Share via


Microsoft Antimalware voor Azure Cloud Services en Virtual Machines

Microsoft Antimalware voor Azure is een gratis realtime-beveiliging waarmee virussen, spyware en andere schadelijke software worden geïdentificeerd en verwijderd. Er worden waarschuwingen gegenereerd wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren of uit te voeren op uw Azure-systemen.

De oplossing is gebouwd op hetzelfde antimalwareplatform als Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune en Microsoft Defender voor Cloud. Microsoft Antimalware voor Azure is een oplossing met één agent voor toepassingen en tenantomgevingen die op de achtergrond kunnen worden uitgevoerd zonder menselijke tussenkomst. Beveiliging kan worden geïmplementeerd op basis van de behoeften van toepassingsworkloads, met standaard beveiligde of geavanceerde aangepaste configuratie, waaronder bewaking van antimalware.

Wanneer u Microsoft Antimalware voor Azure implementeert en inschakelt voor uw toepassingen, zijn de volgende kernfuncties beschikbaar:

  • Realtime-beveiliging : bewaakt activiteiten in Cloud Services en op virtuele machines om de uitvoering van malware te detecteren en te blokkeren.
  • Gepland scannen - Scant periodiek om malware te detecteren, waaronder actief uitgevoerde programma's.
  • Malwareherstel : neemt automatisch actie op gedetecteerde malware, zoals het verwijderen of in quarantaine plaatsen van schadelijke bestanden en het opschonen van schadelijke registervermeldingen.
  • Handtekeningupdates: installeert automatisch de nieuwste beveiligingshandtekeningen (virusdefinities) om ervoor te zorgen dat de beveiliging up-to-date is op basis van een vooraf bepaalde frequentie.
  • Updates van antimalware-engine : de Microsoft Antimalware-engine wordt automatisch bijgewerkt.
  • Updates van antimalwareplatform : het Microsoft Antimalware-platform wordt automatisch bijgewerkt.
  • Actieve beveiliging : rapporteert telemetriemetagegevens over gedetecteerde bedreigingen en verdachte resources aan Microsoft Azure om snelle reactie op het veranderende bedreigingslandschap te garanderen en realtime synchrone handtekeninglevering mogelijk te maken via het Microsoft Active Protection System (MAPS).
  • Voorbeeldenrapportage : biedt en rapporteert voorbeelden aan de Microsoft Antimalware-service om de service te verfijnen en probleemoplossing in te schakelen.
  • Uitsluitingen: hiermee kunnen toepassings- en servicebeheerders uitsluitingen configureren voor bestanden, processen en stations.
  • Antimalwaregebeurtenisverzameling : registreert de servicestatus van de antimalware, verdachte activiteiten en herstelacties die worden uitgevoerd in het gebeurtenislogboek van het besturingssysteem en verzamelt deze in het Azure Storage-account van de klant.

Notitie

Microsoft Antimalware kan ook worden geïmplementeerd met behulp van Microsoft Defender voor Cloud. Lees Endpoint Protection installeren in Microsoft Defender voor Cloud voor meer informatie.

Architectuur

Microsoft Antimalware voor Azure bevat de Microsoft Antimalware-client en -service, het klassieke antimalwareimplementatiemodel, De PowerShell-cmdlets van Antimalware en de Azure Diagnostics-extensie. Microsoft Antimalware wordt ondersteund op Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2-besturingssysteemfamilies. Het wordt niet ondersteund op het besturingssysteem Windows Server 2008 en wordt ook niet ondersteund in Linux.

De Microsoft Antimalware-client en -service wordt standaard geïnstalleerd in een uitgeschakelde status in alle ondersteunde Azure-gastbesturingssysteemfamilies in het Cloud Services-platform. De Microsoft Antimalware-client en -service is niet standaard geïnstalleerd in het Virtual Machines-platform en is beschikbaar als een optionele functie via de Azure-portal en de configuratie van de virtuele Visual Studio-machine onder Beveiligingsextensies.

Wanneer u Azure-app Service in Windows gebruikt, is Microsoft Antimalware ingeschakeld voor de onderliggende service die als host fungeert voor de web-app. Dit wordt gebruikt om Azure-app Service-infrastructuur te beveiligen en wordt niet uitgevoerd op klantinhoud.

