Microsoft Antimalware で WVDのマルチセッションOSを監視する方法

はじめに

Microsoft Antimalware は、サブスクリプション上の Windows仮想マシンに対するマルウェア対策サービスです。
実体としてはWindows OS上の Windows Defender を以下項目のもとに管理するサービスです。
 
・リアルタイム保護 :Cloud Services および仮想マシンでのアクティビティを監視し、マルウェアの実行を検出してブロックします。
・スケジュールに基づくスキャン:スキャンを定期的に実行して、マルウェアや活動量の多いプログラムを検出します。
・マルウェアの駆除:悪意のあるファイルの削除や検疫、悪意のあるレジストリ エントリのクリーンアップなど、検出されたマルウェアへの対処を自動的に行います。
・シグネチャの更新 :最新の保護シグネチャ (ウイルスの定義) を自動的にインストールし、事前に定義された頻度で保護を最新の状態に更新します。
・マルウェア対策エンジンの更新:Microsoft マルウェア対策エンジンを自動的に更新します。
・マルウェア対策プラットフォームの更新:Microsoft マルウェア対策プラットフォームを自動的に更新します。
・アクティブ保護:検出された脅威および疑わしいリソースに関するテレメトリ メタデータを Microsoft Azure に報告して発生中の脅威に迅速に対応すると共に、Microsoft Active Protection System (MAPS) を使用して同期されたシグネチャをリアルタイムで配信できるようにします。
・サンプルのレポート:Microsoft マルウェア対策サービスにサンプルを提供および報告し、サービスの調整およびトラブルシューティングを可能にします。
・除外:アプリケーションとサービスの管理者は、ファイル、プロセス、およびドライブ の除外を構成できます。
マルウェア対策イベントの収集

 

参考文献:Azure Cloud Services および Virtual Machines 向け Microsoft マルウェア対策

https://docs.microsoft.com/ja-jp/azure/security/fundamentals/antimalware

 

ただし複数台で利用している場合、
仮想マシンが感染しているのかを一覧で判断できないため、別のサービスと組み合わせて利便性を向上する必要があります。
Log Analyticsを使用すれば、Antimalwareを使用している仮想マシンの状態を一括監視できますので、今回はこちらの紹介を行います。

 

せっかくなので、WVD(Windows Virtual Desktop)のWindows10 マルチセッションVMを利用して、動作を見てみたいと思います。

 

設定手順

まずマルチセッションVMにAzureVMの拡張機能から「Microsoft Antimalware」を有効化します。

 

 

 

 

次にLogAnalyticsをデプロイします。

 

 

LogAnalyticsデプロイ後、マルチセッションVMにエージェントを導入します。

 

 

最後にLogAnalytics で「マルウェア対策評価」を有効化します。

 

以上で準備完了です。

 

動作確認

マルチセッションVM上でエイカーファイルを配置し、検知されることを確認します。

 

 

LogAnalytics を表示すると、検知結果を確認できます。

ちなみにOSにもイベントログが記録されます。詳細は以下の過去記事に記載してます。

・Azure Antimalware でウイルスを検知した場合、どのような動作が起こりますか?
https://cloudsteady.jp/post/3095/

 

まとめ

Windows マルチセッションVMでも問題なくLogAnalytics で監視することができました。
メールでのアラート通知機能やビュー等もカスタマイズできたりもするので、
WVD 機能検証にあわせてセキュリティ機能としても実装・検証することをお勧めします。

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください