Defender for Endpoint によるファイルの整合性の監視に移行する
Microsoft Defender for Cloud の Defender for Servers プラン 2 では、ファイルの整合性の監視機能により、ファイルをスキャンして分析し、現在の状態を以前のスキャンと比較することで、企業の資産とリソースを安全に保つことができます。
ファイルの整合性の監視では、収集規則に従い、Microsoft Defender for Endpoint エージェントを使用してマシンからデータを収集されます。 Defender for Endpoint は既定で Defender for Cloud と統合されています。
前提条件
- Defender for Servers プラン 2 を有効にする必要があります。
- 現在、ファイルの整合性の監視は、従来の方法を使用して有効にされています
- 製品内移行を使用するには、ターゲット サブスクリプションに対するセキュリティ管理者アクセス許可と、ターゲット Log Analytics ワークスペースに対する所有者アクセス許可が必要です。
- Defender for Servers プラン 2 によって保護されているマシンは、Defender for Endpoint エージェントを実行している必要があります。 環境内のマシン上でエージェントの状態を確認する場合は、このブックを参照して行ってください。
- 移行ツールは、サブスクリプションに対して 1 回だけ実行できます。 これを再度実行して、同じサブスクリプション内の別の、または複数のワークスペースから規則を移行することはできません。
MMA 経由で FIM から移行する
ファイルの整合性の監視の旧バージョンでは、Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれます) または Azure Monitor エージェント (AMA) を使用してデータを収集していました。
ファイルの整合性の監視の旧バージョンを使用していない場合は、Defender for Endpoint エージェントを使用してファイルの整合性の監視を直接オンボードできます。
ファイルの整合性の監視の旧バージョンを使用している場合は、製品内移行エクスペリエンスを使用してシームレスに移行することで、新しいバージョンに移行できます。
または、Defender for Endpoint でファイルの整合性の監視を有効にし、以前のエージェントを使用してファイルの整合性の監視を削除することもできます。
製品内移行ツールを使用すると、次のことが可能になります。
- 移行する前に現在の環境と状態を確認します。
- MMA を使用し、Log Analytics ワークスペースに存在する現在のファイルの整合性の監視規則をエクスポートします。
- Defender for Servers プラン 2 が有効な場合は、新しいエクスペリエンスに移行します。
以下の点に注意してください。
- このツールを使用すると、既存の監視規則を新しいエクスペリエンスに転送できます。
- 新しいエクスペリエンスには含まれないカスタム規則やレガシ組み込み規則は移行できませんが、JSON ファイルにエクスポートすることはできます。
- 移行ツールを使うと、サブスクリプション内のすべてのマシンが一覧表示されますが、MMA を使用してファイルの整合性の監視に実際にオンボードされたすべてのマシンが一覧表示されるわけではありません。
- レガシ バージョンでは、Log Analytics ワークスペースに接続されている MMA が必要でした。 これは、Defender for Servers プラン 2 によって保護されていても、MMA を実行していないマシンは、ファイルの整合性の監視の恩恵を受けられないことを意味します。
- 新しいエクスペリエンスにより、有効スコープ内にあるすべてのマシンがファイルの整合性の監視の恩恵を受けます。
- 新しいエクスペリエンスには MMA エージェントは必要ありませんが、移行ツールでソース ワークスペースとターゲット ワークスペースを指定する必要があります。
- ソースは、既存の規則を新しいエクスペリエンスに転送する元のワークスペースです。
- ターゲットは、監視対象のファイルとレジストリが変更されたときに変更ログが書き込まれるワークスペースです。
- サブスクリプションで新しいエクスペリエンスが有効になると、有効スコープ内にあるすべてのマシンが同じファイルの整合性の監視規則の対象になります。
- 個々のマシンをファイルの整合性の監視から除外する場合は、リソース レベルで Defender for Servers を有効にすることで、一部のマシンを Defender for Servers プラン 1 にダウングレードできます。
製品内エクスペリエンスを使用して移行する
Defender for Cloud の >[ワークロード保護] で、[ファイルの整合性の監視] を開きます。
バナー メッセージの [環境を移行するには、ここをクリックしてください] を選択します。
