Microsoft Antimalware for Azure による Azure 仮想マシンの簡易的なマルウェア対策
- 1. Microsoft Antimalware for Azure による Azure 仮想マシンの 簡易的なマルウェア対策 Copyright 2015 ITdesign Corporation , All Rights Reserved 1 アイティデザイン株式会社 代表取締役社長 知北直宏 ‘15/04/25 @ ふくあず ライトニングトーク
- 2. はじめに • Windows のマルウェア(不正プログラム)対策は とても重要 • クラウド環境では特に重要 • 「Microsoft Antimalware for Azure」を 使うことにより、Azure クラウドサービスと、 Azure 仮想マシンの簡易的なマルウェア対策が可能 • この LT では、Azure 仮想マシンで この機能を使うための方法などをご紹介 次へ Copyright 2014 ITdesign Corporation , All Rights Reserved 2
- 3. 自己紹介 知北直宏(ちきたなおひろ)Twitter: @wanto1101 アイティデザイン株式会社 代表取締役者社長 福岡で、ITPro、SIerとして、Active Directory、Hyper-V など、 マイクロソフトのサーバー製品の提案・構築・移行・サポートなど担当。 大手、地場インテグレーターさんの後方支援など。 Microsoft MVP (Directory Services ⇒ Hyper-V) マイクロソフトのホワイトペーパー執筆、イベントスピーカー コラム執筆「Windows Server 活用のススメ」 http://www.bit-drive.ne.jp/wm2003/index.html?mk_type=18 書籍執筆 「標準テキスト Windows Server 2012 R2 構築・運用・管理パーフェクトガイド」 「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド」その他 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 3 3月に 第2版 発売!!
- 4. Azure 仮想マシンのマルウェア対策 Azure 仮想マシンでは数種類から選択可能 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 4 ← TrendMicro DSA 【有償】 ← Symantec Endpoint Protection【有償】 ← Microsoft Antimalware【無償】 Azure ポータル 作成 > コンピューティング > VMの作成 > オプションの構成 > 拡張機能 マルウェア対策保護、侵入検知、ファイアウォール、 Web レピュテーション、整合性監視 ネットワーク保護、ファイル保護、評価保護、修復 マルウェア対策保護
- 5. Microsoft Antimalware の特徴 • ウイルスやスパイウェアなど不正プログラム の検知と削除が可能 • 次のシステムと同等のエンジン、機能 – Microsoft Security Essentials – Microsoft Forefront Endpoint Protection – Microsoft System Center Endpoint Protection – Microsoft Intune – Windows Defender for Windows 8.0 and higher • 無償 • GUI なし(公式には…) 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 5
- 6. Microsoft Antimalware の特徴(おまけ) 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 6
- 7. 有効化手順の例 Azure ポータルで仮想マシン作成時に、 VM エージェントとともに有効化が可能 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 7 Azure ポータル 作成 > コンピューティング > VMの作成 > オプションの構成 > 拡張機能 > 新しいリソース > Microsoft Antimalware 新ポータルでは 仮想マシン作成時に 初期構成が可能 EXCLUDED FILES AND LOCATIONS EXCLUDED FILE EXTENSIONS EXCLUDED PROCESSES REAL-TIME PROTECTION RUN A SCHEDULED SCAN SCAN TYPE SCAN DAY SCAN TIME
- 8. 構成手順(例1) 構成ファイル (JSON 形式) を用意して、Azure PowerShell で設定 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 8 { "AntimalwareEnabled": true, "RealtimeProtectionEnabled": true, "ScheduledScanSettings": { "isEnabled": true, "day": 7, "time": 120, "scanType": "Quick“ }, "Exclusions": { "Extensions": ".ext1;.ext2;.txt", "Paths": "c:¥¥excluded-path-1;c:¥¥excluded-path-2", "Processes": "excludedproc1.exe;excludedproc2.exe“ } } Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension –AntimalwareConfigFile "C:¥AntimalwareCon.json" | ` Update-AzureVM 構成ファイルの例 PowerShell コマンドレットの例
