◎概要
Azure プロジェクトで、仮想マシン(以降、VM)の マルウェア対策として
Microsoft Defender for Endpoint(以降、MDE) を 使用する事にしました。
MDEを使用するに辺り、調べたことを備忘録に残して置きたいと思います。
下記の記事には、MDEの事を知る上で大変お世話になりました。
MDEを知るには、こちらの記事を一読する事を強くお勧めいたします。
◎MDEとは
Azure での マルウェア対策として使用されるサービスは、Microsoft Defender for Cloudというサービスがあります(MDEとは名前は似ていますが異なるサービスです)
しかし、この Microsoft Defender for Cloud というサービスは、Azure Storage Accoount の[アップロード時マルウェア スキャン] や [機密データの脅威検出] また、Azure Key Vault に対するアクセスまたは悪用の試みを検出するなどのスキャンを行ってくれますが、VM の マルウェアスキャンはしてくれません。
そもそも、Defender for Cloud とは下記のドキュメントによると
「クラウドネイティブのアプリケーション保護プラットフォーム (CNAPP) であり、さまざまなサイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計されたセキュリティ対策とプラクティスで構成されています。」
つまり、先の Azure リソースらの 外部脅威からの保護 や リソースの脆弱性をチェックし、Defender for Cloud 内 のダッシュボードに セキュリティ警告としてアラートを出すというサービスです。
AWSでいうと、AWS Security Hub が同等のサービスだと思います。
サービスの脆弱性は、Security Hubは担っていますし、外部から脅威のチェックは、AWS GuardDuty が担っていて、GuardDutyは Security Hubと統合されているので、Security Hub 内でも GuardDuty内の警告アラートが見られるので、やはりAWS Security Hub が 最も近しいサービスになります。
では、MDEとは何かといいますと、
クライアント端末上で動作する Microsoft Defender AV (MDAV) と連携し、より強力なセキュリティ環境を提供する EDR 製品※1 マルウェア検知を示すアラート通知、検知されたマルウェアの詳細確認、マルウェアスキャンの再実行など、多岐にわたるアンチマルウェア機能を利用することが可能にするもの。
※1
EDR製品とは、一般的に、組織内のエンドポイントから収集したログデータの相関解析、不審な挙動やサイバー攻撃を迅速に検知して対応(分析・封じ込め・原因特定など)する機能などが備わったもの。
この Microsoft Defender AV (MDAV) とは 何かといいますと
Windows Server の OS に"デフォルト"で組み込まれているアンチマルウェアソフトです。
つまり MDEとは、MDAVと連携し より強固なセキュリティ環境を提供するというものになります。
少し補足すると、Windows VMの中に、MDEの拡張機能がインストールされます。それとMDAVが連携して強固なマルウェア対策を提供します。LiunxはMDEの拡張機能をインストールする事でMDEが使用できます。
ここで、少し不思議に思った方もいるのではないでしょうか?
MDEは、MDAVと連携してより強固なセキュリティ環境を提供するものであるならば、そもそも、VMのマルウェア対策に MDE は必要ないのではと思った方もいるではないでしょうか。
答えは、その通りです。
只、Windows VM に限っての話にはなります。
Windowd VMは、Windows Server 2016 以降 の OS からは、規定のアンチマルウェアソフトとして Microsoft Defender AV (旧名称 Windows Defender) が組み込まれておりますので、MDEを使用しなくても マルウェア対策は出来ます。
ちなみに余談ですが、Windows Server 2016 以前は Microsoft Antimalware というエージェント?をインストールする事で VM のマルウェア対策を行っていたようです。
そして、先程も記載した通りですが、Windows VMに限っては、
このようにアンチマルウェアソフトが組み込まれていますが、Linux VMには入っていないので、Linux VM のマルウェア対策には MDE の使用が必須になります。
◎MDE 使用する理由
ここでは、MDE を使用する理由を説明したいと思います。
先の項目で記載した通り、Windowd VM には、デフォルトでアンチマルウェア
ソフトが組み込まれているので、MDE を使用する必要はがないのではないかと
思われるではないでしょうか。
今回のプロジェクトでは、Windowd VM 及び Linux VM 両方とも使用します
ので、MDE は必然的に使用しなければならなかったのですが、これが MDE を使用する 最たる理由なんですが、これだけではありません。
仮に、Linux VM を使用していなかったとしても 今回 MDE を使用していました。
理由は下記の 2つの理由になります。
1. Defender for Cloud の使用
2. MDE の料金体系
一つずつ説明していきます。
1. Defender for Cloud の使用
先に記載した通り、Windows Server 2016 以降 の VMには、デフォルトで
アンチマルウェアソフトが組み込まれています。その為 マルウェア対策は出来ていますが、仮にマルウェアの攻撃を受けた場合、それを認知するすべがありません(ないと言い切りましたがもしかしたらシステムログに残るかもしれないですね...)
どのような攻撃だったか といった情報を確認するには、
Defender for Cloud のセキュリティ警告に「Antimalware Action Taken (マルウェア対策アクションが実行されました)」といったアラートが出力されるようにする必要があります。
つまり、Defender for Cloud を使用しなければならないという事です。
ちなみに、Defender for Cloud 上 のアラートに マルウェアが検知されたことを出力させる為には、VMに Log Analytics エージェントまたは Azure Monitor エージェントをインストール必要がありますので、ご注意ください。
この、Defender for Cloud を使用しなければならないという事が次の理由にも
繋がってきます。
2. MDE の料金体系
MDEは、Microsoft の サービスではありますが、Azure のサービスではありません。
通常 Windows VM や Linux VM のサーバー OS を MDE にて管理させる場合には、以下のいずれかのライセンスが必要です。
・ Microsoft Defender for Cloud Plan1 または Plan2 ライセンス
・ Microsoft Defender for Endpoint Plan1 または Plan2 ライセンス
つまり、Defender for Cloud Plan 1 または Plan 2 を使用する場合、
Defender for Endpoint との統合により MDE を利用することは可能です。
要は、Defender for Cloud ラインセンスを持っていれば、自動的に
MDE も使えてしまうという事です。逆に言えば、Defender for Cloud を使用しているならば使わなくては損という事です。
Defender for Cloud と MDE 統合が非常に簡単です。
下記のドキュメントに記載したありますが、
Endpoint Protection コンポーネントの状態で、[オン] を選択して、
Microsoft Defender for Endpoint との統合を有効にするだけです。
只、有効にするには、グローバル監理者 及び セキュリティ管理者 の権限が必要になりますので、ご注意ください。
◎最後に
MDE との統合が完了すると VM に下記の拡張機能が自動的にインストールされます。
Windowsには、MDE.Windows
Linuxには、MDE.Linux
後は、Defender for Endpoint から無害な テスト アラートを生成してテスト アラートを送信する事も出来ますので試して見て下さい。
やり方は、先に張り付けた
「Microsoft Defender for Endpoint 統合を有効にする」というドキュメント内に記載があります。
また、別途 MDE のポータル画面からセキュリティ出力を確認する事も出来ますが、Defender for Cloud と MDE 統合されている事で MDE の セキュリティ出力は全てではないですが、Defender for Cloudのダッシュボードに出力されます。
MDE のポータルにログインして セキュリティ出力を確認するには、統合した時と同様にグローバル監理者 及び セキュリティ管理者 の権限が必要になりますので、ご注意ください。
ちなみに、テスト アラートは Defender for Cloudのダッシュボードに出力されます。