OMS Security: presentazione della soluzione di Antimalware Assessment

Microsoft Operations Management Suite (OMS) mette a disposizione una interessante solution denominata Antimalware Assessment grazie alla quale è possibile monitorare lo stato della protezione antimalware sull’intera infrastruttura e rilevare facilmente potenziali minacce.

Per poter utilizzare la solution Antimalware Assessment è necessario sottoscrivere l’offerta “Security & Compliance” di OMS. L’installazione della solution può essere fatta seguendo la procedura illustrata nella parte iniziale dell’articolo OMS Security: Threat Intelligence oppure accedendo direttamente all’Azure Marketplace. Dopo essere attivata nel workspace di OMS non è necessaria nessuna ulteriore configurazione ed è pronta per essere utilizzata.

La solution grazie a una dashboard di facile consultazione evidenzia i sistemi senza una protezione real-time antimalware attiva ed è in grado di riportare lo stato antimalware in OMS per i seguenti prodotti:

  • Windows Defender su Windows 8, Windows 8.1, Windows 10 e Windows Server 2016.
  • Windows Security Center (WSC) su Windows 8, Windows 8.1, Windows 10, Windows Server 2016.
  • System Center Endpoint Protection (versione 4.5.216 o successiva).
  • Estensione antimalware e Windows Malicious Software Removal Tool (MSRT) attivato su macchine virtuali in Azure.
  • Symantec Endpoint 12.x e 14.x.
  • Trend Micro Deep 9.6.

Al momento vengono rilevate solamente le installazioni di alcune soluzioni di vendor di terze parti quali Symantec e Trend Micro, ma con tutta probabilità questo elenco è destinato ad aumentare.

Sui sistemi monitorati da OMS viene fatto un assessment sulla protezione verificando lo stato del prodotto antimalware, se vengono eseguite analisi a intervalli regolari e se si stanno utilizzando firme risalenti a non più di sette giorni.

Nella home page del portale OMS è presente il tile Antimalware Assessment che riporta un summary dello stato dell’infrastruttura:

Figura 1 – Antimalware Assessment tile

Selezionando questo tile si accede alla dashboard della solution Antimalware Assessment che categorizza le informazioni raccolte e le riporta in 4 tile differenti:

  • Threat Status
  • Detected Threats
  • Protection Status
  • Type of Protection

Figura 2 – Dashboard Antimalware Assessment

I primi due tile sono incentrati sulle rilevazioni delle infezioni riportando la tipologia di malware intercettato, i sistemi infettati ed evidenziando situazioni dove l’antimalware non è stato in grado di pulire il sistema dall’infezione.

Selezionando la macchina infettata oppure il nome del malware si viene rimandati nella pagina di Log Search dove è possibile consultare le informazioni dettagliate del threat rilevato:

Figura 3 – Dettagli del threat rilevato

Selezionando il link View accanto al nome del threat si viene indirizzati verso l’enciclopedia dei malware di Microsoft:

Figura 4 – Ricerca all’interno dell’enciclopedia Microsoft dei malware

Selezionando il nome del malware è possibile consultare la scheda con tutti i dettagli relativi all’infezione:

Figura 5 – Scheda con le informazioni del malware

I restanti tile riportano informazioni utili sullo stato di protezione dell’infrastruttura:

  • Quali macchine non risultano protette e per quale ragione (agente disabilitato, signature non aggiornate oppure scansione non effettuata recentemente) consentendo così di intraprendere le necessarie azioni correttive.
  • L’elenco delle soluzioni antimalware rilevate sul parco macchine.

Da questi tile è possibile fare facilmente un drill down per vedere la lista delle macchine interessate, come ad esempio la lista delle macchine senza una protezione real time attiva:

Figura 6 – Macchine senza real time protection

Conclusioni

Poter contare su uno strumento in grado di identificare velocemente sistemi con una protezione antimalware non sufficiente oppure macchine compromesse da malware è di fondamentale importanza per mitigare tentativi di compromissione dei dati aziendali ed evitare importanti incidenti di security. Microsoft Operations Management Suite (OMS) oltre a queste funzionalità include altre importanti soluzioni in questo ambito che lo rendono un ottimo strumento per garantire la security e la compliance della propria infrastruttura. Per approfondire ulteriormente questa e altre funzionalità è possibile provare la soluzione OMS gratuitamente.

Please follow and like us: