Microsoft Antimalware para Azure Cloud Services y Virtual Machines (VM)

Microsoft Antimalware para Azure es una protección gratuita en tiempo real que ayuda a identificar y eliminar virus, spyware y otro software malintencionado. Genera alertas cuando el software malintencionado o no deseado conocido intenta instalarse o ejecutarse en los sistemas Azure.

La solución se basa en la misma plataforma antimalware que Microsoft Security Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune y Microsoft Defender for Cloud. Microsoft Antimalware para Azure es una solución de agente único para aplicaciones y entornos de inquilino, diseñados para ejecutarse en segundo plano sin intervención humana. La protección se puede implementar en función de las necesidades de las cargas de trabajo de la aplicación, ya sea con una configuración personalizada básica segura de forma predeterminada o avanzada, incluida la supervisión antimalware.

Al implementar y habilitar Microsoft Antimalware para Azure para las aplicaciones, están disponibles las siguientes características principales:

• Protección en tiempo real: supervisa la actividad en Cloud Services y en Virtual Machines para detectar y bloquear la ejecución de malware.
• Análisis programado: realiza un análisis periódico para detectar malware, lo que incluye programas que se ejecutan activamente.
• Corrección de malware: actúa automáticamente sobre el malware detectado y elimina o pone en cuarentena los archivos malintencionados y limpia las entradas del Registro malintencionadas.
• Actualizaciones de firmas: instala automáticamente las últimas firmas de protección (definiciones de virus) para garantizar que la protección está actualizada con una frecuencia determinada previamente.
• Actualizaciones de Antimalware Engine: actualiza automáticamente Microsoft Antimalware Engine.
• Actualizaciones de la plataforma antimalware: actualiza automáticamente la plataforma de Microsoft Antimalware.
• Protección inactiva: informa de los metadatos de telemetría sobre las amenazas detectadas y los recursos sospechosos para Microsoft Azure para garantizar una respuesta rápida al panorama de amenazas en constante evolución y permite la entrega de firmas sincrónicas en tiempo real a través del Sistema de protección activa de Microsoft (MAPS).
• Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft Antimalware que ayudan a mejorar el servicio y permiten la solución de problemas.
• Exclusiones: permite a los administradores de aplicaciones y servicios configurar las exclusiones de archivos, procesos y unidades.
• Recopilación de eventos deAntimalware: registra el estado del servicio antimalware, las actividades sospechosas y las acciones de corrección realizadas en el registro de eventos del sistema operativo y las recopila en la cuenta de Azure Storage del cliente.

Arquitectura

Microsoft Antimalware para Azure consta de varios componentes:

• Cliente y servicio de Microsoft Antimalware
• Modelo de implementación clásica de Antimalware
• Cmdlets antimalware de PowerShell
• Extensión de Diagnósticos de Azure

Soporte y despliegue de plataformas

Virtual Machines:

• No instalado de forma predeterminada
• Disponible como una extensión de seguridad opcional a través del portal de Azure o en la configuración de Máquina Virtual en Visual Studio
• Compatible con Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2
• No se admite en sistemas operativos Windows Server 2008 y Linux

Cloud Services:

• Instalado de forma predeterminada en un estado deshabilitado en todos los sistemas operativos invitados admitidos Azure
• Requiere la activación explícita para proteger el servicio en la nube

Azure App Service:

• Habilitado en el servicio subyacente que hospeda aplicaciones web basadas en Windows
• Limitado a proteger solo la infraestructura de Azure App Service, no el contenido del cliente
• No es suficiente para garantizar la seguridad completa de una aplicación web (implemente controles de seguridad adicionales según se describe en las Prácticas recomendadas de seguridad para aplicaciones web de Azure)

Flujo de trabajo de Microsoft Antimalware

El administrador de servicios de Azure puede habilitar Antimalware para Azure con una configuración predeterminada o personalizada para la Virtual Machines y Cloud Services mediante las siguientes opciones:

• Virtual Machines: en el portal de Azure, en Extensiones de seguridad
• Virtual Machines: uso de la configuración de Visual Studio virtual machines en el Explorador de servidores
• Máquinas Virtuales y Servicios en la Nube: uso del modelo de implementación antimalware clásico
• Máquinas Virtuales y Servicios en la Nube: Uso de cmdlets de PowerShell para antimalware

El portal de Azure o los cmdlets de PowerShell insertan el archivo de paquete de extensión antimalware en el sistema Azure en una ubicación fija predeterminada. El Azure Guest Agent (o el Fabric Agent) inicia la extensión de Antimalware, aplicando las configuraciones de Antimalware proporcionadas como entrada. Este paso habilita el servicio Antimalware con valores de configuración predeterminados o personalizados. Si no se proporciona ninguna configuración personalizada, el servicio Antimalware se habilita con la configuración predeterminada. Para obtener más información sobre la configuración de Antimalware, consulte Código ejemplos para habilitar y configurar Microsoft Antimalware para Azure.