[MMA の非推奨に向けて環境を準備する] ページで、移行を開始します。
[新しい FIM への移行] タブの [MDE 経由で FIM の新しいバージョンに移行する] で [アクションを取る] を選択します。
![Defender for Cloud バナーの [アクションを取る] ボタンを示すスクリーンショット。](media/migrate-file-integrity-monitoring/take-action.png)
[新しい FIM への移行] タブには、レガシ ファイルの整合性の監視が有効なマシンをホストするすべてのサブスクリプションが表示されます。
- [サブスクリプションの合計マシン数] には、サブスクリプション内のすべての Azure VM と Azure Arc 対応 VM が表示されます。
- [FIM 用に構成されたマシン] には、レガシ ファイルの整合性の監視が有効なマシンの数が表示されます。
各サブスクリプションの横にある [アクション] 列で、[移行] を選択します。
[サブスクリプションを更新する]>[サブスクリプションのマシンを確認する] には、レガシ ファイルの整合性の監視が有効なマシンと、それらに関連する Log Analytics ワークスペースの一覧が表示されます。 [次へ] を選択します。
[設定の移行] タブで、移行ソースとしてワークスペースを選択します。
Windows レジストリや Windows/Linux ファイルなどのワークスペース構成を確認します。 設定とファイルを移行できるかどうかが示されます。
移行できないファイルや設定がある場合は、[ワークスペース設定をファイルとして保存する] を選択できます。
[FIM データの格納先ワークスペースの選択] で、新しいファイルの整合性の監視エクスペリエンスを使用して変更を保存する Log Analytics ワークスペースを指定します。 同じワークスペースを使用するか、別のものを選択することができます。
[次へ] を選択します。
[確認と承認] タブで、移行の要約を確認します。 [移行] を選択して移行プロセスを開始します。
![Defender for Cloud バナーの [アクションを取る] ボタンを示すスクリーンショット。](media/migrate-file-integrity-monitoring/take-action.png#lightbox)
移行が完了すると、サブスクリプションは移行ウィザードから削除され、移行されたファイルの整合性の監視規則が適用されます。
レガシ MMA ソリューションを無効にする
MMA を使用するファイルの整合性の監視を手動で無効にするには、次の手順を実行します。
Log Analytics ワークスペースから Azure ChangeTracking ソリューションを削除します。
削除後は、新しいファイルの整合性の監視イベントは収集されません。 履歴イベントは、
ConfigurationChangeテーブルの [変更追跡] セクションの下の関連する Log Analytics ワークスペースに引き続き保存されます。 イベントは、ワークスペースのデータ保持設定に従って保存されます。マシン上で MMA が必要なくなった場合は、Log Analytics エージェントの使用を無効にすることができます。
- どのマシンにもエージェントが必要ない場合は、サブスクリプションで自動エージェント プロビジョニングを無効にします。
- 特定のマシンの場合は、Azure Monitor Discovery and Removal Utility を使用してエージェントを削除します。
AMA 経由で FIM から移行する
AMA を使用するファイルの整合性の監視から移行するには、次の手順に従ってください。
Log Analytics ワークスペースから Azure ChangeTracking ソリューションを削除します。
また、関連するファイル変更追跡データ収集規則 (DCR) を削除してもかまいません。 これを行うには、Remove-AzDataCollectionRuleAssociation と Remove-AzDataCollectionRule の手順に従います。
削除後は、新しいファイルの整合性の監視イベントは収集されません。 履歴イベントは、[変更追跡] セクションのテーブル
ConfigurationChangeの下の関連するワークスペースに引き続き保存されます。 イベントは、ワークスペースのデータ保持設定に従って保存されます。
AMA を使用するファイルの整合性の監視イベントを使い続ける場合は、関連するワークスペースに手動で接続し、このクエリを使用して [変更の追跡] テーブルの変更を表示できます。
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
新しいスコープのオンボードまたは監視規則の構成を続けるには、データ収集規則を手動で操作し、データ収集をカスタマイズする必要があります。
次のステップ
ファイルの整合性の監視で変更を確認します。