ファイルの整合性の監視
Microsoft Defender for Cloud でのファイルの整合性の監視機能は、攻撃を示す可能性のある変更がないか、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルをスキャンして分析することで、企業の資産やリソースを安全に保持するのに役立ちます。 ファイルの整合性の監視は、次のような場合に役立ちます。
- コンプライアンス要件を満たします。 ファイルの整合性の監視は、PCI-DSS や ISO 17799 などの規制コンプライアンス基準で必要になる場合が多くあります。
- 疑わしいファイルへの変更を検出して、態勢を改善し、潜在的なセキュリティの問題を特定します。
疑わしいアクティビティを監視する
ファイルの整合性の監視は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、次のような疑わしいアクティビティを検出します。
- ファイルとレジストリ キーの作成または削除。
- ファイル サイズ、アクセス制御リスト、およびコンテンツのハッシュの変更などのファイルの変更。
- サイズ、アクセス制御リスト、種類、コンテンツの変更などのレジストリの変更。
データ コレクション
ファイルの整合性の監視では、Microsoft Defender for Endpoint エージェントを使用してマシンからデータを収集します。
- Defender for Endpoint エージェントは、ファイルの整合性の監視のために定義されたファイルとリソースに従って、マシンからデータを収集します。
- Defender for Endpoint エージェントで収集されたデータは、Log Analytics ワークスペースにアクセスして分析できるように格納されます。
- 収集されたファイルの整合性の監視データは、Defender for Servers プラン 2 に含まれる 500 MB の特典の一部です。
- ファイルの整合性の監視では、変更元、アカウントの詳細、変更を行ったユーザーの表示、開始プロセスに関する情報など、ファイルやリソースの変更に関する詳細が提供されます。
新しい収集方法への移行
ファイルの整合性の監視を MMA の使用から Defender for Endpoint エージェントの使用に移行する手順に従います。
ファイルの整合性の監視を構成する
Defender for Servers プラン 2 を有効にした後、ファイルの整合性の監視を有効にして構成します。 既定では有効になっていません。
- 監視対象のファイルやリソースの変更イベントを格納する Log Analytics ワークスペースを選択します。 既存のワークスペースを使用するか、新しく定義することができます。
- Defender for Cloud では、ファイルの整合性の監視で監視するリソースが推奨され、追加の監視をカスタマイズできます。
- ワークスペースを選択した後、監視する内容を確認し、カスタマイズします。 Defender for Cloud では、独自の値を定義できるファイルの整合性の監視リストに既定で含まれるリソースが推奨されます。
監視対象の選択
Defender for Cloud によって、ファイルの整合性の監視で監視の対象にするエンティティが推奨されます。ユーザーが、独自のエンティティを定義することもできます。 監視するファイルを選択するタイミング:
- ご利用のシステムとアプリケーションにとって重要なファイルを考慮します。
- 計画なしで変更されることがないファイルを監視してください。
- アプリケーションまたはオペレーティング システムによって頻繁に変更されるファイル (ログ ファイルやテキスト ファイルなど) を選択すると、ノイズの発生によって攻撃の識別が困難になります。
監視を推奨する項目
Defender for Endpoint エージェントでファイルの整合性の監視を使用する場合は、既知の攻撃パターンに基づいてこれらの項目を監視することをお勧めします。
Linux ファイル | Windows ファイル | Windows レジストリ キー (HKLM = HKEY_LOCAL_MACHINE) |
---|---|---|
bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
/bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
/boot | C:\Windows\System32\userinit.exe | キー: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 値: loadappinit_dlls、appinit_dlls、iconservicelib |
/etc/*.conf | C:\Windows\explorer.exe | キー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 値: common startup、startup |
/etc/cron.daily | C:\autoexec.bat | キー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 値: common startup、startup |
/etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
/etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
/etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
/etc/crontab | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 値: appinit_dlls、loadappinit_dlls |
|
/etc/init.d | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 値: common startup、startup |
|
/opt/sbin | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 値: common startup、startup |
|
/sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
/usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
/usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
/usr/local/sbin | ||
/usr/sbin | ||
/bin/login | ||
/opt/bin |