Después de la inicialización, el cliente de Microsoft Antimalware recupera automáticamente el motor de protección y las definiciones de firma más recientes de Internet y los aplica al sistema de Azure. El servicio registra toda la actividad en el registro de eventos del sistema operativo en el origen de eventos "Microsoft Antimalware". Estos registros incluyen información sobre:

• Estado de salud del cliente
• Actividades de protección y corrección
• Cambios de configuración
• Actualizaciones de definiciones de motor y firma
• Otros eventos operativos

Puede habilitar la supervisión antimalware para el servicio en la nube o la máquina virtual de manera que los eventos de registro de Antimalware se escriban en la cuenta de almacenamiento de Azure a medida que se van produciendo. El servicio Antimalware usa la extensión Azure Diagnostics para recopilar eventos de Antimalware del sistema Azure en tablas de la cuenta de Azure Storage del cliente.

El flujo de trabajo de implementación, que incluye pasos de configuración y opciones admitidas para los escenarios anteriores, se documenta en la sección Escenarios de implementación de Antimalware de este documento.

Configuración predeterminada y personalizada de Antimalware

Los valores de configuración predeterminados se aplican para habilitar Antimalware para Azure Cloud Services o Virtual Machines cuando no se proporcionan opciones de configuración personalizadas. Las opciones de configuración predeterminadas están preoptimizadas para ejecutarse en el entorno de Azure. Opcionalmente, puede personalizar estas opciones de configuración predeterminadas según sea necesario para la implementación de aplicaciones o servicios de Azure y aplicarlas para otros escenarios de implementación.

En la tabla siguiente se resumen las opciones de configuración disponibles para el servicio Antimalware. La configuración predeterminada se marca en la columna etiquetada como "Predeterminada".

Tabla 1

Escenarios de implementación de Antimalware

Los escenarios para habilitar y configurar antimalware, incluida la supervisión de Azure Cloud Services y Virtual Machines, se describen en esta sección.

Virtual Machines: habilitación y configuración de Antimalware

Implementación al crear una máquina virtual mediante el portal de Azure

Siga estos pasos para habilitar y configurar Microsoft Antimalware para Azure Virtual Machines mediante el portal de Azure al aprovisionar una máquina virtual:

1. Inicie sesión en el portal Azure.
2. Para crear una nueva máquina virtual, vaya a Máquinas virtuales, seleccione Agregar y elija Windows Server.
3. Seleccione la versión de Windows servidor que desea usar.
4. Seleccione Crear. Crear máquina virtual
5. Proporcione un Nombre, un Nombre de usuario, una Contraseña y cree un nuevo grupo de recursos o elija un grupo de recursos existente.
6. Seleccione Aceptar.
7. Seleccione un tamaño de máquina virtual.
8. En la sección siguiente, realice las elecciones adecuadas para sus necesidades, seleccione la sección Extensiones.
9. Seleccione Agregar extensión.
10. En Nuevo recurso, elija Microsoft Antimalware.
11. Seleccione Crear
12. En la sección Instalar extensión se puede configurar el archivo, las ubicaciones y las exclusiones del proceso, así como otras opciones de análisis. Elija Aceptar.
13. Elija Aceptar.
14. En la sección Configuración, elija Aceptar.
15. En la pantalla Crear, elija Aceptar.

Consulte esta plantilla Azure Resource Manager para la implementación de la extensión de máquina virtual antimalware para Windows.

Implementación mediante la configuración de Visual Studio máquina virtual

Para habilitar y configurar el servicio Microsoft Antimalware mediante Visual Studio:

1. Conéctese a Microsoft Azure en Visual Studio.

2. Elija la máquina virtual en el nodo Virtual Machines en Server Explorer

   

3. Haga clic con el botón derecho en configurar para ver la página de configuración de máquinas virtuales.

4. Seleccione Extensión Microsoft Antimalware en la lista desplegable en Extensiones instaladas y seleccione Agregar para configurar con la configuración predeterminada de antimalware. Extensiones instaladas

5. Para personalizar la configuración predeterminada de Antimalware, seleccione (resaltar) la extensión Antimalware en la lista de extensiones instaladas y seleccione Configurar.

6. Reemplace la configuración predeterminada de Antimalware por la configuración personalizada en formato JSON compatible en el cuadro de texto configuración pública y seleccione Aceptar.

7. Seleccione el botón Actualizar para insertar las actualizaciones de configuración en la máquina virtual.

   Extensión de configuración de máquina virtual

Implementación mediante cmdlets de PowerShell

Una aplicación o servicio Azure puede habilitar y configurar Microsoft Antimalware para Azure Virtual Machines mediante cmdlets de PowerShell.

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:

1. Configuración del entorno de PowerShell: consulte la documentación de https://github.com/Azure/azure-powershell
2. Use el cmdlet para habilitar y configurar Microsoft Antimalware para la máquina virtual.

