Microsoft Antimalware para Serviços de Nuvem do Azure e máquinas virtuais

O Microsoft Antimalware para Azure é uma proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. Ele gera alertas quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure.

A solução baseia-se na mesma plataforma antimalware que o Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender para Nuvem. O Antimalware da Microsoft para Azure é uma solução de agente único para aplicativos e ambientes de locatário, projetado para ser executado em segundo plano sem intervenção humana. É possível implantar a proteção com base nas necessidades das cargas de trabalho do aplicativo, com configuração básica padronizada ou personalizada avançada, incluindo monitoramento de antimalware.

Quando você implanta e habilita o Microsoft Antimalware do Azure para seus aplicativos, os seguintes recursos principais ficam disponíveis:

  • Proteção em tempo real - monitora a atividade em Serviços de Nuvem e em máquinas virtuais para detectar e bloquear a execução de malware.
  • Verificação agendada - Faz a verificação periodicamente para detectar malware, incluindo programas ativamente em execução.
  • Remediação de Malware - atua automaticamente sobre o malware detectado, por exemplo, excluindo ou colocando arquivos mal-intencionados em quarentena e limpando entradas de Registro mal-intencionadas.
  • Atualizações de assinatura – instala automaticamente as últimas assinaturas de proteção (definições de vírus) para garantir que a proteção seja atualizada em uma frequência predeterminada.
  • Atualizações do mecanismo antimalware - atualiza automaticamente o mecanismo do Microsoft Antimalware.
  • Atualizações da plataforma antimalware - atualiza automaticamente a plataforma Microsoft Antimalware.
  • Proteção ativa – reporta metadados de telemetria sobre ameaças detectadas e recursos suspeitos ao Microsoft Azure para garantir uma resposta rápida ao panorama de ameaças em constante evolução, além de permitir a entrega de assinatura síncrona em tempo real por meio do MAPS (Microsoft Active Protection System).
  • Relatórios de exemplos - fornece e relata exemplos para o serviço Microsoft Antimalware para ajudar a aprimorar o serviço e a habilitar a solução de problemas.
  • Exclusões – permite que os administradores de serviço e aplicativo configurem exclusões para os arquivos, processos e unidades.
  • Coleção de eventos do antimalware – Registra a integridade do serviço antimalware, as atividades suspeitas e as ações de correção realizadas no log de eventos do sistema operacional e armazena essas informações na conta de armazenamento do Azure do cliente.

Observação

Também é possível implantar o Microsoft Antimalware usando o Microsoft Defender para nuvem. Leia Instalar o Microsoft Endpoint Protection no Microsoft Defender para nuvem para saber mais.

Arquitetura

O Microsoft Antimalware para Azure inclui o Cliente e o Serviço Microsoft Antimalware, o modelo de implantação clássico do Antimalware, cmdlets do PowerShell do Antimalware e a Extensão Diagnóstico do Azure. O Microsoft Antimalware tem suporte no Windows Server 2008 R2, no Windows Server 2012 e nas famílias de sistemas operacionais Windows Server 2012 R2. Ele não tem suporte no sistema operacional Windows Server 2008 e nem no Linux.

O cliente e serviço Microsoft Antimalware é instalado por padrão em estado desabilitado em todas as famílias de sistema operacional convidado do Azure com suporte na plataforma de Serviços de Nuvem. O cliente e serviço Microsoft Antimalware não é instalado por padrão na plataforma Máquinas Virtuais e está disponível como um recurso opcional nas configurações do Portal do Azure e da Máquina Virtual do Visual Studio em Extensões de Segurança.

Ao usar o Serviço de Aplicativo do Azure no Windows, o serviço subjacente que hospeda o aplicativo Web tem o Microsoft Antimalware habilitado nele. Isso é usado para proteger a infraestrutura do Serviço de Aplicativo do Azure e não é executado no conteúdo do cliente.

