionare la versione di Windows server da usare.
4. Seleziona Crea.
5. Scegliere un Nome, un Nome utente e una Password per creare un nuovo gruppo di risorse o scegliere un gruppo di risorse esistente.
6. Selezionare OK.
7. Scegliere le dimensioni per la macchina virtuale.
8. Nella sezione successiva, effettuare le scelte appropriate per le proprie esigenze selezionando la sezione Estensioni.
9. Selezionare Aggiungi estensione
10. Sotto Nuova risorsa, scegliere Microsoft Antimalware.
11. Selezionare Crea.
12. Nella sezione Installa estensione è possibile configurare le esclusioni per file, percorsi e processi e altre opzioni di analisi. Scegli OK.
13. Scegli OK.
14. Nella sezione Impostazioni, scegliere Ok.
15. Nella schermata Crea, scegliere Ok.

Vedere questo modello di Azure Resource Manager per la distribuzione dell'estensione macchina virtuale Antimalware per Windows.

Distribuzione mediante la configurazione macchina virtuale di Visual Studio

Per abilitare e configurare il servizio Microsoft Antimalware con Visual Studio:

1. Connettersi a Microsoft Azure in Visual Studio.

2. Scegliere la macchina virtuale nel nodo Macchine virtuali in Esplora Server

   

3. Fare clic con il pulsante destro del mouse su Configura per visualizzare la pagina di configurazione della macchina virtuale

4. Selezionare Estensione Microsoft Antimalware dall'elenco a discesa in Estensioni installate e selezionare Aggiungi per configurare con la configurazione antimalware predefinita.

5. Per personalizzare la configurazione predefinita di Antimalware, selezionare (evidenziare) l'estensione Antimalware nell'elenco delle estensioni installate e selezionare Configura.

6. Sostituire la configurazione antimalware predefinita con la configurazione personalizzata in formato JSON supportato nella casella di testo configurazione pubblica e selezionare OK.

7. Selezionare il pulsante Aggiorna per eseguire il push degli aggiornamenti della configurazione nella macchina virtuale.

   

Nota

La configurazione Macchine virtuali di Visual Studio per Antimalware supporta solo la configurazione nel formato JSON. Per altre informazioni sulle configurazioni di esempio, vedere Esempi di codice per abilitare e configurare Microsoft Antimalware per Azure.

Distribuzione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Macchine virtuali di Azure con i cmdlet di PowerShell.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Usare il cmdlet Set-AzureVMMicrosoftAntimalwareExtension per abilitare e configurare Microsoft Antimalware per la macchina virtuale.

Nota

La configurazione di Macchine virtuali di Azure per Antimalware supporta solo la configurazione nel formato JSON. Per altre informazioni sulle configurazioni di esempio, vedere Esempi di codice per abilitare e configurare Microsoft Antimalware per Azure.

Abilitare e configurare Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può abilitare e configurare Microsoft Antimalware per Servizi cloud di Azure con i cmdlet di PowerShell. Microsoft Antimalware viene installato con lo stato disabilitato nella piattaforma Servizi cloud e, per abilitarlo, è necessaria un'azione da parte di un'applicazione Azure.

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Usare il cmdlet Set-AzureServiceExtension per Antimalware per abilitare e configurare Microsoft Antimalware per il servizio cloud.

Per altre informazioni sui comandi di PowerShell di esempio, vedere Esempi di codice per abilitare e configurare Microsoft Antimalware per Azure.

Servizi cloud e Macchine virtuali - Configurazione mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può recuperare la configurazione di Microsoft Antimalware per Servizi cloud e Macchine virtuali con i cmdlet di PowerShell.

Per recuperare la configurazione di Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Per Macchine virtuali: usare il cmdlet Get-AzureVMMicrosoftAntimalwareExtension per ottenere la configurazione antimalware.
3. Per servizi cloud: usare il cmdlet Get-AzureServiceExtension per ottenere la configurazione antimalware.

Esempi

Rimuovere la configurazione di Antimalware mediante i cmdlet di PowerShell

Un'applicazione o un servizio di Azure può rimuovere completamente la protezione di Microsoft Antimalware disinstallando le estensioni pertinenti dai servizi cloud o dalle macchine virtuali. Questo processo rimuove sia la protezione antimalware che le impostazioni di monitoraggio associate, interrompendo completamente la protezione malware e la raccolta di eventi per le risorse specificate.

Per rimuovere Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Per Macchine virtuali: usare il cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
3. Per Servizi cloud: usare il cmdlet Remove-AzureServiceExtension.

Per abilitare la raccolta di eventi antimalware per una macchina virtuale con il portale di anteprima di Azure:

1. Selezionare una parte qualsiasi della sezione Monitoraggio nella pagina dei dettagli della macchina virtuale.
2. Selezionare il comando Diagnostica nella sezione Metriche.
3. Selezionare Status ON ( Stato ATTIVATO) e selezionare l'opzione per Sistema eventi Windows.
4. È possibile scegliere di deselezionare tutte le altre opzioni dell'elenco o di lasciarle abilitate in base alle esigenze del servizio dell'applicazione.
5. Le categorie di eventi di Antimalware "Errore", "Avviso", "Informativo" e così via vengono acquisite nell'account di archiviazione di Azure.

Gli eventi di Antimalware vengono raccolti dai log eventi del sistema di Windows nell'account di archiviazione di Azure. È possibile configurare l'account di archiviazione per la macchina virtuale per raccogliere gli eventi di Antimalware selezionando l'account di archiviazione appropriato.

Abilitare e configurare Antimalware usando i cmdlet di PowerShell per le macchine virtuali di Azure Resource Manager

Per abilitare e configurare Microsoft Antimalware per le macchine virtuali di Azure Resource Manager usando i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell usando questa documentazione in GitHub.
2. Usare il cmdlet Set-AzVMExtension per abilitare e configurare Microsoft Antimalware per la macchina virtuale.

Sono disponibili gli esempi di codice seguenti:

• Distribuire Microsoft Antimalware sulle macchine virtuali dei modelli ARM
• Aggiungere Microsoft Antimalware ai cluster di Azure Service Fabric

Abilitare e configurare Antimalware per il supporto esteso del servizio cloud di Azure usando i cmdlet di PowerShell

Per abilitare e configurare Microsoft Antimalware con i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell: vedere la documentazione all'indirizzo https://github.com/Azure/azure-powershell
2. Usare il cmdlet New-AzCloudServiceExtensionObject per abilitare e configurare Microsoft Antimalware per la macchina virtuale del servizio cloud.

È disponibile l'esempio di codice seguente:

• Aggiungere Microsoft Antimalware ad Azure Cloud Service tramite il supporto "Extended" (CS-ES)

Abilitare e configurare Antimalware usando i cmdlet di PowerShell per i server abilitati per Azure Arc

Per abilitare e configurare Microsoft Antimalware per i server abilitati per Azure Arc usando i cmdlet di PowerShell:

1. Configurare l'ambiente PowerShell usando questa documentazione in GitHub.
2. Usare il cmdlet New-AzConnectedMachineExtension per abilitare e configurare Microsoft Antimalware per i server abilitati per Arc.

Sono disponibili gli esempi di codice seguenti:

• Aggiungere Microsoft Antimalware per i server abilitati per Azure Arc

Passaggi successivi

• Esempi di codice per abilitare e configurare Microsoft Antimalware per Azure
• Microsoft Defender for Cloud