Microsoft Antimalware para VMs (Serviços de Nuvem e Máquinas Virtuais) do Azure

O Microsoft Antimalware para Azure é uma proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. Ele gera alertas quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure.

A solução baseia-se na mesma plataforma antimalware que o Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune e Microsoft Defender para Nuvem. O Antimalware da Microsoft para Azure é uma solução de agente único para aplicativos e ambientes de locatário, projetado para ser executado em segundo plano sem intervenção humana. A proteção pode ser implantada com base nas necessidades das cargas de trabalho do aplicativo, com configuração personalizada básica segura por padrão ou avançada, incluindo monitoramento antimalware.

Quando você implanta e habilita o Microsoft Antimalware do Azure para seus aplicativos, os seguintes recursos principais ficam disponíveis:

• Proteção em tempo real - monitora a atividade em Serviços de Nuvem e em máquinas virtuais para detectar e bloquear a execução de malware.
• Verificação agendada - Faz a verificação periodicamente para detectar malware, incluindo programas ativamente em execução.
• Remediação de Malware - atua automaticamente sobre o malware detectado, por exemplo, excluindo ou colocando arquivos mal-intencionados em quarentena e limpando entradas de Registro mal-intencionadas.
• Atualizações de assinatura – instala automaticamente as últimas assinaturas de proteção (definições de vírus) para garantir que a proteção seja atualizada em uma frequência predeterminada.
• Atualizações do mecanismo antimalware - atualiza automaticamente o mecanismo do Microsoft Antimalware.
• Atualizações da plataforma antimalware - atualiza automaticamente a plataforma Microsoft Antimalware.
• Proteção ativa – reporta metadados de telemetria sobre ameaças detectadas e recursos suspeitos ao Microsoft Azure para garantir uma resposta rápida ao panorama de ameaças em constante evolução, além de permitir a entrega de assinatura síncrona em tempo real por meio do MAPS (Microsoft Active Protection System).
• Relatórios de exemplos - fornece e relata exemplos para o serviço Microsoft Antimalware para ajudar a aprimorar o serviço e a habilitar a solução de problemas.
• Exclusões – permite que os administradores de serviço e aplicativo configurem exclusões para os arquivos, processos e unidades.
• Coleção de eventos do antimalware – Registra a integridade do serviço antimalware, as atividades suspeitas e as ações de correção realizadas no log de eventos do sistema operacional e armazena essas informações na conta de armazenamento do Azure do cliente.

Arquitetura

O Microsoft Antimalware para Azure consiste em vários componentes:

• O cliente e o serviço do Microsoft Antimalware
• Modelo de implantação clássico antimalware
• Cmdlets do PowerShell antimalware
• Extensão de Diagnóstico do Azure

Suporte e implantação da plataforma

Máquinas virtuais:

• Não instalado por padrão
• Disponível como uma extensão de segurança opcional por meio do portal do Azure ou da configuração da Máquina Virtual do Visual Studio
• Com suporte no Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2
• Sem suporte nos sistemas operacionais Windows Server 2008 e Linux

Serviços de Nuvem:

• Instalado por padrão em um estado desabilitado em todos os sistemas operacionais convidados do Azure com suporte
• Requer ativação explícita para proteger seu serviço de nuvem

Serviço de Aplicativo do Azure:

• Habilitado no serviço subjacente que hospeda aplicativos Web baseados no Windows
• Limitado a proteger apenas a infraestrutura do Serviço de Aplicativo do Azure, não o conteúdo do cliente
• Não é suficiente para a segurança completa do aplicativo Web (implemente mais controles de segurança conforme descrito nas Práticas Recomendadas de Segurança de Aplicativo Web do Azure)

Fluxo de trabalho do Microsoft Antimalware

O administrador do serviço Azure pode habilitar Antimalware para o Azure com configuração padrão ou personalizada para suas Máquinas Virtuais e Serviços de Nuvem usando as seguintes opções:

• Máquinas Virtuais – no portal do Azure, em Extensões de Segurança
• Máquinas Virtuais – usando a configuração de máquinas virtuais do Visual Studio no Gerenciador de Servidores
• Máquinas Virtuais e Serviços de Nuvem – usando o modelo de implantação clássico do Antimalware
• Máquinas Virtuais e Serviços de Nuvem – usando cmdlets Antimalware do PowerShell

O portal do Azure ou os cmdlets do PowerShell enviam por push o arquivo de pacote de extensão de Antimalware no sistema do Azure para determinada localização fixa. O agente convidado do Azure (ou o agente de malha) inicia a extensão do Antimalware, aplicando as configurações de Antimalware fornecidas como entrada. Esta etapa habilita o serviço Antimalware com configurações personalizadas ou padrão. Se nenhuma configuração personalizada for fornecida, o serviço de antimalware estará habilitado com as configurações padrão. Para obter mais informações sobre a configuração do Antimalware, consulte exemplos de código para habilitar e configurar o Microsoft Antimalware para a Azure.

