Condividi tramite

Analisi malware

  • Articolo

Microsoft Defender per il cloud fornisce l'analisi di malware senza agente per le macchine virtuali come parte delle funzionalità di analisi senza agente che migliorano la protezione dalle minacce del computer. L'analisi senza agente non richiede agenti installati o connettività di rete e non influisce sulle prestazioni del computer.

L'analisi di malware senza agente per i computer fornisce:

  • Copertura migliorata: se una macchina non dispone di una soluzione antivirus abilitata, il rilevatore senza agente analizza il computer per rilevare attività dannose.
  • Potenziale rilevamento delle minacce: lo scanner senza agente analizza tutti i file e le cartelle, inclusi i file o le cartelle esclusi dalle analisi antivirus basate su agenti, senza avere alcun effetto sulle prestazioni del computer.
  • Funzionalità di rilevamento avanzato: rilevamento completo e aggiornato di malware con Antivirus Microsoft Defender con protezione cloud avanzata.
  • Tipi di analisi diversi: l'analisi senza agente può eseguire analisi rapide e complete.
  • Avvisi di sicurezza integrati: gli avvisi di sicurezza malware sono integrati sia in Defender per il cloud che in Defender XDR.

Analisi malware senza agente per i computer disponibili in Defender per server Piano 2 con l'analisi senza agente abilitata. La ricerca di malware è supportata per le macchine virtuali di Azure e i computer AWS/GCP connessi a Defender per il cloud.

Avvisi di sicurezza malware

Quando viene rilevato un file dannoso, Defender per il cloud genera un avviso di sicurezza.

  • Gli avvisi di sicurezza contengono dettagli e contesto sul file, sul tipo di malware e sulle procedure consigliate per l'analisi e la correzione.
  • Gli avvisi di sicurezza vengono visualizzati nel portale solo quando vengono rilevate minacce nell'ambiente. Se non si dispone di avvisi, potrebbe essere dovuto al fatto che non sono presenti minacce per l'ambiente.
  • È possibile eseguire un test per verificare che l'analisi del malware senza agente funzioni come previsto.
  • È possibile configurare le automazione in base a questi avvisi.
  • È anche possibile esportare gli avvisi di sicurezza in una soluzione SIEM (Security Information and Event Management), ad esempio il connettore di Microsoft Sentinel o un altro siem di propria scelta.

Gestire possibili falsi positivi

Se si ritiene che un file venga rilevato erroneamente come malware (falso positivo), è possibile inviarlo per l'analisi tramite il portale di invio di esempio.

  • Gli analisti della sicurezza di Defender analizzano il file inviato.
  • Se il report di analisi indica che il file è pulito, il file non attiverà nuovi avvisi da ora in poi.

Defender per il cloud consente di eliminare gli avvisi falsi positivi. Assicurarsi di limitare la regola di eliminazione usando il nome del malware o l'hash del file.

Passaggio successivo

Informazioni su come abilitare l'analisi senza agente per le macchine virtuali.