練習 - 設定惡意程式碼偵測
適用於雲端的 Microsoft Defender 會監視您虛擬機器 (VM) 的反惡意程式碼軟體保護狀態。 適用於雲端的 Defender 會強調問題所在,例如偵測到威脅和防護不足,這些問題會造成 VM 與電腦容易遭受惡意程式碼威脅。 您可以使用 [端點保護問題] 的資訊,您可以制定計劃來解決所有已確定的問題。
登入 Azure 入口網站。
在 Azure 首頁上,搜尋並選取 [適用於雲端的 Microsoft Defender]。 [適用於雲端的 Microsoft Defender] 的 [概觀] 窗格隨即顯示。
選取 建議。
將您的檢視篩選為 [資源類型:虛擬機器],然後捲動至 [啟用端點保護] 以查看建議。
適用於雲端的 Defender 會報告下列端點保護問題:
應在您的機器上安裝 Endpoint Protection
- 這些 Azure VM 上未安裝支援的反惡意程式碼解決方案。
應解決電腦的 Endpoint Protection 健康情況問題
簽章已過期。 VM 和電腦上已安裝反惡意程式碼軟體解決方案,但是該解決方案沒有最新的反惡意程式碼軟體簽章。
沒有即時保護。 VM 和電腦上已安裝反惡意程式碼軟體解決方案,但是並未設定即時保護。 例如,服務可能已停用。 適用於雲端的 Defender 也可能因為不支援該解決方案而無法取得狀態。
未回報。 已安裝反惡意程式碼軟體解決方案,但是未報告資料。
未知。 已安裝反惡意程式碼軟體解決方案,但是其狀態為未知或報告未知錯誤。
針對易受攻擊的 VM,適用於雲端的 Defender 將會提供解決問題並在未受保護之 VM 上安裝反惡意程式碼防護的選項。
不過,您也可以自行安裝此防護。 讓我們檢查那些步驟。
在新的 VM 中安裝反惡意程式碼軟體
Microsoft Antimalware 是以延伸模組的形式提供,您可以將其新增至現有的 VM,或包含在建立新虛擬機器 (VM) 的過程中。 您可以使用 Azure 入口網站、Azure CLI / PowerShell 或 ARM 範本來新增延伸模組。
讓我們使用 Azure 入口網站建立新的 VM,並安裝該延伸模組。
使用您在上一個練習中使用的相同帳戶與訂用帳戶來登入 Azure 入口網站。 我們會重複使用相同的資源群組,以便同時刪除兩個 VM。
在 Azure 入口網站功能表上,或從 [首頁] 頁面,選取 [建立資源]。 [建立資源] 窗格顯示。
搜尋並選取 [虛擬機器]。 [建立虛擬機器] 窗格隨即顯示。
在 [基本] 索引標籤上,為每個設定輸入下列值。
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 從下拉式清單中,選取您先前建立的資源群組 (mslearnDeleteMe)。 [執行個體詳細資料] 虛擬機器名稱 輸入 VM 名稱,例如 testvm1。 區域 從下拉式清單中選取最接近您的位置。 系統管理員帳戶 使用者名稱 選取您可以記住的有效使用者名稱。 密碼 選取您可以記住的有效密碼。 選取 [進階] 索引標籤。您可以在這裡將延伸模組新增至新的 VM。 選取 [選取要安裝的延伸模組] 連結。 搜尋並選取 [Microsoft Antimalware],然後選取 [下一步]。 [設定 Microsoft Antimalware 延伸模組] 窗格隨即顯示。
延伸模組的選項包括可以忽略特定資料夾、檔案名稱,以及控制延伸模組掃描磁碟是否有惡意程式碼的時機與方式。 接受所有預設值。
選取 [建立] 以將其新增至 VM。
[進階] 索引標籤現在會顯示惡意程式碼延伸模組已設定為 [安裝]。
接著,選取 [管理] 索引標籤,然後設定適用於雲端的 Microsoft Defender 監視功能。
- 您可以在 Azure 監視器中檢視的詳細監視。
- 開機診斷。
- OS 客體診斷。
若選取任何這些選項,VM 需要用來寫入記錄資料的 Azure 儲存體帳戶。
選取 [檢閱 + 建立] 並確認設定,通過驗證之後,選取 [建立] 以部署新的 VM。
VM 部署需要數分鐘的時間才能完成。 您可以透過 [通知] (鈴鐺圖示) 檢視,或選取部署訊息來監視部署。 當它部署時,讓我們檢查您如何將惡意程式碼防護新增到現有的 VM。
將延伸模組新增至現有的 VM
您也可以在部署現有 VM 後,將反惡意程式碼延伸模組新增至現有 VM。 您可以使用命令列工具,以便編寫指令碼。 您也可以使用 REST API 或 Azure 入口網站。 以下是要使用入口網站的步驟:
選取您要在其中安裝延伸模組的 VM。
在左側功能表窗格的 [設定] 下方,選取 [延伸模組 + 應用程式]。
選取 [新增]。
搜尋並選取 [Microsoft Antimalware],然後選取 [下一步]。 接受預設值,然後選取 [檢閱 + 建立]。 在驗證延伸模組之後,選取 [建立] 以將延伸模組新增至您的 VM。 [正在部署] 窗格隨即顯示。
部署成功之後,請返回 [延伸模組 + 應用程式] 窗格。 此窗格會顯示已安裝的惡意程式碼延伸模組。