Microsoft Antimalware for Azure による Azure 仮想マシンの 簡易的なマルウェア対策 Copyright 2015 ITdesign Corporation , All Rights Reserved 1 アイティデザイン株式会社 代表取締役社長 知北直宏 ‘15/04/25 @ ふくあず ライトニングトーク
Microsoft Antimalware for Azure による Azure 仮想マシンの
簡易的なマルウェア対策
Copyright 2015 ITdesign Corporation , All Rights Reserved
1
アイティデザイン株式会社
代表取締役社長 知北直宏
‘15/04/25 @ ふくあず
ライトニングトーク
はじめに
• Windows のマルウェア(不正プログラム)対策は
とても重要
• クラウド環境では特に重要
• 「Microsoft Antimalware for Azure」を
使うことにより、Azure クラウドサービスと、
Azure 仮想マシンの簡易的なマルウェア対策が可能
• この LT では、Azure 仮想マシンで
この機能を使うための方法などをご紹介
次へ
Copyright 2014 ITdesign Corporation , All Rights Reserved
2
自己紹介
知北直宏(ちきたなおひろ)Twitter: @wanto1101
アイティデザイン株式会社 代表取締役者社長
福岡で、ITPro、SIerとして、Active Directory、Hyper-V など、
マイクロソフトのサーバー製品の提案・構築・移行・サポートなど担当。
大手、地場インテグレーターさんの後方支援など。
Microsoft MVP (Directory Services ⇒ Hyper-V)
マイクロソフトのホワイトペーパー執筆、イベントスピーカー
コラム執筆「Windows Server 活用のススメ」 http://www.bit-drive.ne.jp/wm2003/index.html?mk_type=18
書籍執筆
「標準テキスト Windows Server 2012 R2
構築・運用・管理パーフェクトガイド」
「標準テキスト Windows Server 2008 R2
構築・運用・管理パーフェクトガイド」その他
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
3
3月に 第2版 発売!!
Azure 仮想マシンのマルウェア対策
Azure 仮想マシンでは数種類から選択可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
4
← TrendMicro DSA 【有償】
← Symantec Endpoint Protection【有償】
← Microsoft Antimalware【無償】
Azure ポータル
作成 > コンピューティング
> VMの作成 > オプションの構成
> 拡張機能
マルウェア対策保護、侵入検知、ファイアウォール、
Web レピュテーション、整合性監視
ネットワーク保護、ファイル保護、評価保護、修復
マルウェア対策保護
Microsoft Antimalware の特徴
• ウイルスやスパイウェアなど不正プログラムの検知と削除が可能
• 次のシステムと同等のエンジン、機能
– Microsoft Security Essentials
– Microsoft Forefront Endpoint Protection
– Microsoft System Center Endpoint Protection
– Microsoft Intune
– Windows Defender for Windows 8.0 and higher
• 無償
• GUI なし(公式には…)
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
5
Microsoft Antimalware の特徴(おまけ)
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
6
有効化手順の例
Azure ポータルで仮想マシン作成時に、
VM エージェントとともに有効化が可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
7
Azure ポータル
作成 > コンピューティング > VMの作成 > オプションの構成 > 拡張機能
> 新しいリソース > Microsoft Antimalware
新ポータルでは
仮想マシン作成時に
初期構成が可能
EXCLUDED FILES AND
LOCATIONS
EXCLUDED FILE EXTENSIONS
EXCLUDED PROCESSES
REAL-TIME PROTECTION
RUN A SCHEDULED SCAN
SCAN TYPE
SCAN DAY
SCAN TIME
構成手順(例1) 構成ファイル (JSON 形式) を用意して、Azure PowerShell で設定
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
8
{ "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 7, "time": 120, "scanType": "Quick“ }, "Exclusions": { "Extensions": ".ext1;.ext2;.txt", "Paths": "c:¥¥excluded-path-1;c:¥¥excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe“ } }
Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension –AntimalwareConfigFile "C:¥AntimalwareCon.json" | ` Update-AzureVM
構成ファイルの例
PowerShell コマンドレットの例
構成手順(例2) Azure PowerShell で構成を直接変更することも可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
9
Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension -Disable | Update-AzureVM
PowerShell コマンドレットでAntimalwareを無効化する例
$config_string = '{"AntimalwareEnabled" : true}‘
Get-AzureVM -ServiceName "nchikita150422a" -Name "nchikita150422a" | ` Set-AzureVMMicrosoftAntimalwareExtension -AntimalwareConfiguration $config_string | ` Update-AzureVM
PowerShell コマンドレットでAntimalwareを有効化する例
参考
Antimalwareを有効化すると、仮想マシンで「Microsoft
Antimalware Service」が動作開始します。
マルウェア検出時の挙動 マルウェアを検出すると削除
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
10
仮想マシンのイベントログに記録
参考
Eicarでテスト可能
←
ストレージアカウントへのログの記録
ストレージアカウントにAntimalwareのログを記録可能
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
11
$StorageContext = New-AzureStorageContext -StorageAccountName "nchikistorage" ` -StorageAccountKey (Get-AzureStorageKey -StorageAccountName "nchikistorage").Primary
Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension –AntimalwareConfigFile "C:¥AntimalwareCon.json" ` -Monitoring ON -StorageContext $StorageContext | Update-AzureVM
PowerShell コマンドレットでストレージアカウントへログを記録する例
ストレージアカウントのログを CSV ファイルへ出力可能
CSV ファイルへログを出力するサンプル
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
12
サンプルスクリプト
Microsoft Antimalware for Azure Cloud Services and Virtual Machines
http://go.microsoft.com/fwlink/?LinkId=398023
利用上のヒント • 予約スキャンの開始時間に注意
• デフォルト設定だとなんでもかんでもスキャンして、
高負荷、トラブルの原因になる可能性あり
• 検知の除外を設定すべき
– ファイルやフォルダーのパスを指定
– ファイルの拡張子を指定
– プロセス名を指定
• システム、アプリケーションによって、
除外設定の推奨は異なる
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
13
Microsoft のサーバー製品の除外設定についてのまとめ
https://support.microsoft.com/ja-jp/kb/943556
まとめと補足
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
14
• 「Microsoft Antimalware for Azure」による
マルウェア対策は簡易的ですが、
無償ですから、ぜひ使うことを推奨
• より高いセキュリティを保ちたい、
管理や運用効率を上げたい場合には、
有償のマルウェア対策製品の利用を推奨
• 例えば、TrendMicro DSA であれば、
2015 年 4 月に大きな問題となった
MS15-034 脆弱性の対策もできたようです
HTTP.sysの脆弱性 CVE-2015-1635 について (MS15-034)
http://blog.trendmicro.co.jp/archives/11324?_ga=1.15128758.1432510558.1429934001
参考情報
次へ
Copyright 2015 ITdesign Corporation , All Rights Reserved
15
Microsoft Antimalware for Azure Cloud Services and Virtual Machines
http://go.microsoft.com/fwlink/?LinkId=398023
Azure Cmdlets for Microsoft Antimalware
https://msdn.microsoft.com/en-us/library/dn771715.aspx
Azure Virtual Machines へのマルウェア対策ソリューションのデプロイ
http://blogs.msdn.com/b/windowsazurej/archive/2014/05/21/blog-deploying-
antimalware-solutions-on-azure-virtual-machines.aspx
ご清聴ありがとうございました!
アイティデザイン株式会社
知北直宏
Twitter: @wanto1101
mailto:[email protected]
16 Copyright 2015 ITdesign Corporation , All Rights Reserved