OMS Security: presentazione della soluzione di Antimalware Assessment

Microsoft Operations Management Suite (OMS) mette a disposizione una interessante solution denominata Antimalware Assessment grazie alla quale è possibile monitorare lo stato della protezione antimalware sull’intera infrastruttura e rilevare facilmente potenziali minacce.

Per poter utilizzare la solution Antimalware Assessment è necessario sottoscrivere l’offerta “Security & Compliance” di OMS. L’installazione della solution può essere fatta seguendo la procedura illustrata nella parte iniziale dell’articolo OMS Security: Threat Intelligence oppure accedendo direttamente all’Azure Marketplace. Dopo essere attivata nel workspace di OMS non è necessaria nessuna ulteriore configurazione ed è pronta per essere utilizzata.

La solution grazie a una dashboard di facile consultazione evidenzia i sistemi senza una protezione real-time antimalware attiva ed è in grado di riportare lo stato antimalware in OMS per i seguenti prodotti:

  • Windows Defender su Windows 8, Windows 8.1, Windows 10 e Windows Server 2016.
  • Windows Security Center (WSC) su Windows 8, Windows 8.1, Windows 10, Windows Server 2016.
  • System Center Endpoint Protection (versione 4.5.216 o successiva).
  • Estensione antimalware e Windows Malicious Software Removal Tool (MSRT) attivato su macchine virtuali in Azure.
  • Symantec Endpoint 12.x e 14.x.
  • Trend Micro Deep 9.6.

Al momento vengono rilevate solamente le installazioni di alcune soluzioni di vendor di terze parti quali Symantec e Trend Micro, ma con tutta probabilità questo elenco è destinato ad aumentare.

Sui sistemi monitorati da OMS viene fatto un assessment sulla protezione verificando lo stato del prodotto antimalware, se vengono eseguite analisi a intervalli regolari e se si stanno utilizzando firme risalenti a non più di sette giorni.

Nella home page del portale OMS è presente il tile Antimalware Assessment che riporta un summary dello stato dell’infrastruttura:

Figura 1 – Antimalware Assessment tile

Selezionando questo tile si accede alla dashboard della solution Antimalware Assessment che categorizza le informazioni raccolte e le riporta in 4 tile differenti:

  • Threat Status
  • Detected Threats
  • Protection Status
  • Type of Protection
Figura 2 – Dashboard Antimalware Assessment

I primi due tile sono incentrati sulle rilevazioni delle infezioni riportando la tipologia di malware intercettato, i sistemi infettati ed evidenziando situazioni dove l’antimalware non è stato in grado di pulire il sistema dall’infezione.

Selezionando la macchina infettata oppure il nome del malware si viene rimandati nella pagina di Log Search dove è possibile consultare le informazioni dettagliate del threat rilevato:

Figura 3 – Dettagli del threat rilevato

Selezionando il link View accanto al nome del threat si viene indirizzati verso l’enciclopedia dei malware di Microsoft:

Figura 4 – Ricerca all’interno dell’enciclopedia Microsoft dei malware

Selezionando il nome del malware è possibile consultare la scheda con tutti i dettagli relativi all’infezione:

Figura 5 – Scheda con le informazioni del malware

I restanti tile riportano informazioni utili sullo stato di protezione dell’infrastruttura:

  • Quali macchine non risultano protette e per quale ragione (agente disabilitato, signature non aggiornate oppure scansione non effettuata recentemente) consentendo così di intraprendere le necessarie azioni correttive.
  • L’elenco delle soluzioni antimalware rilevate sul parco macchine.

Da questi tile è possibile fare facilmente un drill down per vedere la lista delle macchine interessate, come ad esempio la lista delle macchine senza una protezione real time attiva:

Figura 6 – Macchine senza real time protection

Conclusioni

Poter contare su uno strumento in grado di identificare velocemente sistemi con una protezione antimalware non sufficiente oppure macchine compromesse da malware è di fondamentale importanza per mitigare tentativi di compromissione dei dati aziendali ed evitare importanti incidenti di security. Microsoft Operations Management Suite (OMS) oltre a queste funzionalità include altre importanti soluzioni in questo ambito che lo rendono un ottimo strumento per garantire la security e la compliance della propria infrastruttura. Per approfondire ulteriormente questa e altre funzionalità è possibile provare la soluzione OMS gratuitamente.

A proposito di Francesco Molfese

Francesco Molfese ha conseguito la laurea triennale in Ingegneria Informatica presso l’Università degli Studi di Modena e Reggio Emilia nel 2004. Nel 2005 inizia la sua esperienza lavorativa nel settore ICT in ambito sistemistico. Durante il 2006 segue un percorso formativo che termina con il raggiungimento della certificazione "Microsoft Certified Systems Engineer". Presso l'azienda dove lavora, ricopre il ruolo di Senior Consultant e si occupa in particolare di virtualizzazione, gestione, sicurezza e protezione dell'infrastruttura. Segue inoltre la progettazione e l’implementazione di architetture cloud in particolare per i Service Provider. Dal 2006 è stato coinvolto in diverse implementazioni di sistemi di management, ha seguito numerosi progetti per la sicurezza e protezione dei dati aziendali ed ha implementato svariati sistemi di virtualizzazione. Tutte queste attività sono state svolte su clienti che spaziano da alcune centinaia di sistemi fino a diverse migliaia. Nel 2009 ottiene la certificazione "Microsoft Certified IT Professional - Enterprise Administrator" (MCITP) e dal 2012 detiene la qualifica di "Microsoft Certified Trainer" (MCT). A Ottobre 2016 Microsoft gli assegna il titolo Most Valuable Professional (MVP) nella specializzazione "Cloud and Datacenter Management".

Lascia un commento