Ochrona serwerów za pomocą skanowania złośliwego oprogramowania bez agenta

  • Artykuł

Microsoft Defender dla Chmury Defender for Servers plan 2 obsługuje możliwość skanowania złośliwego oprogramowania bez agenta, która skanuje i wykrywa złośliwe oprogramowanie i wirusy. Skaner jest dostępny dla maszyn wirtualnych platformy Azure, wystąpień usługi AWS EC2 i wystąpień maszyn wirtualnych GCP.

Skanowanie złośliwego oprogramowania bez agenta zapewnia:

  • Aktualne i kompleksowe możliwości wykrywania złośliwego oprogramowania, które korzystają z aparatu Program antywirusowy Microsoft Defender i źródła sygnatur ochrony w chmurze obsługiwanego przez źródła danych analizy firmy Microsoft.

  • Szybkie i pełne skanowanie korzystające z wykrywania zagrożeń heurystycznych i opartych na podpisach.

  • Alerty zabezpieczeń generowane po wykryciu złośliwego oprogramowania. Te alerty zawierają dodatkowe szczegóły i kontekst dla badań oraz są wysyłane zarówno do strony alertów Defender dla Chmury, jak i usługi Defender XDR.

Ważne

Skanowanie złośliwego oprogramowania bez agenta jest dostępne tylko za pośrednictwem planu 2 usługi Defender for Servers z włączonym skanowaniem bez agenta.

Wykrywanie złośliwego oprogramowania bez agenta

Skanowanie złośliwego oprogramowania bez agenta oferuje następujące korzyści zarówno dla chronionych, jak i niechronionych maszyn:

  • Ulepszone pokrycie — jeśli maszyna nie ma włączonego rozwiązania antywirusowego, wykrywacz bez agenta skanuje tę maszynę w celu wykrywania złośliwych działań.

  • Wykrywanie potencjalnych zagrożeń — skaner bez agenta skanuje wszystkie pliki i foldery, w tym pliki lub foldery wykluczone ze skanowania antywirusowego opartego na agencie bez wpływu na wydajność maszyny.

Możesz dowiedzieć się więcej o skanowaniu maszyn bez agenta i sposobach włączania skanowania bez agenta dla maszyn wirtualnych.

Ważne

Alerty zabezpieczeń są wyświetlane w portalu tylko w przypadkach, gdy zagrożenia są wykrywane w danym środowisku. Jeśli nie masz żadnych alertów, może to być spowodowane brakami zagrożeń w danym środowisku. Możesz sprawdzić, czy funkcja skanowania złośliwego oprogramowania bez agenta została prawidłowo dołączona i zgłasza Defender dla Chmury.

alerty zabezpieczeń Defender dla Chmury

Po wykryciu złośliwego pliku Microsoft Defender dla Chmury generuje alert zabezpieczeń Microsoft Defender dla Chmury. Aby wyświetlić alert, przejdź do Microsoft Defender dla Chmury alertów zabezpieczeń. Alert zabezpieczeń zawiera szczegóły i kontekst pliku, typ złośliwego oprogramowania oraz zalecane kroki badania i korygowania. Aby użyć tych alertów do korygowania, możesz:

  1. Wyświetl alerty zabezpieczeń w witrynie Azure Portal, przechodząc do strony Microsoft Defender dla Chmury> Alerty zabezpieczeń.
  2. Skonfiguruj automatyzacje na podstawie tych alertów.
  3. Eksportowanie alertów zabezpieczeń do rozwiązania SIEM. Możesz stale eksportować alerty zabezpieczeń usługi Microsoft Sentinel (SIEM firmy Microsoft) przy użyciu łącznika usługi Microsoft Sentinel lub innego wybranego rozwiązania SIEM.

Dowiedz się więcej na temat reagowania na alerty zabezpieczeń.

Obsługa możliwych wyników fałszywie dodatnich

Jeśli uważasz, że plik jest niepoprawnie wykrywany jako złośliwe oprogramowanie (fałszywie dodatnie), możesz przesłać go do analizy za pośrednictwem portalu do przesyłania próbek. Przesłany plik zostanie przeanalizowany przez analityków zabezpieczeń usługi Defender. Jeśli raport analizy wskaże, że plik jest w rzeczywistości czysty, plik nie będzie już wyzwalał nowych alertów od teraz.

Defender dla Chmury pozwala pominąć fałszywie dodatnie alerty. Pamiętaj, aby ograniczyć regułę pomijania przy użyciu nazwy złośliwego oprogramowania lub skrótu pliku.

Następny krok

Dowiedz się więcej na temat włączania skanowania bez agenta dla maszyn wirtualnych.