- 9. 構成手順(例2) Azure PowerShell で構成を直接変更することも可能 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 9 Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension -Disable | Update-AzureVM PowerShell コマンドレットでAntimalwareを無効化する例 $config_string = '{"AntimalwareEnabled" : true}‘ Get-AzureVM -ServiceName "nchikita150422a" -Name "nchikita150422a" | ` Set-AzureVMMicrosoftAntimalwareExtension -AntimalwareConfiguration $config_string | ` Update-AzureVM PowerShell コマンドレットでAntimalwareを有効化する例 参考 Antimalwareを有効化すると、 仮想マシンで「Microsoft Antimalware Service」が動作 開始します。
- 10. マルウェア検出時の挙動 マルウェアを検出すると削除 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 10 仮想マシンのイベントログに記録 参考 Eicarでテスト可能 ←
- 11. ストレージアカウントへのログの記録 ストレージアカウントにAntimalwareのログを記録可能 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 11 $StorageContext = New-AzureStorageContext -StorageAccountName "nchikistorage" ` -StorageAccountKey (Get-AzureStorageKey -StorageAccountName "nchikistorage").Primary Get-AzureVM -ServiceName "nchikicloud1" -Name "nchikivm1" | ` Set-AzureVMMicrosoftAntimalwareExtension –AntimalwareConfigFile "C:¥AntimalwareCon.json" ` -Monitoring ON -StorageContext $StorageContext | Update-AzureVM PowerShell コマンドレットでストレージアカウントへログを記録する例 ストレージアカウントのログを CSV ファイルへ出力可能
- 12. CSV ファイルへログを出力するサンプル 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 12 サンプルスクリプト Microsoft Antimalware for Azure Cloud Services and Virtual Machines http://go.microsoft.com/fwlink/?LinkId=398023
- 13. 利用上のヒント • 予約スキャンの開始時間に注意 • デフォルト設定だとなんでもかんでもスキャンして、 高負荷、トラブルの原因になる可能性あり • 検知の除外を設定すべき – ファイルやフォルダーのパスを指定 – ファイルの拡張子を指定 – プロセス名を指定 • システム、アプリケーションによって、 除外設定の推奨は異なる 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 13 Microsoft のサーバー製品の除外設定についてのまとめ https://support.microsoft.com/ja-jp/kb/943556
- 14. まとめと補足 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 14 • 「Microsoft Antimalware for Azure」による マルウェア対策は簡易的ですが、 無償ですから、ぜひ使うことを推奨 • より高いセキュリティを保ちたい、 管理や運用効率を上げたい場合には、 有償のマルウェア対策製品の利用を推奨 • 例えば、TrendMicro DSA であれば、 2015 年 4 月に大きな問題となった MS15-034 脆弱性の対策もできたようです HTTP.sysの脆弱性 CVE-2015-1635 について (MS15-034) http://blog.trendmicro.co.jp/archives/11324?_ga=1.15128758.1432510558.1429934001
- 15. 参考情報 次へ Copyright 2015 ITdesign Corporation , All Rights Reserved 15 Microsoft Antimalware for Azure Cloud Services and Virtual Machines http://go.microsoft.com/fwlink/?LinkId=398023 Azure Cmdlets for Microsoft Antimalware https://msdn.microsoft.com/en-us/library/dn771715.aspx Azure Virtual Machines へのマルウェア対策ソリューションのデプロイ http://blogs.msdn.com/b/windowsazurej/archive/2014/05/21/blog-deploying- antimalware-solutions-on-azure-virtual-machines.aspx
- 16. ご清聴ありがとうございました! アイティデ���イン株式会社 知北直宏 Twitter: @wanto1101 mailto:contact123@itd-corp.jp 16Copyright 2015 ITdesign Corporation , All Rights Reserved