次の方法で共有

以前のバージョンからファイルの整合性の監視を移行する

  • [アーティクル]

Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint を利用する新しいファイルの整合性の監視 (FIM) ソリューションが提供されるようになりました。

以前のバージョンの FIM を使用していない場合は、新しい FIM ソリューションに直接オンボードできます。 詳細については、「Microsoft Defender for Endpoint によるファイルの整合性の監視を有効にする」を参照してください。

MMA 経由で FIM から移行する

ヒント

以前の一連の監視ルールを MMA ベースの FIM から Defender for Endpoint を利用した新しい FIM バージョンにシームレスに移行できるように、FIM 管理ブレードからアクセスできる製品内移行エクスペリエンスが導入されました。   この移行エクスペリエンスを使用すると、レガシ FIM が有効になっている現在の環境を確認し、レガシ FIM ルールをエクスポートし、Defender for Servers プラン 2 が有効になっているサブスクリプションで新しいファイルの整合性の監視に移行できます。 FIM 移行エクスペリエンスの使用に関する詳細情報を参照してください。 次の手順に従って、MDE 経由で FIM を有効にしてから、MMA 経由で FIM を削除することもできます。

Microsoft Monitoring Agent (MMA) 経由でファイルの整合性の監視 (FIM) を使用する場合は、Microsoft Defender for Endpoint を利用する新しい FIM ソリューションに移行できます。 次のステップを実行します。

  1. MMA による FIM を無効にするには、Azure Change Tracking ソリューションを削除します。 詳しくは、「ChangeTracking ソリューションを削除する」をご覧ください。

  2. ファイル イベント コレクションを無効にすると、選択したスコープで新しいイベントが収集されなくなります。 既に収集された履歴イベントは、Change Tracking セクションの下の ConfigurationChange テーブルの下の関連するワークスペースに格納されたままになります。 これらのイベントは、このワークスペースで定義されている保持期間に従って、関連するワークスペースで引き続き使用できます。 詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。

Note

従来の Log Analytics エージェントが不要になった場合は、必ず環境から削除してください。 そのためには、サブスクリプション設定からエージェントの自動プロビジョニングを無効にして、その後 Azure Monitor ユーティリティを使用して、マシンから Log Analytics エージェントを検出して削除してください。

AMA 経由で FIM から移行する

Azure Monitor エージェント (AMA) 経由でファイルの整合性の監視 (FIM) を使用する場合は、Microsoft Defender for Endpoint を利用する新しい FIM ソリューションに移行できます。 次のステップを実行します。

  1. AMA と Change Tracking 拡張機能に基づく新しいサブスクリプションまたはサーバーのファイルの整合性の監視へのオンボードと、変更の表示は、Defender for Cloud ポータルで利用できなくなるため、それに応じてプロセスを調整する必要があります。

  2. AMA によって収集されたファイルの整合性の監視イベントを引き続き使う場合は、関連するワークスペースに手動で接続し、次のクエリを使って Change Tracking テーブル内の変更を表示できます。

    ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

  3. 新しいスコープのオンボードを続ける、または監視ルールを構成する場合は、データ収集ルールを手動で使って、データ収集のさまざまな側面を構成またはカスタマイズできます。

AMA 経由で FIM を無効にする

AMA 経由で FIM を無効にし、Microsoft Defender for Endpoint を利用する新しい FIM ソリューションを使用することをお勧めします。 AMA 経由で FIM を無効にするには、次の手順に従います。

  1. 関連するファイル Change Tracking データ収集ルール (DCR) を削除します。 詳細については、Remove-AzDataCollectionRuleAssociation および Remove-AzDataCollectionRule の手順を参照してください。
  2. ファイル イベント コレクションを無効にすると、選択したスコープで新しいイベントが収集されなくなります。 既に収集された履歴イベントは、Change Tracking セクションの下の ConfigurationChange テーブルの下の関連するワークスペースに格納されたままになります。 これらのイベントは、このワークスペースで定義されている保持期間に従って、関連するワークスペースで引き続き使用できます。 詳細については、「Log Analytics ワークスペースでのデータ保持の管理」を参照してください。

次のステップ