ファイルの整合性の監視を有効にする

Microsoft Defender for Cloud の Defender for Servers プラン 2 では、 ファイルの整合性の監視 機能は、エンタープライズ資産とリソースのセキュリティを維持するのに役立ちます。 オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルをスキャンして分析し、攻撃を示す可能性のある変更を検出します。

Defender for Servers プラン 2 を有効にした後、この記事の手順に従って、Microsoft Defender for Endpoint エージェントとエージェントレス マシン スキャンを使用してファイルの整合性の監視を構成し、データを収集します。

前提条件

• サブスクリプションで Defender for Servers プラン 2 を有効にする必要があります。

• 監視するマシンに、拡張機能によるDefender for Serversを使用して、Defender for Endpointエージェントをインストールする必要があります。

• Azure 以外のマシンを Azure Arc に接続する必要があります。

• サブスクリプションで エージェントレス コンピューターのスキャンを 有効にして、追加のカバレッジとカスタム パスを監視する機能を得る必要があります。

• ファイルの整合性の監視を有効または無効にするには、 ワークスペース所有者 と セキュリティ管理者 のアクセス許可が必要です。 セキュリティ閲覧者 のアクセス許可は、結果を表示できます。

Defender for Endpoint クライアントのバージョンを確認する

開始する前に、コンピューター上の Defender for Endpoint クライアントのバージョンが、少なくともファイルの整合性の監視に必要な最小バージョンであることを確認します。

• Windows Server 2019 以降 - Defender for Endpoint エージェントは、オペレーティング システムの継続的な更新プログラムの一部として更新されます。 Windows マシンに最新の更新プログラムがインストールされていることを確認してください。

  詳しくは、Windows Server Update Service を使用してマシンに大規模にインストールする方法をご確認ください。

• Windows Server 2016 および Windows Server 2012 R2 - マシンを最新の エージェント バージョンに手動で更新する必要があります。

  KB 5005292は、Microsoft Update カタログからインストールできます。 KB 5005292は、最新のエージェント バージョンで定期的に更新されます。

• Linux マシン - Defender for Cloud のマシンに対して自動プロビジョニングが有効になっている場合、Defender for Endpoint エージェントは自動的に更新されます。 Linux マシンに MDE.Linux 拡張機能がインストールされた後、仮想マシン (VM) が再起動されるたびに、マシンはエージェントのバージョンを更新しようとします。 エージェント バージョンを手動で更新することもできます。

ファイルの整合性の監視を有効にする

ファイルの整合性の監視は既定では有効になっていません。 Microsoft Defender for Cloud ポータルで有効にすることができます。

1. Azure portal にサインインします。

2. Microsoft Defender for Cloud>Environment settings>該当するサブスクリプションに移動します。

3. Defender for Servers プランを見つけて、[設定] を選択します。

4. 「ファイルの整合性の監視」セクションで、トグルを [オン] に切り替えます。

   

5. [ 構成の編集] を選択します。

6. ファイルの整合性の監視データを格納するワークスペースを選択します。 (省略可能)または、[ 新規作成 ] を選択して新しいワークスペースを作成します。

   

7. [ 推奨される監視 ルール] セクションで、[ 編集] を選択します。

8. 監視に推奨される ファイルとレジストリ を選択します。

   [状態] トグルが [有効] に設定されていることを確認し、監視する変更の種類を選択します。 既定では、監視に推奨されるすべてのエンティティが選択されます。 監視ルールの横にある 3 つのドット ボタンを選択し、[ 削除] を選択することで、エンティティを監視から削除できます。

   

9. [適用] を選択して変更を保存します。

   

10. (省略可能) [+ ルールの追加] を選択してカスタム ルールを作成します。

    

    1. [ 新しいカスタム ルールの追加 ] セクションで、 ルール名 と (省略可能) ルールの説明を入力します。

    2. [状態] トグルが [有効] に設定されていることを確認します。

    3. [ 種類の変更 ] を選択し、カスタム ルールの エンティティ型 と エンティティ パス を定義します。

    4. [適用] を選択して変更を保存します。

    5. (省略可能)ルール構成を削除するには、[ ルール の削除] を選択します。

11. 適用を選択します。

12. 続行を選択します。

ファイルの整合性の監視の有効化の状態を確認する

ファイルの整合性の監視の有効化を確認して、それが正しく、すべての前提条件が満たされていることを確認します。

1. ワークロード保護>ファイルの整合性の監視に移動します。

   

2. 設定を選択します。

   

3. 不足している前提条件がないか確認します。

4. サブスクリプションを選択し、必要なワークスペースの修正アクションを確認します。

   

5. 必要な修正プログラムのチェック ボックスをオンにします。

6. 適用を選択します。

ファイルの整合性の監視を無効にする

ファイルの整合性の監視を無効にした場合、新しいイベントは収集されません。 ただし、無効化の前に収集されたデータは、ワークスペースの保持ポリシーに従って Log Analytics ワークスペースに残ります。

無効にするには次のようにします。

1. Azure portal にサインインします。

2. Microsoft Defender for Cloud>環境設定>関連するサブスクリプションに移動します。

3. Defender for Servers プランを見つけて、[設定] を選択します。

4. 「ファイルの整合性の監視」セクションで、トグルを [オフ] に切り替えます。

   

5. 適用を選択します。

6. 続行を選択します。

7. [保存] を選択します。

次のステップ

• ファイルの整合性の監視のために収集されたイベントは、Defender for Servers プラン 2 のお客様の 500 MB 特典の対象となるデータ型に含まれています。 特典の詳細については、こちらをご覧ください。
• ファイルの整合性の監視の変更を確認します。