Após a inicialização, o cliente Microsoft Antimalware recupera automaticamente as definições mais recentes do mecanismo de proteção e da assinatura da Internet e as aplica ao seu sistema do Azure. O serviço registra todas as atividades no log de eventos do sistema operacional na origem do evento "Microsoft Antimalware". Esses logs incluem informações sobre:

• Estado de saúde do cliente
• Atividades de proteção e correção
• Alterações de configuração
• Atualizações de definição de mecanismo e assinatura
• Outros eventos operacionais

Você pode habilitar o monitoramento de Antimalware para seu Serviço de Nuvem ou Máquina Virtual para que os eventos de log de eventos de Antimalware sejam gravados conforme vão sendo gerados para sua conta de armazenamento do Azure. O serviço Antimalware usa a extensão do Diagnóstico do Azure para coletar eventos do Antimalware do sistema do Azure e armazená-los em tabelas na conta de armazenamento do Azure do cliente.

O fluxo de trabalho de implantação, incluindo etapas de configuração e opções com suporte para os cenários acima, está documentado na seção Cenários de implantação de antimalware deste documento.

Configuração de Antimalware personalizada e padrão

As configurações padrão são aplicadas para habilitar o Antimalware para os Serviços de Nuvem do Azure ou Máquinas Virtuais quando você não fornecer as configurações personalizadas. As configurações padrão são preotimizadas para execução no ambiente do Azure. Opcionalmente, você pode personalizar essas configurações padrão conforme necessário para seu aplicativo ou implantação do serviço do Azure e aplicá-las em outros cenários de implantação.

A tabela a seguir resume as configurações disponíveis para o serviço Antimalware. As definições de configuração padrão estão marcadas na coluna chamada "Padrão".

Cenários de implantação de antimalware

Os cenários para habilitar e configurar o antimalware, incluindo monitoramento de Serviços de Nuvem do Azure e Máquinas Virtuais, são discutidos nesta seção.

Máquinas virtuais – habilitar e configurar o antimalware

Implantação durante a criação de uma VM usando o portal do Azure

Siga as etapas abaixo para habilitar e configurar o Microsoft Antimalware para Máquinas Virtuais do Azure usando o portal do Azure ao provisionar uma Máquina Virtual:

1. Entre no portal do Azure.
2. Para criar uma nova máquina virtual, navegue até Máquinas virtuais, selecione Adicionare escolha Windows Server.
3. Selecione a versão do Windows Server que você deseja usar.
4. Selecione Criar.
5. Forneça um Nome, Nome de usuário, Senhae crie um novo grupo de recursos ou escolha um grupo de recursos existente.
6. Selecione OK.
7. Escolha um tamanho de VM.
8. Na próxima seção, faça as escolhas apropriadas para suas necessidades e selecione a seção Extensões.
9. Selecione Adicionar extensão
10. Em Novo recurso, escolha Microsoft Antimalware.
11. Escolha Criar
12. Na seção instalar extensão, arquivos, locais e exclusões de processo podem ser configurados, bem como outras opções de verificação. Escolha Ok.
13. Escolha Ok.
14. Na seção Configurações, escolha Ok.
15. Na tela Criar, escolha Ok.

Consulte este modelo do Azure Resource Manager para a implantação de extensão de VM antimalware para Windows.

Implantação usando a configuração de máquina virtual do Visual Studio

Para habilitar e configurar o serviço Microsoft Antimalware usando o Visual Studio:

1. Conecte-se ao Microsoft Azure no Visual Studio.

2. Escolha sua Máquina Virtual no nó Máquinas Virtuais no Gerenciador de Servidores

   

3. Clique com botão direito do mouse em Configurar para exibir a página de configuração da Máquina Virtual

4. Selecione a extensão Microsoft Antimalware na lista suspensa em Extensões Instaladas e selecione Adicionar para configurar com a configuração antimalware padrão.

5. Para personalizar a configuração antimalware padrão, selecione (realçar) a extensão Antimalware na lista de extensões instaladas e selecione Configurar.

6. Substitua a configuração antimalware padrão pela configuração personalizada no formato JSON com suporte na caixa de texto de configuração pública e selecione OK.

7. Selecione o botão Atualizar para efetuar push das atualizações de configuração para sua Máquina Virtual.

   

Implantação Usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para máquinas virtuais do Azure usando cmdlets do PowerShell.

Para habilitar e configurar o Microsoft Antimalware usando o cmdlets do PowerShell:

1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet Set-AzureVMMicrosoftAntimalwareExtension para habilitar e configurar o Microsoft Antimalware para sua Máquina Virtual.

