你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

恶意软件扫描

Microsoft Defender for Cloud 为虚拟机提供无代理恶意软件扫描,作为其无代理扫描功能的一部分,改进计算机威胁防护。 无代理扫描无需安装任何代理或建立网络连接,并且不会影响计算机性能。

针对计算机的无代理恶意软件扫描提供:

  • 优化了覆盖范围 - 如果计算机未启用防病毒解决方案,则无代理检测器会扫描该计算机以检测恶意活动。
  • 检测潜在威胁 - 无代理扫描程序扫描所有文件和文件夹,包括从基于代理的防病毒扫描中排除的任何文件或文件夹,且不影响计算机的性能。
  • 深度检测功能:使用 Microsoft Defender 防病毒高级云保护进行全面、最新的恶意软件检测。
  • 不同的扫描类型 - 无代理扫描可以快速运行完整扫描。
  • 集成安全警报 - 恶意软件安全警报同时集成到 Defender for Cloud 和 Defender XDR 中。

启用了无代理扫描的 Defender for Servers 计划 2 可以进行计算机的无代理恶意软件扫描。 Azure VM 以及连接到 Defender for Cloud 的 AWS/GCP 计算机支持扫描恶意软件。

恶意软件安全警报

检测到恶意文件时,Defender for Cloud 将生成安全警报

  • 安全警报包含文件的详细信息和上下文、恶意软件类型,以及建议的调查和修正步骤。
  • 仅当环境中检测到威胁时,安全警报才会显示在门户中。 如果没有任何警报,可能是因为环境中没有威胁。
  • 可以运行测试来检查无代理恶意软件扫描是否按预期工作。
  • 可以基于这些警报配置自动化
  • 还可以将安全警报导出到安全信息和事件管理 (SIEM) 解决方案,例如 Microsoft Sentinel 连接器或所选的其他 SIEM。

处理可能的误报

如果你认为文件被错误地检测为恶意软件(误报),则可以通过示例提交门户提交该文件以进行分析。

  • Defender 安全分析师分析提交的文件。
  • 如果分析报告将指示文件是干净的,则该文件从现在开始将不会再触发新警报。

通过 Defender for Cloud,可抑制假正警报。 请确保使用恶意软件名称或文件哈希来限制抑制规则。

下一步

了解如何为 VM 启用无代理扫描