Microsoft Antimalware para Serviços de Nuvem do Azure e Máquinas Virtuais (VMs)

O Microsoft Antimalware para Azure é uma proteção gratuita em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. Ele gera alertas quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure.

A solução foi desenvolvida na mesma plataforma antimalware do Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender for Cloud. O Microsoft Antimalware para Azure é uma solução de agente único para aplicativos e ambientes de locatário, projetada para ser executada em segundo plano sem intervenção humana. A proteção pode ser implantada com base nas necessidades das cargas de trabalho dos aplicativos, com configuração básica segura por padrão ou personalizada avançada, incluindo monitoramento antimalware.

Quando você implanta e habilita o Microsoft Antimalware para Azure para seus aplicativos, os seguintes recursos principais estão disponíveis:

• Proteção em tempo real - monitoriza a atividade nos Serviços na Nuvem e em Máquinas Virtuais para detetar e bloquear a execução de malware.
• Verificação programada - Verifica periodicamente para detetar malware, incluindo programas em execução ativa.
• Remediação de malware - executa automaticamente ações sobre malware detetado, como excluir ou colocar em quarentena arquivos maliciosos e limpar entradas de registro maliciosas.
• Atualizações de assinatura - instala automaticamente as assinaturas de proteção mais recentes (definições de vírus) para garantir que a proteção esteja atualizada em uma frequência predeterminada.
• Atualizações do mecanismo antimalware - atualiza automaticamente o mecanismo antimalware da Microsoft.
• Atualizações da plataforma antimalware - atualiza automaticamente a plataforma antimalware da Microsoft.
• Proteção ativa - reporta metadados de telemetria sobre ameaças detetadas e recursos suspeitos ao Microsoft Azure para garantir uma resposta rápida à evolução do cenário de ameaças e permite a entrega de assinaturas síncronas em tempo real através do Microsoft Ative Protection System (MAPS).
• Relatórios de amostras - fornece e relata amostras para o serviço Microsoft Antimalware para ajudar a refinar o serviço e habilitar a solução de problemas.
• Exclusões - permite que os administradores de aplicativos e serviços configurem exclusões para arquivos, processos e unidades.
• Coleta de eventos antimalware - registra a integridade do serviço antimalware, atividades suspeitas e ações de correção tomadas no log de eventos do sistema operacional e as coleta na conta de Armazenamento do Azure do cliente.

Nota

O Microsoft Antimalware também pode ser implantado usando o Microsoft Defender for Cloud. Leia Instalar o Endpoint Protection no Microsoft Defender for Cloud para obter mais informações.

Arquitetura

O Microsoft Antimalware para Azure consiste em vários componentes:

• O Cliente e Serviço Antimalware da Microsoft
• Modelo de implantação clássico do antimalware
• Cmdlets do Antimalware para PowerShell
• Extensão do Diagnóstico do Azure

Suporte e implantação de plataformas

Máquinas Virtuais:

• Não instalado por padrão
• Disponível como uma extensão de segurança opcional através do portal do Azure ou da configuração da Máquina Virtual do Visual Studio
• Compatível com Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2
• Não suportado nos sistemas operacionais Windows Server 2008 e Linux

Serviços na nuvem:

• Instalado por padrão em um estado desabilitado em todos os sistemas operacionais convidados do Azure com suporte
• Requer ativação explícita para proteger seu serviço de nuvem

Serviço de Aplicativo do Azure:

• Habilitado no serviço subjacente que hospeda aplicativos Web baseados no Windows
• Limitado a proteger apenas a infraestrutura do Serviço de Aplicativo do Azure, não o conteúdo do cliente
• Não é suficiente para a segurança completa do aplicativo Web (implemente mais controles de segurança, conforme descrito nas Práticas recomendadas de segurança do aplicativo Web do Azure)

Nota

O Microsoft Defender Antivírus é o Antimalware integrado habilitado no Windows Server 2016 e superior. A extensão Azure VM Antimalware ainda pode ser adicionada a uma VM do Azure do Windows Server 2016 e superior com o Microsoft Defender Antivirus. Nesse cenário, a extensão aplica quaisquer políticas de configuração opcionais a serem usadas pelo Microsoft Defender Antivirus. A extensão não implanta nenhum outro serviço antimalware. Para obter mais informações sobre o Microsoft Defender Antivirus, consulte Exemplos de código para habilitar e configurar o Microsoft Antimalware para Azure.