Notitie

Microsoft Defender Antivirus is de ingebouwde Antimalware ingeschakeld in Windows Server 2016 en hoger. De Azure VM Antimalware-extensie kan nog steeds worden toegevoegd aan een Windows Server 2016 en hoger azure-VM met Microsoft Defender Antivirus. In dit scenario past de extensie eventuele optionele configuratiebeleidsregels toe die moeten worden gebruikt door Microsoft Defender Antivirus. De extensie implementeert geen andere antimalwareservices. Zie de sectie Voorbeelden van dit artikel voor meer informatie.

Microsoft-werkstroom voor antimalware

De Azure-servicebeheerder kan Antimalware inschakelen voor Azure met een standaard- of aangepaste configuratie voor uw virtuele machines en cloudservices met behulp van de volgende opties:

  • Virtuele machines : in Azure Portal, onder Beveiligingsextensies
  • Virtuele machines: de configuratie van virtuele Visual Studio-machines gebruiken in Server Explorer
  • Virtuele machines en cloudservices: het klassieke antimalware-implementatiemodel gebruiken
  • Virtuele machines en cloudservices - PowerShell-cmdlets voor antimalware gebruiken

De Azure-portal- of PowerShell-cmdlets pushen het pakketbestand voor de Antimalware-extensie naar het Azure-systeem op een vooraf vastgestelde vaste locatie. De Azure-gastagent (of de Infrastructuuragent) start de Antimalware-extensie, waarbij de configuratie-instellingen van Antimalware worden toegepast die als invoer zijn opgegeven. Met deze stap schakelt u de Antimalware-service in met standaard- of aangepaste configuratie-instellingen. Als er geen aangepaste configuratie is opgegeven, wordt de antimalwareservice ingeschakeld met de standaardconfiguratie-instellingen. Zie de sectie Voorbeelden van dit artikel voor meer informatie.

Zodra de Microsoft Antimalware-client wordt uitgevoerd, worden de nieuwste beveiligingsengine- en handtekeningdefinities van internet gedownload en geladen op het Azure-systeem. De Microsoft Antimalware-service schrijft servicegerelateerde gebeurtenissen naar het gebeurtenislogboek van het systeembesturingssysteem onder de gebeurtenisbron Microsoft Antimalware. Gebeurtenissen omvatten de status van de Antimalware-clientstatus, beveiliging en herstelstatus, nieuwe en oude configuratie-instellingen, engine-updates en handtekeningdefinities, en andere.

U kunt Antimalware-bewaking inschakelen voor uw cloudservice of virtuele machine om de gebeurtenissen in het antimalwaregebeurtenislogboek te laten schrijven terwijl ze worden geproduceerd in uw Azure-opslagaccount. De Antimalware-service gebruikt de Azure Diagnostics-extensie om antimalwaregebeurtenissen van het Azure-systeem te verzamelen in tabellen in het Azure Storage-account van de klant.

De implementatiewerkstroom, inclusief configuratiestappen en opties die worden ondersteund voor de bovenstaande scenario's, worden beschreven in de sectie Antimalware-implementatiescenario's van dit document.

Microsoft Antimalware in Azure

Notitie

U kunt echter PowerShell/API's en Azure Resource Manager-sjablonen gebruiken om Virtuele-machineschaalsets te implementeren met de Microsoft Antimalware-extensie. Voor het installeren van een extensie op een virtuele machine die al wordt uitgevoerd, kunt u het Python-voorbeeldscript vmssextn.py gebruiken. Met dit script wordt de bestaande extensieconfiguratie op de schaalset ophaalt en wordt een extensie toegevoegd aan de lijst met bestaande extensies op de VM-schaalsets.

Standaard- en aangepaste antimalwareconfiguratie

De standaardconfiguratie-instellingen worden toegepast om Antimalware in te schakelen voor Azure Cloud Services of Virtuele machines wanneer u geen aangepaste configuratie-instellingen opgeeft. De standaardconfiguratie-instellingen zijn vooraf geoptimaliseerd voor uitvoering in de Azure-omgeving. U kunt deze standaardconfiguratie-instellingen desgewenst aanpassen voor de implementatie van uw Azure-toepassing of -service en deze toepassen op andere implementatiescenario's.

De volgende tabel bevat een overzicht van de configuratie-instellingen die beschikbaar zijn voor de Antimalware-service. De standaardconfiguratie-instellingen worden gemarkeerd onder de kolom met het label 'Standaard'.

