Windows の IaaS VM のセキュリティ対策 – Sysmon ツールのご紹介

こんにちは、Azure サポート部の石井です。   Azure 上の Windows Server の VM にパブリック IPアドレスを割り振っている場合のセキュリティについて、ご紹介します。 セキュリティでは「多層防御」というキーワードがあるとおり、ひとつだけで完璧なわけではなく、すべてを語ることは難しいですが、 今回は、入れておくと侵入者の痕跡を残すのに便利な “Sysmon” ツールのご紹介となります。 また、一般的なセキュリティに関しての Tips も最後に記載しますので、お役立てください。   [Windows 側で痕跡を残す ”Sysmon” ツールのご紹介] 弊社ツール作成部門である Sysinternals より作成された、公式な無償ツールである、Sysmon というツールをご紹介いたします。 Sysmon ツールをインストールしていただく事で、ログイン・ログオフだけでなく、ファイルの作成・変更、プログラムの起動、ならびにレジストリ変更といった動作がイベント ログに記録されるようになります。また、C: ドライブのシステム ファイルの記録・書き換えも記録されるため、バックドアを仕込むような不正アクセスや、操作の追跡のために役立ちます。   これによって、「誰が何をしたのか」が記録されます。 ウイルスのように、悪意のあるプログラムは、えてして痕跡を消すため、Windows OS 標準のセキュリティのイベント ログについては、特に消去するようなことが想定されます。 本ツールは、イベント ログの独自の箇所にログを記録しますので、その点で削除を逃れられる可能性があり、セキュリティの問題の調査に役立ちます。   Sysmon https://technet.microsoft.com/en-us/sysinternals/dn798348   <負荷などの考慮点について> 原則として、システムに影響しない程度の IO 負荷となります。多数のユーザーが同時に使うような高負荷環境ですと影響が出る可能性があるため、様子を見ながらご利用ください。   <Sysmon のセットアップ手順> 1.上記サイトより、 Sysmon をダウンロードして、 Sysmon.zip…

2

IaaS VM バックアップにおける ”ファイルの回復” (プレビュー) 機能について

こんにちは。Azure サポート チームの世古です。 Azure IaaS VM バックアップにおけるデータの復元機能が、この半年で大きく動作が変わっておりますので、ご紹介させていただきます。 以前は Azure IaaS VM の復元においては、新規 VM を復元する機能しかありませんでした。しかし現在においては、以下 3 つの復元方法が可能です。 ・VM の復元 (Create virtual machine) バックアップしたデータ情報 (OS およびデータ ディスクの情報) を基に新規に VM を作成します。 いち早くバックアップ データから VM を作成することに適しています。 ・ディスクの復元 (Restore disks) 復元時に VM を作成せず、 バックアップしたデータ情報 (OS およびデータ ディスクの情報) を VHD として復元します。上記 “VM の復元” を実行すると、復元された VHD 情報を基に新規で作成された NIC が 1 つだけ接続されます。その為、既存の NIC や NIC…

0

Recovery Services コンテナーの情報が ”見つかりません” と表示される

こんにちは。Azure サポート チームの世古です。 最近、リソース グループ名に、括弧やダブルバイト文字 (日本語など) を入力して、リソース グループを作成したことにより、Recovery Services コンテナーを使用したポータル操作やバックアップ・リストアが出来なくなるお問い合わせを頂戴することがあります。 その為、本日は、リソース グループの命名規則と命名規則に則っていない場合の影響についてご案内いたします。 リソースグループ命名規則 現在、リソースグループの名前に指定できる文字は、以下の通りですので、その他の文字を入力しないでください。 英数字 _ (アンダースコア) – (ハイフン) 許可されていない文字を使用し、リソースグループの名前を付けた場合の影響 現時点で分かっている事象としては、以下の通りです。 コンテナーのリソース グループ名が日本語の場合 Recovery Services コンテナーの操作 (バックアップの実行やポリシーの作成) が出来ない VM のリソース グループ名が日本語の場合 バックアップやリカバリーを実施してもトリガーされたジョブが ”復元をトリガーできませんでした” で失敗する。 対処策 命名規則に則ったリソース グループにリソースを移動し、許可されていない文字を使用したリソースグループの利用を中止してください。 – VM のリソース グループの変更方法について 1.Azure ポータルを起動します。 2.左の一覧より [リソース グループ] を選択します。 3.対象のリソース グループを選択します。 4.[概要] をクリックします。 5.画面上部の [移動] をクリックします。 6.画面に従い対象のリソースすべてを命名規則に沿った表記のリソース…

0

Azure クラシック ポータル (ASM) のバックアップ コンテナー新規作成終了について

こんにちは、Azure プラットフォーム サポートの眞尾です。 Azure クラシック ポータル (ASM) のバックアップ コンテナーの新規作成が終了したことについてお知らせいたします。 ※ 既にご利用いただいておりますバックアップ コンテナーは引き続きご利用いただけます。   これまで ASM で作成した仮想マシン (クラシック) のバックアップ取得では、ASM からバックアップ コンテナーを作成し、仮想マシン (クラシック) をバックアップ対象として登録していました。 しかし、現在は新しいポータルの Azure ポータル (ARM) から作成する Recovery Services コンテナーで仮想マシン (クラシック) をバックアップすることが可能となっております。 ※ 現在 Azure には Azure クラシック ポータル (ASM) と Azure ポータル (ARM) の 2 種類のポータルがあります。   今後の機能拡張は ARM の Recovery Services コンテナーのみで実施されるため、ARM の…

0