エンティティを選択して監視する

  • 6 分

Contoso のシステム管理者は、どのエンティティを監視するかを決定する必要があります。これには、会社のオペレーティング システムにとってどのファイルとレジストリ エントリが重要であり、従業員はどのアプリケーションを実行する必要があるかを検討することが含まれます。 また、多くのファイルとレジストリ エントリを変更しないままにしておくため、これらのオブジェクトに対する変更が、調査する必要がある疑わしいアクティビティを示す可能性があることもわかっています。

逆に、多くのファイルやレジストリ キーで変更することが妥当だと考えられることも頻繁にあります。 これらの変更を監視することは効率的ではありません。セキュリティの監視のためにメリットが得られることがあったとしても、限られたものになるでしょう。

監視対象とする Windows オブジェクト

Security Center は、監視するエンティティのレコメンデーションを作成します。 ここには、ファイルと Windows レジストリ キーが含まれます。 すべてのレジストリ キーは、HKEY_LOCAL_MACHINE の下にあります。 ただし、独自のファイルの整合性の監視ポリシーや、監視対象エンティティを定義することもできます。

監視対象の既定の項目を確認するには、「Azure Security Center のファイルの整合性の監視」の「どのファイルを監視する必要があるか」を参照してください。

監視対象エンティティを編集する

監視対象エンティティを編集するには、[File Integrity Monitoring](ファイルの整合性の監視) ダッシュボードで [設定] を選択します。

A screenshot of the Workspace Configuration page, with the Windows Files tab (selected).

ヒント

既定では、あまり重要ではなくなった可能性のあるファイルが多数表示されます。 これには、autoexec.bat、boot.ini、config.sys、および win.ini と system.ini の両方があります。

[ワークスペースの構成] が開き、5 つのタブが表示されます。各タブには、そのカテゴリ内で編集できるエンティティが表示されます。

  • Windows レジストリ
  • Windows ファイル
  • Linux ファイル
  • ファイル コンテンツ
  • Windows サービス

表示されている各エンティティについて、Security Center では、ファイルの整合性の監視が有効になっている (True) か、無効 (False) かが識別されます。 エンティティを編集して、そのエンティティのファイルの整合性の監視を有効または無効にすることができます。

次に、ID 保護を選択します。 この例では、[変更履歴用の Windows ファイルを編集する] ウィンドウで autoexec.bat が選択されています。

A screenshot of the Edit Windows File for Change Tracking blade with the autoexec.bat file selected.

[Edit for Change Tracking](変更追跡を行うための編集) では、以下を実行できます。

  • ファイルの整合性の監視を有効 (True) にするか無効 (False) にします。
  • エンティティ名を指定するか変更します。
  • 値またはパスを指定するか変更します。
  • エンティティを削除します。
  • 変更を破棄します。
  • 変更を保存します。

監視する新しいエンティティを追加する

監視する新しいエンティティを追加するには、[File Integrity Monitoring](ファイルの整合性の監視) ダッシュボードに戻ります。 その後、次の手順に従います。

  1. ツール バーで、[設定] を選択します。
  2. [ワークスペースの構成] で、適切なタブを選択します。たとえば、[Windows レジストリ] を選択して新しいレジストリ設定を追加します
  3. ツールバーの [追加] を選択します。
  4. [変更履歴用の Windows レジストリを追加する] ウィンドウで、次の情報を入力し、次に [保存] を選択します。
    • [有効]: True または False
    • [項目名]: わかりやすい名前を指定
    • [グループ]: (既定値は [カスタム])
    • [Windows レジストリ キー]: キー パスを入力

A screenshot of the Add Windows Registry for Change Tracking blade. The administrator has added an entry for HKEY_LOCAL_MACHINE\SOFTWARE\Classes.

監視対象エンティティを無効にする

エントリを無効にするには、[File Integrity Monitoring](ファイルの整合性の監視) ダッシュボードで適切なワークスペースを選択します。 その後、次の手順に従います。

  1. [設定] を選択します。
  2. 適切なタブを選択します。たとえば、[Windows Files] を選択します。
  3. [有効] の値が true に設定されている Windows ファイルの一覧からエントリを選択します。
  4. [変更履歴用の Windows ファイルを編集する] ウィンドウの [有効] で、[False] を選択し、次に [保存] を選択します。

ワイルドカードを使用するフォルダーとパスの監視

Windows Server のファイル システムは広範囲にわたっています。 監視用に個々のファイルを手動で構成すると、より長い時間がかかります。 代わりに、ワイルドカードを使用して、ディレクトリ間の追跡を簡略化できます。 ワイルドカードを使用する場合は、次の規則が適用されます。

  • 複数のファイルを追跡するにはワイルドカードが必要です。
  • ワイルドカードを使用できるのは、C:\folder\file など、パスの最後のセグメントのみです。
  • 環境変数に無効なパスが含まれている場合、検証は成功しますが、インベントリの実行時にパスは失敗します。
  • パスを設定するときは、漠然としたパス (c:\*.* など) は避けてください。走査の対象になるフォルダーが膨大な数になります。

A screenshot of the Edit Windows File for Change Tracking blade. The administrator has added an entry for C:\temp*.*.