Log Analytics エージェントが先日リタイア日を迎えました
Log Analytics エージェントはログを収集する機能を利用して、様々なソリューションで流用されていました
そのうちの1つが Defender for Servers で提供されている FIM (File Integrity Monitoring:ファイルの整合性の監視) です
実はこの FIM の Log Analytics エージェントの利用は 2024/11 までサポートされています
ファイル整合性監視 (FIM): MDE 経由の FIM の新しいバージョンのパブリック プレビュー リリースは、2024 年 8 月に予定されています。 Log Analytics エージェントを搭載した FIM の GA バージョンは、2024 年 11 月末まで、既存のお客様向けに引き続きサポートされます。
Microsoft Defender for Cloud の新機能 - Microsoft Defender for Cloud | Microsoft Learn
上記に記載のある MDE 経由の新しい FIM が先日アナウンスされていたので試してみました
Monthly News - September 2024 - Microsoft Community Hub
ざっくり手順
- MDE 統合 FIM の有効化
- VM 作成
- FIM の動作確認
1. MDE 統合 FIM の有効化
Microsoft Defender for Cloud > 環境設定 > サブスクリプション を選択します
[設定と管理] または サーバーの [設定] をクリックします
[File Integrity Monitoring] を [オン] にします
使用する Log Analytics ワークスペースを聞かれるので、適当なものを指定します
FIM で監視する対象をカスタマイズすることもできます
が、追加はできなさそう。。。?
ひとまずデフォルト(全部チェックアリ)で設定しておきます
忘れずに設定を保存しておきます
2. VM 作成
通常通りの手順で VM を作成して動作検証をしてみます
Windows Server を作成してみました
拡張機能に MDE が追加されていることが確認できました
3. FIM の動作確認
FIM の動作確認をしてみます
VM にログインしレジストリを変更します
今回は監視対象の hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\common startup の値を変更します
何回か変更を行い、Microsoft Defender for Cloud で監視されているか確認しました
| 変更前 | 1回目 変更後 | 2回目 変更後 |
|---|---|---|
| C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup | C:\Temp\startup_test | C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\temp |
変更作業後、Microsoft Defender for Cloud のワークロード保護から [ファイルの整合性の監視] を選択します
作成した VM に対してレジストリの変更が合計で 2回分 検知されていることがわかります
画面内の VM 名をクリックすると Log Analytics ワークスペースの画面に遷移し、自動でクエリが実行されます
ログのレコードをよく見てみると、変更前の値と変更後の値が確認できます
まとめ
Microsoft Defender for Endpoint から提供される FIM の機能を試してみました
Preview で出たばかりということもあり、検知できる対象が限られているように感じました
対象のレジストリの検知はしっかりできていたので、検知対象がカスタマイズできるといいなーと思いました
