Azure Cloud Services および Virtual Machines 向け Microsoft マルウェア対策

最近のクラウド環境に対する脅威は非常に変化が激しく、コンプライアンスとセキュリティの要件を満たすために効果的な保護を維持しなければならないというビジネス IT クラウドのサブスクライバーに対する圧力はますます大きくなっています。 Azure 向けの Microsoft マルウェア対策は、ウイルスやスパイウェアなどの悪意のあるソフトウェアを識別して削除する無料のリアルタイム保護機能であり、既知のマルウェアや不要なソフトウェアが Azure システムへのインストールまたは実行を試みた場合に警告する構成可能なアラートを備えています。

このソリューションの基になっているマルウェア対策プラットフォームは、Microsoft Security Essentials [MSE]、Microsoft Forefront Endpoint Protection、Microsoft System Center Endpoint Protection、Windows Intune、Windows Defender for Windows 8.0 以降と同じです。 Azure 向け Microsoft マルウェア対策は、アプリケーションおよびテナント環境のための単一エージェント ソリューションであり、ユーザーの介入なしにバック グラウンドで実行するように作られています。 アプリケーションのワークロードのニーズに基づいて、マルウェア対策監視など、基本的な既定のセキュリティまたは高度なカスタム構成で、保護をデプロイできます。

Azure 向け Microsoft マルウェア対策をアプリケーションにデプロイして有効にすると、次のコア機能を使用できるようになります。

  • リアルタイム保護 - Cloud Services および仮想マシンでのアクティビティを監視し、マルウェアの実行を検出してブロックします。
  • スケジュールに基づくスキャン - 特定対象のスキャンを定期的に実行し、マルウェアや活動量の多いプログラムを検出します。
  • マルウェアの駆除 - 悪意のあるファイルの削除や検疫、悪意のあるレジストリ エントリのクリーンアップなど、検出されたマルウェアへの対処を自動的に行います。
  • シグネチャの更新 - 最新の保護シグネチャ (ウイルスの定義) を自動的にインストールし、事前に定義された頻度で保護を最新の状態に更新します。
  • マルウェア対策エンジンの更新 - Microsoft マルウェア対策エンジンを自動的に更新します。
  • マルウェア対策プラットフォームの更新 - Microsoft マルウェア対策プラットフォームを自動的に更新します。
  • アクティブ保護 - 検出された脅威および疑わしいリソースに関するテレメトリ メタデータを Microsoft Azure に報告して発生中の脅威に迅速に対応すると共に、Microsoft Active Protection System (MAPS) を使用して同期されたシグネチャをリアルタイムで配信できるようにします。
  • サンプルのレポート - Microsoft マルウェア対策サービスにサンプルを提供および報告し、サービスの調整およびトラブルシューティングを可能にします。
  • 除外 – パフォーマンスやその他の理由で、アプリケーションおよびサービスの管理者が、特定のファイル、プロセス、およびドライブを保護やスキャンの対象から除外できるようにします。
  • マルウェア対策イベントの収集 - マルウェア対策サービスの状態、疑わしいアクティビティ、および実行された修復アクションをオペレーティング システムのイベント ログに記録し、顧客の Azure ストレージ アカウントにそれらを収集します。
注意

Microsoft マルウェア対策は、Azure Security Center を使用してデプロイすることもできます。 詳細については、「Azure Security Center で Endpoint Protection をインストールする」を参照してください。

アーキテクチャ

Azure 向け Microsoft マルウェア対策ソリューションには、Microsoft マルウェア対策クライアントとサービス、マルウェア対策クラシック デプロイメント モデル、マルウェア対策 PowerShell コマンドレット、および Azure 診断拡張機能が含まれます。 Microsoft マルウェア対策ソリューションは、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 の各オペレーティング システム ファミリでサポートされます。 Windows Server 2008 オペレーティング システムではサポートされません。 Defender での Windows Server 2016 のサポートがリリースされました。この更新プログラムについて詳しくは、こちらをご覧ください。

Microsoft マルウェア対策クライアントおよびサーバーは、既定では、Cloud Services プラットフォームのすべてのサポートされる Azure ゲスト オペレーティング システム ファミリに無効状態でインストールされます。 Microsoft マルウェア対策クライアントおよびサービスは既定では Virtual Machines プラットフォームにはインストールされず、Azure ポータルおよび Visual Studio 仮想マシン構成のセキュリティ拡張機能でオプション機能として使用できます。

Azure Websites を使用しているときは、Web アプリをホストしている基盤となるサービスでは、Microsoft マルウェア対策が有効になっています。 これは、Azure Websites のインフラストラクチャを保護するために使用されます。お客様のコンテンツでは実行されません。

