ファイルの整合性の監視の有効化
Microsoft Defender for Cloud の Defender for Servers プラン 1 では、ファイル整合性監視機能によって、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルを調べて、ファイルやレジストリの変更などの疑わしい改ざんアクティビティを検出することで、マシンの変更が可視化されます。
Defender for Servers プラン 2 を有効にした後、この記事では、Microsoft Defender for Endpoint エージェントを使用してデータを収集することにより、ファイルの整合性の監視を構成する方法について説明します。
Note
- Log Analytics エージェントを使用する、非推奨となる従来のデータ収集方法を使用している場合は、Defender for Endpoint エージェントを使用する新しいファイル整合性監視エクスペリエンスに移行してください。
- 2025 年 6 月以降、ファイルの整合性の監視には、Defender for Endpoint クライアントの、少なくとも次のバージョンが必要となります。
- Windows: 10.8760
- Linux: 30.124082
前提条件
- Defender for Servers プラン 2 が有効になっている必要があります。
- 監視するマシンに Defender for Endpoint エージェントがインストールされている必要があります。
- ファイルの整合性の監視を有効にしたり無効にしたりするには、ワークスペース所有者またはセキュリティ管理者のアクセス許可が必要です。 閲覧者アクセス許可があれば結果を表示できます。
- Defender for Endpoint を使用したファイル整合性の監視は、Azure VM、Azure Arc 対応 VM、接続された AWS アカウント、GCP プロジェクトでサポートされています。
- 監視するファイルのガイダンスについては、「どのファイルを監視する必要があるか」を参照してください。
Defender for Endpoint クライアントを検証する
マシン上で Defender for Endpoint クライアントの次のバージョンが実行されている必要があります: - Windows: 10.8760 - Linux: 30.124082
- Windows Server 2019 以降を実行しているマシン上に最新バージョンがあることを確認するには、最新の Windows 更新プログラムを参照してください。 詳しくは、Windows Server Update Service を使用してマシンに大規模にインストールする方法をご確認ください。
- Windows Servers 2016 および Windows Server 2012 R2 の Microsoft Defender for Endpoint クライアントを更新するには、Microsoft Update カタログの KB 5005292 を使用してインストールします。
- Linux マシンでは、Defender for Cloud で Defender for Endpoint の自動プロビジョニングが有効になっている場合、自動的に更新が行われます。 手動で更新することもできます。
ファイルの整合性の監視を有効にする
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連するサブスクリプションを選択します。
Defender for Servers プランを見つけて、[設定] を選択します。
「ファイルの整合性の監視」セクションで、トグルを [オン] に切り替えます。 次に [構成の編集] を選択します。
[FIM 構成] ペインが開きます。 [ワークスペースの選択] ドロップダウンで、ファイルの整合性監視のデータを格納するワークスペースを選択します。 新しいワークスペースを作成する場合は、[新規作成] を選択します。
![[ファイルの整合性の監視] 構成ウィンドウのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-configuration.png)
重要
ファイルの整合性監視のために収集されたイベントは、Defender for Servers プラン 2 のお客様向けの 500 MB 特典の対象となるデータ型に含まれています。
[FIM 構成] ペインの下にあるセクションで、[Windows レジストリ] タブ、[Windows ファイル] タブ、および [Linux ファイル] タブを選択し、監視するファイルとレジストリを選びます。 各タブで一番上の選択を選ぶと、すべてのファイルとレジストリが監視されます。 [適用] を選択して変更を保存します。
![[ファイルの整合性の監視] 構成タブのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-configuration-tabs.png)
続行を選択します。
[保存] を選択します。
![[ファイルの整合性の監視] 構成ウィンドウのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-configuration.png#lightbox)
![[ファイルの整合性の監視] 構成タブのスクリーンショット。](media/file-integrity-monitoring-enable-defender-endpoint/file-integrity-monitoring-configuration-tabs.png#lightbox)
ファイルの整合性の監視を無効にする
ファイルの整合性の監視を無効にすると、以降の新しいイベントは収集されなくなります。 ただし、この機能を無効にする前に収集されたデータは、ワークスペースの保持ポリシーに従って Log Analytics ワークスペースに残ります。
無効にするには次のようにします。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連するサブスクリプションを選択します。
Defender for Servers プランを見つけて、[設定] を選択します。
「ファイルの整合性の監視」セクションで、トグルを [オフ] に切り替えます。
適用を選択します。
[続行] を選択します。
[保存] を選択します。
次のステップ
ファイル整合性の監視で変更を確認します。