Fluxo de trabalho antimalware da Microsoft

O administrador de serviço do Azure pode habilitar o Antimalware para Azure com uma configuração padrão ou personalizada para suas Máquinas Virtuais e Serviços de Nuvem usando as seguintes opções:

• Máquinas Virtuais - No portal do Azure, em Extensões de Segurança
• Máquinas Virtuais - Usando a configuração de máquinas virtuais do Visual Studio no Gerenciador de Servidores
• Máquinas Virtuais e Serviços na Nuvem - Usando o modelo de implantação clássico do Antimalware
• Máquinas Virtuais e Serviços de Nuvem - Usando cmdlets do PowerShell Antimalware

O portal do Azure ou cmdlets do PowerShell enviam o arquivo do pacote de extensão Antimalware para o sistema do Azure em um local fixo predeterminado. O Agente Convidado do Azure (ou o Agente de Malha) inicia a Extensão Antimalware, aplicando as definições de configuração de Antimalware fornecidas como entrada. Esta etapa habilita o serviço Antimalware com definições de configuração padrão ou personalizadas. Se nenhuma configuração personalizada for fornecida, o serviço antimalware será habilitado com as definições de configuração padrão. Para obter mais informações sobre a configuração do Antimalware, consulte Exemplos de código para habilitar e configurar o Microsoft Antimalware para Azure.

Após a inicialização, o cliente Microsoft Antimalware recupera automaticamente o mecanismo de proteção e as definições de assinatura mais recentes da Internet e as aplica ao seu sistema Azure. O serviço registra todas as atividades no log de eventos do sistema operacional na fonte de eventos "Microsoft Antimalware". Esses logs incluem informações sobre:

• Estado de saúde do cliente
• Atividades de proteção e reparação
• Alterações de configuração
• Atualizações de definições de mecanismo e assinatura
• Outros eventos operacionais

Você pode habilitar o monitoramento de Antimalware para seu Serviço de Nuvem ou Máquina Virtual para que os eventos do log de eventos Antimalware sejam gravados à medida que são produzidos em sua conta de armazenamento do Azure. O Serviço Antimalware usa a extensão de Diagnóstico do Azure para coletar eventos Antimalware do sistema do Azure em tabelas na conta de Armazenamento do Azure do cliente.

O fluxo de trabalho de implantação, incluindo etapas de configuração e opções suportadas para os cenários acima, está documentado na seção Cenários de implantação de antimalware deste documento.

Nota

No entanto, você pode usar modelos PowerShell/APIs e Azure Resource Manager para implantar Conjuntos de Dimensionamento de Máquina Virtual com a extensão Microsoft Anti-Malware. Para instalar uma extensão em uma máquina virtual já em execução, você pode usar o exemplo de script Python vmssextn.py. Esse script obtém a configuração de extensão existente no Conjunto de Escala e adiciona uma extensão à lista de extensões existentes nos Conjuntos de Escala de Máquinas Virtuais do Azure.

Configuração antimalware padrão e personalizada

As definições de configuração padrão são aplicadas para habilitar o Antimalware para Serviços de Nuvem do Azure ou Máquinas Virtuais quando você não fornece definições de configuração personalizadas. As definições de configuração padrão são pré-otimizadas para execução no ambiente do Azure. Opcionalmente, você pode personalizar essas definições de configuração padrão conforme necessário para sua implantação de aplicativo ou serviço do Azure e aplicá-las para outros cenários de implantação.