Microsoft マルウェア対策のワークフロー

Azure サービスの管理者は、既定の構成で、または以下のオプションを使用してカスタム構成で、Virtual Machines および Cloud Services に対する Azure 向けマルウェア対策を有効にできます。

  • Virtual Machines – Azure Portal の [セキュリティ拡張機能]
  • Virtual Machines – Visual Studio のサーバー エクスプローラーの仮想マシン構成
  • Virtual Machines および Cloud Services – マルウェア対策のクラシック デプロイ モデル
  • Virtual Machines および Cloud Services – マルウェア対策 PowerShell コマンドレット

Azure ポータルまたは PowerShell コマンドレットは、あらかじめ決められている固定の場所にある Azure システムに、マルウェア対策拡張機能パッケージ ファイルをプッシュします。 Azure ゲスト エージェント (またはファブリック エージェント) は、マルウェア対策拡張機能を起動し、入力として提供されたマルウェア対策の構成設定を適用します。 これにより、マルウェア対策サービスは既定またはカスタムの構成設定で有効になります。 カスタム構成を指定しないと、マルウェア対策サービスは既定の構成設定で有効になります。 詳細については、「Microsoft Antimalware for Azure – Code Samples (Azure 向け Microsoft マルウェア対策 – コード サンプル)」の "マルウェア対策の構成" に関するセクションをご覧ください。

Microsoft マルウェア対策クライアントは実行すると、最新の保護エンジンとシグネチャ定義をインターネットからダウンロードして、Azure システムに読み込みます。 Microsoft マルウェア対策サービスは、サービス関連のイベントをシステム OS イベント ログの "Microsoft マルウェア対策" イベント ソースに書き込みます。 イベントには、マルウェア対策クライアントの正常性状態、保護と修復の状態、新旧の構成設定、エンジンの更新とシグネチャの定義、その他が含まれます。

生成されたマルウェア対策イベント ログ イベントを Azure ストレージ アカウントに書き込むように、Cloud Service または Virtual Machine のマルウェア対策監視を構成できます。 マルウェア対策サービスは、Azure 診断拡張機能を使用して、Azure システムから顧客の Azure ストレージ アカウントのテーブルにマルウェア対策イベントを収集できます。

上記のシナリオの構成手順およびサポートされるオプションなどのデプロイ ワークフローについては、このドキュメントの「マルウェア対策のデプロイ シナリオ」セクションを参照してください。

Azure での Microsoft マルウェア対策

注意

一方、Powershell/API と Azure Resource Manager テンプレートを使用して、Microsoft マルウェア対策拡張機能を含む仮想マシン スケール セットをデプロイできます。 既に実行中の仮想マシンに拡張機能をインストールする場合は、こちらのサンプル python スクリプト vmssextn.py を使用できます。 このスクリプトは、スケール セットの既存の拡張機能構成を取得し、VM スケール セットの既存の拡張機能リストに拡張機能を追加します。

マルウェア対策の既定の構成とカスタム構成

カスタム構成設定を指定しない場合、Azure Cloud Services または Virtual Machines のマルウェア対策は既定の構成設定を適用して有効になります。 既定の構成設定は、Azure 環境での実行に合わせてあらかじめ最適化されています。 Azure アプリケーションまたはサービスのデプロイメントでの必要に応じて既定の構成設定をカスタマイズし、他のデプロイメント シナリオに適用できます。

注意

既定では、Azure Resource Manager の Microsoft マルウェア対策ユーザー インターフェイスは無効になっており、このエラー メッセージをバイパスする cleanuppolicy.xml ファイルはサポートされません。 カスタム ポリシーを作成する方法の詳細については、「Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment (Azure Resource Manager VM デプロイ後の Microsoft マルウェア対策ユーザー インターフェイスの有効化)」を参照してください。

次の表は、マルウェア対策サービスで使用できる構成設定をまとめたものです。 [既定値] 列は既定の構成設定です。

表 1

マルウェア対策のデプロイ シナリオ

ここでは、Azure Cloud Services および Virtual Machines の監視など、マルウェア対策を有効にして構成するシナリオについて説明します。

Virtual Machines - マルウェア対策の有効化と構成

Azure Portal を使用したデプロイ

マルウェア対策サービスを有効にするには、[拡張機能] ブレードの [追加] をクリックし、[新しいリソース] ブレードで [Microsoft マルウェア対策] を選択して、[Microsoft マルウェア対策] ブレードの [作成] をクリックします。 既定の設定でマルウェア対策を有効にするには、構成の値を入力しないで [作成] をクリックします。または、下の図 2 に示すように、構成されている Virtual Machine に対するマルウェア対策の構成設定を入力します。 サポートされる構成値については、[拡張機能の追加] ブレードの各構成設定のツールヒントを参照してください。

