Microsoft Endpoint Protection for Windows Azure の Customer Technology Preview 版、無料ダウンロードでの提供を開始


このポストは、3月26日に投稿された Microsoft Endpoint Protection for Windows Azure Customer Technology Preview Now Available For Free Download の翻訳です。

先週、Microsoft Endpoint Protection (MEP) for Windows Azure の Customer Technology Preview 版がリリースされました。Windows Azure を利用する開発者および管理者は、これを使用して Windows Azure の仮想マシンにマルウェア対策機能を実装できます。このパッケージは Windows Azure SDK の拡張機能としてインストールされます。MEP for Windows Azure CTP をインストールして、MEP のマルウェア対策モジュールを各ロールの定義にインポートするだけで、Windows Azure 仮想マシン上でマルウェア対策機能を有効にできます。

MEP for Windows Azure はこちら (英語) からダウンロードおよびインストールできます。このソフトウェアをインストールするには、事前に Windows Azure SDK 1.6 以降がインストールされている必要があります。

主な機能

このマルウェア対策ソリューションを Windows Azure サービスの一部として展開すると、次のような機能が利用できます。

  • リアルタイム保護。システムの活動を監視して、マルウェアを検出し、それらの実行をブロックします。
  • スケジュールされたスキャン。指定された領域に対するスキャンを定期的に実行して、実行中の悪意あるプログラムなど、システム上に存在するマルウェアを検出します。
  • マルウェアによる問題の修復。悪意のあるファイルの削除や隔離、および悪意のあるレジストリ エントリの消去など、検出されたマルウェア リソースに対する措置を実行します。
  • シグネチャの更新。最新の保護のシグネチャ ("ウイルス定義") をインストールして、常に最新の保護対策を実施できるようにします。
  • アクティブな保護。検出された脅威や不審なリソースに関するメタデータをマイクロソフトに報告し、常に変化する脅威に素早く対処できるようにするとともに、動的シグネチャ サービス (Dynamic Signature Service: DSS) によるリアルタイムでのシグネチャの配信を可能にします。

マイクロソフトのマルウェア対策エンドポイント ソリューションは、バックグラウンドで自動的に実行されるように設計されており、ユーザーによる操作は不要です。マルウェアが検出された場合も、エンドポイント保護エージェントにより、検出された脅威が自動で削除されます。マルウェアに関するイベントや “不正な状態” に陥った仮想マシンの監視についての詳細は、ドキュメント「Monitoring Microsoft Endpoint Protection for Windows Azure Events (Microsoft Endpoint Protection for Windows Azure のイベントを監視する)」を参照してください。

フィードバックのお願い

Microsoft Endpoint Protection for Windows Azure の Customer Technology Preview 版は、Windows Azure 仮想マシンにマルウェア対策機能を付与する本製品のアプローチについてお客様に評価していただき、フィードバックを収集することを目的として公開しています。皆様のご意見をお待ちしております。フィードバックは eppazurefb@microsoft.com まで(英語にて)お送りください。

Microsoft Endpoint Protection for Windows Azure のしくみ

Microsoft Endpoint Protection for Windows Azure には、Windows Azure Tools for Visual Studio 向けの SDK 用拡張機能が組み込まれています。これを使用すると、Windows Azure サービスの構成を通じて、エンドポイント保護機能を特定のロールに適用することができます。サービスの展開時に、仮想マシンを特定のインスタンスとしてスピンアップする手順の 1 つとして、エンドポイント保護のインストーラーの起動タスクが実行されます。この起動タスクにより、サービス構成ファイル (.cscfg) で指定された地理情報に従って、Windows Azure ストレージからエンドポイント保護パッケージ プラットフォームの全コンポーネントが取得およびインストールされます。同時に、指定されたその他の構成オプションも適用されます。

こうして起動されたエンドポイント保護クライアントは、最新の保護エンジンとシグネチャをインターネットからダウンロードし、読み込みます。この時点で、仮想マシンは、マルウェア対策が有効な状態で実行されるようになります。ログやマルウェア対策イベントなどの診断情報は、監視のため、Windows Azure ストレージに永続的に保持することができます。次の図は、すべての構成要素の相互関係を示しています。

