Microsoft Defender for Cloud の Defender for Servers プラン 2 のファイル整合性監視機能は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルをスキャンします。 それは、攻撃を示す可能性のある変更を検出するためにこれらのファイルを分析します。
ファイルの整合性の監視は、次のような場合に役立ちます。
- コンプライアンス要件を満たします。 PCI-DSS や ISO 17799 などの規制コンプライアンス標準では、多くの場合、ファイル整合性の監視が必要です。
- 疑わしいファイルへの変更を検出して、態勢を改善し、潜在的なセキュリティの問題を特定します。
疑わしいアクティビティを監視する
ファイルの整合性の監視は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、次のような疑わしいアクティビティを検出します。
- ファイルとレジストリ キーの作成または削除。
- ファイル サイズ、アクセス制御リスト、およびコンテンツのハッシュの変更などのファイルの変更。
- サイズ、アクセス制御リスト、種類、コンテンツの変更などのレジストリの変更。
データ コレクション
ファイルの整合性の監視では、Microsoft Defender for Endpoint エージェントとエージェントレス スキャンを使用して、マシンからデータを収集します。
- Defender for Endpoint エージェントとエージェントレス スキャンによって収集されたデータは、ファイルとレジストリの変更について分析され、変更ログはアクセスと分析のために Log Analytics ワークスペースに格納されます。
- Defender for Endpoint エージェントは、ファイル整合性監視用に定義されたファイルとリソースに従って、マシンからデータを収集します。 Defender for Endpoint 経由で収集された変更イベントは、選択したワークスペースに ほぼリアルタイムでストリーミングされます。
- エージェントレス スキャン では、ファイル整合性監視用に定義されたファイルとリソースに従って、ファイルの整合性監視イベントに関する分析情報が提供されます。 エージェントレス スキャンによって収集された変更イベントは、選択したワークスペースに 24 時間間隔でストリーミングされます。
- 収集されたファイル整合性監視データは、 Defender for Servers プラン 2 に含まれる 500 MB の特典の一部です。
- ファイルの整合性の監視は、ファイルとリソースの変更に関する情報を提供します。 これには、変更のソース、アカウントの詳細、変更を行ったユーザーの表示、開始プロセスに関する情報が含まれます。
新しいバージョンに移行する
ファイルの整合性の監視では、以前は Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれます) または Azure Monitor エージェント (AMA) を使用してデータを収集しました。 これらの従来の方法のいずれかでファイルの整合性の監視を使用している場合は、ファイル整合性監視を移行して Defender for Endpoint を使用するようにすることができます。
ファイルの整合性の監視を構成する
Defender for Servers プラン 2 を有効にした後、ファイルの整合性の監視を有効にして構成します。 既定では有効になっていません。
- 監視対象のファイルやリソースの変更イベントを格納する Log Analytics ワークスペースを選択します。 既存のワークスペースを使用するか、新しく定義することができます。
- Defender for Cloud では、ファイル整合性の監視を使用して監視するリソースをお勧めします。 エージェントレス スキャンでは、推奨されるリソースに加えて、監視用のカスタム パスを定義できます。
監視対象の選択
Defender for Cloud では、ファイル整合性の監視を使用して監視するエンティティをお勧めします。 おすすめ候補から項目を選択できます。 監視するファイルを選択するタイミング:
- ご利用のシステムとアプリケーションにとって重要なファイルを考慮します。
- 計画なしで変更されることがないファイルを監視してください。
- アプリケーションまたはオペレーティング システムが頻繁に変更するファイル (ログ ファイルやテキスト ファイルなど) を選択すると、ノイズが発生し、攻撃を識別しにくくなります。
- フォルダー
/folder/path/*にあるファイルを監視します。
注
適用できるルールの最大数は 500 です。
監視を推奨する項目
Defender for Endpoint エージェントでファイルの整合性の監視を使用する場合は、既知の攻撃パターンに基づいてこれらの項目を監視することをお勧めします。
| Linux ファイル | Windows ファイル | Windows レジストリ キー (HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | キー: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 値: loadappinit_dlls、appinit_dlls、iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | キー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 値: common startup、startup |
| /etc/cron.daily | C:\autoexec.bat | キー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 値: common startup、startup |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 値: appinit_dlls、loadappinit_dlls |
|
| /etc/init.d | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 値: common startup、startup |
|
| /opt/sbin | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 値: common startup、startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |
カスタム規則
次の検証条件を満たしている限り、特定のファイルまたはフォルダーを監視するカスタム ルールを作成できます。
パスでは、最大 3 つのアスタリスク
*を使用できます (最大深度)。アスタリスクが 3 つのパスは、
/または\で終わってはなりません。Windows レジストリ パスは、
HKLM\で始まり、標準のレジストリ名前付け規則に従う必要があります。Windows ファイルパスは有効である必要があり、
\、/、:、*、?、"、<、>、または|を含めることはできません。Linux ファイルのパスは絶対パス (
/で始まる) である必要があり、< > : | "を含めることはできません。Windows パスには、
letters、numbers、spaces、_、.、\、*、?、:のみを含めることができます。また、/を含めてはなりません。Linux パスには、
letters、numbers、spaces、_、.、/、*、または:のみを含めることができます。レジストリ パスには、
letters、numbers、spaces、_、.、\、:のみを含めることができます。また、*を含めてはなりません。すべてのパスは、システムの最大パス長 (260 文字) と最大深度 (3 つのアスタリスク) 規則を満たしている必要があります。
ルール定義の検証
ルール名が必要です。
ルール名には、文字 (a ~ z、A ~ Z)、数字 (0 ~ 9)、アンダースコア (_) のみを含める必要があり、最大 128 文字を指定できます。
ルール名とルール ID は一意である必要があります。
ルールの説明は省略可能です。 指定された場合:
- 最大長は 260 文字です。
- 使用できる文字:
letters、digits、および? ! ) ( . ,。
少なくとも 1 つの変更の種類 (変更管理とドキュメント rRequest (CMDR) から) を選択する必要があります。
サブスクリプションごとに 1 ~ 500 個のカスタム 規則がサポートされています。