Integrazione di Microsoft Defender per il cloud

  • Articolo

Le macchine virtuali riservate di Azure (VM riservate) sono integrate con Microsoft Defender per il cloud. Defender per il cloud controlla continuamente che la macchina virtuale riservata sia configurata correttamente e fornisce raccomandazioni e avvisi pertinenti.

Per usare Defender per il cloud con la macchina virtuale riservata, è necessario che sulla macchina virtuale sia installata la funzionalità di attestazione guest. Per saperne di più, vedere l'applicazione di esempio per l'attestazione guest per informazioni su come installare l'estensione della funzionalità.

Consigli

In caso di problemi di configurazione con la macchina virtuale riservata, Defender per il cloud consiglia le modifiche più opportune.

Abilitare l'avvio protetto

L'avvio protetto deve essere abilitato sulle macchine virtuali Windows/Linux supportate

Questa raccomandazione di gravità bassa indica che la macchina virtuale riservata supporta l'avvio protetto, ma questa funzionalità è attualmente disabilitata.

Questa raccomandazione si applica solo alle macchine virtuali riservate.

Installare l'estensione di attestazione guest

L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows/Linux supportate

Questa raccomandazione di gravità bassa indica che la macchina virtuale riservata non ha l'estensione di attestazione guest installata, ma l'avvio protetto e vTPM sono già abilitati. Quando si installa questa estensione, Defender per il cloud può attestare e monitorare in modo proattivo l'integrità dell'avvio delle macchine virtuali. L'integrità dell'avvio viene convalidata tramite attestazione remota.

Quando si abilita il monitoraggio dell'integrità dell'avvio, Defender per il cloud esegue una valutazione con lo stato dell'attestazione remota.

Questa funzionalità è supportata per le singole macchine virtuali Windows e Linux e i set di scalabilità uniformi.

Avvisi

Defender per il cloud rileva e segnala anche problemi di integrità delle macchine virtuali.

Errore di attestazione della macchina virtuale

Attestazione non riuscita della macchina virtuale

Questo avviso di gravità media indica che l'attestazione della macchina virtuale ha avuto esito negativo. Defender per il cloud esegue periodicamente l'attestazione nelle macchine virtuali e dopo l'avvio della macchina virtuale.

Nota

Questo avviso è disponibile solo per le macchine virtuali con vTPM abilitato e l'estensione di attestazione guest installata. Affinché l'attestazione abbia esito positivo, è necessario abilitare anche l'avvio protetto. Se è necessario disabilitare l'avvio protetto, è possibile scegliere di eliminare questo avviso per evitare falsi positivi.

I motivi dell'errore di attestazione includono:

  • Le informazioni attestate, che includono il log di avvio, si discostano da una baseline attendibile. Questo problema potrebbe indicare che sono stati caricati moduli non attendibili e che il sistema operativo potrebbe essere compromesso.
  • Non è possibile verificare che l'offerta di attestazione abbia origine dal vTPM della macchina virtuale attestata. Questo problema potrebbe indicare la presenza di malware, il che potrebbe indicare che il traffico verso vTPM viene intercettato.

Passaggi successivi