ファイルの整合性の監視を実装する
ファイルの整合性の監視を使用すると、Change Tracking とインベントリを利用して、セキュリティ上の潜在的な問題を示す可能性のある変更を特定できます。 クラウド セキュリティは Contoso の管理に不可欠であるため、ファイルの整合性の監視を実装してテストすることにします。
ファイルの整合性の監視とは
ファイルの整合性の監視は "変更の監視" とも呼ばれ、オペレーティング システムやアプリケーション ソフトウェアなどのファイルとレジストリから、攻撃の兆候の可能性がある変化があるかどうかを調べます。
Note
Change Tracking とインベントリでは、Azure Security Center のファイルの整合性の監視が使用されます。
ファイルの整合性の監視によって変更が検出されると、比較の手法を使用して、ファイルの現在の状態がファイルの最後のスキャンの時点と異なるかどうかを判断できます。 ファイルの整合性の監視によって相違があることが検出された場合は、指定された管理者への通知が行われ、その後、これらの変更が正当であるかどうか、またはセキュリティ上の問題が考えられるかどうかを判断するアクションを実行できます。
ファイルの整合性の監視を使用して、次のオブジェクトの種類の整合性を検証できます。
- Windows ファイル
- Windows レジストリ値
- Linux ファイル
ファイルの整合性の監視には Azure Security Center からアクセスします。 Security Center を使用すると、監視するオブジェクトの種類を指定できます。 Security Center は、次のようなアクティビティについて、ファイルの整合性の監視が有効になっているファイルを監視します。
- ファイルとレジストリの作成と削除。
- ファイルの変更 (ファイル サイズ、アクセス制御リスト (ACL)、およびコンテンツのハッシュの変更)。
- レジストリの変更 (サイズ、アクセス制御リスト、種類、およびコンテンツの変更)。
ファイルの整合性の監視を有効にする
ファイルの整合性の監視に Log Analytics ワークスペースを使用するには、ワークスペースが Security Center の Standard レベルで実行されている必要があります。 そうでない場合、ファイルの整合性の監視ノードにあるすべてのワークスペースに [アップグレード プラン] のリンクが表示されます。
ヒント
Security Center の Standard レベルに既に存在するワークスペースには、[有効] リンクが表示されます。
ワークスペースを Security Center の Standard レベルにアップグレードするには、次の手順に従います。
- [アップグレード プラン] リンクを選択し、[ファイルの整合性の監視とは?] ページで、[ファイルの整合性の監視を試す] を選択します。
- ファイルの整合性の監視ノードで、適切なワークスペースを選択し、次に [アップグレード] を選択します。
- [エージェントを自動でインストールします] ページで、[エージェントのインストール] を選択します。 Microsoft Monitoring Agent が、選択したサブスクリプションのすべての VM に自動的にインストールされます。
ヒント
Change Tracking とインベントリ用に VM を既に構成している場合、エージェントは既に存在するため、インストールする必要はありません。
必要なワークスペースをアップグレードした後、次のようにします。
ワークスペースの一覧に戻ります。
ファイルの整合性の監視を有効にするすべてのワークスペースに対して [有効] を選択します。
[ファイルの整合性の監視を有効にする] ページが開き、ワークスペースの下にある Windows マシンと Linux マシンの数が一覧表示されます。
推奨される設定 (Windows ファイル、レジストリ、および (該当する場合は) Linux ファイル) をレビューします。
追跡しない項目のチェック ボックスをオフにして、[ファイルの整合性の監視を有効にする] を選択します。
ファイルの整合性の監視を構成する
ファイルの整合性の監視を有効にした後、Security Center の [File Integrity Monitoring](ファイルの整合性の監視) ダッシュボードで、各ワークスペースについて次の情報が表示されます。
- 先週発生した変更の合計数
- ワークスペースに対して報告を行っているコンピューターと VM の合計数
- ワークスペースの地理的な場所
- ワークスペースが存在する Azure サブスクリプション
返された概要をフィルター処理して、次の期間の最新の結果を返すことができます。
- 30 分
- 1 時間
- 6 時間
- 24 時間
- 7 日
- 30 日
変更の詳細を確認するには、適切な VM を選択します。 ログの詳細が表示されます。 このページでは、変更を確認できます。 また、要件に合わせて変更の一覧を返すために使用するクエリを変更することもできます。
ファイルの整合性の監視を無効にする
ファイルの整合性の監視を使用しない場合は、次の手順を使用して無効にします。
- ファイルの整合性の監視ダッシュボードに戻ります。
- ワークスペースを選択します。
- [ファイルの整合性の監視] で、 [無効化] を選択します。
- 無効にするには、 [削除] を選択します。