前言回顧

技能解封中間章程-城池風險維安御林軍(Azure Security Center)

已領取技能符石

解封技能樹(Start)

適合的勇者？

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

學完可以帶走甚麼？

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹，把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

奧莉爾 vs 墨菲斯托

誤觸邪靈之血，往內互打

平靜是好事，但太過安靜總是令人擔憂!一個南門的城門守衛突然感到不適，另一位士兵趕緊扶同袍進入城中正打算休息，突然間！．．．．．．慘叫但已經氣絕，接下來一個個突變活像個喪屍，沒錯！遠古的戰役中遺留了這樣一個燒杯到大小的封存的不知名溶劑，而讓這士兵撿拾但一個不穩跌倒溶劑灑到自己身上但就隨著傷口流竄(原來是先前惡邪靈之血)，事已至此止血讓疫情降至最低才是上策，天使殿上有個聖池，還好經過祕法把聖水霧化後大範圍形成一個個隔離結界讓同伴淨化，而讓心靈可以轉正逼出邪靈讓城中免於內亂．．呈現往內互打的情勢發生。回到人類聽得懂的代名詞"惡意程式碼掃描"小弟先簡述一下此服務究竟為何？

Azure 中對於微軟 Antimalware 作為即時監視保護能提升病毒辨識比率並能即時移除間諜，病毒或惡意程式。通常這些程式都是潛藏在大家熟知完全信任的軟體上加料，而一旦偵測到此安裝行為時會觸發 Azure 系統間的防護進而執行一系列警示與阻擋行為。

以下是針對應用程式的用戶環境所提供的反惡意程式方案，此方案適用於 Azure 的 Microsoft Antimalware：

1. Microsoft Security Essentials。(之前熟知的微軟內建防毒軟體)
2. Microsoft Endpoint Protection。
3. Microsoft System Center Endpoint Protection。
4. Windows Intune。
5. Windows Defender。
   可大幅降低人為的介入下背景作業進行監視。可依應用軟體工作負載選擇基本或進階安全性組態來做防護。

Azure VM 對於 Antimalware 幾項功能用途：

• 即時保護 - 針對虛擬機上的活動狀態做偵測防護及惡意程式封阻，以確保往後能針對不斷變化的威脅及時反應。
• 排程掃描 - 排程掃描偵測惡意程式碼。
• 惡意防護 - 自動對偵測到的惡意程式檔案進行移除或隔離惡意檔案及清除惡意的登錄項目。
• 範例報告 - 將範例提供並報告至 Antimalware 服務，以協助改善其服務並啟用疑難排解。
• 排除項目 - 可以設置檔案、程序及磁碟的排除項目。
• 事件收集 - 記錄 OS Event 反惡意程式健康狀態、可疑活動及修復的行為相關資料傳送至 Azure Storage 中。

反惡意程式碼安裝方式如下：
Azure Portal 建立 VM 時建立部署。
透過資訊安全中心提醒 VM 尚未安裝 Endpoint Protection 解決方案的風險進行補救。
Visual Studio 佈建 VM 時透過組態把 Antimalware 延伸模組放進去。
PowerShell 方式進行部署

架構流程

1. 透過 Azure Portal or PowerShell將 Antimalware 延伸安裝檔推送至 Azure 中一個固定預設位置。
2. Azure VM 的 Agent 會啟動反惡意程式，將其組態設定套用。讓你如果沒有做任何自訂時就以預設組態來啟動其反惡意程式碼服務。
3. 執行過程中 Antimalware 會透過 Internet 下載最新保護定義載入到 Azure。
4. Antimalware 會將紀錄事件寫至 OS 事件記錄中。內容涵蓋反惡意程式碼用戶健康狀態、保護狀態、組態設定更新等定義的資訊。
5. 透過 Powershell 開啟 VM 反惡意程式碼監視，以便在此事件記錄中產生到你的 Azure Storage 一併寫入。
   

如何透過 Antimalware 延伸模組開啟監視

• 如需實際監視主機資安狀態則要透過 Antimalware PowerShell 來啟用診斷讓 VM 中 Antimalware Event 聚集。
• 透過設定 Azure 診斷延伸模組，從事件記錄檔來源 Microsoft Antimalware 擷取事件至 Azure Storage。其中包含錯誤，警告或詳細資訊等反惡意事件類型。
  以下是 PowerShell 針對 VM 的範例：
  PS C:> Add-AzureAccount
  PS C:> Select-AzureSubscription -SubscriptionName ""
  PS C:> $StorageContext = New-AzureStorageContext -StorageAccountName "" -StorageAccountKey (Get-AzureStorageKey -StorageAccountName "").Primary
  PS C:> Set-AzureServiceAntimalwareExtension -ServiceName "" -Monitoring ON -StorageContext $StorageContext
  Antimalware For Azure VM Code Samples

實作工坊

而光說不練怎麼行，實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下：

技能解封中間章程-庇護所疫軍之亂(Azure Anti-malware)

1. Azure Anti-malware 成本計價。
2. Azure Anti-malware Q&A。
3. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持，歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