Observação

O Microsoft Defender Antivírus é o antimalware interno habilitado no Windows Server 2016 e versões posteriores. A extensão Antimalware da VM do Azure ainda pode ser adicionada a um Windows Server 2016 e posterior da VM do Azure com Microsoft Defender Antivírus. Nesse cenário, a extensão aplica quaisquer políticas de configuração opcionais a serem usadas pelo Microsoft Defender Antivírus. A extensão não implanta outro serviço antimalware. Para mais informações, confira a seção Exemplos deste artigo para obter mais detalhes.

Fluxo de trabalho do Microsoft Antimalware

O administrador do serviço Azure pode habilitar Antimalware para o Azure com configuração padrão ou personalizada para suas Máquinas Virtuais e Serviços de Nuvem usando as seguintes opções:

  • Máquinas Virtuais – no portal do Azure, em Extensões de Segurança
  • Máquinas Virtuais – usando a configuração de máquinas virtuais do Visual Studio no Gerenciador de Servidores
  • Máquinas Virtuais e Serviços de Nuvem – usando o modelo de implantação clássico do Antimalware
  • Máquinas Virtuais e Serviços de Nuvem – usando cmdlets Antimalware do PowerShell

O portal do Azure ou os cmdlets do PowerShell enviam por push o arquivo de pacote de extensão de Antimalware no sistema do Azure para determinada localização fixa. O agente convidado do Azure (ou o agente de malha) inicia a extensão do Antimalware, aplicando as configurações de Antimalware fornecidas como entrada. Esta etapa habilita o serviço Antimalware com configurações personalizadas ou padrão. Se nenhuma configuração personalizada for fornecida, o serviço de antimalware estará habilitado com as configurações padrão. Para mais informações, confira a seção Exemplos deste artigo para obter mais detalhes.

Quando em execução, o cliente Microsoft Antimalware baixa as definições mais recentes de mecanismo e assinatura de proteção da Internet e carrega-as no sistema do Azure. O serviço Microsoft Antimalware grava os eventos relacionados ao serviço no log de eventos do sistema operacional do sistema, na origem do evento "Microsoft Antimalware". Eventos incluem o estado de integridade, de proteção e atualização do cliente Antimalware, configurações novas e antigas, atualizações de mecanismos, definições de assinatura e outros.

Você pode habilitar o monitoramento de Antimalware para seu Serviço de Nuvem ou Máquina Virtual para que os eventos de log de eventos de Antimalware sejam gravados conforme vão sendo gerados para sua conta de armazenamento do Azure. O serviço Antimalware usa a extensão do Diagnóstico do Azure para coletar eventos do Antimalware do sistema do Azure e armazená-los em tabelas na conta de armazenamento do Azure do cliente.

O fluxo de trabalho de implantação, incluindo etapas de configuração e opções com suporte para os cenários acima, está documentado na seção Cenários de implantação de antimalware deste documento.

Microsoft Antimalware in Azure

Observação

No entanto, você pode usar o PowerShell/APIs e modelos do Azure Resource Manager para implantar Conjuntos de Escala de Máquina Virtual com a extensão de Antimalware da Microsoft. Para instalar uma extensão em uma Máquina Virtual já em execução, você pode usar o script Python de exemplo vmssextn.py. Esse script obtém a configuração de extensão existente no Conjunto de Escala e adiciona uma extensão à lista de extensões existentes nos Conjuntos de Escala de VM.

Configuração de Antimalware personalizada e padrão

As configurações padrão são aplicadas para habilitar o Antimalware para os Serviços de Nuvem do Azure ou Máquinas Virtuais quando você não fornecer as configurações personalizadas. As configurações padrão foram previamente otimizadas para execução no ambiente do Azure. Opcionalmente, você pode personalizar essas configurações padrão conforme necessário para seu aplicativo ou implantação do serviço do Azure e aplicá-las em outros cenários de implantação.

A tabela a seguir resume as configurações disponíveis para o serviço Antimalware. As definições de configuração padrão estão marcadas na coluna chamada "Padrão".