必要条件

Windows Azure アカウントをあらかじめ構成しておくとともに、Windows Azure 環境でサービスを展開する方法を理解している必要があります。さらに、Microsoft Visual Studio 2010 が必要です。Visual Studio 2010 および Windows Azure Tools for Visual Studio のインストールと、Windows Azure サービスの作成および展開が完了している場合、特別な準備は不要です。

上記がお済みでない場合は、次の手順を実行してください。

  1. Windows Azure アカウントにサインアップします。
  2. Visual Studio 2010 をインストールします。
  3. Windows Azure Tools for Visual Studio をインストールします。

展開

Visual Studio 2010 と Windows Azure Tools をインストールしたら、Windows Azure 仮想マシンにマルウェア対策を実装する準備は完了です。マルウェア対策の展開は以下の手順で行います。

  1. Microsoft Endpoint Protection for Windows Azure をインストールします。
  2. Windows Azure サービスでマルウェア対策を有効にします。
  3. (オプション) マルウェア対策構成オプションのカスタマイズを行います。
  4. Windows Azure 診断を構成して、マルウェア対策に関する情報をキャプチャできるようにします。
  5. Windows Azure にサービスを発行します。

Microsoft Endpoint Protection for Windows Azure のインストール

Microsoft Endpoint Protection for Windows Azure のセットアップ パッケージを実行します。パッケージはこちらの Web サイト (英語) からダウンロードできます。

セットアップ ウィザードの手順に従って、エンドポイント保護コンポーネントをインストールします。必要なファイルは、以下のような Windows Azure SDK のプラグインフォルダーにインストールされます。

C:\Program Files\Windows Azure SDK\v1.6\bin\plugins\Antimalware

コンポーネントのインストールが完了したら、Windows Azure のロールでマルウェア対策を有効化できます。

Windows Azure サービスでのマルウェア対策の有効化

以下の手順で、ロールの定義時に “Antimalware” プラグインを追加するだけで、サービスで実行する特定のロールの仮想マシンにエンドポイント保護を適用できます。

  1. Visual Studio 2010 で、対象のサービスのサービス定義ファイル (ServiceDefinition.csdef) を開きます。
  2. サービス定義で定義済みの各ロール (Worker ロールや Web ロールなど) で、<Imports> セクションに次のコードを追加して、“Antimalware” プラグインをインポートします。

<Import moduleName="Antimalware" />

重要: 診断モジュールは MEP に直接依存します。このモジュールは新規プロジェクト作成時に ServiceDefinition.csdef ファイルに既定で含められ (<Import moduleName="Diagnostics" />)、特に構成を行う (ログをストレージに書き込むなど) 必要はありません。ただし、このモジュールが存在しない場合、Windows Azure サービスを適切に展開できません。

次の画像は、マルウェア対策として “WorkerRole1” をプロジェクトの Web ロールではなく Worker ロールに追加した例です。診断モジュールが含まれていることに注目してください。

3. サービス定義ファイルを保存します。

これで、プロジェクトの Worker ロールのインスタンスに、各仮想マシンで実行されるエンドポイント保護が実装されました。しかし、マルウェア対策のインポートは Worker ロールでしか指定されていないため、Web ロールのインスタンスにはマルウェア対策が含まれていません。次に Windows Azure へサービスが展開されたときに、Worker ロールのインスタンスではエンドポイント保護の起動タスクが実行され、Windows Azure ストレージから完全なエンドポイント保護クライアントがインストールされます。さらに、このエンドポイント保護クライアントにより、保護エンジンとシグネチャがインターネットからインストールされます。この時点で、仮想マシンでアクティブな保護機能が実行されている状態になります。

マルウェア対策構成オプションのカスタマイズ (オプション)

ロールでマルウェア対策を有効にすると、マルウェア対策プラグインの構成設定が、自動的にサービス構成ファイル (ServiceConfiguration.cscfg) に追加されます。この構成設定は、Windows Azure 環境での実行を考慮して事前に最適化されているため、設定を変更する必要はありません。ただし、特定の展開に対して設定のカスタマイズが必要な場合は、変更が可能です。

サービス構成に追加される既定のマルウェア対策構成

次の表に、サービス構成の中で構成可能な設定項目の一覧を示します。

展開されたサービスの構成

Windows Azure では、実行中のサービスの構成を "オンザフライ" で更新できます。たとえば、Windows Azure ポータルで "Configure" オプションを選択して、既存の展開の構成ファイルを手動で編集したり、新しい構成ファイルをアップロードしたりできます。

