Log Analytics エージェントを使用したファイルの整合性の監視

[アーティクル]
05/16/2024

ファイルの整合性の監視 (FIM) を行うために、Log Analytics エージェントは Log Analytics ワークスペースにデータをアップロードします。 FIM では、これらの項目の現在の状態が前回のスキャン中の状態と比較され、疑わしい変更が加えられた場合に通知されます。

Note

Log Analytics エージェント (MMA とも呼ばれます) は 2024 年 8 月に廃止される予定であるため、このページで説明されているものも含め、現在それに依存しているすべての Defender for Servers 機能は、廃止日の前に、Microsoft Defender for Endpoint 統合またはエージェントレススキャンを通じて使用できるようになります。 Log Analytics エージェントに現在依存している各機能のロードマップの詳細については、この発表を参照してください。

この記事では、次の方法について学習します。

Log Analytics エージェントでファイルの整合性の監視を有効にする
ファイルの整合性の監視を無効にする
ワークスペース、エンティティ、ファイルを監視する
ファイルの整合性の監視を使用してベースラインを比較する

Note

ファイルの整合性の監視では、監視対象の SQL Server に NT Service\HealthService というアカウントが作成される場合があります。
このアカウントを削除すると、自動的に再作成されます。

可用性

側面	詳細
リリース状態:	一般公開 (GA)
価格:	Microsoft Defender for Servers Plan 2 が必要です。 FIM は、Log Analytics エージェントを使用して、データを Log Analytics ワークスペースにアップロードします。データ料金は、アップロードするデータの量に基づいて適用されます。詳細については、「Log Analytics の価格」をご覧ください。
必要なロールとアクセス許可:	ワークスペースの所有者は、FIM を有効/無効にすることができます (詳細については、Log Analytics での Azure のロールに関する記事を参照してください)。閲覧者は結果を表示できます。
クラウド:	商用クラウド国 (Azure Government、21Vianet によって運営される Microsoft Azure) Azure Automation の変更追跡ソリューションが利用可能なリージョンでのみサポートされます。 Azure Arc 対応デバイス。「リンクされた Log Analytics ワークスペースでサポートされるリージョン」を参照してください。変更追跡についてさらに学習します。接続されている AWS アカウント

Log Analytics エージェントでファイルの整合性の監視を有効にする

FIM は、Azure portal の Defender for Cloud のページからのみ利用できます。現在、FIM を操作するための REST API はありません。

[ワークロード保護] ダッシュボードの [高度な保護] 領域で、 [ファイルの整合性の監視] を選びます。

各ワークスペースの次の情報が提供されます。
- 過去 1 週間に発生した変更の合計数 (ワークスペースで FIM が有効になっていない場合は、ダッシュ "-" が表示されることがあります)
- ワークスペースに対して報告を行っているコンピューターと VM の合計数
- ワークスペースの地理的な場所
- ワークスペースが存在する Azure サブスクリプション
このページを使用して次のことができます。
- 各ワークスペースの状態と設定にアクセスして表示する
- ワークスペースをアップグレードして、強化されたセキュリティ機能を使用する。このアイコンは、ワークスペースまたはサブスクリプションが Microsoft Defender for Servers で保護されていないことを示します。 FIM 機能を使用するには、サブスクリプションがこのプランで保護されている必要があります。 Defender for Servers を有効にする方法について説明します。
- ワークスペースにあるすべてのマシンで FIM を有効にし、FIM オプションを構成する。このアイコンは、ワークスペースの FIM が有効ではないことを示します。有効化とアップグレードのどちらのボタンもなく、スペースが空白の場合、そのワークスペースで FIM が既に有効になっていることを意味します。
[有効化] を選択します。ワークスペースの詳細が表示されます。ワークスペースにある Windows と Linux のマシンの数も含まれます。

Windows と Linux の推奨設定も表示されます。 [Windows ファイル] 、 [レジストリ] 、および [Linux ファイル] を展開して、推奨される項目の完全な一覧を表示します。
FIM で監視しない推奨エンティティのチェックボックスをオフにします。
FIM を有効にするには、 [ファイルの整合性の監視を適用する] を選択します。

設定はいつでも変更できます。監視対象エンティティの編集の詳細を確認してください。

ファイルの整合性の監視を無効にする

FIM は、Azure Change Tracking ソリューションを使用して、ユーザーの環境内の変更を追跡して識別します。 FIM を無効にすることで、選択したワークスペースから Change Tracking ソリューションを削除します。