Table 1

Cenários de implantação de antimalware

Os cenários para habilitar e configurar o antimalware, incluindo monitoramento de Serviços de Nuvem do Azure e Máquinas Virtuais, são discutidos nesta seção.

Máquinas virtuais – habilitar e configurar o antimalware

Implantação durante a criação de uma VM usando o portal do Azure

Siga as etapas abaixo para habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando o portal do Azure ao provisionar uma Máquina Virtual:

  1. Entre no portal do Azure.
  2. Para criar uma nova máquina virtual, navegue até Máquinas virtuais, selecione Adicionare escolha Windows Server.
  3. Selecione a versão do Windows Server que você deseja usar.
  4. Selecione Criar. Create virtual machine
  5. Forneça um Nome, Nome de usuário, Senhae crie um novo grupo de recursos ou escolha um grupo de recursos existente.
  6. Selecione OK.
  7. Escolha um tamanho de VM.
  8. Na próxima seção, faça as escolhas apropriadas para suas necessidades e selecione a seção Extensões.
  9. Selecione Adicionar extensão
  10. Em Novo recurso, escolha Microsoft Antimalware.
  11. Escolha Criar
  12. Na seção instalar extensão, arquivos, locais e exclusões de processo podem ser configurados, bem como outras opções de verificação. Escolha Ok.
  13. Escolha Ok.
  14. Na seção Configurações, escolha Ok.
  15. Na tela Criar, escolha Ok.

Consulte este modelo do Azure Resource Manager para a implantação de extensão de VM antimalware para Windows.

Implantação usando a configuração de máquina virtual do Visual Studio

Para habilitar e configurar o serviço Microsoft Antimalware usando o Visual Studio:

  1. Conecte-se ao Microsoft Azure no Visual Studio.

  2. Escolha sua Máquina Virtual no nó Máquinas Virtuais no Gerenciador de Servidores

    Virtual Machine configuration in Visual Studio

  3. Clique com botão direito do mouse em Configurar para exibir a página de configuração da Máquina Virtual

  4. Selecione a extensão Microsoft Antimalware na lista suspensa em Extensões Instaladas e clique em Adicionar para definir com a configuração de antimalware padrão. Installed extensions

  5. Para personalizar a configuração de Antimalware padrão, selecione (realce) a extensão do Antimalware na lista de extensões instaladas e clique em Configurar.

  6. Substitua a configuração de Antimalware padrão com sua configuração personalizada no formato JSON com suporte na caixa de texto configuração pública e clique em OK.

  7. Clique no botão Atualizar para enviar as atualizações de configuração para a Máquina Virtual.

    Virtual Machine configuration extension

Observação

A configuração de Máquinas Virtuais do Visual Studio para Antimalware dá suporte somente à configuração no formato JSON. Para mais informações, confira a seção Exemplos deste artigo para obter mais detalhes.

Implantação Usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para máquinas virtuais do Azure usando cmdlets do PowerShell.

Para habilitar e configurar o Microsoft Antimalware usando o cmdlets do PowerShell:

  1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
  2. Use o cmdlet Set-AzureVMMicrosoftAntimalwareExtension para habilitar e configurar o Microsoft Antimalware para sua Máquina Virtual.

Observação

A configuração de Máquinas Virtuais do Azure para Antimalware dá suporte somente à configuração no formato JSON. Para mais informações, confira a seção Exemplos deste artigo para obter mais detalhes.

Habilitar e configurar o Antimalware usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para Serviços de Nuvem do Azure usando cmdlets do PowerShell. O Microsoft Antimalware é instalado em um estado desabilitado na plataforma Serviços de Nuvem e requer uma ação de um aplicativo do Azure para habilitá-lo.

Para habilitar e configurar o Microsoft Antimalware usando o cmdlets do PowerShell:

  1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
  2. Use o cmdlet Set-AzureServiceExtension para habilitar e configurar o Microsoft Antimalware para seu Serviço de Nuvem.