Microsoft マルウェア対策用の Virtual Machine の構成設定

Azure クラシック ポータルを使用したデプロイ

Azure Virtual Machines のプロビジョニングの間に Azure ポータルを使用して Virtual Machines の Microsoft マルウェア対策を有効化および構成するには、次の手順に従ってください。

1.https://portal.azure.com で Azure Portal にログインします

2.新しい仮想マシンを作成するには、次の図のように、[新規][Compute][仮想マシン][ギャラリーから] の順にクリックします ([簡易作成] は使用しないでください)。

新しい仮想マシン

3.[イメージの選択] ページで [Microsoft Windows Server] イメージを選択します。

4.右矢印をクリックし、仮想マシンの構成を入力します。

5.[仮想マシンの構成] ページの [セキュリティ拡張機能] の下にある [Microsoft マルウェア対策] チェック ボックスをオンにします。

6.[送信] ボタンをクリックし、Azure Virtual Machines の Microsoft マルウェア対策を既定の構成設定で有効化して構成します。

仮想マシンの構成

Visual Studio の仮想マシン構成を使用したデプロイ

Visual Studio を使用して Microsoft マルウェア対策サービスを有効化および構成するには:

1.Visual Studio で Microsoft Azure に接続します。

2.サーバー エクスプローラー[Virtual Machines] ノードで仮想マシンを選択します

Visual Studio での仮想マシンの構成

3.[構成] を右クリックして、[仮想マシンの構成] ページを表示します

4.[インストールされている拡張機能] のドロップダウン リストから [Microsoft マルウェア対策] 拡張機能を選択し、既定のマルウェア対策構成で構成するには [追加] をクリックします。

インストール済み拡張機能

5.既定のマルウェア対策構成をカスタマイズするには、インストールされている拡張機能の一覧でマルウェア対策拡張機能を選択 (強調表示) して、[構成] をクリックします。

6.[パブリック構成] テキスト ボックスで、サポートされる JSON 形式のカスタム構成で既定のマルウェア対策構成を置き換えて、[OK] をクリックします。

7.[更新] ボタンをクリックして、構成の更新を仮想マシンにプッシュします。

仮想マシン構成拡張機能

注: Visual Studio でのマルウェア対策の Virtual Machines 構成は、JSON 形式の構成のみをサポートします。 マルウェア対策の JSON 構成設定のテンプレートは、サポートされるマルウェア対策構成設定を示す「Microsoft Antimalware For Azure - Code Samples (Azure 向け Microsoft マルウェア対策 – コード サンプル)」に含まれています。

PowerShell コマンドレットを使用したデプロイ

Azure のアプリケーションまたはサービスでは、PowerShell コマンドレットを使用して Azure Virtual Machines の Microsoft マルウェア対策を有効化および構成できます。

マルウェア対策 PowerShell コマンドレットを使用して Microsoft マルウェア対策を有効化および構成するには:

  1. PowerShell 環境を設定します。https://github.com/Azure/azure-powershell のドキュメントを参照してください
  2. Virtual Machine の Microsoft マルウェア対策を有効にして構成するには、Set-AzureVMMicrosoftAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771718.aspx を参照)

注: Azure Virtual Machines でのマルウェア対策の構成は、JSON 形式の構成のみをサポートします。 マルウェア対策の JSON 構成設定のテンプレートは、サポートされるマルウェア対策構成設定を示す「Microsoft Antimalware For Azure - Code Samples (Azure 向け Microsoft マルウェア対策 – コード サンプル)」に含まれています。

PowerShell コマンドレットを使用したマルウェア対策の有効化と構成

Azure のアプリケーションまたはサービスでは、PowerShell コマンドレットを使用して Azure Cloud Services 向けの Microsoft マルウェア対策を有効化および構成できます。 Microsoft マルウェア対策は Cloud Services プラットフォームに無効状態でインストールされるので、Azure アプリケーションで有効化する必要があることに注意してください。

PowerShell コマンドレットを使用して Microsoft マルウェア対策を有効化および構成するには:

  1. PowerShell 環境を設定します。https://github.com/Azure/azure-sdk-tools#get-started のドキュメントを参照してください
  2. Cloud Service の Microsoft マルウェア対策を有効にして構成するには、Set-Set-AzureServiceAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771718.aspx を参照)

