この記事では、Azure Monitor エージェント (AMA) を使用した Azure Change Tracking とインベントリの概要について説明します。 この記事には、サービスの主な機能と利点も含まれています。
変更履歴とインベントリとは
Change Tracking と Inventory は、変更を監視し、Azure、オンプレミス、およびその他のクラウド環境全体のサーバーに詳細なインベントリ ログを提供することで、ゲスト内操作の監査とガバナンスを強化します。
Important
Change Tracking 拡張機能バージョン 2.20.0.0 以降で Change Tracking と Inventory を使用することをお勧めします。
変更追跡
- ファイル、レジストリ キー、ソフトウェアのインストール、Windows サービスまたは Linux デーモンの変更など、変更を監視します。
- 構成の誤差や未承認の変更をすばやく検出できるように、変更が行われた内容とタイミングの詳細なログを提供します。
変更追跡メタデータは、接続された Log Analytics ワークスペースのConfigurationChangeテーブルに取り込まれます。 詳細については、「 ConfigurationChange」を参照してください。
注
Change Tracking と Inventory のデータは、システム レベルのアプリケーションとユーザー レベルのアプリケーションの両方についてログに記録されます。 システム レベルのデータは常にログに記録されますが、ユーザー レベルのアプリケーションは、ユーザーがコンピューターにサインインしたときにのみ表示されます。 ユーザーがサインアウトすると、それらのアプリケーションは削除済みとしてマーク されます。
インベントリ
- リンクされた Log Analytics ワークスペースで、インストールされているソフトウェア、オペレーティング システムの詳細、およびその他のサーバー構成の更新された一覧を収集して管理します。
- システム資産の概要を作成するのに役立ちます。これは、コンプライアンス、監査、プロアクティブ メンテナンスに役立ちます。
- 接続された Log Analytics ワークスペースの
ConfigurationDataテーブルにインベントリ メタデータを取り込みます。 詳細については、「 ConfigurationData」を参照してください。
Azure Change Tracking と Inventory の主な利点
主な利点を次に示します。
- 統合監視エージェントとの互換性: セキュリティと信頼性を強化し、データを格納するためのマルチホーム エクスペリエンスを容易にする AMA と互換性があります。
- 追跡ツールとの互換性: クライアントの仮想マシン (VM) 上の Azure Policy を使用してデプロイされた Change Tracking 拡張機能と互換性があります。 AMA に切り替えると、Change Tracking 拡張機能によってソフトウェア、ファイル、レジストリが AMA にプッシュされます。
- マルチホーム エクスペリエンス: 1 つの中央ワークスペースからの管理の標準化を提供します。 Azure Monitor ログから AMA に移行して、すべての VM がデータの収集とメンテナンスのために 1 つのワークスペースをポイントするようにすることができます。
- ルール管理: データ収集ルール を使用して、データ収集のさまざまな側面を構成またはカスタマイズします。 たとえば、ファイル収集の頻度を変更できます。
サポートされているオペレーティング システムの詳細については、「Change Tracking と Inventory の サポート マトリックスとリージョン 」を参照してください。
Azure Change Tracking とインベントリを有効にする
変更履歴とインベントリは、次の方法で有効にすることができます。
- Azure Arc 対応サーバー (Azure 以外のマシン): Azure portal の Change Tracking and Inventory Center |[マシン ] ウィンドウで、[ ポリシー>定義の種類>カテゴリ>Change の追跡とインベントリを選択します。 [ イニシアティブ] で、[ Arc 対応仮想マシンの変更履歴とインベントリを有効にする] を選択します。 Change Tracking と Inventory を大規模に有効にするには、deploy-if-not-exists (DINE) ポリシー ベースのソリューションを使用します。 詳細については、「 クイック スタート: Azure Change Tracking とインベントリを有効にする」を参照してください。
- 単一の Azure VM: Azure portal で、[ 仮想マシン] ウィンドウから VM を選択します。 このシナリオは、Linux VM 用と Windows VM 用があります。
- 単一および複数の Azure VM: Azure portal で、[ 仮想マシン ] ウィンドウから VM を選択します。
ファイルの変更を追跡する
Windows と Linux の両方でファイルの変更を追跡する場合、変更履歴とインベントリでは、ファイルの SHA256 ハッシュが使用されます。 この機能では、ハッシュを使用して、前回のインベントリ以降に変更が行われたかどうかを検出します。
ファイルコンテンツの変更を追跡する
Change Tracking と Inventory を使用すると、Windows または Linux ファイルの内容を表示できます。 ファイルを変更するたびに、変更履歴とインベントリによって、Azure Storage アカウントにファイルのコンテンツが格納されます。 ファイルを追跡するときに、変更の前または後にその内容を表示できます。 ファイルの内容は、インラインまたはサイド バイ サイドで表示できます。 詳細については、「 チュートリアル: ワークスペースを変更してデータ収集ルールを構成する」を参照してください。
