你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用无代理恶意软件扫描保护服务器

Microsoft Defender for Cloud 的 Defender for Servers 计划 2 支持无代理恶意软件扫描功能,可扫描和检测恶意软件和病毒。 该扫描程序适用于 Azure 虚拟机 (VM)、AWS EC2 实例和 GCP VM 实例。

无代理恶意软件扫描提供:

  • 全面的最新的恶意软件检测功能,可利用由 Microsoft 智能源支持的 Microsoft Defender 防病毒引擎和云保护签名源。

  • 快速完整的扫描,可使用启发式的基于签名的威胁检测。

  • 安全警报,在检测到恶意软件时生成。 这些警报为调查提供更多详细信息和上下文,会同时发送到 Defender for Cloud Alerts 页面和 Defender XDR。

重要

只能通过启用了无代理扫描的 Defender for Servers 计划 2 使用无代理恶意软件扫描。

无代理恶意软件检测

无代理恶意软件扫描为受保护和未受保护的计算机提供以下优势:

  • 优化了覆盖范围 - 如果计算机未启用防病毒解决方案,则无代理检测器会扫描该计算机以检测恶意活动。

  • 检测潜在威胁 - 无代理扫描程序扫描所有文件和文件夹,包括从基于代理的防病毒扫描中排除的任何文件或文件夹,且不影响计算机的性能。

可以详细了解无代理计算机扫描以及如何为 VM 启用无代理扫描

重要

仅当环境中检测到威胁时,安全警报才会显示在门户中。 如果没有任何警报,可能是因为环境中没有威胁。 可以进行测试以确定无代理恶意软件扫描功能是否已正确载入并正在向 Defender for Cloud 报告

Defender for Cloud 安全警报

在检测到恶意文件时,Microsoft Defender for Cloud 会生成 Microsoft Defender for Cloud 安全警报。 要查看警报,请转到 Microsoft Defender for Cloud 安全警报。 安全警报包含文件的详细信息和上下文、恶意软件类型,以及建议的调查和修正步骤。 要使用这些警报进行修正,可以:

  1. 通过导航到“Microsoft Defender for Cloud”>“安全警报”来查看 Azure 门户中的安全警报
  2. 基于这些警报配置自动化
  3. 将安全警报导出到 SIEM。 可以使用 Microsoft Sentinel 连接器或所选的其他 SIEM 连续导出安全警报 Microsoft Sentinel(Microsoft 的 SIEM)。

详细了解如何响应安全警报

处理可能的误报

如果你认为文件被错误地检测为恶意软件(误报),则可以通过示例提交门户提交该文件以进行分析。 提交的文件将由 Defender 的安全分析师进行分析。 如果分析报告将指示文件实际上是干净的,则该文件从现在开始将不会再触发新警报。

通过 Defender for Cloud,可抑制假正警报。 请确保使用恶意软件名称或文件哈希来限制抑制规则。

下一步

详细了解如何为 VM 启用无代理扫描