はじめに
ランサムウェア対策においてバックアップは重要な対策の 1 つです。しかし単にバックアップを取得しているだけでは不十分です。以下の課題があります:
- バックアップ期間の把握が困難:感染時期が不明な場合、いつ時点のバックアップからリストアすべきかが判断しにくい
- 感染済みバックアップのリスク:マルウェアがバックアップデータまで侵害していた場合、汚染されたデータからリストアして二次感染する可能性
- 復旧判断の遅延:どのバックアップが安全かが分からないため、復旧に時間がかかる
Azure Backup と Defender for Cloud を組み合わせることで、これらの課題を解決できます。本記事では、バックアップスキャン機能を使用した脅威検出の構成方法を紹介します。
参考資料
前提条件
- Defender for Cloud の適切な設定が済んでいること
- 詳細な前提条件については、上記の参考資料を確認してください
- 本記事では Defender for Cloud 側の設定は完了していることを前提としています
設定
Azure Portal から Resiliency を開きます。
[脅威検出 (プレビュー)] > [+ スキャンの構成] をクリックします。
[+ コンテナーの選択] からスキャン対象のリカバリー サービス コンテナーを選択して追加します。
[スキャンの構成] をクリックして、スキャン設定を適用します。
[構成済み] のステータスが表示されれば、セットアップ完了です。
結果
スキャンが完了すると、脅威検出の結果が表示されます。以下の手順で結果を確認できます。
[脅威検出 (プレビュー)] の [スキャンの概要] に結果が表示されます。
[保護された項目] セクションのマシン名をクリックして詳細を確認します。
マシン名をクリックしてバックアップの詳細を確認します。スキャン結果に基づき、検出された脅威より前のバックアップからリストアする必要があります。下図の例では、1月18日以前からリストアするべきと判断できます。
最新のスキャン結果から [疑わしい] 項目をクリックすると、検出された脅威に紐づくアラート情報が確認できます。
まとめ
Azure Backup のバックアップスキャン機能と Defender for Cloud を組み合わせることで、ランサムウェア感染時の対応を大きく改善できます。
主な利点は以下の通りです:
- 脅威検出による安全性の確保:バックアップに含まれる脅威を事前に検出し、感染済みデータからのリストアを防止
- 復旧時点の明確化:脅威検出の結果から、安全にリストアできるバックアップ時点を特定可能
- インシデント対応の迅速化:複数のスキャン結果と連携することで、判断時間の短縮を実現
ランサムウェア対策の一環として、ぜひこの機能を活用してみてください。
Discussion