FIM を無効にするには

ワークスペースの [ファイルの整合性の監視] ダッシュボードで、[無効にする] を選択します。
[削除] を選択します。

ワークスペース、エンティティ、ファイルを監視する

監視対象ワークスペースの監査

ファイルの整合性の監視ダッシュボードには、FIM が有効になっているワークスペースが表示されます。 FIM ダッシュボードは、ワークスペースの FIM を有効にした後、または [ファイルの整合性の監視] ウィンドウで FIM が既に有効になっているワークスペースを選択したときに開きます。

FIM ダッシュボードとそのさまざまな情報パネルのスクリーンショット。

ワークスペースの FIM ダッシュボードには、次の詳細が表示されます。

ワークスペースに接続されているマシンの合計数
選択した期間中に発生した変更の合計数
変更の種類の内訳 (ファイル、レジストリ)
変更のカテゴリの内訳 (変更、追加、削除)

ダッシュボードの上部にある [フィルター] を選択して、表示する変更内容の期間を変更します。

FIM ダッシュボードの期間フィルターのスクリーンショット。

[サーバー] タブには、このワークスペースに対して報告を行うマシンが一覧表示されます。ダッシュボードには、コンピューターごとに以下が一覧表示されます。

選択した期間中に発生した変更の合計数
ファイルの変更またはレジストリの変更としての変更の合計数の内訳

マシンを選択すると、そのマシンに対して選択した期間中に行われた変更を識別する結果と共に、クエリが表示されます。変更を展開して詳細を確認できます。

[変更] タブ (下図参照) には、選択した期間中に行われたワークスペースのすべての変更が一覧表示されます。ダッシュボードには、変更されたエンティティごとに、以下が一覧表示されます。

変更が発生したマシン
変更の種類 (レジストリまたはファイル)
変更のカテゴリ (変更、追加、削除)
変更の日時

[変更の詳細] は、検索フィールドに変更を入力するか、 [変更] タブに一覧表示されているエンティティを選択したときに開きます。

監視対象エンティティを編集する

ワークスペースの [ファイルの整合性の監視] ダッシュボードで、ツールバーから [設定] を選択します。

[ワークスペースの構成] が、監視できる要素の種類ごとのタブと共に開きます。
- Windows レジストリ
- Windows ファイル
- Linux ファイル
- ファイルのコンテンツ
- Windows サービス
各タブには、そのカテゴリで編集できるエンティティが一覧表示します。一覧表示されるエンティティごとに、Defender for Cloud によって、FIM が有効になっている (true) か、有効になっていない (false) かが識別されます。エンティティを編集して、FIM を有効または無効にします。
いずれかのタブからエントリを選択し、Change Tracking の編集ウィンドウで使用可能な任意のフィールドを編集します。次のオプションがあります。
- ファイルの整合性の監視を有効 (True) にするか無効 (False) にする
- エンティティ名を指定するか変更する
- 値またはパスを指定するか変更する
- エンティティを削除する
変更を破棄するか、保存します。

監視する新しいエンティティを追加する

ワークスペースの [ファイルの整合性の監視] ダッシュボードで、ツールバーから [設定] を選択します。

[ワークスペースの構成] が開きます。
ワークスペースの構成上で:
1. 追加するエンティティの種類のタブ ([Windows レジストリ]、[Windows ファイル]、[Linux ファイル]、[ファイルコンテンツ]、または [Windows サービス]) を選択します。
2. [追加] を選択します。
  
  この例では、 [Linux ファイル] が選択されています。
[追加] を選択します。 [Edit for Change Tracking](変更追跡を行うための追加) が開きます。
必要な情報を入力し、 [保存] を選択します。

ワイルドカードを使用するフォルダーとパスの監視

ワイルドカードを使用して、ディレクトリ全体の追跡を簡略化します。ワイルドカードを使用するフォルダーの監視を構成する場合、次のルールが適用されます。

複数のファイルを追跡するにはワイルドカードが必要です。
ワイルドカードは、パスの最後のセグメントでのみ使用できます (C:\folder\file や /etc/*.conf など)
環境変数に無効なパスが含まれている場合、検証は成功しますが、インベントリの実行時にパスは失敗します。
パスを設定するときは、漠然としたパス (c:\*.* など) は避けてください。走査の対象になるフォルダーが膨大な数になります。