Tabel 1

Implementatiescenario's voor antimalware

De scenario's voor het inschakelen en configureren van antimalware, waaronder bewaking voor Azure Cloud Services en Virtuele machines, worden in deze sectie besproken.

Virtuele machines : antimalware inschakelen en configureren

Implementatie tijdens het maken van een VIRTUELE machine met behulp van Azure Portal

Volg deze stappen om Microsoft Antimalware in te schakelen en te configureren voor Azure Virtual Machines met behulp van Azure Portal tijdens het inrichten van een virtuele machine:

  1. Meld u aan bij het Azure-portaal.
  2. Als u een nieuwe virtuele machine wilt maken, gaat u naar Virtuele machines, selecteert u Toevoegen en kiest u Windows Server.
  3. Selecteer de versie van windows-server die u wilt gebruiken.
  4. Selecteer Maken. Virtuele machine maken
  5. Geef een naam, gebruikersnaam, wachtwoord op en maak een nieuwe resourcegroep of kies een bestaande resourcegroep.
  6. Selecteer OK.
  7. Kies een VM-grootte.
  8. Maak in de volgende sectie de juiste keuzes voor uw behoeften, selecteer de sectie Extensies .
  9. Extensie toevoegen selecteren
  10. Kies onder Nieuwe resource Microsoft Antimalware.
  11. Selecteer Maken.
  12. In het sectiebestand Installatieextensie kunnen locaties en procesuitsluitingen worden geconfigureerd, evenals andere scanopties. Kies OK.
  13. Kies OK.
  14. Ga terug naar de sectie Instellingen en kies OK.
  15. Kies OK in het scherm Maken.

Zie deze Azure Resource Manager-sjabloon voor de implementatie van de VM-extensie Antimalware voor Windows.

Implementatie met behulp van de configuratie van de virtuele Visual Studio-machine

De Microsoft Antimalware-service inschakelen en configureren met Visual Studio:

  1. Maak verbinding met Microsoft Azure in Visual Studio.

  2. Uw virtuele machine kiezen in het knooppunt Virtuele machines in Server Explorer

    Configuratie van virtuele machines in Visual Studio

  3. Klik met de rechtermuisknop op Configureren om de configuratiepagina van de virtuele machine weer te geven

  4. Selecteer microsoft Antimalware-extensie in de vervolgkeuzelijst onder Geïnstalleerde extensies en klik op Toevoegen om te configureren met standaard antimalwareconfiguratie. Geïnstalleerde extensies

  5. Als u de standaardconfiguratie van Antimalware wilt aanpassen, selecteert (markeert u) de Antimalware-extensie in de lijst met geïnstalleerde extensies en klikt u op Configureren.

  6. Vervang de standaard antimalwareconfiguratie door uw aangepaste configuratie in de ondersteunde JSON-indeling in het tekstvak openbare configuratie en klik op OK.

  7. Klik op de knop Bijwerken om de configuratie-updates naar uw virtuele machine te pushen.

    Configuratie-extensie voor virtuele machines

Notitie

De configuratie van Visual Studio Virtual Machines voor Antimalware ondersteunt alleen de configuratie van JSON-indelingen. Zie de sectie Voorbeelden van dit artikel voor meer informatie.

Implementatie met Behulp van PowerShell-cmdlets

Een Azure-toepassing of -service kan Microsoft Antimalware inschakelen en configureren voor Azure Virtual Machines met behulp van PowerShell-cmdlets.

Microsoft Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen - Raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Gebruik de cmdlet Set-AzureVMMicrosoftAntimalwareExtension om Microsoft Antimalware in te schakelen en te configureren voor uw virtuele machine.

Notitie

De configuratie van Azure Virtual Machines voor Antimalware ondersteunt alleen de configuratie van JSON-indelingen. Zie de sectie Voorbeelden van dit artikel voor meer informatie.

Antimalware inschakelen en configureren met PowerShell-cmdlets

Een Azure-toepassing of -service kan Microsoft Antimalware inschakelen en configureren voor Azure Cloud Services met behulp van PowerShell-cmdlets. Microsoft Antimalware is geïnstalleerd in een uitgeschakelde status in het Cloud Services-platform en vereist een actie van een Azure-toepassing om deze in te schakelen.