A tabela a seguir resume as definições de configuração disponíveis para o serviço Antimalware. As definições de configuração padrão são marcadas na coluna "Padrão".

Cenários de implantação de antimalware

Os cenários para habilitar e configurar o antimalware, incluindo o monitoramento dos Serviços de Nuvem do Azure e Máquinas Virtuais, são discutidos nesta seção.

Máquinas virtuais - ativar e configurar antimalware

Implantação ao criar uma VM usando o portal do Azure

Siga estas etapas para habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando o portal do Azure ao provisionar uma Máquina Virtual:

1. Inicie sessão no portal do Azure.
2. Para criar uma nova máquina virtual, navegue até Máquinas virtuais, selecione Adicionar e escolha Windows Server.
3. Selecione a versão do servidor Windows que você gostaria de usar.
4. Selecione Criar.
5. Forneça um Nome, Nome de Usuário, Senha e crie um novo grupo de recursos ou escolha um grupo de recursos existente.
6. Selecione OK.
7. Escolha um tamanho de vm.
8. Na próxima seção, faça as escolhas apropriadas para suas necessidades, selecione a seção Extensões .
9. Selecione Adicionar extensão
10. Em Novo recurso, escolha Microsoft Antimalware.
11. Selecione Criar
12. No arquivo de seção Instalar extensão , os locais e as exclusões de processo podem ser configurados, bem como outras opções de verificação. Escolha OK.
13. Escolha OK.
14. De volta à seção Configurações , escolha Ok.
15. Na tela Criar, escolha Ok.

Consulte este modelo do Azure Resource Manager para implantar a extensão de VM Antimalware para Windows.

Implantação usando a configuração da máquina virtual do Visual Studio

Para habilitar e configurar o serviço Microsoft Antimalware usando o Visual Studio:

1. Conecte-se ao Microsoft Azure no Visual Studio.

2. Escolha sua Máquina Virtual no nó Máquinas Virtuais no Gerenciador de Servidores

   

3. Clique com o botão direito do mouse em configurar para exibir a página de configuração da Máquina Virtual

4. Selecione a extensão Microsoft Antimalware na lista suspensa em Extensões instaladas e selecione Adicionar para configurar com a configuração antimalware padrão.

5. Para personalizar a configuração padrão do Antimalware, selecione (destaque) a extensão Antimalware na lista de extensões instaladas e selecione Configurar.

6. Substitua a configuração padrão do Antimalware pela sua configuração personalizada no formato JSON suportado na caixa de texto de configuração pública e selecione OK.

7. Selecione o botão Atualizar para enviar as atualizações de configuração para sua máquina virtual.

   

Nota

A configuração de Máquinas Virtuais do Visual Studio para Antimalware suporta apenas a configuração do formato JSON. Para obter mais informações sobre configurações de exemplo, consulte Exemplos de código para habilitar e configurar o Microsoft Antimalware para Azure.

Implantação usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando cmdlets do PowerShell.

Para habilitar e configurar o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet Set-AzureVMMicrosoftAntimalwareExtension para habilitar e configurar o Microsoft Antimalware para sua máquina virtual.

Nota

A configuração de Máquinas Virtuais do Azure para Antimalware suporta apenas a configuração do formato JSON. Para obter mais informações sobre configurações de exemplo, consulte Exemplos de código para habilitar e configurar o Microsoft Antimalware para Azure.

Habilitar e configurar cmdlets antimalware usando o PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para Serviços de Nuvem do Azure usando cmdlets do PowerShell. O Microsoft Antimalware é instalado em um estado desabilitado na plataforma de Serviços de Nuvem e requer uma ação de um aplicativo do Azure para habilitá-lo.

Para habilitar e configurar o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet Set-AzureServiceExtension para habilitar e configurar o Microsoft Antimalware para seu Serviço de Nuvem.

Para obter mais informações sobre comandos PowerShell de exemplo, consulte Exemplos de código para habilitar e configurar o Microsoft Antimalware para Azure.