Microsoft Endpoint Protection for Windows Azure では、展開済みのサービスに対して変更を適用できます。マルウェア対策の設定を変更した構成ファイルを実行中のサービスに対して展開すると、マルウェア対策関連の設定が自動的に更新されます。

Microsoft Endpoint Protection for Windows Azure は、常にサービス展開の一環として展開されている必要があります。エンドポイント保護機能の展開または削除は、構成の更新を通じて行うことはできません。

Windows Azure 診断の構成およびマルウェア対策に関する情報のキャプチャ

マルウェア対策の展開の正常性を監視するには、マルウェア対策に有効なイベントおよびログを Windows Azure ストレージにプルするように Windows Azure を構成する必要があります。Windows Azure 診断では、任意の数の Windows Azure 監視ソリューションを使用して、マルウェア対策の監視および警告を実行できます。

全般的な情報については、Windows Azure 診断に関するこちらの MSDN ドキュメントを参照してください。

マルウェア対策イベント

マルウェア対策イベントについては、“Microsoft Antimalware” をソースとするシステム イベント ログからイベントをプルするように、診断機能を構成する必要があります。一般的には、エラーおよび警告に関するイベントをプルします。監視対象のイベントの詳細については、ドキュメント「Monitoring Microsoft Endpoint Protection for Windows Azure Events (Microsoft Endpoint Protection for Windows Azure のイベントを監視する)」を参照してください。

サービスのエントリ ポイントに追加するコードの例を次に示します。

//マルウェア対策診断を追加

var config = DiagnosticMonitor.GetDefaultInitialConfiguration();

//情報レベルおよび詳細レベルのイベント ログ エントリを除外

config.WindowsEventLog.DataSources.Add("System!*[System[Provider[@Name='Microsoft Antimalware'] and (Level=1 or Level=2 or Level=3)]]");

// 1 分おきに永続的なストレージに書き込み

config.WindowsEventLog.ScheduledTransferPeriod = System.TimeSpan.FromMinutes(1.0);

DiagnosticMonitor.Start("Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString", config);

この例では、マルウェア対策に関するすべてのエラーおよび警告が、システム イベント ログから Windows Azure ストレージに 1 分おきに書き込まれます。監視の必要条件に合わせて、適当な間隔を設定してください。

Windows Azure 診断を使用するために構成したストレージ アカウントの WADWindowsEventLogsTable テーブルを参照すると、生のイベント ログを確認できます。これで、マルウェア対策イベントが正常に収集されているかどうかを確認できます。たとえば、最初はエンドツーエンドで構成を確認するために情報レベルのイベント (レベル 4) を含めるようにして、後で構成を更新してこの設定をオフにするという方法もあります。

マルウェア対策のログ

上記に加えて、Windows Azure の仮想マシンでマルウェア対策コンポーネントを実行するうえで何らかの問題が発生した場合、次の場所に格納されているログが役に立つ場合があります。

  • %programdata%\Microsoft Endpoint Protection
    Windows Azure
    サービスで展開された起動タスクに関するログが格納されます。
  • %programdata%\Microsoft\Microsoft Security Client
    エンドポイント保護プラットフォーム コンポーネントのインストールに関するログが格納されます。

カスタムのログ機能を実装してこれらのログを BLOB ストレージに移動するように Windows Azure 診断を構成した場合も、同様にこれらのログをプルできます。詳細については、こちらの MSDN ドキュメント (英語)を参照してください。

Windows Azure へのサービスの発行

Visual Studio 2010 の構成作業が完了したら、最後に、Windows Azure にサービスを発行します。マルウェア対策の構成が適用されているロールでは、サービス展開の一環として、追加の起動タスクにより、エンドポイント保護クライアントのインストールおよび起動が実行されます。展開するサービスは、あらゆる Windows Azure サービスと同様に、Windows Azure ポータルからパッケージ化したり、Visual Studio 2010 から発行したりすることが可能です。いずれの処理も、Microsoft Endpoint Protection for Windows Azure と併用できます。

サービス発行後は、マルウェア対策が有効化された各ロールで、仮想マシン上で実行される Microsoft Endpoint Protection クライアントが保持されます。

Comments (0)

Skip to main content