ファイルの整合性の監視の変更を確認する

Microsoft Defender for Cloud の Defender for Servers プラン 2 では、ファイルの整合性の監視機能により、ファイルをスキャンして分析し、現在の状態を以前のスキャンと比較することで、企業の資産とリソースを安全に保つことができます。

ファイルの整合性の監視では、収集規則に従い、Microsoft Defender for Endpoint エージェントを使用してマシンからデータを収集されます。 Defender for Endpoint は既定で Defender for Cloud と統合されています。

この記事では、ファイルの変更を確認する方法について説明します。

前提条件

• Defender for Servers プラン 2 を有効にする必要があります。
• Defender for Endpoint エージェントによるファイルの整合性の監視を有効にする必要があります。 有効になっていない場合は、"ファイルの整合性の監視が有効になっていません" というメッセージが表示されます。 有効にするには、[オンボード サブスクリプション] を選択し、機能を有効にします。

エンティティとファイルの監視

エンティティとファイルを監視するには、次の手順に従います。

1. Defender for Cloud のサイドバーから、[ワークロード保護]>[ファイルの整合性の監視] に移動します。

   

2. 追跡対象の変更済みファイルとレジストリを含むすべてのリソースを確認できるウィンドウが開きます。

   

3. リソースを選択すると、ウィンドウが開き、そのリソースで追跡対象のファイルとレジストリに加えられた変更を示すクエリが表示されます。

   

4. リソースのサブスクリプション ([サブスクリプション名] 列の下) を選択すると、そのサブスクリプション内のすべての追跡対象のファイルとレジストリを含むクエリが開きます。

ファイルの整合性の監視データを取得して分析する

ファイルの整合性の監視データは、MDCFileIntegrityMonitoringEvents テーブルの Azure Log Analytics ワークスペース内にあります。

1. リソースごとの変更の概要を取得する時間の範囲を設定します。 次の例では、レジストリとファイルのカテゴリの過去 14 日間の変更をすべて取得しています。

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType in ('Registry', 'Files')  
   | summarize count() by Computer, ConfigChangeType  
   

2. レジストリの変更に関する詳細情報を表示するには:

   1. where 句から Files を削除します。

   2. 集計行を並べ替え句に置き換えます。

   MDCFileIntegrityMonitoringEvents  
   | where TimeGenerated > ago(14d)  
   | where ConfigChangeType == 'Registry'  
   | order by Computer, RegistryKey  
   

3. レポートはアーカイブ目的で CSV にエクスポートでき、Power BI レポートに送信してさらに分析することができます。