Serviços de nuvem e máquinas virtuais - Configuração usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode recuperar a configuração do Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais usando cmdlets do PowerShell.

Para recuperar a configuração do Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Para máquinas virtuais: use o cmdlet Get-AzureVMMicrosoftAntimalwareExtension para obter a configuração antimalware.
3. Para Serviços de Nuvem: use o cmdlet Get-AzureServiceExtension para obter a configuração de Antimalware.

Exemplos

Remover configuração de antimalware usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode remover completamente a proteção antimalware da Microsoft desinstalando as extensões relevantes de seus Serviços de Nuvem ou Máquinas Virtuais. Esse processo remove a proteção antimalware e as configurações de monitoramento associadas, descontinuando completamente a proteção contra malware e a coleta de eventos para os recursos especificados.

Para remover o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Para máquinas virtuais: use o cmdlet Remove-AzureVMMicrosoftAntimalwareExtension .
3. Para Serviços de Nuvem: use o cmdlet Remove-AzureServiceExtension .

Para habilitar a coleta de eventos antimalware para uma máquina virtual usando o Portal de Visualização do Azure:

1. Selecione qualquer parte da seção Monitoramento na página Detalhes da Máquina Virtual.
2. Selecione o comando Diagnóstico na seção Métricas.
3. Selecione Status ON e marque a opção para Sistema de eventos do Windows.
4. Você pode optar por desmarcar todas as outras opções na lista ou deixá-las ativadas de acordo com suas necessidades de serviço de aplicativo.
5. As categorias de evento Antimalware "Erro", "Aviso", "Informativo", etc., são capturadas na sua conta de Armazenamento do Azure.

Os eventos antimalware são coletados dos logs do sistema de eventos do Windows para sua conta de Armazenamento do Azure. Você pode configurar a Conta de Armazenamento para sua Máquina Virtual para coletar eventos Antimalware selecionando a conta de armazenamento apropriada.

Habilitar e configurar o Antimalware usando cmdlets do PowerShell para VMs do Azure Resource Manager

Para habilitar e configurar o Microsoft Antimalware para VMs do Azure Resource Manager usando cmdlets do PowerShell:

1. Configure seu ambiente do PowerShell usando esta documentação no GitHub.
2. Use o cmdlet Set-AzVMExtension para habilitar e configurar o Microsoft Antimalware para sua VM.

Os seguintes exemplos de código estão disponíveis:

• Implantar o Microsoft Antimalware em VMs de modelo ARM
• Adicionar o Microsoft Antimalware aos Clusters do Azure Service Fabric

Habilitar e configurar o Antimalware para o Suporte Estendido do Serviço de Nuvem do Azure (CS-ES) usando cmdlets do PowerShell

Para habilitar e configurar o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar seu ambiente do PowerShell - Consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet New-AzCloudServiceExtensionObject para habilitar e configurar o Microsoft Antimalware para sua VM do Serviço de Nuvem.

O exemplo de código a seguir está disponível:

• Adicionar o Microsoft Antimalware ao Serviço de Nuvem do Azure usando o Suporte Estendido (CS-ES)

Habilitar e configurar o Antimalware usando cmdlets do PowerShell para servidores habilitados para Azure Arc

Para habilitar e configurar o Microsoft Antimalware para servidores habilitados para Azure Arc usando cmdlets do PowerShell:

1. Configure seu ambiente do PowerShell usando esta documentação no GitHub.
2. Use o cmdlet New-AzConnectedMachineExtension para habilitar e configurar o Microsoft Antimalware para seus servidores habilitados para Arc.

Os seguintes exemplos de código estão disponíveis:

• Adicionar Microsoft Antimalware para servidores habilitados para Azure Arc

Próximos passos

• Exemplos de código para habilitar e configurar o Microsoft Antimalware para Azure
• Microsoft Defender para a Nuvem