ファイルの整合性の監視
Microsoft Defender for Cloud の Defender for Servers Plan 2 のファイル整合性監視機能は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルをスキャンして、攻撃を示す可能性のある変更を分析することで、エンタープライズ資産とリソースのセキュリティを維持するのに役立ちます。 ファイルの整合性の監視は、次のような場合に役立ちます。
- コンプライアンス要件を満たします。 ファイルの整合性の監視は、PCI-DSS や ISO 17799 などの規制コンプライアンス基準で必要になる場合が多くあります。
- 疑わしいファイルへの変更を検出して、態勢を改善し、潜在的なセキュリティの問題を特定します。
疑わしいアクティビティを監視する
ファイルの整合性の監視は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、次のような疑わしいアクティビティを検出します。
- ファイルとレジストリ キーの作成または削除。
- ファイル サイズ、アクセス制御リスト、およびコンテンツのハッシュの変更などのファイルの変更。
- サイズ、アクセス制御リスト、種類、コンテンツの変更などのレジストリの変更。
データ コレクション
ファイルの整合性の監視では、Microsoft Defender for Endpoint エージェントを使用してマシンからデータを収集します。
- Defender for Endpoint エージェントは、ファイルの整合性の監視のために定義されたファイルとリソースに従って、マシンからデータを収集します。
- Defender for Endpoint エージェントで収集されたデータは、Log Analytics ワークスペースにアクセスして分析できるように格納されます。
- 収集されたファイルの整合性の監視データは、Defender for Servers プラン 2 に含まれる 500 MB の特典の一部です。
- ファイルの整合性の監視では、変更のソース、アカウントの詳細、変更を行ったユーザーの表示、開始プロセスに関する情報など、ファイルとリソースの変更に関する情報が提供されます。
新しいバージョンに移行する
ファイルの整合性の監視では、以前は Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれます) または Azure Monitor エージェント (AMA) を使用してデータを収集しました。 これらの従来の方法のいずれかでファイルの整合性の監視を使用している場合は、ファイル整合性監視を移行して Defender for Endpoint を使用するようにすることができます。
ファイルの整合性の監視を構成する
Defender for Servers プラン 2 を有効にした後、ファイルの整合性の監視を有効にして構成します。 既定では有効になっていません。
- 監視対象のファイルやリソースの変更イベントを格納する Log Analytics ワークスペースを選択します。 既存のワークスペースを使用するか、新しく定義することができます。
- Defender for Cloud では、ファイル整合性の監視を使用して監視するリソースをお勧めします。
監視対象の選択
Defender for Cloud では、ファイル整合性の監視を使用して監視するエンティティをお勧めします。 おすすめ候補から項目を選択できます。 監視するファイルを選択するタイミング:
- ご利用のシステムとアプリケーションにとって重要なファイルを考慮します。
- 計画なしで変更されることがないファイルを監視してください。
- アプリケーションまたはオペレーティング システムによって頻繁に変更されるファイル (ログ ファイルやテキスト ファイルなど) を選択すると、ノイズの発生によって攻撃の識別が困難になります。
監視を推奨する項目
Defender for Endpoint エージェントでファイルの整合性の監視を使用する場合は、既知の攻撃パターンに基づいてこれらの項目を監視することをお勧めします。
| Linux ファイル | Windows ファイル | Windows レジストリ キー (HKEY_LOCAL_MACHINE) |
|---|---|---|
| bin/ | C:\config.sys | HKLM\SOFTWARE\Microsoft\Cryptography\OID* |
| /bin/passwd | C:\Windows\regedit.exe | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID* |
| /boot | C:\Windows\System32\userinit.exe | キー: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 値: loadappinit_dlls、appinit_dlls、iconservicelib |
| /etc/*.conf | C:\Windows\explorer.exe | キー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 値: common startup、startup |
| /etc/cron.daily | C:\autoexec.bat | キー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 値: common startup、startup |
| /etc/cron.hourly | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /etc/cron.monthly | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /etc/cron.weekly | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| /etc/crontab | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\NT\CurrentVersion\Windows 値: appinit_dlls、loadappinit_dlls |
|
| /etc/init.d | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 値: common startup、startup |
|
| /opt/sbin | キー: HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 値: common startup、startup |
|
| /sbin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | |
| /usr/bin | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | |
| /usr/local/bin | HKLM\SECURITY\POLICY\SECRETS | |
| /usr/local/sbin | ||
| /usr/sbin | ||
| /opt/bin |