ファイルの整合性の監視を使用してベースラインを比較する

ファイルの整合性の監視 (FIM) では、リソース内の機密性の高い領域に対する変更が発生すると通知されるため、不正なアクティビティを調査して対処することができます。 FIM では、Windows ファイル、Windows レジストリ、および Linux ファイルが監視されます。

組み込みの再帰レジストリチェックを有効にする

FIM レジストリハイブの既定値は、一般的なセキュリティ領域内で再帰的な変更を監視する便利な手段を提供します。たとえば、敵対者は、起動時やシャットダウン時に実行を構成することによって、LOCAL_SYSTEM コンテキストで実行されるスクリプトを構成することがあります。この種類の変更を監視するには、組み込みのチェックを有効にします。

レジストリ。

Note

再帰的なチェックは、カスタムのレジストリパスではなく、推奨されるセキュリティハイブにのみ適用されます。

カスタムのレジストリチェックの追加

FIM ベースラインは、オペレーティングシステムとサポートするアプリケーションの既知の正常な状態の特性を識別することから始めます。この例では、Windows Server 2008 以降のパスワードポリシーの構成について説明します。

ポリシー名	レジストリ設定
ドメインコントローラー:マシンアカウントのパスワードの変更を拒否します	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
ドメインのメンバー: セキュリティで保護されたチャネルのデータをデジタルで暗号化または署名します (常時)	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
ドメインのメンバー: セキュリティで保護されたチャネルのデータをデジタルで暗号化します (可能な場合)	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
ドメインのメンバー: セキュリティで保護されたチャネルのデータにデジタル署名します (可能な場合)	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
ドメインのメンバー: マシンアカウントのパスワードの変更を無効にします	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
ドメインのメンバー: マシンアカウントのパスワード変更の最大有効期間	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
ドメインのメンバー: 強力な (Windows 2000 以降) セッションキーが必要です	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
ネットワークセキュリティ: NTLM を制限する: このドメイン内の NTLM 認証	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
ネットワークのセキュリティ:NTLMP の制限:このドメインにサーバーの例外を追加します	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
ネットワークのセキュリティ:NTLMP の制限:このドメインの NTLM 認証を監査します	MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

Note

さまざまなオペレーティングシステムのバージョンでサポートされているレジストリ設定の詳細については、グループポリシー設定リファレンスのスプレッドシートを参照してください。

レジストリのベースラインを監視するように FIM を構成するには、次の手順に従います。

[変更履歴用の Windows レジストリを追加する] ウィンドウの [Windows レジストリキー] テキストボックスを選択します。

次のレジストリキーを入力します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

レジストリに対する FIM の有効化のスクリーンショット。

Windows ファイルに対する変更の追跡

[変更履歴用の Windows ファイルを追加する] ウィンドウの [パスの入力] テキストボックスに、追跡するファイルが含まれているフォルダーを入力します。次の図の例では、Contoso の Web アプリは ContosWebApp フォルダー構造内の D:\ ドライブにあります。
設定クラスの名前を入力し、再帰を有効にして、ワイルドカード (*) サフィックスで最上位のフォルダーを指定することで、カスタムの Windows ファイルのエントリを作成します。

変更データの取得

ファイルの整合性の監視データは、Azure Log Analytics/ConfigurationChange テーブルセット内にあります。

リソースごとの変更の概要を取得する時間の範囲を設定します。

次の例では、レジストリとファイルのカテゴリの過去 14 日間のすべての変更を抽出しています。
```
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
```
レジストリの変更の詳細を確認するには、次の手順に従います。
1. where 句から Files を削除します。
2. 集計行を削除し、並べ替え句に置き換えます。
```
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey
```

レポートは、アーカイブや Power BI レポートへのチャンネル用に CSV にエクスポートできます。

FIM データ。

次の手順

Defender for Cloud の詳細について学習します。

セキュリティポリシーの設定 - Azure サブスクリプションとリソースグループのセキュリティポリシーの構成方法について説明します。
セキュリティに関する推奨事項の管理 - 推奨事項に従って Azure リソースを保護する方法について説明します。
Azure セキュリティブログ - Azure のセキュリティに関する最新のニュースと情報を入手できます。

次の方法で共有

Log Analytics エージェントを使用したファイルの整合性の監視

可用性