Habilitar e configurar o Antimalware usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode habilitar e configurar o Microsoft Antimalware para Serviços de Nuvem do Azure usando cmdlets do PowerShell. O Microsoft Antimalware é instalado em um estado desabilitado na plataforma Serviços de Nuvem e requer uma ação de um aplicativo do Azure para habilitá-lo.

Para habilitar e configurar o Microsoft Antimalware usando o cmdlets do PowerShell:

1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet Set-AzureServiceExtension para habilitar e configurar o Microsoft Antimalware para seu Serviço de Nuvem.

Para obter mais informações sobre comandos de exemplo do PowerShell, consulte exemplos de código para habilitar e configurar o Microsoft Antimalware para a Azure.

Serviços de Nuvem e Máquinas Virtuais – configuração usando cmdlets do PowerShell

Um aplicativo ou serviço Azure pode recuperar a configuração do Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais usando cmdlets do PowerShell.

Para recuperar a configuração do Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
2. Para Máquinas Virtuais: use o cmdlet Get-AzureVMMicrosoftAntimalwareExtension para obter a configuração de antimalware.
3. Para Serviços de Nuvem: use o cmdlet Get-AzureServiceExtension para obter a configuração de antimalware.

Exemplos

Remover a configuração de Antimalware usando cmdlets do PowerShell

Um aplicativo ou serviço do Azure pode remover completamente a proteção do Microsoft Antimalware desinstalando as extensões relevantes de seus Serviços de Nuvem ou Máquinas Virtuais. Esse processo remove a proteção antimalware e as configurações de monitoramento associadas, descontinuando completamente a proteção contra malware e a coleta de eventos para os recursos especificados.

Para remover o Microsoft Antimalware usando cmdlets do PowerShell:

1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
2. Para Máquinas Virtuais: use o cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
3. Para Serviços de Nuvem: use o cmdlet Remove-AzureServiceExtension.

Para habilitar a coleta de eventos de antimalware para uma máquina virtual usando a Versão Prévia do Portal do Azure:

1. Selecione qualquer parte da seção Monitoramento na página de detalhes da Máquina Virtual.
2. Selecione o comando Diagnóstico na seção Métricas.
3. Selecione Status ON e verifique a opção para o sistema de eventos do Windows.
4. Você pode optar por desmarcar todas as outras opções na lista ou deixá-las habilitadas de acordo com as suas necessidades de serviço do aplicativo.
5. As categorias de eventos do Antimalware "Erro", "Aviso", "Informativo" e outras são capturadas na sua conta de Armazenamento do Azure.

Os eventos de antimalware são coletados dos logs de sistema de eventos do Windows para sua conta de armazenamento do Azure. Você pode configurar a conta de armazenamento para que sua Máquina Virtual colete eventos de antimalware selecionando a conta de armazenamento apropriado.

Habilitar e configurar Antimalware usando cmdlets do PowerShell para VMs do Azure Resource Manager

Para habilitar e configurar o Microsoft Antimalware nas VMs do Azure Resource Manager usando cmdlets do PowerShell:

1. Configure o ambiente do PowerShell usando esta documentação no GitHub.
2. Use o cmdlet Set-AzVMExtension para habilitar e configurar o Microsoft Antimalware para a sua VM.

Os exemplos de código a seguir estão disponíveis:

• Implantar o Microsoft Antimalware em VMs de modelo do ARM
• Adicionar Microsoft Antimalware a clusters do Microsoft Azure Service Fabric

Habilitar e configurar Antimalware para Suporte Estendido de Serviço de Nuvem do Azure (CS-ES) usando cmdlets do PowerShell

Para habilitar e configurar o Microsoft Antimalware usando o cmdlets do PowerShell:

1. Configurar o ambiente do PowerShell – consulte a documentação em https://github.com/Azure/azure-powershell
2. Use o cmdlet New-AzCloudServiceExtensionObject para habilitar e configurar o Microsoft Antimalware para sua VM de serviço de nuvem.

O seguinte exemplo de código está disponível:

• Adicionar Microsoft Antimalware ao serviço de nuvem do Azure usando suporte estendido (CS-ES)

Habilitar e configurar o Antimalware usando cmdlets do PowerShell para servidores habilitados do Azure Arc

Para habilitar e configurar o Microsoft Antimalware para servidores habilitados do Azure Arc usando cmdlets do PowerShell:

1. Configure o ambiente do PowerShell usando esta documentação no GitHub.
2. Use o cmdlet New-AzCloudServiceExtensionObject a fim de habilitar e configurar o Microsoft Antimalware para os seus servidores habilitados do Arc.

Os exemplos de código a seguir estão disponíveis:

• Adicionar Microsoft Antimalware em servidores habilitados para Azure Arc

Próximas etapas

• Exemplos de código para habilitar e configurar o Microsoft Antimalware para o Azure
• Microsoft Defender para Nuvem