Para mais informações, confira a seção Exemplos deste artigo para obter mais detalhes.

Serviços de Nuvem e Máquinas Virtuais – configuração usando cmdlets do PowerShell

Um aplicativo ou serviço Azure pode recuperar a configuração do Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais usando cmdlets do PowerShell.

Para recuperar a configuração do Microsoft Antimalware usando cmdlets do PowerShell:

  1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
  2. Para Máquinas Virtuais: use o cmdlet Get-AzureVMMicrosoftAntimalwareExtension para obter a configuração de antimalware.
  3. Para Serviços de Nuvem: use o cmdlet Get-AzureServiceExtension para obter a configuração de antimalware.

Exemplos

Remover a configuração de Antimalware usando cmdlets do PowerShell

Um aplicativo ou serviço Azure pode remover a configuração de monitoramento de Antimalware e configurações de monitoramento de Antimalware associadas do Azure Antimalware e extensões de serviço de diagnóstico relevantes associados ao Serviço de Nuvem ou à Máquina Virtual.

Para remover o Microsoft Antimalware usando cmdlets do PowerShell:

  1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
  2. Para Máquinas Virtuais: use o cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
  3. Para Serviços de Nuvem: use o cmdlet Remove-AzureServiceExtension.

Para habilitar a coleta de eventos de antimalware para uma máquina virtual usando a Versão Prévia do Portal do Azure:

  1. Clique em qualquer parte da Lente monitoramento na folha de Máquina Virtual
  2. Clique no comando Diagnóstico na folha Métrica
  3. Selecione Status Ativo (ON) e verifique a opção para sistema de eventos do Windows
  4. . Você pode optar por desmarcar todas as outras opções na lista ou deixá-las habilitadas de acordo com as suas necessidades de serviço do aplicativo.
  5. As categorias de eventos do Antimalware "Erro", "Aviso", "Informativo" e outras são capturadas na sua conta de Armazenamento do Azure.

Os eventos de antimalware são coletados dos logs de sistema de eventos do Windows para sua conta de armazenamento do Azure. Você pode configurar a conta de armazenamento para que sua Máquina Virtual colete eventos de antimalware selecionando a conta de armazenamento apropriado.

Metrics and diagnostics

Habilitar e configurar Antimalware usando cmdlets do PowerShell para VMs do Azure Resource Manager

Para habilitar e configurar o Microsoft Antimalware nas VMs do Azure Resource Manager usando cmdlets do PowerShell:

  1. Configure o ambiente do PowerShell usando esta documentação no GitHub.
  2. Use o cmdlet Set-AzureRmVMExtension para habilitar e configurar o Microsoft Antimalware para sua Máquina virtual.

Os exemplos de código a seguir estão disponíveis:

Habilitar e configurar Antimalware para Suporte Estendido de Serviço de Nuvem do Azure (CS-ES) usando cmdlets do PowerShell

Para habilitar e configurar o Microsoft Antimalware usando o cmdlets do PowerShell:

  1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
  2. Use o cmdlet New-AzCloudServiceExtensionObject para habilitar e configurar o Microsoft Antimalware para sua VM de serviço de nuvem.

O seguinte exemplo de código está disponível:

Habilitar e configurar o Antimalware usando cmdlets do PowerShell para servidores habilitados do Azure Arc

Para habilitar e configurar o Microsoft Antimalware para servidores habilitados do Azure Arc usando cmdlets do PowerShell:

  1. Configure o ambiente do PowerShell usando esta documentação no GitHub.
  2. Use o cmdlet New-AzCloudServiceExtensionObject a fim de habilitar e configurar o Microsoft Antimalware para os seus servidores habilitados do Arc.

Os exemplos de código a seguir estão disponíveis:

Próximas etapas

Consulte exemplos de código para habilitar e configurar as máquinas virtuais do Microsoft Antimalware para Azure Resource Manager (ARM).