レジストリ キーを追跡する
Change Tracking とインベントリを使用すると、Windows レジストリ キーへの変更を監視できます。 監視を使用すると、Microsoft 以外のコードやマルウェアがアクティブ化できる機能拡張ポイントを特定できます。 次の表に、構成済み (有効ではない) レジストリ キーの一覧を示します。 これらのキーを追跡するには、それぞれを有効にする必要があります。
| レジストリ キー | 目的 |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
スタートアップ時に実行されるスクリプトを監視します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
シャットアップ時に実行されるスクリプトを監視します。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
ユーザーが Windows アカウントにサインインする前に読み込まれるキーを監視します。 このキーは、64 ビット コンピューターで実行される 32 ビット アプリケーションに使用されます。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
アプリケーションの設定の変更を監視します。 |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Windows エクスプローラーに直接フックし、通常は explorer.exe を使用してインプロセスで実行するコンテキスト メニュー ハンドラーを監視します。 |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Windows エクスプローラーに直接フックし、通常は explorer.exe でインプロセスで実行するコピー フック ハンドラーを監視します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
アイコン オーバーレイ ハンドラーの登録を監視します。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
64 ビット コンピューターで実行される 32 ビット アプリケーションのアイコン オーバーレイ ハンドラーの登録を監視します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer の新しいブラウザー ヘルパー オブジェクト プラグインを監視します。 現在のウィンドウのドキュメント オブジェクト モデル (DOM) にアクセスし、ナビゲーションを制御するために使用します。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer の新しいブラウザー ヘルパー オブジェクト プラグインを監視します。 現在のウィンドウの DOM にアクセスし、64 ビット コンピューターで実行されている 32 ビット アプリケーションのナビゲーションを制御するために使用されます。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
カスタム ツール メニューやカスタム ツール バー ボタンなどの新しい Internet Explorer の拡張機能を監視します。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
64 ビットコンピューターで実行される 32 ビット アプリケーションのカスタム ツールのメニューやカスタム ツール バー ボタンなどの新しい Internet Explorer の拡張機能を監視します。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
wavemapper、wave1、wave2、msacm.imaadpcm、.msadpcm、.msgsm610、および vidc に関連付けられている 32 ビット ドライバーを監視します。
[drivers] ファイルの system.ini セクションと同様です。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
64 ビットコンピューターで実行される 32 ビット アプリケーションの wavemapper、wave1、wave2、msacm.imaadpcm、.msadpcm、.msgsm610、および vidc に関連付けられている 32 ビット ドライバーを監視します。
[drivers] ファイルの system.ini セクションと同様です。 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
既知のまたは一般的に使用されるシステムの DLL の一覧を監視します。 監視では、システム DLL のトロイの木馬バージョンを削除することで、弱いアプリケーション ディレクトリのアクセス許可が悪用されることを防止します。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windows の対話型サインイン サポート モデルである winlogon.exe からイベント通知を受信できるパッケージの一覧を監視します。 |
関連コンテンツ
- Change Tracking と Inventory の サポート マトリックスとリージョン を確認します。