使用無代理程式惡意程式碼掃描保護伺服器
適用於雲端的 Microsoft Defender 的適用於伺服器的 Defender 方案 2 支援無代理程式惡意程式碼掃描功能,以掃描及偵測惡意程式碼和病毒。 掃描器適用於 Azure 虛擬機器 (VM)、AWS EC2 執行個體和 GCP VM 執行個體。
無代理程式惡意程式碼掃描提供:
最新且完整的惡意程式碼偵測功能,可利用 Microsoft 情報摘要支援的 Microsoft Defender 防毒軟體引擎和雲端保護簽章摘要。
使用啟發式和簽章型威脅偵測的快速和完整掃描。
偵測到惡意程式碼時所產生的安全性警示。 這些警示提供調查的額外詳細資料和內容,並傳送至適用於雲端的 Defender 警示頁面和 Defender XDR。
重要
無代理程式惡意程式碼掃描僅適用於已啟用無代理程式掃描的適用於伺服器的 Defender 方案 2。
無代理程式惡意程式碼偵測
無代理程式惡意程式碼掃描為受保護和未受保護的機器提供下列優點:
改善涵蓋範圍 - 如果機器未啟用防毒解決方案,則無代理程式偵測器會掃描該機器以偵測惡意活動。
偵測潛在威脅 - 無代理程式掃描器會掃描所有檔案和資料夾,包括從代理程式型防毒掃描中排除的任何檔案或資料夾,而不會影響機器的效能。
您可以深入了解無代理程式機器掃描,以及如何啟用對 VM 的無代理程式掃描。
重要
只有在環境中偵測到威脅的情況下,安全性警示才會出現在入口網站上。 如果您沒有任何警示,可能是因為您的環境沒有任何威脅。 您可以測試看看無代理程式惡意程式碼掃描功能是否已正確上線並向適用於雲端的 Defender 回報。
適用於雲端的 Defender 安全性警示
偵測到惡意檔案時,適用於雲端的 Microsoft Defender 會產生適用於雲端的 Microsoft Defender 安全性警示。 若要查看警示,前往適用於雲端的 Microsoft Defender 安全性警示。 安全性警示包含檔案的詳細資料和內容、惡意程式碼類型,以及建議的調查和補救步驟。 若要使用這些警示進行補救,您可以:
- 瀏覽至適用於雲端的 Microsoft Defender>安全性警示,在 Azure 入口網站中檢視安全性警示。
- 根據這些警示設定自動化。
- 將安全性警示匯出至 SIEM。 您可以使用 Microsoft Sentinel 連接器,或您選擇的另一個 SIEM,持續匯出安全性警示 Microsoft Sentinel (Microsoft 的 SIEM)。
深入了解回應安全性警示。
處理可能的誤判為真
如果您認為檔案被錯誤地偵測為惡意程式碼 (誤判為真),您可透過樣本提交入口網站進行分析。 Defender 的安全性分析師將會分析所提交的檔案。 如果分析報告指出檔案實際上是乾淨的,則此檔案從現在起不會再觸發新的警示。
適用於雲端的 Defender 可讓您隱藏誤判為真的警示。 請務必使用惡意程式碼名稱或檔案摘要來限制歸併規則。
後續步驟
深入了解如何啟用對 VM 的無代理程式掃描。