本記事について
マイクロソフトは近年セキュリティに莫大な投資を行ってポートフォリオを広げてきており、特にエンドポイントセキュリティには力を入れています。本稿では、特に Azure に Windows Server や Linux サーバーの仮想マシンを構築するときに OS ごとにどのようなアンチマルウェアや EDR のオプションがファーストパーティで提供されているかを見ていきます。
また、これらの機能は Azure Arc enabled Servers を導入することにより、オンプレミスや AWS, GCP などにあるマシンに対しても利用可能です。Azure Arc は Azure Arc Connected Machine Agentをマシンにインストールすることにより、Azure 外にあるマシンを Azure の様々な機能を使って管理していくことができるようになる仕組みです。
OS の種類ごとのアンチマルウェアと EDR のオプション
ここからOS の種類ごとのアンチマルウェアと EDR のオプションについて具体的に見ていきます。
サマリ
最初に、こちらの表で提供される機能名とライセンスをまとめてみます。
登場人物として、Microsoft Defender for Cloud (Defender for Cloud), Microsoft Defender for Endpoint (MDE), Microsoft Defender AV, Microsoft Antimalware がいることが分かります。
次に、アンチマルウェア・EDRに関して、それぞれの特徴や注意点を見ていきます。
アンチマルウェア
まず、アンチマルウェアについて、OSごとにまとめてみます。
Linux
Linux のアンチマルウェアは、MDE の中で EDR と合わせて提供されます。Defender for Cloud から MDE を自動オンボードする場合、AV 部分は最初無効化されています。そのため、構成プロファイルを変更するなどして有効化をしておく必要があります。
方法については 別途 Qiita 記事としてまとめている Defender for Servers で MDE (Linux) をオンボーディングした時にアンチウイルスを有効化するには?をご確認ください。
対応している Linux のディストリビューションはこちらにリストがあります。
2024年1月時点では下記になります。
- Red Hat Enterprise Linux 6.7 or higher (In preview)
- Red Hat Enterprise Linux 7.2 or higher
- Red Hat Enterprise Linux 8.x
- Red Hat Enterprise Linux 9.x
- CentOS 6.7 or higher (In preview)
- CentOS 7.2 or higher
- Ubuntu 16.04 LTS or higher LTS
- Debian 9 - 12
- SUSE Linux Enterprise Server 12 or higher
- Oracle Linux 7.2 or higher
- Oracle Linux 8.x
- Amazon Linux 2
- Amazon Linux 2023
- Fedora 33 or higher
- Rocky 8.7 and higher
- Alma 9.2 and higher
- Mariner 2
Windows Server 2016 / 2019 / 2022
Windows Server 2016 以降は、OS 組み込みの Microsoft Defender AV を利用することができます。アラートの管理には、MDE や Defender for Cloud を利用します。
そのため基本的には 後述する Azure の拡張機能である Microsoft Antimalware を利用する必要はありませんが、スキャンのタイミングの設定などを Azure Portal から行いたい場合などは、Microsoft Antimalware 拡張機能を有効化することもできます。
Windows Server 2008 R2 / 2012 / 2012 R2
Windows Server 2012 R2 以前は、Microsoft Defender AV は利用できません。しかし、Azure 上の仮想マシンまたは Azure Arc enabled servers で管理されたサーバーであれば、Microsoft Defender AV 相当のアンチマルウェア機能を、仮想マシン拡張機能として利用することができます。これが、Microsoft Antimalware です。無料ですぐに利用を開始でき、拡張機能として構成をしていくことも可能です。また、Microsoft Defender AV と同じく、アラートの管理には、MDE や Defender for Cloud を利用します。
また、Defender for Cloud (Defender for Servers P1/P2) で監視されているサーバーであれば、Defender for Endpointのモジュールで Windows Server 2012 R2 はアンチマルウェア機能までまとめて提供されます。
EDR
EDR は、Microsoft Defender for Endpoint で提供しています。サーバーに関しては、Microsoft Defender for Cloud (Defender for Servers P1/P2) の一機能として利用できます。MDE と Defender for Cloud の連携についてはこちらもご参照ください。
Linux
Linux は AV と同じ MDE のモジュールの中で EDR 機能が担われています。
Windows Server 2019 / 2022
最新のサーバー OS は、Windows 10 / 11 と同じく、OS組み込みのセンサーが使われます。Defender for Cloud からの自動オンボードの場合、このセンサーの有効化が自動的に行われます。
Windows Server 2008 R2 / 2012 R2 / 2016
元々これらの OS に対しては、Log Analytics エージェントがセンサーの役割を果たしてきました。ただ、機能が限定されており、自動調査と対処などが利用できませんでした。
しかし、2022年4月に 2012 R2 と 2016 に対しては新しいモジュールの提供が一般提供となりました。これにより、自動調査と対処機能や Live Response 機能など、EDR として必要な機能のほとんどが提供されることになりました。
Windows Server 2012 (無印)
残念ながら、MDEが非対応です。
これにより、古いバージョンの Windows Server についてもより高度な保護を利用できるようになっていきます。この新しいモジュールのインストールなども今後 Defender for Cloud 側にも組み込まれていく予定です。
最後に
本稿では、Windows Server や Linux サーバーの Azure 仮想マシンを構築するときに OS ごとにどのようなアンチマルウェアや EDR のオプションがファーストパーティで提供されているかを見てきました。Azure への Lift & Shift や新規システム構築において、IaaS を利用する際にはサーバーエンドポイントセキュリティは不可欠です。本記事がその理解の一助となれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。