こんにちは、デジタルテクノロジーのK.Aです。

 

目的

本記事は、Security and Complianceから少し脇道にそれて、読者にAzure 向けの マルウェア対策ソフトウェアであるMicrosoft  Antimalware (以下、Antimalware)の導入・設定手順を理解してもらうことを目的とします。

導入・設定の手順は様々ありますが、今回はPowerShellを中心に手順を解説します。

 

Antimalwareとは?

クラウド環境に対する脅威は非常に変化が激しく、コンプライアンスとセキュリティの要件を満たすために効果的なエンドポイント保護が求められています。Antimalwareは、ウイルスやスパイウェアなどの悪意のあるソフトウェアを識別して削除するリアルタイム保護機能があり、既知のマルウェアや不要なソフトウェアが Azure システムへのインストールまたは実行を試みた場合に警告する構成可能なアラートを備えています。これだけの機能を利用できて、なんと無料です。

 

Antimalwareアーキテクチャ

Azure ポータルまたは PowerShell コマンドレットからAntimalwareクライアントパッケージ ファイルをAzureシステムへプッシュします。 Antimalwareクライアントは、実行されると、最新の保護エンジンとシグネチャ定義をインターネットからダウンロードして、Azure システムに読み込み保護を開始します。さらに、サービス関連のイベントログ(マルウェア対策クライアントの正常性状態、保護と修復の状態、新旧の構成設定、エンジンの更新とシグネチャの定義など) を Azure ストレージ アカウントに収集することが可能です。

 

Antimalwareのコア機能

No コア機能 内容
1 リアルタイム保護 Cloud Services および仮想マシンでのアクティビティを監視し、マルウェアの実行を検出してブロックします。
2 スケジュールに基づくスキャン 特定対象のスキャンを定期的に実行し、マルウェアや活動量の多いプログラムを検出します。
3 マルウェアの駆除 悪意のあるファイルの削除や検疫、悪意のあるレジストリ エントリのクリーンアップなど、検出されたマルウェアへの対処を自動的に行います。
4 シグネチャの更新 最新の保護シグネチャ (ウイルスの定義) を自動的にインストールし、事前に定義された頻度で保護を最新の状態に更新します。
5 マルウェア対策エンジンの更新 Microsoft マルウェア対策(Antimalware)エンジンを自動的に更新します。
6 マルウェア対策プラットフォームの更新 Microsoft マルウェア対策(Antimalware)プラットフォームを自動的に更新します。
7 アクティブ保護 検出された脅威および疑わしいリソースに関するテレメトリ メタデータを Microsoft Azure に報告して発生中の脅威に迅速に対応します。
8 サンプルのレポート Microsoft マルウェア対策(Antimalware)サービスにサンプルを提供および報告し、サービスの調整およびトラブルシューティングを可能にします。
9 除外 パフォーマンスやその他の理由で、アプリケーションおよびサービスの管理者が、特定のファイル、プロセス、およびドライブを保護やスキャンの対象から除外できるようにします。
10 マルウェア対策イベントの収集 マルウェア対策サービスの状態、疑わしいアクティビティ、および実行された修復アクションをオペレーティング システムのイベント ログに記録し、顧客の Azure ストレージ アカウントにそれらを収集します。

 

 

Antimalware導入手順

さて本記事の目的でもある、Antimalwareの導入手順を紹介します。

今回は、Azure上の仮想マシンWindowsServer2008(マシン名:prodvm2)へAntimalwareを導入します。

1.現在の仮想マシンの状態を確認

PS C:\WINDOWS\system32> Get-AzureRMVM -ResourceGroupName “prodrg” -Name “prodvm2”

ResourceGroupName : prodrg
Id : /subscriptions/xxx/resourceGroups/prodrg/providers/Microsoft.Compute/virtualMachines/prodVM2
VmId : a8ac852a-cb23-4016-xxx
Name : prodVM2
Type : Microsoft.Compute/virtualMachines
Location : japaneast
Tags : {}
DiagnosticsProfile : {BootDiagnostics}
Extensions : {enablevmaccess, MicrosoftMonitoringAgent}  ・・・・・・※1
HardwareProfile : {VmSize}
NetworkProfile : {NetworkInterfaces}
OSProfile : {ComputerName, AdminUsername, WindowsConfiguration, Secrets}
ProvisioningState : Succeeded
StorageProfile : {ImageReference, OsDisk, DataDisks}
NetworkInterfaceIDs : {/subscriptions/xxx/resourceGroups/ProdRG/providers/Microsoft.Network/networkInterfaces/prodvm2340}

 

 

PS C:\WINDOWS\system32>

※1 拡張機能にAntimalwareが存在しないことを確認

※サービス一覧にもAntimalwareが存在しないことを確認

 

 

2.Antimalwareインストール

PS C:\WINDOWS\system32> Set-AzureRmVMExtension -ResourceGroupName “prodrg” -VMName “prodvm2” -Name IaaSAntimalware -Publisher Microsoft.Azure.Security -ExtensionType IaaSAntimalware -TypeHandlerVersion 1.3 -SettingString ‘{“AntimalwareEnabled”:true}’ -Location japaneast

 

RequestId   IsSuccessStatusCode  StatusCode   ReasonPhrase
———   ——————-     ———-    ————
       True         OK       OK

 

PS C:\WINDOWS\system32>

※正常にインストールが完了したことを確認

 

3.Antimalwareインストール後の状態を確認

PS C:\WINDOWS\system32> Get-AzureRMVM -ResourceGroupName “prodrg” -Name “prodvm2”

ResourceGroupName : prodrg
Id : /subscriptions/xxx/resourceGroups/prodrg/providers/Microsoft.Compute/virtualMachines/prodVM2
VmId : a8ac852a-cb23-4016-xxx
Name : prodVM2
Type : Microsoft.Compute/virtualMachines
Location : japaneast
Tags : {}
DiagnosticsProfile : {BootDiagnostics}
Extensions : {enablevmaccess,IaaSAntimalware, MicrosoftMonitoringAgent}  ・・・・・・※1
HardwareProfile : {VmSize}
NetworkProfile : {NetworkInterfaces}
OSProfile : {ComputerName, AdminUsername, WindowsConfiguration, Secrets}
ProvisioningState : Succeeded
StorageProfile : {ImageReference, OsDisk, DataDisks}
NetworkInterfaceIDs : {/subscriptions/xxx/resourceGroups/ProdRG/providers/Microsoft.Network/networkInterfaces/prodvm2340}

 

 

PS C:\WINDOWS\system32>

※1 拡張機能にIaaSAntimalware,が存在することを確認

※サービス一覧にもMicrosoft Antimalwareが存在することを確認

 

 

 

Antimalware設定手順

Antimalwareの設定変更手順を紹介します。

今回は、Azure上の仮想マシンWindowsServer2008(マシン名:prodvm2)へAntimalwareのリアルタイムスキャンとスケジュールスキャン(毎週土曜日2:00)を有効にします。

1.現在のAntimalwareの設定を確認

PS C:\WINDOWS\system32>Get-AzureRmVMExtension -ResourceGroupName “prodrg” -VMName “prodvm2” -Name IaaSAntimalware

 

ResourceGroupName : prodrg
VMName : prodvm2
Name : IaaSAntimalware
Location : japaneast
Etag : null
Publisher : Microsoft.Azure.Security
ExtensionType : IaaSAntimalware
TypeHandlerVersion : 1.3
Id : /subscriptions/xxxx/resourceGroups/prodrg/providers/Microsoft.Compute/virtualMachines/prodVM2/extensions/IaaSAntimalware
PublicSettings : {
“AntimalwareEnabled”: true   ・・・・・・※1
}
ProtectedSettings :
ProvisioningState : Succeeded
Statuses :
SubStatuses :
AutoUpgradeMinorVersion : True
ForceUpdateTag :

