Windows の IaaS VM のセキュリティ対策 – Sysmon ツールのご紹介

こんにちは、Azure サポート部の石井です。   Azure 上の Windows Server の VM にパブリック IPアドレスを割り振っている場合のセキュリティについて、ご紹介します。 セキュリティでは「多層防御」というキーワードがあるとおり、ひとつだけで完璧なわけではなく、すべてを語ることは難しいですが、 今回は、入れておくと侵入者の痕跡を残すのに便利な “Sysmon” ツールのご紹介となります。 また、一般的なセキュリティに関しての Tips も最後に記載しますので、お役立てください。   [Windows 側で痕跡を残す ”Sysmon” ツールのご紹介] 弊社ツール作成部門である Sysinternals より作成された、公式な無償ツールである、Sysmon というツールをご紹介いたします。 Sysmon ツールをインストールしていただく事で、ログイン・ログオフだけでなく、ファイルの作成・変更、プログラムの起動、ならびにレジストリ変更といった動作がイベント ログに記録されるようになります。また、C: ドライブのシステム ファイルの記録・書き換えも記録されるため、バックドアを仕込むような不正アクセスや、操作の追跡のために役立ちます。   これによって、「誰が何をしたのか」が記録されます。 ウイルスのように、悪意のあるプログラムは、えてして痕跡を消すため、Windows OS 標準のセキュリティのイベント ログについては、特に消去するようなことが想定されます。 本ツールは、イベント ログの独自の箇所にログを記録しますので、その点で削除を逃れられる可能性があり、セキュリティの問題の調査に役立ちます。   Sysmon https://technet.microsoft.com/en-us/sysinternals/dn798348   <負荷などの考慮点について> 原則として、システムに影響しない程度の IO 負荷となります。多数のユーザーが同時に使うような高負荷環境ですと影響が出る可能性があるため、様子を見ながらご利用ください。   <Sysmon のセットアップ手順> 1.上記サイトより、 Sysmon をダウンロードして、 Sysmon.zip…

2

IaaS VM バックアップにおける ”ファイルの回復” (プレビュー) 機能について

こんにちは。Azure サポート チームの世古です。 Azure IaaS VM バックアップにおけるデータの復元機能が、この半年で大きく動作が変わっておりますので、ご紹介させていただきます。 以前は Azure IaaS VM の復元においては、新規 VM を復元する機能しかありませんでした。しかし現在においては、以下 3 つの復元方法が可能です。 ・VM の復元 (Create virtual machine) バックアップしたデータ情報 (OS およびデータ ディスクの情報) を基に新規に VM を作成します。 いち早くバックアップ データから VM を作成することに適しています。 ・ディスクの復元 (Restore disks) 復元時に VM を作成せず、 バックアップしたデータ情報 (OS およびデータ ディスクの情報) を VHD として復元します。上記 “VM の復元” を実行すると、復元された VHD 情報を基に新規で作成された NIC が 1 つだけ接続されます。その為、既存の NIC や NIC…

0

Recovery Services コンテナーの情報が ”見つかりません” と表示される

こんにちは。Azure サポート チームの世古です。 最近、リソース グループ名に、括弧やダブルバイト文字 (日本語など) を入力して、リソース グループを作成したことにより、Recovery Services コンテナーを使用したポータル操作やバックアップ・リストアが出来なくなるお問い合わせを頂戴することがあります。 その為、本日は、リソース グループの命名規則と命名規則に則っていない場合の影響についてご案内いたします。 リソースグループ命名規則 現在、リソースグループの名前に指定できる文字は、以下の通りですので、その他の文字を入力しないでください。 英数字 _ (アンダースコア) – (ハイフン) 許可されていない文字を使用し、リソースグループの名前を付けた場合の影響 現時点で分かっている事象としては、以下の通りです。 コンテナーのリソース グループ名が日本語の場合 Recovery Services コンテナーの操作 (バックアップの実行やポリシーの作成) が出来ない VM のリソース グループ名が日本語の場合 バックアップやリカバリーを実施してもトリガーされたジョブが ”復元をトリガーできませんでした” で失敗する。 対処策 命名規則に則ったリソース グループにリソースを移動し、許可されていない文字を使用したリソースグループの利用を中止してください。 – VM のリソース グループの変更方法について 1.Azure ポータルを起動します。 2.左の一覧より [リソース グループ] を選択します。 3.対象のリソース グループを選択します。 4.[概要] をクリックします。 5.画面上部の [移動] をクリックします。 6.画面に従い対象のリソースすべてを命名規則に沿った表記のリソース…

0

リソースグループ名について

こんにちは。Azure サポートチームの小久保です。 最近、リソースグループ名に、括弧やダブルバイト文字 (日本語など) を入力して、リソースグループを作成したことにより、リソース作成時や削除時にエラーとなるお問い合わせを頂戴することがあります。 その為、本日は、リソースグループの命名規則と命名規則に則っていない場合の影響についてご案内いたします。   ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。  

