Microsoft Antimalware for Azure による Azure 仮想マシンの 簡易的なマルウェア対策 Copyright 2015 ITdesign Corporation , All Rights Reserved 1 アイティデザイン株式会社 代表取締役社長 知北直宏 ‘15/04/25 @ ふくあず ライトニングトーク
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Microsoft Antimalware for Azure による Azure 仮想マシンの
簡易的なマルウェア対策
Copyright 2015 ITdesign Corporation , All Rights Reserved
1
アイティデザイン株式会社
代表取締役社長 知北直宏
‘15/04/25 @ ふくあず
ライトニングトーク
はじめに
• Windows のマルウェア(不正プログラム)対策は
とても重要
• クラウド環境では特に重要
• 「Microsoft Antimalware for Azure」を
使うことにより、Azure クラウドサービスと、
Azure 仮想マシンの簡易的なマルウェア対策が可能
• この LT では、Azure 仮想マシンで
この機能を使うための方法などをご紹介
次へ
Copyright 2014 ITdesign Corporation , All Rights Reserved
2
自己紹介
知北直宏(ちきたなおひろ)Twitter: @wanto1101
アイティデザイン株式会社 代表取締役者社長
福岡で、ITPro、SIerとして、Active Directory、Hyper-V など、
マイクロソフトのサーバー製品の提案・構築・移行・サポートなど担当。
大手、地場インテグレーターさんの後方支援など。
Microsoft MVP (Directory Services ⇒ Hyper-V)
マイクロソフトのホワイトペーパー執筆、イベントスピーカー
コラム執筆「Windows Server 活用のススメ」 http://www.bit-drive.ne.jp/wm2003/index.html?mk_type=18
書籍執筆
「標準テキスト Windows Server 2012 R2
構築・運用・管理パーフェクトガイド」
「標準テキスト Windows Server 2008 R2
構築・運用・管理パーフェクトガイド」その他
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
3
3月に 第2版 発売!!
Azure 仮想マシンのマルウェア対策
Azure 仮想マシンでは数種類から選択可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
4
← TrendMicro DSA 【有償】
← Symantec Endpoint Protection【有償】
← Microsoft Antimalware【無償】
Azure ポータル
作成 > コンピューティング
> VMの作成 > オプションの構成
> 拡張機能
マルウェア対策保護、侵入検知、ファイアウォール、
Web レピュテーション、整合性監視
ネットワーク保護、ファイル保護、評価保護、修復
マルウェア対策保護
Microsoft Antimalware の特徴
• ウイルスやスパイウェアなど不正プログラムの検知と削除が可能
• 次のシステムと同等のエンジン、機能
– Microsoft Security Essentials
– Microsoft Forefront Endpoint Protection
– Microsoft System Center Endpoint Protection
– Microsoft Intune
– Windows Defender for Windows 8.0 and higher
• 無償
• GUI なし(公式には…)
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
5
Microsoft Antimalware の特徴(おまけ)
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
6
有効化手順の例
Azure ポータルで仮想マシン作成時に、
VM エージェントとともに有効化が可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
7
Azure ポータル
作成 > コンピューティング > VMの作成 > オプションの構成 > 拡張機能
> 新しいリソース > Microsoft Antimalware
新ポータルでは
仮想マシン作成時に
初期構成が可能
EXCLUDED FILES AND
LOCATIONS
EXCLUDED FILE EXTENSIONS
EXCLUDED PROCESSES
REAL-TIME PROTECTION
RUN A SCHEDULED SCAN
SCAN TYPE
SCAN DAY
SCAN TIME
構成手順(例1) 構成ファイル (JSON 形式) を用意して、Azure PowerShell で設定
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
8
{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 7, "time": 120, "scanType": "Quick“ }, "Exclusions": { "Extensions": ".ext1;.ext2;.txt", "Paths": "c:¥¥excluded-path-1;c:¥¥excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe“ } }
Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension –AntimalwareConfigFile "C:¥AntimalwareCon.json" | ` Update-AzureVM
構成ファイルの例
PowerShell コマンドレットの例
構成手順(例2) Azure PowerShell で構成を直接変更することも可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
9
Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension -Disable | Update-AzureVM
PowerShell コマンドレットでAntimalwareを無効化する例
$config_string = '{"AntimalwareEnabled" : true}‘
Get-AzureVM -ServiceName "nchikita150422a" -Name "nchikita150422a" | ` Set-AzureVMMicrosoftAntimalwareExtension -AntimalwareConfiguration $config_string | ` Update-AzureVM
PowerShell コマンドレットでAntimalwareを有効化する例
参考
Antimalwareを有効化すると、仮想マシンで「Microsoft
Antimalware Service」が動作開始します。
マルウェア検出時の挙動 マルウェアを検出すると削除
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
10
仮想マシンのイベントログに記録
参考
Eicarでテスト可能
←
ストレージアカウントへのログの記録
ストレージアカウントにAntimalwareのログを記録可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
11
$StorageContext = New-AzureStorageContext -StorageAccountName "nchikistorage" ` -StorageAccountKey (Get-AzureStorageKey -StorageAccountName "nchikistorage").Primary
Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension –AntimalwareConfigFile "C:¥AntimalwareCon.json" ` -Monitoring ON -StorageContext $StorageContext | Update-AzureVM
PowerShell コマンドレットでストレージアカウントへログを記録する例
ストレージアカウントのログを CSV ファイルへ出力可能
CSV ファイルへログを出力するサンプル
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
12
サンプルスクリプト
Microsoft Antimalware for Azure Cloud Services and Virtual Machines
http://go.microsoft.com/fwlink/?LinkId=398023
利用上のヒント • 予約スキャンの開始時間に注意
• デフォルト設定だとなんでもかんでもスキャンして、
高負荷、トラブルの原因になる可能性あり
• 検知の除外を設定すべき
– ファイルやフォルダーのパスを指定
– ファイルの拡張子を指定
– プロセス名を指定
• システム、アプリケーションによって、
除外設定の推奨は異なる
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
13
Microsoft のサーバー製品の除外設定についてのまとめ
https://support.microsoft.com/ja-jp/kb/943556
まとめと補足
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
14
• 「Microsoft Antimalware for Azure」による
マルウェア対策は簡易的ですが、
無償ですから、ぜひ使うことを推奨
• より高いセキュリティを保ちたい、
管理や運用効率を上げたい場合には、
有償のマルウェア対策製品の利用を推奨
• 例えば、TrendMicro DSA であれば、
2015 年 4 月に大きな問題となった
MS15-034 脆弱性の対策もできたようです
HTTP.sysの脆弱性 CVE-2015-1635 について (MS15-034)
http://blog.trendmicro.co.jp/archives/11324?_ga=1.15128758.1432510558.1429934001
参考情報
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
15
Microsoft Antimalware for Azure Cloud Services and Virtual Machines
http://go.microsoft.com/fwlink/?LinkId=398023
Azure Cmdlets for Microsoft Antimalware
https://msdn.microsoft.com/en-us/library/dn771715.aspx
Azure Virtual Machines へのマルウェア対策ソリューションのデプロイ
http://blogs.msdn.com/b/windowsazurej/archive/2014/05/21/blog-deploying-
antimalware-solutions-on-azure-virtual-machines.aspx
ご清聴ありがとうございました!
アイティデザイン株式会社
知北直宏
Twitter: @wanto1101
mailto:[email protected]
16 Copyright 2015 ITdesign Corporation , All Rights Reserved
Related Documents
