Microsoft Monitoring Agent または Azure Monitor エージェントから移行する

2025-05-15

Defender for Servers プラン 2 のファイル整合性の監視では、Microsoft Defender for Endpoint エージェントを使用して、収集規則に従ってマシンからデータを収集します。

以前のバージョンのファイル整合性監視では、Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれます) または Azure Monitor エージェント (AMA) を使用してデータを収集しました。この記事では、MMA と AMA の以前のバージョンを新しいバージョンに移行する方法について説明します。

前提条件

ファイル整合性の監視を使用するには、Defender for Servers プラン 2 を有効にする必要があります。
移行は、MMA または AMA を使用してファイル整合性の監視が現在有効になっている場合に関連します。
Defender for Servers プラン 2 で保護されているマシンは、Microsoft Defender for Endpoint エージェントを実行する必要があります。環境内のマシンのエージェントの状態を確認するには、このブックを使用してこれを行います。

MMA から移行する

MMA で以前のバージョンのファイル整合性監視を使用している場合は、製品内移行エクスペリエンスを使用して移行できます。製品内エクスペリエンスでは、次のことができます。

移行する前に、現在の環境を確認します。
Log Analytics ワークスペースで MMA を使用する現在のファイル整合性監視ルールをエクスポートします。
Defender for Servers プラン 2 がアクティブな場合は、新しいエクスペリエンスに移行します。

開始する前に

以下の点に注意してください。

移行ツールは、サブスクリプションごとに 1 回だけ実行できます。同じサブスクリプション内の複数のワークスペースからルールを移行するために再度実行することはできません。
製品内移行には、ターゲットサブスクリプションに対するセキュリティ管理者のアクセス許可と、ターゲット Log Analytics ワークスペースに対する所有者アクセス許可が必要です。
このツールを使用すると、既存の監視ルールを新しいエクスペリエンスに転送できます。
新しいエクスペリエンスの一部ではないカスタムおよびレガシの組み込みルールを移行することはできませんが、JSON ファイルにエクスポートすることはできます。
移行ツールには、MMA を使用したファイル整合性監視にオンボードされたマシンだけでなく、サブスクリプション内のすべてのマシンが一覧表示されます。
- レガシバージョンでは、Log Analytics ワークスペースに接続されている MMA が必要でした。 Defender for Servers プラン 2 によって保護されているが、MMA を実行していないマシンは、ファイルの整合性の監視の恩恵を受けませんでした。
- 新しいエクスペリエンスでは、有効なスコープ内のすべてのマシンがファイル整合性の監視の恩恵を受けることができます。
新しいエクスペリエンスでは MMA エージェントは必要ありませんが、移行ツールでソースワークスペースとターゲットワークスペースを指定する必要があります。
- ソースは、既存のルールを新しいエクスペリエンスに転送するワークスペースです。
- ターゲットは、監視対象のファイルとレジストリが変更されたときに変更ログが書き込まれるワークスペースです。
サブスクリプションで新しいエクスペリエンスを有効にすると、有効なスコープ内のマシンは同じファイル整合性監視規則でカバーされます。
個々のマシンをファイル整合性の監視から除外するには、リソースレベルで Defender for Servers を有効にして Defender for Servers プラン 1 にダウングレードします

製品内エクスペリエンスを使用して移行する

Defender for Cloud で、 ワークロード保護>File Integrity Monitoring に移動します。
バナーメッセージの [環境を移行するには、ここをクリックしてください] を選択します。
[ 環境を MMA 非推奨にするための準備 ] ページで、移行を開始します。
[ 新しい FIM への移行 ] タブの [ MDE 経由で FIM の新しいバージョンに移行する] で、[ アクションの実行] を選択します。
[ 新しい FIM への移行 ] タブでは、レガシファイル整合性監視が有効になっているマシンをホストするすべてのサブスクリプションを確認できます。
- サブスクリプション上のマシンの合計数 には、サブスクリプション内のすべての Azure VM と Azure Arc 対応 VM が表示されます。
- [FIM 用に構成されたマシン] には、レガシファイルの整合性の監視が有効なマシンの数が表示されます。
各サブスクリプションの横にある [アクション] 列で、[移行] を選択します。
更新サブスクリプション>サブスクリプションのマシンを確認すると、レガシファイルの整合性の監視が有効になっているマシンと、関連する Log Analytics ワークスペースの一覧が表示されます。 [次へ] を選択します。
[ 設定の移行 ] タブで、移行ソースとしてワークスペースを選択します。
Windows レジストリや Windows/Linux ファイルなどのワークスペース構成を確認します。設定とファイルを移行できるかどうかが表示されます。
移行できないファイルと設定がある場合は、[ ワークスペース設定をファイルとして保存] を選択します。
[ FIM データの保存先ワークスペースの選択] で、新しいファイル整合性監視エクスペリエンスを使用して変更を格納する Log Analytics ワークスペースを指定します。同じワークスペースを使用することも、別のワークスペースを選択することもできます。
[次へ] を選択します。
[ 確認と承認 ] タブで、移行の概要を確認します。 [移行] を選択して、移行処理を開始します。

移行が完了すると、サブスクリプションは移行ウィザードから削除され、移行されたファイル整合性監視規則が適用されます。

レガシ MMA ソリューションを無効にする

MMA でのファイル整合性の監視を手動で無効にするには、次の手順に従います。

Log Analytics ワークスペースから Azure ChangeTracking ソリューションを削除します。

削除後、新しいファイル整合性監視イベントは収集されません。履歴イベントは、テーブルの ConfigurationChange セクションの下の関連する Log Analytics ワークスペースに引き続き保存されます。イベントは、ワークスペースのデータ保持設定に従って格納されます。
マシンで MMA が不要になった場合は、Log Analytics エージェントの使用を無効にします。
- どのマシンにもエージェントが必要ない場合は、サブスクリプションで自動エージェントプロビジョニングを無効にします。
- 特定のマシンの場合は、Azure Monitor Discovery and Removal Utility を使用してエージェントを削除します。

AMA から移行する

AMA を使用してファイル整合性の監視から移行するには、次の手順に従います。

関連するファイル Change Tracking データ収集ルール (DCR) を削除します。
これを行うには、Remove-AzDataCollectionRuleAssociation と Remove-AzDataCollectionRule の手順に従います。

削除後、新しいファイル整合性監視イベントは収集されません。履歴イベントは、[変更履歴] セクションのテーブル ConfigurationChange の下の関連するワークスペースに保存されます。イベントは、ワークスペースのデータ保持設定に従って格納されます。

AMA を使用してファイル整合性監視イベントを使用し続ける場合は、関連するワークスペースに手動で接続し、このクエリを使用して 変更履歴 テーブルの変更を表示します。

ConfigurationChange  
| where TimeGenerated > ago(14d)  
| where ConfigChangeType in ('Registry', 'Files')  
| summarize count() by Computer, ConfigChangeType

新しいスコープのオンボードまたは監視規則の構成を続行するには、データ収集規則を手動で操作し、データ収集をカスタマイズします。

ファイルの整合性の監視で変更を確認します。