演習 - マルウェア検出を構成する
Microsoft Defender for Cloud は、仮想マシン (VM) 向けのマルウェア対策の状態を監視します。 Defender for Cloud では、検出された脅威や不十分な保護など、VM とコンピューターがマルウェアの脅威に対して脆弱になるおそれがある問題が指摘されます。 [Endpoint Protection の問題] に表示された情報を使用して、特定された問題に対処する計画を立てることができます。
Azure portal にサインインします。
Azure のホーム ページで、Microsoft Defender for Cloud を検索して選択します。 Defender for Cloud の[概要] ペインが表示されます。
[推奨事項] を選択します。
ビューをリソースの種類: 仮想マシンでフィルター処理してから、スクロールしてエンドポイント保護を有効にし、推奨事項を確認します。
Defender for Cloud では、次の Endpoint Protection の問題が報告されます。
エンドポイント保護をマシンにインストールする必要がある
- サポートされているマルウェア対策ソリューションがこれらの Azure VM 上にはインストールされていません。
マシンの Endpoint Protection の正常性の問題を解決する必要がある
署名が有効期限切れ。 これらの VM およびコンピューターにはマルウェア対策ソリューションがインストールされていますが、ソリューションに最新のマルウェア対策シグネチャがありません。
リアルタイム保護なし。 これらの VM およびコンピューターにはマルウェア対策ソリューションがインストールされていますが、リアルタイム保護用に構成されていません。 たとえば、サービスが無効になっている場合があります。 また、Defender for Cloud では、ソリューションがサポートされていないため、状態を取得できない場合もあります。
レポートなし。 マルウェア対策ソリューションはインストールされていますが、データが報告されていません。
不明。 マルウェア対策ソリューションはインストールされていますが、状態が不明であるか、不明なエラーが報告されています。
脆弱な VM の場合、Defender for Cloud により、問題を解決して、保護されていない VM にマルウェア対策をインストールする方法が提供されます。
ただし、この保護を自分でインストールすることもできます。 これらの手順を確認してみましょう。
新しい VM にマルウェア対策をインストールする
Microsoft Antimalware は、既存の VM に追加することができる、または新しい仮想マシン (VM) 作成の一部として含めることができる拡張機能として使用することができます。 この拡張機能は、Azure portal、Azure CLI/Powershell、または ARM テンプレートを使用して追加できます。
Azure portal を使用して新しい VM を作成し、拡張機能をインストールしてみましょう。
前の演習で使用したものと同じアカウントとサブスクリプションを使って、Azure portal にサインインします。 同じリソース グループを再利用して、両方の VM を同時に削除することができるようにします。
Azure portal のメニューまたは [ホーム] ページで [リソースの作成] を選択します。 [リソースの作成] ペインが表示されます。
[仮想マシン] を検索して選択します。 [仮想マシンの作成] ペインが表示されます。
[基本] タブで、各設定に対して次の値を入力します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group ドロップダウン リストから、前に作成したリソース グループ (mslearnDeleteMe) を選択します。 インスタンスの詳細 仮想マシン名 VM の名前 (testvm1 など) を入力します。 リージョン 最も近い場所をドロップダウン リストから選択します。 管理者アカウント ユーザー名 覚えておくことができる有効なユーザー名を選択してください。 Password 覚えておくことができる有効なパスワードを選択してください。 [詳細] タブを選択します。ここで、新しい VM に拡張機能を追加できます。 [インストールする拡張機能を選択してください] リンクを選択します。 [Microsoft Antimalware] を検索して選択し、[次へ] を選択します。 [Microsoft Antimalware の拡張機能の構成] ペインが表示されます。
拡張機能のオプションには、特定のフォルダー、ファイル名、および拡張機能でディスクのマルウェアがスキャンされるタイミングと方法のコントロールを無視する機能が含まれています。 すべての既定値をそのまま使用します。
[作成] を選択して VM に追加します。
[詳細設定] タブでは、マルウェアの拡張機能がインストールされるように設定されていることが表示されます。
次に、[管理] タブを選択し、Microsoft Defender for Cloud の監視機能を構成します。
- Azure Monitor で見ることができる詳細な監視。
- ブート診断。
- OS ゲスト診断。
これらのオプションのいずれかが選択されている場合、VM にはログデータを書き込むために Azure Storage アカウントが必要です。
[確認と作成] を選択し、設定を確認し、検証にパスしたら、[作成] を選択して新しい VM をデプロイします。
VM のデプロイは完了までに数分かかります。 デプロイを監視するには、[通知] (ベル アイコン) ビューを使用するか、デプロイ メッセージを選択します。 デプロイしている間に、既存の VM にマルウェア対策を追加する方法を確認してみましょう。
既存の VM への拡張機能の追加
既存の VM がデプロイされた後に、マルウェア対策拡張機能を追加することもできます。 コマンドライン ツールを使用すると、スクリプトを作成できます。 REST API または Azure portal を使用することもできます。 ポータルを使用する手順を次に示します。
拡張機能をインストールする VM を選択します。
左側のメニュー ペインの [設定] の下で、[拡張機能とアプリケーション] を選択します。
[追加] を選択します。
[Microsoft Antimalware] を検索して選択し、[次へ] を選択します。 残りの既定値をそのまま使用し、[確認と作成] を選択します。 拡張機能が検証されたら、[作成] を選択して拡張機能を VM に追加します。 [デプロイは進行中です] ペインが表示されます。
デプロイが成功したら、[拡張機能とアプリケーション] ウィンドウに戻ります。 このペインには、インストール済みのマルウェア拡張機能が表示されます。