エージェントレス マルウェア スキャンでサーバーを保護する
Microsoft Defender for Cloud の Defender for Servers プラン 2 では、マルウェアとウイルスをスキャンして検出するエージェントレス マルウェア スキャン機能がサポートされています。 スキャナーは、Azure Virtual Machines (VM)、AWS EC2 インスタンス、GCP VM インスタンスで使用できます。
エージェントレス マルウェア スキャンでは、次の機能が提供されます。
Microsoft Defender ウイルス対策エンジンと、Microsoft のインテリジェンス フィードがサポートするクラウド保護シグネチャ フィードを利用する、最新で包括的なマルウェア検出機能。
ヒューリスティックでシグネチャ ベースの脅威検出を使用するクイック スキャンとフル スキャン。
マルウェアが検出されると生成されるセキュリティ アラート。 これらのアラートは、調査のための追加の詳細とコンテキストを提供し、Defender for Cloud のアラート ページと Defender XDR の両方に送信されます。
重要
エージェントレス マルウェア スキャンは、エージェントレス スキャンが有効になっている Defender for Servers プラン 2 でのみ利用できます。
エージェントレス マルウェア検出
エージェントレス マルウェア スキャンでは、保護されたマシンと保護されていないマシンの両方に、次のベネフィットが提供されます。
カバレッジの向上: マシンでウイルス対策ソリューションが有効になっていない場合、エージェントレス検出機能はそのマシンをスキャンして悪意のあるアクティビティを検出します。
潜在的な脅威の検出: エージェントレス スキャナーは、マシンのパフォーマンスに影響を与えずに、エージェントベースのウイルス対策スキャンから除外されたファイルやフォルダーを含むすべてのファイルとフォルダーをスキャンします。
エージェントレス マシン スキャンについての詳細と、VM でエージェントレス スキャンを有効にする方法をご覧ください。
重要
セキュリティ アラートは、環境で脅威が検出された場合にのみポータルに表示されます。 アラートが表示されない場合は、環境に脅威が存在しないためである可能性があります。 エージェントレス マルウェア スキャン機能が適切にオンボードされ、Defender for Cloud に報告しているかどうかを、テストして確認することができます。
Defender for Cloud のセキュリティ アラート
悪意のあるファイルが検出されると、Microsoft Defender for Cloud によって、Microsoft Defender for Cloud セキュリティ アラートが生成されます。 アラートを表示するには、Microsoft Defender for Cloud セキュリティ アラートに移動します。 セキュリティ アラートには、ファイルの詳細とコンテキスト、マルウェアの種類、推奨される調査と修復の手順が含まれます。 修復にこれらのアラートを使用するには、次のことができます。
- Azure portal で [Microsoft Defender for Cloud]>[セキュリティ アラート] と移動して、セキュリティ アラートを表示します。
- これらのアラートに基づいて、自動化を構成します。
- SIEM にセキュリティ アラートをエクスポートします。 Microsoft Sentinel コネクタを使用して Microsoft Sentinel (Microsoft の SIEM) に、または任意の他の SIEM にセキュリティ アラートを継続的にエクスポートできます。
セキュリティ アラートへの応答に関する詳細を確認してください。
可能性のある誤検知の処理
ファイルがマルウェアとして誤って検出されている (擬陽性) と思われる場合は、サンプル送信ポータルを通じて分析のためにファイルを送信できます。 送信されたファイルは、Defender のセキュリティ アナリストによって分析されます。 ファイルが実際にクリーンであることが分析レポートで示された場合、そのファイルは今後新しいアラートをトリガーしなくなります。
Defender for Cloud を使用すると、擬陽性アラートを抑制できます。 マルウェア名またはファイル ハッシュを使用して抑制ルールを制限してください。
次のステップ
VM でエージェントレス スキャンを有効にする方法の詳細を理解する。