Habilitación y configuración de antimalware mediante cmdlets de PowerShell

Una aplicación o servicio de Azure puede habilitar y configurar Microsoft Antimalware para Azure Cloud Services mediante cmdlets de PowerShell. Microsoft Antimalware se instala en un estado deshabilitado en la plataforma de Cloud Services y requiere una acción por parte de una aplicación de Azure para habilitarlo.

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:

1. Configuración del entorno de PowerShell: consulte la documentación de https://github.com/Azure/azure-powershell
2. Use el cmdlet para habilitar y configurar Microsoft Antimalware para el servicio en la nube.

Para obtener más información sobre los comandos de PowerShell de ejemplo, consulte ejemplos de Code para habilitar y configurar Microsoft Antimalware para Azure.

Cloud Services y Virtual Machines: configuración mediante cmdlets de PowerShell

Una aplicación o servicio de Azure puede recuperar la configuración de Microsoft Antimalware para Cloud Services y Virtual Machines mediante cmdlets de PowerShell.

Para recuperar la configuración de Microsoft Antimalware mediante cmdlets de PowerShell:

1. Configuración del entorno de PowerShell: consulte la documentación de https://github.com/Azure/azure-powershell
2. For Virtual Machines: use el cmdlet /Get-AzureVMMicrosoftAntimalwareExtension para obtener la configuración antimalware.
3. Para Servicios en la Nube: Use el cmdlet para obtener la configuración de Antimalware.

Ejemplos

Eliminación de la configuración antimalware mediante cmdlets de PowerShell

Una aplicación o servicio de Azure puede quitar completamente la protección antimalware de Microsoft desinstalando las extensiones pertinentes de cloud Services o Virtual Machines. Este proceso quita tanto la protección antimalware como la configuración de supervisión asociada, lo que interrumpe completamente la protección contra malware y la recopilación de eventos para los recursos especificados.

Para quitar Microsoft Antimalware mediante cmdlets de PowerShell:

1. Configuración del entorno de PowerShell: consulte la documentación de https://github.com/Azure/azure-powershell
2. Para máquinas virtuales: Use el cmdlet Remove-AzureVMMicrosoftAntimalwareExtension.
3. Para Cloud Services: Utilice el cmdlet.

Para habilitar la recopilación de eventos de antimalware para una máquina virtual mediante el Portal de Azure en versión preliminar:

1. Seleccione cualquier parte de la sección Supervisión en la página de detalles de la máquina virtual.
2. Seleccione el comando Diagnósticos en la sección Métricas.
3. Seleccione Status ACTIVADO y active la opción para el sistema de eventos de Windows.
4. Puede desactivar todas las demás opciones de la lista o dejarlas habilitadas, según las necesidades de su servicio de aplicación.
5. Las categorías de eventos antimalware "Error", "Warning", "Informational", etc., se capturan en la cuenta de Azure Storage.

Los eventos antimalware se recopilan de los registros del sistema de eventos de Windows en la cuenta de Azure Storage. Puede configurar la cuenta de almacenamiento de la máquina virtual para la recopilación de eventos Antimalware seleccionando la cuenta de almacenamiento adecuada.

Métricas y diagnósticos

Habilitación y configuración de antimalware mediante cmdlets de PowerShell para máquinas virtuales de Azure Resource Manager

Para habilitar y configurar Microsoft Antimalware para máquinas virtuales de Azure Resource Manager mediante cmdlets de PowerShell:

1. Configure el entorno de PowerShell con este documentation en GitHub.
2. Use el cmdlet Set-AzVMExtension para habilitar y configurar Microsoft Antimalware para su máquina virtual.

Están disponibles los ejemplos de código siguientes:

• Implementación de Microsoft Antimalware en máquinas virtuales de plantilla de ARM
• Add Microsoft Antimalware to Azure Service Fabric Clusters

Habilitar y configurar antimalware para servicio en la nube de soporte extendido de Azure (CS-ES) mediante cmdlets de PowerShell

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:

1. Configuración del entorno de PowerShell: consulte la documentación de https://github.com/Azure/azure-powershell
2. Use el cmdlet New-AzCloudServiceExtensionObject para habilitar y configurar Microsoft Antimalware para la máquina virtual del servicio en la nube.

El ejemplo de código siguiente está disponible:

• Agregar Microsoft Antimalware al Servicio en la nube de Azure con soporte extendido (CS-ES)

Habilitación y configuración de antimalware mediante cmdlets de PowerShell para servidores habilitados para Azure Arc

Para habilitar y configurar Microsoft Antimalware para servidores habilitados para Azure Arc mediante cmdlets de PowerShell:

1. Configure el entorno de PowerShell con este documentation en GitHub.
2. Use el cmdlet New-AzConnectedMachineExtension para habilitar y configurar Microsoft Antimalware para los servidores habilitados para Azure Arc.

Están disponibles los ejemplos de código siguientes:

• Agregar Microsoft Antimalware para servidores habilitados para Azure Arc

Pasos siguientes

• ejemplos de Code para habilitar y configurar Microsoft Antimalware para Azure
• Microsoft Defender for Cloud