0

バックアップの保持ポリシーが 7 日に設定される

こんにちは、Azure プラットフォーム サポートの但木です。   弊社にお問い合わせいただいたご質問の一つに、“MARS エージェントで毎日バックアップしたデータを 1 日間だけ保持したいが、保持ポリシーを [1 日間] に設定するも、自動で [7 日間] となってしまい 7 日間のバックアップ データが保持されてしまう” というお問い合わせがございます。 以前までは MARS エージェントの保持ポリシーの日単位の最小値は 1 日でしたが、現在は 7 日に変更されています。これは、Azure Resource Manager (ARM) に追加された Security features 機能に起因しています。 今回は、Security Features の機能とその実装に伴う Azure Backup 側の動作変更についてをご案内いたします。     Security features とは Security features は Azure Backup によってバックアップされたデータを保護するために実装されました。 バックアップ実行中にマルウェアやランサムウェアなどのコンピュータ ウィルスの攻撃を受け、取得したバックアップ データの破損や不正な盗難などの被害を受ける場合がございます。 このような攻撃からバックアップ データを保護するため、Azure Backup…


Azure 上で利用している Windows 仮想マシンがフリーズしたら

こんにちは、Azure プラットフォーム サポート部の石井です。 Azure 上で Windows の仮想マシンがフリーズした場合について、特にオンプレミスでの選択肢であったダンプを取るにあたっての手法などについてご紹介します。

0

自動シャットダウン機能を JSON テンプレートにて構成するには

こんにちは。Azure サポートチームの山本です。 Azure では、たった数クリックだけで、Azure Resource Manager (ARM) の環境でデプロイした仮想マシンを対象に、自動シャットダウンできる機能が追加されました。この機能により、自動シャットダウンの設定は非常に簡単になりました。 シャットダウンする時間と、タイムゾーンを指定するだけです。さらに Webhook のURLに対してシャットダウン15分前に通知を設定することもできます。 (これは、Webhook に対応した Web アプリケーションを作成しておく必要があります。) 英文とはなりますが、以下に自動シャットダウンがリリースされた記事の記載がございますのでご確認くださいませ。 ご参考 : “Announcing auto-shutdown for VMs using Azure Resource Manager“ https://azure.microsoft.com/en-us/blog/announcing-auto-shutdown-for-vms-using-azure-resource-manager/ 自動シャットダウン機能は、[Automation スクリプト] にはまだ実装されておりません。 Automation スクリプトとは、リソースグループ内のリソースの構成をスクリプトとして表記しているものです。 ポータルからの操作で、[ライブラリに追加] とクリックするとテンプレートに保存されます。 テンプレート機能を使っていただくと、リソースグループの複製を一度にデプロイすることが出来ます。 「一度構築したリソースグループ内の環境を使い回したい!」「今使っている環境と同じ環境をテスト用に作成したい!」という時に便利な機能となっております。 自動シャットダウンを設定した、Automation スクリプト を利用しようとすると、オレンジ色の枠で、以下のエラー文章が表記されます。 「Microsoft.DevTestLab/schedules はまだエクスポートできないため、テンプレートに含まれません。エラーの詳細を確認してください。」 こちらのエラーは無視していただき、そのままスクリプトを利用して複製していただくことは可能ですが、自動シャットダウンの機能は無効化した状態で複製されますので、デプロイしていただいた後、個別に自動シャットダウンの設定をしていただく必要がございます。 本記事では、テンプレートをデプロイ後、自動シャットダウンの有効化について、ご紹介させていただきます。 自動シャットダウンの設定方法 – 方法1 通常の設定と同様に、該当の仮想マシンにアクセスしていただき、設定。 ポータル (https://portal.azure.com/) にログイン 左メニューの [Virtual Machines] をクリックし、該当の仮想マシンを選択 メニューから…

0

Azure IaaS VM バックアップと Azure Backup エージェントにおける Recovery Services コンテナーの冗長設定を登録する方法と留意点

こんにちは、Windows プラットフォーム サポートの但木です。 今回は Azure Backup の中でも特にご質問の多い、Azure IaaS VM バックアップと Azure Backup エージェントにおける Recovery Services コンテナー の冗長設定を登録する方法と、冗長設定の留意点についてご案内します。   多くいただくご質問の一つに、 「冗長設定を気にすることなく (または気づけず) Azure IaaS VM バックアップ (または Azure Backup エージェント) を利用しているが、使用料金の高い地理冗長ストレージ (GRS) が初期設定となってしまっていたため、使用料金の安い冗長先に変更したい」 という内容がございます。 ですが、現状ではバックアップをご利用いただいている場合、途中で冗長先を変更することはできません (2016/12/08 現在)。※現在弊社開発チームよりバックアップご利用中でも冗長設定を変更できるよう検討しています。 その結果、コスト面を懸念し今まで使用していた Recovery Services コンテナー (今まで取得したバックアップ データを含む) を削除するに至るというケースがありました。 このようなケースを少しでも軽減できるよう、バックアップをご利用いただく前に Recovery Services コンテナーの冗長設定を登録する方法をご案内します。  ※ストレージの冗長設定を変更できないタイミング============ ・Virtual Machines のバックアップの場合は、Recovery Services コンテナーを作成後バックアップ ポリシーを登録すると変更できません ・オンプレミスによるファイルやフォルダーなどのバックアップの場合は、Azure Backup…