Microsoft Defender for Endpoint を使用したファイルの整合性の監視
ファイルの整合性の監視 (FIM) を提供するために、Microsoft Defender for Endpoint は収集ルールに従ってマシンからデータを収集します。 システム ファイルの現在の状態が前回のスキャン中の状態と比較された場合、FIM から、疑わしい変更についての通知を受け取ります。
FIM を使用すると、次のことができます。
- 定義済みのリストから重要なファイルと Windows レジストリに加えられた変更をリアルタイムで監視する。
- 指定ワークスペースで監査済みの変更にアクセスして分析する。
- Defender for Servers プラン 2 に含まれる 500 MB の特典を利用する。
- コンプライアンスを維持する: FIM では、PCI-DSS、CIS、NIST などの関連するセキュリティ規制コンプライアンス標準に対する組み込みをサポートしています
FIM は、潜在的に疑わしいアクティビティにアラートを送信します。 たとえば、次のようなアクティビティです。
- ファイルとレジストリ キーの作成または削除
- ファイルに対する変更 (ファイルのサイズ、名前、場所、コンテンツのハッシュの変更など)
- レジストリの変更 (サイズ、種類、およびコンテンツの変更を含む)
- 変更に関する詳細 (変更のソースを含む)。 これらには、変更を行ったユーザーを示すアカウントの詳細と、開始プロセスに関する情報が含まれます。
監視するファイルのガイダンスについては、「どのファイルを監視する必要があるか」を参照してください。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | プレビュー |
| 価格: | Microsoft Defender for Servers Plan 2 が必要 |
| 必要なロールとアクセス許可: | ワークスペース所有者またはセキュリティ管理者は FIM を有効あるいは無効にできます。 詳細については、「Log Analytics のための Azure のロール」を参照してください。 閲覧者は結果を表示できます。 |
| クラウド: |  商用クラウドAzure Arc 対応デバイス。 接続されている AWS アカウント 接続されている GCP アカウント |
前提条件
Defender for Endpoint を使用してマシン上のファイルとレジストリの変更を追跡するには、次の手順を実行する必要があります。
Defender for Servers プラン 2 を有効にします。
監視するマシンで Defender for Endpoint を有効にします
ファイルの整合性の監視を有効にする
Azure Portal で有効にする
Azure portal で FIM を有効にするには、次の手順を実行します。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連するサブスクリプションを選択します。
Defender for Servers プランを見つけて、[設定] を選択します。
「ファイルの整合性の監視」セクションで、トグルを [オン] に切り替えます。 次に [構成の編集] を選択します。
[FIM 構成] ペインが開きます。 [ワークスペースの選択] ドロップダウンで、FIM データを格納するワークスペースを選択します。 新しいワークスペースを作成する場合は、[新規作成] を選択します。
![[FIM 構成] ペインのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-configuration.png)
重要
Defender for Endpoint を利用する FIM 用に収集されたイベントは、Defender for Servers プラン 2 のお客様向けの 500 MB 特典の対象となるデータ型に含まれています。 詳細については、「1 日あたりの許容量に含まれるデータ型は何ですか?」を参照してください。
[FIM 構成] ペインの下にあるセクションで、[Windows レジストリ] タブ、[Windows ファイル] タブ、および [Linux ファイル] タブを選択し、監視するファイルとレジストリを選びます。 各タブで一番上の選択を選ぶと、すべてのファイルとレジストリが監視されます。 [適用] を選択して変更を保存します。
[続行] を選択します。
[保存] を選択します。
![[FIM 構成] ペインのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-configuration.png#lightbox)
ファイルの整合性の監視を無効にする
FIM が無効になった後、新しいイベントは収集されません。 ただし、機能を無効にする前に収集されたデータは、ワークスペースの保持ポリシーに従ってワークスペースに残ります。 詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。
Azure portal で無効にする
Azure portal で FIM を無効にするには、次の手順を実行します。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連するサブスクリプションを選択します。
Defender for Servers プランを見つけて、[設定] を選択します。
「ファイルの整合性の監視」セクションで、トグルを [オフ] に切り替えます。
適用を選択します。
[続行] を選択します。
[保存] を選択します。
エンティティとファイルの監視
エンティティとファイルを監視するには、次の手順に従います。
Note
FIM をまだ有効にしていない場合は、"ファイルの整合性の監視が有効になっていません" というメッセージが表示されます。 FIM を有効にするには、[オンボード サブスクリプション] を選択してから、「ファイルの整合性の監視を有効にする」の指示に従います。
Defender for Cloud のサイドバーから、[ワークロード保護]>[ファイルの整合性の監視] に移動します。
![[ワークロード保護] で [ファイルの整合性の監視] にアクセスする方法のスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/workload-protections-file-integrity-monitoring.png)
追跡対象の変更済みファイルとレジストリを含むすべてのリソースを確認できるウィンドウが開きます。
![[ファイルの整合性の監視] の結果のスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-results.png)
リソースを選択すると、ウィンドウが開き、そのリソースで追跡対象のファイルとレジストリに加えられた変更を示すクエリが表示されます。
![[ファイルの整合性の監視] のクエリのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-query.png)
リソースのサブスクリプション ([サブスクリプション名] 列の下) を選択すると、そのサブスクリプション内のすべての追跡対象のファイルとレジストリを含むクエリが開きます。
![[ワークロード保護] で [ファイルの整合性の監視] にアクセスする方法のスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/workload-protections-file-integrity-monitoring.png#lightbox)
![[ファイルの整合性の監視] の結果のスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-results.png#lightbox)
![[ファイルの整合性の監視] のクエリのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-query.png#lightbox)
Note
以前に MMA 経由でのファイルの整合性の監視を使用していた場合は、[以前のエクスペリエンスに変更] を選択するとそのメソッドに戻ることができます。 これは、MMA 経由での FIM が非推奨になるまで使用できます。 廃止計画の詳細については、「Log Analytics エージェントの提供終了に向けた準備」を参照してください。
FIM データの取得と分析
ファイルの整合性の監視データは、MDCFileIntegrityMonitoringEvents テーブルの Azure Log Analytics ワークスペース内にあります。 このテーブルは、Log Analytics ワークスペースの LogManagment テーブルの下に表示されます。
リソースごとの変更の概要を取得する時間の範囲を設定します。 次の例では、レジストリとファイルのカテゴリの過去 14 日間の変更をすべて取得しています。
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityTypeレジストリの変更に関する詳細情報を表示するには:
where句からFilesを削除します。集計行を並べ替え句に置き換えます。
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKeyレポートはアーカイブ目的で CSV にエクスポートでき、Power BI レポートに送信してさらに分析することができます。
関連するコンテンツ
Defender for Cloud の詳細について学習します。
- セキュリティ ポリシーの設定 - Azure サブスクリプションとリソース グループのセキュリティ ポリシーの構成方法について説明します。
- セキュリティに関する推奨事項の管理 - 推奨事項に従って Azure リソースを保護する方法について説明します。
- Azure セキュリティ ブログ - Azure のセキュリティに関する最新のニュースと情報を入手できます。