惡意代碼掃描
適用於雲端的 Microsoft Defender 提供虛擬機的無代理程式惡意代碼掃描,作為其無代理程序掃描功能的一部分,以改善計算機威脅防護。 無代理程序掃描不需要任何已安裝的代理程式或網路連線,而且不會影響機器效能。
機器的無代理程式惡意代碼掃描提供:
- 改善涵蓋範圍 - 如果機器未啟用防毒解決方案,則無代理程式偵測器會掃描該機器以偵測惡意活動。
- 潛在威脅偵測 - 無代理程序掃描器會掃描所有檔案和資料夾,包括從代理程式型防毒掃描中排除的任何檔案或資料夾,而不會影響電腦的效能。
- 深層偵測功能:使用 Microsoft Defender 防毒軟體 搭配進階雲端保護的全方位、最新的惡意代碼偵測。
- 不同的掃描類型 - 無代理程序掃描可以快速且完整地執行掃描。
- 整合式安全性警示 - 惡意代碼安全性警示會整合到 適用於雲端的 Defender 和 Defender XDR 中。
適用於伺服器之 Defender 中的電腦無代理程式惡意代碼掃描已啟用無代理程式掃描的方案 2。 Azure VM 支援掃描惡意代碼,以及連線至 適用於雲端的 Defender 的 AWS/GCP 機器。
惡意代碼安全性警示
偵測到惡意檔案時,適用於雲端的 Defender 會產生安全性警示。
- 安全性警示包含檔案的詳細數據和內容、惡意代碼類型,以及建議的調查和補救步驟。
- 只有在環境中偵測到威脅時,安全性警示才會出現在入口網站中。 如果您沒有任何警示,可能是因為您的環境沒有任何威脅。
- 您可以 執行測試 來檢查無代理程式惡意代碼掃描是否如預期般運作。
- 您可以 根據這些警示來設定自動化 。
- 您也可以 將安全性警示 導出至安全性資訊和事件管理 (SIEM) 解決方案,例如 Microsoft Sentinel 連接器,或您選擇的另一個 SIEM。
處理可能的誤判
如果您認為檔案被錯誤地偵測為惡意程式碼 (誤判為真),您可透過樣本提交入口網站進行分析。
- Defender 安全性分析師會分析提交的檔案。
- 如果分析報告指出檔案是乾淨的,則檔案將不會從現在起觸發新的警示。
適用於雲端的 Defender 可讓您隱藏誤判為真的警示。 請務必使用惡意程式碼名稱或檔案摘要來限制歸併規則。
後續步驟
瞭解如何 啟用 VM 的無代理程序掃描。