練習 - 設定惡意程式碼偵測

  • 10 分鐘

適用於雲端的 Microsoft Defender 會監視您虛擬機器 (VM) 的反惡意程式碼軟體保護狀態。 適用於雲端的 Defender 會強調問題所在,例如偵測到威脅和防護不足,這些問題會造成 VM 與電腦容易遭受惡意程式碼威脅。 您可以使用 [端點保護問題] 的資訊,您可以制定計劃來解決所有已確定的問題。

  1. 登入 Azure 入口網站

  2. 在 Azure 首頁上,搜尋並選取 [適用於雲端的 Microsoft Defender]。 [適用於雲端的 Microsoft Defender] 的 [概觀] 窗格隨即顯示。

  3. 選取 建議

  4. 將您的檢視篩選為 [資源類型:虛擬機器],然後捲動至 [啟用端點保護] 以查看建議。

適用於雲端的 Defender 會報告下列端點保護問題:

  • 應在您的機器上安裝 Endpoint Protection

    • 這些 Azure VM 上未安裝支援的反惡意程式碼解決方案。

  • 應解決電腦的 Endpoint Protection 健康情況問題

    • 簽章已過期。 VM 和電腦上已安裝反惡意程式碼軟體解決方案,但是該解決方案沒有最新的反惡意程式碼軟體簽章。

    • 沒有即時保護。 VM 和電腦上已安裝反惡意程式碼軟體解決方案,但是並未設定即時保護。 例如,服務可能已停用。 適用於雲端的 Defender 也可能因為不支援該解決方案而無法取得狀態。

    • 未回報。 已安裝反惡意程式碼軟體解決方案,但是未報告資料。

    • 未知。 已安裝反惡意程式碼軟體解決方案,但是其狀態為未知或報告未知錯誤。

針對易受攻擊的 VM,適用於雲端的 Defender 將會提供解決問題並在未受保護之 VM 上安裝反惡意程式碼防護的選項。

Screenshot that shows the option to fix unprotected VMs.

不過,您也可以自行安裝此防護。 讓我們檢查那些步驟。

在新的 VM 中安裝反惡意程式碼軟體

Microsoft Antimalware 是以延伸模組的形式提供,您可以將其新增至現有的 VM,或包含在建立新虛擬機器 (VM) 的過程中。 您可以使用 Azure 入口網站、Azure CLI / PowerShell 或 ARM 範本來新增延伸模組。

讓我們使用 Azure 入口網站建立新的 VM,並安裝該延伸模組。

  1. 使用您在上一個練習中使用的相同帳戶與訂用帳戶來登入 Azure 入口網站。 我們會重複使用相同的資源群組,以便同時刪除兩個 VM。

  2. 在 Azure 入口網站功能表上,或從 [首頁] 頁面,選取 [建立資源]。 [建立資源] 窗格顯示。

  3. 搜尋並選取 [虛擬機器]。 [建立虛擬機器] 窗格隨即顯示。

  4. 在 [基本] 索引標籤上,為每個設定輸入下列值。

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 從下拉式清單中,選取您先前建立的資源群組 (mslearnDeleteMe)。
    [執行個體詳細資料]
    虛擬機器名稱 輸入 VM 名稱,例如 testvm1
    區域 從下拉式清單中選取最接近您的位置。
    系統管理員帳戶
    使用者名稱 選取您可以記住的有效使用者名稱。
    密碼 選取您可以記住的有效密碼。

    Screenshot showing the Basic tab for VM creation.

  5. 選取 [進階] 索引標籤。您可以在這裡將延伸模組新增至新的 VM。 選取 [選取要安裝的延伸模組] 連結。 搜尋並選取 [Microsoft Antimalware],然後選取 [下一步]。 [設定 Microsoft Antimalware 延伸模組] 窗格隨即顯示。

  6. 延伸模組的選項包括可以忽略特定資料夾、檔案名稱,以及控制延伸模組掃描磁碟是否有惡意程式碼的時機與方式。 接受所有預設值。

    Screenshot that shows the default options for Microsoft malware.

  7. 選取 [建立] 以將其新增至 VM。

  8. [進階] 索引標籤現在會顯示惡意程式碼延伸模組已設定為 [安裝]。

    Screenshot showing the Advanced tab with Microsoft malware extension installed.

  9. 接著,選取 [管理] 索引標籤,然後設定適用於雲端的 Microsoft Defender 監視功能。

    • 您可以在 Azure 監視器中檢視的詳細監視。
    • 開機診斷。
    • OS 客體診斷。

    若選取任何這些選項,VM 需要用來寫入記錄資料的 Azure 儲存體帳戶。

  10. 選取 [檢閱 + 建立] 並確認設定,通過驗證之後,選取 [建立] 以部署新的 VM。

VM 部署需要數分鐘的時間才能完成。 您可以透過 [通知] (鈴鐺圖示) 檢視,或選取部署訊息來監視部署。 當它部署時,讓我們檢查您如何將惡意程式碼防護新增到現有的 VM。

將延伸模組新增至現有的 VM

您也可以在部署現有 VM 後,將反惡意程式碼延伸模組新增至現有 VM。 您可以使用命令列工具,以便編寫指令碼。 您也可以使用 REST API 或 Azure 入口網站。 以下是要使用入口網站的步驟:

  1. 選取您要在其中安裝延伸模組的 VM。

  2. 在左側功能表窗格的 [設定] 下方,選取 [延伸模組 + 應用程式]

    Screenshot that shows the 'Add Extensions' option selected.

  3. 選取 [新增]。

  4. 搜尋並選取 [Microsoft Antimalware],然後選取 [下一步]。 接受預設值,然後選取 [檢閱 + 建立]。 在驗證延伸模組之後,選取 [建立] 以將延伸模組新增至您的 VM。 [正在部署] 窗格隨即顯示。

  5. 部署成功之後,請返回 [延伸模組 + 應用程式] 窗格。 此窗格會顯示已安裝的惡意程式碼延伸模組。

    Screenshot that shows the Microsoft malware extension installed on the VM.