チュートリアル: 脅威検出を構成し、Azure VM バックアップの正常性を管理する (プレビュー)

このチュートリアルでは、Azure 仮想マシン (VM) バックアップの脅威検出を有効にし、Azure Backup を使用してそれらを管理する方法について説明します。 この機能は、Microsoft Defender for Cloud と統合され、設定を構成し、バックアップ復元ポイントの正常性を監視します。

Azure Backup では、Microsoft Defender for Cloud (MDC) を使用して、Azure VM バックアップの脅威検出が提供されるようになりました。 Defender for Servers からのセキュリティ シグナルとマルウェア スキャンを統合することで、Azure Backup はバックアップの作成時に復元ポイントの正常性を自動的に評価します。 この機能は、疑わしいバックアップやランサムウェアに感染したバックアップをすばやく特定して対応し、VM のより安全な復旧オプションを確保するのに役立ちます。

Azure Backup の脅威検出機能とサポートされるシナリオについて説明します。

[前提条件]

Azure VM バックアップの脅威検出を有効にして管理する前に、次の前提条件が満たされていることを確認します。

• Azure サブスクリプションで Microsoft Defender for Servers プラン 1 またはプラン 2 を有効にします。 プラン 1 では、仮想マシンで Microsoft Defender for Endpoint (MDE) を有効にし、ソース VM で正しい構成を確認します。そうしないと、バックアップに誤ってタグが付けられます。 プラン 2 では、エージェントレスマルウェアスキャンを有効にしてください。 Defender for Server プランの詳細を確認します。
• Microsoft Sentinel で双方向アラート同期を有効にして、バックアップ復旧ポイント (RP) を正確に識別します。 Microsoft Defender for Cloud アラートを Microsoft Sentinel に取り込む方法について説明します。
• Defender と共にサードパーティのインシデント管理ソリューションを使用する場合は、Microsoft Defender for Cloud で解決済みとしてアラートをマークします。

Azure VM バックアップの脅威検出を有効にする

コンテナー レベルでソース スキャンを大規模に構成できます。これにより、Azure Backup はソース仮想マシンで Microsoft Defender を使用してマルウェア スキャンを実行できます。 この機能により、Azure Backup では、スナップショットの作成時に復旧ポイントの正常性を評価できます。

回復性またはコンテナーのプロパティのいずれかの方法を使用して、Azure VM バックアップの脅威検出を有効にすることができます。 コンテナーで脅威検出スキャンが構成されると、コンテナーは VM バックアップ用に作成されたすべての新しい復元ポイントにスキャン状態を適用します。

Important

• 必要な Microsoft Defender for Cloud (MDC) プランを使用すると、ソース スキャン統合を有効にすることができます。 有効にすると、このセキュリティ機能をオフにすることはできません。
• ソース スキャンは、選択したサブスクリプションに必要な Microsoft Defender for Servers プランがある場合にのみ構成できます。

オプション 1: 回復性を使用して脅威検出を構成する

回復性を使用して Azure VM バックアップの脅威検出を有効にするには、次の手順に従います。

1. Azure portal で、[回復性] に移動します。

2. 概要ウィンドウで、[脅威の検出 (プレビュー)] タイルを選択します。

   

3. [ 脅威の検出 (プレビュー)] ウィンドウで、[ + スキャンの構成 ] を選択して、ソース スキャン統合の構成を開始します。

   

4. ソース スキャン統合の構成 (プレビュー) ウィンドウで、+ ボールトの選択 をクリックします。

5. [ コンテナーの選択 ] ウィンドウの [ サブスクリプションの選択] で、ソース スキャン統合を有効にするサブスクリプションを選択します。

6. Microsoft Defender for Cloud との統合を有効にするには、保護されたデータソース (VM バックアップ) を含むコンテナーを一覧から選択し、[ 追加] を選択します。

   

7. ソース スキャン統合の構成 (プレビュー) ウィンドウで、スキャンの構成 を選択して、サポートされているリージョンのボールトの脅威検出を有効にします。

コンテナー内の VM バックアップ用に作成されたすべての新しい復旧ポイントには、スキャンの状態が [構成済み] として表示されます。

オプション 2: ボールトのプロパティからの脅威検出を構成する

Recovery Services コンテナーのプロパティから Azure VM バックアップの脅威検出を有効にするには、次の手順に従います。

1. 脅威の検出を必要とする VM バックアップが含まれている Recovery Services コンテナー に移動し、[ プロパティ] を選択します。

2. [プロパティ] ペインの [セキュリティ設定]>脅威検出 (プレビュー) で、[更新] を選択します。

   

3. [ 脅威の検出 (プレビュー)] ウィンドウで、[ ソース スキャン統合を有効にする] をオンにし、チェック ボックスをオンにして条項に同意します。

4. [更新] を選択します。

Azure VM 復旧ポイントの正常性を監視する

回復性を使用して Azure VM 復旧ポイントの正常性を監視するには、次の手順に従います。

1. [回復性] に移動し、[脅威検出 (プレビュー)] タイルを選択し、復旧ポイントの正常性の概要を表示します。

2. [脅威の検出 (プレビュー)] ウィンドウで、スキャンの概要の状態が疑わしい RP が見つかった保護された項目を選択します

   サブスクリプション全体で保護されているすべてのアイテムの スキャンの状態 と スキャンの概要 を表示できます。 スキャンの概要は、過去 7 日間に作成された復旧ポイントのスキャン状態に基づいて集計された値です。

   

3. 選択した保護された項目ペインで、関連付けられている項目を一覧から選択します。

4. 関連する項目ペインで、回復ポイントの一覧から、[ 最近のスキャン状態 ] が [疑わしい ] のハイパー リンクを選択し、スキャンの詳細を表示します。

   

5. この RP を Suspicious としてタグ付けする原因となったアラートを確認できます。 アラートを選択し、MDC に移動することで、修復およびアクションを実行できます。 不変またはマルチユーザー承認を有効にすることで、バックアップを停止したり、バックアップのセキュリティ レベルを上げたりすることができます。

   

Azure VM の復元中に各復旧ポイントのスキャン状態を表示することもできます。これは、ランサムウェアの復旧に適した復元ポイントを選択するのに役立ちます。

脅威を解決し、正常なバックアップを確保する

バックアップ復旧ポイントに 疑わしいフラグが設定されている場合、関連するアラートがトリアージされて解決されるまで、後続のすべての復旧ポイントにフラグが設定されたままになります。

アラートを解決するには、[ スキャンの詳細 ] ウィンドウからアラートを選択し、Defender ポータルに移動し、次のいずれかの操作を実行します。

• Defender for Cloud でアラートを解決します。 Microsoft Defender for Cloud でセキュリティ アラートを管理する方法について説明します。

• Microsoft Sentinel でアラートを解決します。

  アラートの状態が Defender for Cloud に同期されていることを確認します。 Microsoft Defender for Cloud アラートを Microsoft Sentinel に取り込む方法について説明します。

• サード パーティのインシデント管理ツールを使用して管理されるアラートについては、Defender for Cloud ポータルで解決します。

すべてのアラートを解決し、Microsoft Defender for Cloud で 解決済みとしてマークすると、保護された項目は 脅威なしと報告される。

関連コンテンツ

• Azure Backup のセキュリティ機能について。
• Microsoft Defender for Servers について。
• Microsoft Sentinel について。