LoginSignup
4

More than 5 years have passed since last update.

Log Analytics を使用したAntimalware の監視

Last updated at Posted at 2017-06-25

最近、ランサムウェアのようなマルウェアが脅威を与えていることは記憶に新しいと思います。

Azureの仮想マシンには、マルウェア対策としてAzure VM 拡張機能であるMicrosoft Antimalwareというサービスがあります。

こちらを利用または検討されている方へ、Antimalwareの設定紹介や、Log Analyticsと連携させたマルウェア監視の方法を紹介したいと思います。

概要

Antimalwareをサーバー複数台で利用している場合、どのサーバーが感染しているのかを一覧で判断できないため、各サーバーごとに監視する必要があります。

ですがLog Analyticsを使用すれば、Antimalwareを使用しているサーバーの状態を一括監視できます。

サーバーの感染状況を図を用いて表示したり、アラートメールをあげる等の機能を使用できます。こちらの紹介を行います。

Antimalware有効化

Antimalware有効化の作業としては、Azure VMの拡張機能から、Antimalwareの追加をするのみですので、簡単に設定できます。

※VMの拡張機能の追加は、仮想マシン起動時に行ってください。

VMの拡張機能から、追加をクリックします。
拡張機能一覧からAntimalwareを選択し、作成をクリックします。
screenshot_04.png


以下のパラメータを任意で設定し、Antimalwareをインストールします。
今回は、機能の確認とLog Analyticsとの連携が目的のため
デフォルト設定でインストールします。

screenshot_05.png

Log Analytics作成

Log Analyticsのリソースを作成するための、パラメータを入力します。
設定項目に関しては、以下の制限に注意してください。

OMSワークスペースは、アルファベット、数字、ハイフンが使用可能

リージョンは、「米国東部」「ヨーロッパ西部」「東南アジア」「オーストラリア南東部」「米国中西部」から選択します。
まだ「東日本」は未対応のようです。

価格レベルはOperations Management Suiteの権利を使用するためには
「ノードごと(OMS)」を選択しますが、今回は検証のため「Free」を選択しています。
screenshot_07.png


Log Analyticsリソースの作成が完了したら、OMSポータルを開き、
ソリューションギャラリーからAntimalwareに関連するソリューションを選択します。

※OMSポータルは、Firefoxで開くことをお勧めします。IEやChromeでは開けない場合が多いです。

screenshot_48.png

ソリューション追加終了次第、Azureポータル上でLog Analyticsを開き
「ワークスペースのデータソース」から仮想マシンを選択し、
Antimalwareをインストールした仮想マシンを選択します。
screenshot_08.png


選択完了すると、作成したOMSワークスペースに仮想マシンが登録されます。
screenshot_11.png

ワークスペースへの登録が完了すると、OMSポータルに反映されます。
※初期導入時は、ログの読み込みに時間がかかります。
screenshot_12.png

アラートの設定

アラートの設定はOMSポータルから設定することが出来ます。

ダッシュボードから「マルウェア対策評価」を選択し、下図の「System Center Endpoint Protection」をクリックします。
screenshot_15.png

ログ検索の画面が表示されますので、左上の「アラート」をクリックします。
screenshot_14.png

アラートルールの追加から、検索クエリを指定して、
特定のスケジュールでアラートの確認をかけることでアラートを出すことが出来ます。
具体的なアクション方法としては、メール通知だけでなく
Runbook、Webhookを選択することが出来ます。

Runbookを設定することで、特定のログが出力されたらスクリプトを自動的に
流すことが出来ます。

単なる通知機能だけでなく、問題自体を自動的に対応
出来るように設定を加えることができます。
screenshot_18.png

マルウェア監視検証

マルウェア検知の検証のために、EICARファイルを作成して正常に
System Center Endpoint Protectionが起動するかどうか確認します。
screenshot_16.png

ドキュメントにEICARファイルを保存してみます。
screenshot_17.png


System Center Endpoint Protectionに検知され、正常に隔離されたことが確認できます。
screenshot_20.png

イベントログでも正常に隔離作業が実行されたことが確認できます。
screenshot_19.png


では、Log Analytics上でこちらのログが正常に登録されアラートを表示するかどうか確認します。
OMSポータルを開くと、ダッシュボードにマルウェアを検出したことが表示されています。

screenshot_23.png

ダッシュボードを選択すると、検出した仮想マシンの状態を仮想マシンごとに表示してくれています。
screenshot_22.png


アラートメールを設定していると、以下のようにアラートメールが送信されます。
マルウェアを検知したことをLog Analyticsが判断し、自動的に通知してくれるので
設定次第でリアルタイムに保護対象のサーバーの状態を判断することが出来ます。

screenshot_47.png

アラートの管理は以下の画面から行うことができます。
screenshot_24.png

このように、Log Analyticsを利用することによって複数のサーバーのマルウェア監視を
OMSポータルで一括管理することが出来ます。
こんなに簡単に管理できるので、ぜひ活用しましょう。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4