PS C:\WINDOWS\system32>

※1 リアルタイムスキャンやスケジュールスキャンの設定がされていないことを確認

※systemcenterでリアルタイムスキャンやスケジュールスキャンの設定がされていないことを確認

※Microsoft Antimalwareの GUI は既定で使用がロックされています。ロックを解除するには、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\UX Configutration\UILockdown を 1 から 0 に変更します。

 

2.Antimalwareリアルタイムスキャンやスケジュールスキャン設定

PS C:\WINDOWS\system32>$config = @{
“AntimalwareEnabled” = “true”;
“RealtimeProtectionEnabled” = “true”;
“Exclusions” = @{
“Extensions” = “.txt”;
“Paths”= “C:\Users”;
“Processes”= “taskmgr.exe”
};
“ScheduledScanSettings” = @{
‘isEnabled’ = “true”;
“day” = “7”;
“time”= “120”;
“scanType” = “Quick”
}
}PS C:\WINDOWS\system32> Set-AzureRmVMExtension -ResourceGroupName “prodrg” -VMName “prodvm2” -Name IaaSAntimalware -Publisher Microsoft.Azure.Security -ExtensionType IaaSAntimalware -TypeHandlerVersion 1.3 -Settings $config -Location japaneastRequestId   IsSuccessStatusCode  StatusCode   ReasonPhrase
———   ——————-     ———-    ————
       True         OK       OK PS C:\WINDOWS\system32>

※正常に設定変更が完了したことを確認

 

3.設定変更後のAntimalware状態を確認

PS C:\WINDOWS\system32>Get-AzureRmVMExtension -ResourceGroupName “prodrg” -VMName “prodvm2” -Name IaaSAntimalware

 

ResourceGroupName : prodrg
VMName : prodvm2
Name : IaaSAntimalware
Location : japaneast
Etag : null
Publisher : Microsoft.Azure.Security
ExtensionType : IaaSAntimalware
TypeHandlerVersion : 1.3
Id : /subscriptions/xxxx/resourceGroups/prodrg/providers/Microsoft.Compute/virtualMachines/prodVM2/extensions/IaaSAntimalware
PublicSettings : {
“AntimalwareEnabled”: “true”,
“RealtimeProtectionEnabled”: “true”,
“Exclusions”: {
“Paths”: “C:\\Users”,
“Extensions”: “.txt”,
“Processes”: “taskmgr.exe”
},
“ScheduledScanSettings”: {
“scanType”: “Quick”,
“isEnabled”: “true”,
“day”: “7”,
“time”: “120”
}
}
ProtectedSettings :
ProvisioningState : Succeeded
Statuses :
SubStatuses :
AutoUpgradeMinorVersion : True
ForceUpdateTag :

PS C:\WINDOWS\system32>

※1 リアルタイムスキャンやスケジュールスキャンが設定がされいることを確認

※systemcenterでリアルタイムスキャンやスケジュールスキャンが設定がされいることを確認

 

 

 

 

エンジニア’s EYE

無料でエンドポイントのセキュリティ対策が可能になるソリューションを紹介しました。サードパーティのDeepsecurityと比較しても機能面では遜色ないことを考えると、仮想マシンとセットで導入したいソリューションだと感じました。

セキュリティソフトウェアを評価する際の、もう一つの指標としてアンチウィルス・アンチマルウェア検出率は誰も気になるところだと思います。
以下のサイトにセキュリティ調査機関等により各セキュリティ製品に対して行われたテストの結果が一覧でまとめられていました。

セキュリティソフト比較サイト

本記事で紹介したAntimalwareと同じアーキテクチャであると予想されるWindows Defenderは
主要な商用ソフトよりわずかにウイルスの検出率に劣っているようなので、この点も導入する際に考慮が必要だと思われます。

次の記事では、Azure Security Centerからエンドポイント対策が出来ていない仮想マシンに対してAntimalwareを導入するシナリオ検証予定です。