Microsoft Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen - Raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Gebruik de cmdlet Set-AzureServiceExtension om Microsoft Antimalware in te schakelen en te configureren voor uw cloudservice.

Zie de sectie Voorbeelden van dit artikel voor meer informatie.

Cloud Services en virtuele machines - Configuratie met behulp van PowerShell-cmdlets

Een Azure-toepassing of -service kan de Configuratie van Microsoft Antimalware voor Cloud Services en virtuele machines ophalen met behulp van PowerShell-cmdlets.

De Configuratie van Microsoft Antimalware ophalen met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen - Raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Voor virtuele machines: gebruik de cmdlet Get-AzureVMMicrosoftAntimalwareExtension om de antimalwareconfiguratie op te halen.
  3. Voor Cloud Services: gebruik de cmdlet Get-AzureServiceExtension om de Antimalware-configuratie op te halen.

Voorbeelden

Antimalwareconfiguratie verwijderen met Behulp van PowerShell-cmdlets

Een Azure-toepassing of -service kan de antimalwareconfiguratie en eventuele bijbehorende antimalwarebewakingsconfiguratie verwijderen uit de relevante Azure Antimalware- en diagnostische service-extensies die zijn gekoppeld aan de cloudservice of virtuele machine.

Microsoft Antimalware verwijderen met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen - Raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Voor virtuele machines: gebruik de cmdlet Remove-AzureVMMicrosoftAntimalwareExtension .
  3. Voor Cloud Services: gebruik de cmdlet Remove-AzureServiceExtension .

Als u een antimalwaregebeurtenisverzameling wilt inschakelen voor een virtuele machine met behulp van de Azure Preview-portal:

  1. Klik op een deel van de bewakingslens op de blade Virtuele machine
  2. Klik op de opdracht Diagnostische gegevens op de blade Metrische gegevens
  3. Selecteer Status ON en schakel de optie voor het Windows-gebeurtenissysteem in
  4. . U kunt ervoor kiezen om alle andere opties in de lijst uit te schakelen of deze ingeschakeld te laten volgens de behoeften van uw toepassingsservice.
  5. De antimalwaregebeurteniscategorieën 'Fout', 'Waarschuwing', 'Informatief', enzovoort, worden vastgelegd in uw Azure Storage-account.

Antimalwaregebeurtenissen worden verzameld uit de Windows-gebeurtenissysteemlogboeken naar uw Azure Storage-account. U kunt het opslagaccount voor uw virtuele machine configureren om antimalwaregebeurtenissen te verzamelen door het juiste opslagaccount te selecteren.

Metrische en diagnostische gegevens

Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets voor Azure Resource Manager-VM's

Microsoft Antimalware inschakelen en configureren voor Azure Resource Manager-VM's met behulp van PowerShell-cmdlets:

  1. Stel uw PowerShell-omgeving in met behulp van deze documentatie op GitHub.
  2. Gebruik de cmdlet Set-AzureRmVMExtension om Microsoft Antimalware in te schakelen en te configureren voor uw VIRTUELE machine.

De volgende codevoorbeelden zijn beschikbaar:

Antimalware inschakelen en configureren voor Uitgebreide ondersteuning van Azure Cloud Service (CS-ES) met behulp van PowerShell-cmdlets

Microsoft Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets:

  1. Uw PowerShell-omgeving instellen - Raadpleeg de documentatie op https://github.com/Azure/azure-powershell
  2. Gebruik de cmdlet New-AzCloudServiceExtensionObject om Microsoft Antimalware in te schakelen en te configureren voor uw cloudservice-VM.

Het volgende codevoorbeeld is beschikbaar:

Antimalware inschakelen en configureren met behulp van PowerShell-cmdlets voor servers met Azure Arc

Microsoft Antimalware inschakelen en configureren voor servers met Azure Arc met behulp van PowerShell-cmdlets:

  1. Stel uw PowerShell-omgeving in met behulp van deze documentatie op GitHub.
  2. Gebruik de cmdlet New-AzConnectedMachineExtension om Microsoft Antimalware in te schakelen en te configureren voor uw servers met Arc.

De volgende codevoorbeelden zijn beschikbaar:

Volgende stappen

Zie codevoorbeelden voor het inschakelen en configureren van Microsoft Antimalware voor virtuele Machines van Azure Resource Manager (ARM).