ファイル監視の管理

ファイル整合性監視は、WindowsやLinuxシステムのファイルやフォルダーに加えられたすべての変更(追加/削除/修正)を監視するための機能です。

注意事項: 大量のログが生成されることによるディスクスペースの問題を避けるため、FIMは必要なファイルやフォルダーのみに導入することを推奨します。

ファイル監視機能を使用するための前提条件

管理対象がWindowsデバイスの場合:

  • Windowsデバイス上のファイル/フォルダー監視を有効化後、特定のアクセスポリシーが自動的に有効になります。ドメイン内に監査ポリシーを上書きしているGPOがある場合は、以下の手順で手動で有効にしてください。
    • 管理者としてコマンドプロンプトを立ち上げ、以下のコマンドを実行します。
      auditpol /get /category:*
    • 「オブジェクト アクセス」配下に表示される以下の監査ポリシーを有効化(成功/失敗)してください。
      • ファイル共有の監査
      • ファイルシステムの監査
      • ハンドル操作の監査
      • 詳細なファイル共有の監査
      • その他のオブジェクトアクセスイベントの監査
  • 監視対象のファイル/フォルダに対してSACLを有効にする必要があります。通常、製品によって自動的に有効化しますが。自動的に有効化されない場合、以下のパーミッションを手動で設定してください。
    • フォルダーのスキャン/ファイルの実行
    • データの書き込み/ファイルの作成
    • フォルダーの作成/データの追加
    • 属性の書き込み
    • 拡張属性の書き込み
    • サブフォルダーとファイルの削除
    • 削除/アクセス許可の読み取り
    • アクセス許可の変更
    • 所有権の獲得

管理対象がLinuxデバイスの場合

  • SSHサーバーがLinuxマシンにインストールされている必要があります(インストール時のみ必須)。
  • Linuxマシンに監査デーモンがインストールされ、設定されていることを確認してください。また、以下の点を合わせてご確認ください。
    • Linuxカーネルのバージョンが2.6.25以上であること
    • Linux監査フレームワークのバージョンが1.8以上であること
  • syscall block ruleとimmutable ruleが /etc/audit/audit.rules において有効になっている場合、以下のコマンドで削除してください:
    • Syscall block rule, -a never,task
    • Immutable rule, -e 2
  • SUSEマシンの監査を有効にしている場合は、次のルールを設定します:
    • /etc/sysconfig/auditd に移動します
    • AUDITD_DISABLE_CONTEXTS = no と設定します
  • Security-Enhanced Linux (SELinux) が存在する場合は、permissive モードにするか、無効にする必要があります。
    • 「getenforce」コマンドでSELinuxの状態を確認します。
    • ステータスが「Enforced」の場合、ファイル/etc/selinux/config に移動し、次の編集を行います: SELINUX = permissive.
    • サーバーを再起動します。

注意事項: Linuxデバイス上のファイル/フォルダーに対する監視を設定すると、以下のアクションを監視します。

  • 読み取り
  • 書き込み
  • 実行
  • 属性変更

ファイル監視機能の設定手順

  • [設定] → [ファイル監視の管理] に移動します。
  • 監視対象デバイスに応じて、Windows・Linuxタブをクリックします。
  • [FIMを追加]をクリックします。
  • デバイスを選択後、認証情報を入力し、監視するファイル/フォルダーを選択します。
注意事項:Linuxデバイスを選択する場合、上記に加えてSSHポート番号を指定する必要があります。
  • [フィルターを除外] のオプションでは、以下の項目を指定できます。
    1. ファイルの種類
    2. 特定のサブフォルダー
    3. 全てのサブフォルダー
  • [ユーザー名を監査] をチェックすることで、ファイル/フォルダーに変更を加えたユーザーを監査できます。
    • 注意事項: Linuxデバイスを監査する場合、ユーザー名は自動的に監査されます。
  • [設定する] をクリックします。

一括ファイル監視の設定

複数のデバイスにある同じファイルやフォルダーを監視対象に加える必要がある場合は、「一括ファイル整合性監視」機能を使用することができます。

  • [設定] → [ファイル監視の管理] に移動します。
  • 監視対象デバイスに応じて、Windows・Linuxタブをクリックします。
  • 「FIMの追加」をクリック後、右上の「複数のデバイスを設定」を選択します。
  • ファイル/フォルダーが置かれているデバイスを選択後、認証情報を入力し、ファイルテンプレートを選択します。
注意事項: Linuxデバイスの場合、上記に加えて、SSHポート番号の入力が必要です。
  • [設定する]をクリックします。
bulk-fim.png
注意事項:
  • ファイル監視したいデバイスに既にエージェントがインストールされている場合、ファイル監視は自動的に有効になります。
  • ファイルを監視したいデバイスにエージェントがインストールされていない場合、エージェントがインストールされ、ファイル監視が有効になります。
  • フォルダ上で発生した各変更に対して生成されるログの量は、ファイルサーバーのパフォーマンスに影響を与える可能性があることにご留意ください。影響を抑えるために、ファイル/フォルダ監視を必要なファイル/フォルダに限定することを推奨します。

FIMテンプレートの管理

同じファイルやフォルダーを複数のデバイスで監視する必要がある場合は、テンプレートを作成してこれらのデバイスに割り当てることができます。FIMテンプレートの作成は以下の手順で行います。

  • [設定] → [ファイル監視の管理] → 画面右上の[FIMテンプレート] をクリックします。
  • 監視対象デバイスに応じて、Windows・Linuxタブをクリックします。
  • 「ファイル監視テンプレートを追加」をクリックします。
  • テンプレート名を入力し、ファイル/フォルダーの場所を選択します。
  • [フィルターを除外] のオプションでは、以下の項目を指定できます。
    1. ファイルの種類
    2. 特定のサブフォルダー
    3. 全てのサブフォルダー
  • [ユーザー名を監査] をチェックすることで、ファイル/フォルダーに変更を加えたユーザーを監査できます。
  • [設定する] をクリックします。
manage-file-integrity-monitoring

作成されたすべてのテンプレートが表形式で一覧表示され、編集/削除することができます。