マルウェア対策の XML 構成設定のテンプレートは、サポートされるマルウェア対策構成設定を示す「Microsoft Antimalware For Azure - Code Samples (Azure 向け Microsoft マルウェア対策 – コード サンプル)」に含まれています。

Cloud Services と Virtual Machines - PowerShell コマンドレットを用いた構成

Azure のアプリケーションまたはサービスでは、PowerShell コマンドレットを使用して、Cloud Services および Virtual Machines 向けの Microsoft マルウェア対策の構成を取得できます。

PowerShell コマンドレットを使用して Microsoft マルウェア対策の構成を取得するには:

  1. PowerShell 環境を設定します。https://github.com/Azure/azure-sdk-tools#get-started のドキュメントを参照してください
  2. Virtual Machines の場合: マルウェア対策の構成を取得するには、Get-AzureVMMicrosoftAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771719.aspx を参照)
  3. Cloud Services の場合: マルウェア対策の構成を取得するには、Get-AzureServiceAntimalwareConfig マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771722.aspx を参照)

PowerShell コマンドレットを使用したマルウェア対策の構成の削除

Azure アプリケーションまたはサービスでは、Cloud Service または Virtual Machine に関連付けられている関連する Azure マルウェア対策および診断サービスの拡張機能から、マルウェア対策の構成および関連付けられているマルウェア対策監視構成を削除できます。

PowerShell コマンドレットを使用して Microsoft マルウェア対策を削除するには:

  1. PowerShell 環境を設定します。https://github.com/Azure/azure-sdk-tools#get-started のドキュメントを参照してください
  2. Virtual Machines の場合: Remove-AzureVMMicrosoftAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771720.aspx を参照)
  3. Cloud Services の場合: Remove-AzureServiceAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771717.aspx を参照)

Azure プレビュー ポータルを使用して仮想マシンのマルウェア対策イベント収集を有効にするには:

  1. [仮想マシン] ブレードの監視レンズのどこかをクリックします。
  2. [メトリック] ブレードの [診断] コマンドをクリックします。
  3. [状態] で [ON] を選択し、Windows イベント システムのオプションをオンにします
  4. をクリックします。 一覧の他のオプションは、すべてオフにしても、アプリケーション サービスのニーズに応じて有効のままにしてもかまいません。
  5. 「エラー」、「警告」、「情報」などのマルウェア対策イベント カテゴリが、Azure ストレージ アカウントに収集されます。

マルウェア対策のイベントが、Windows イベント システム ログから Azure ストレージ アカウントに収集されます。 適切なストレージ アカウントを選択することにより、マルウェア対策のイベントを収集するように仮想マシンのストレージ アカウントを構成できます。

メトリックと診断

注意

Azure マルウェア対策の診断ログを記録する方法の詳細については、「Enabling Diagnostics Logging for Azure Antimalware (Azure マルウェア対策の診断ログの記録の有効化)」を参照してください。

PowerShell コマンドレットを使用したマルウェア対策の監視の有効化と構成

マルウェア対策 PowerShell コマンドレットを使用して、Azure 診断を用いた Cloud Service または Virtual Machine の Microsoft マルウェア対策イベントの収集を有効にできます。 システム イベント ログ ソース “Microsoft マルウェア対策” から Azure ストレージ アカウントにイベントをキャプチャするように、Azure 診断拡張機能を構成できます。 「エラー」、「警告」、「情報」などのマルウェア対策イベント カテゴリが、Azure ストレージ アカウントに収集されます。

PowerShell コマンドレットを使用して Azure ストレージ アカウントへのマルウェア対策イベント収集を有効にするには:

  1. PowerShell 環境を設定します。https://github.com/Azure/azure-sdk-tools#get-started を参照してください
  2. Virtual Machines の場合 - Monitoring ON オプションを指定して Set-AzureVMMicrosoftAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771716.aspx を参照)
  3. Cloud Services の場合 - Monitoring ON オプションを指定して Set-AzureServiceAntimalwareExtension マルウェア対策コマンドレットを使用します (http://msdn.microsoft.com/library/azure/dn771718.aspx を参照)

マルウェア対策の監視を有効にするために構成した Azure ストレージ アカウントの WADWindowsEventLogsTable テーブルで、マルウェア対策の未加工のイベントを見ることができます。 これにより、マルウェア対策サービスの正常性の詳細など、マルウェア対策イベント収集が動作していることを確認できます。 ストレージ アカウントからマルウェア対策イベントを抽出する方法についてのサンプル コードなど、詳細については「Microsoft Antimalware For Azure - Code Samples (Azure 向け Microsoft マルウェア対策 – コード サンプル)」を参照してください。