مشاركة عبر

File Integrity Monitoring باستخدام عامل Log Analytics

  • مقالة

لتوفير مراقبة سلامة الملفات (FIM)، يقوم وكيل تحليلات السجل بتحميل البيانات إلى مساحة عمل تحليلات السجل. من خلال مقارنة الحالة الحالية لهذه العناصر بالحالة أثناء الفحص السابق، تبلغك FIM إذا تم إجراء تعديلات مريبة.

إشعار

نظرا لأنه تم تعيين عامل Log Analytics (المعروف أيضا باسم MMA) للإيقاف في أغسطس 2024، فإن جميع ميزات Defender for Servers التي تعتمد عليه حاليا، بما في ذلك تلك الموضحة في هذه الصفحة، ستكون متاحة إما من خلال التكامل Microsoft Defender لنقطة النهاية أو الفحص بدون عامل، قبل تاريخ الإيقاف. لمزيد من المعلومات حول المخطط لكل من الميزات التي تعتمد حاليا على عامل Log Analytics، راجع هذا الإعلان.

ستتعرف في هذه المقالة على كيفية:

إشعار

قد تقوم File Integrity Monitoring بإنشاء الحساب التالي على خوادم SQL المراقبة: NT Service\HealthService
إذا قمت بحذف الحساب، إعادة إنشائه تلقائيا.

التوافر

الجانب التفاصيل
حالة الإصدار: التوافر العام (GA)
التسعير: يتطلب Microsoft Defender for Servers Plan 2.
باستخدام عامل Log Analytics، تحمّل مراقبة تكامل بيانات الملفات البيانات إلى مساحة عمل Log Analytics. تطبق رسوم البيانات، استنادا إلى كمية البيانات التي تحملها. راجع Log Analytics pricing لمعرفة المزيد.
الأدوار والأذونات المطلوبة: يمكن لمالك مساحة العمل تمكين/تعطيل مراقبة تكامل بيانات الملفات (لمزيد من المعلومات، راجع Azure Roles for Log Analytics).
يمكن لـ Reader عرض النتائج.
سحابات: السحابات التجارية
National (Azure Government، Microsoft Azure المشغل بواسطة 21Vianet)
مدعوم في المناطق التي يتوفر فيها حل تعقب التغييرات في Azure Automation فقط.
الخدمات الممكنة منAzure Arc.
راجعالمناطق المدعومة لمساحة عمل Log Analytics المرتبطة.
تعرّف على المزيد حول تعقب التغييرات.
حسابات AWS المتصلة

تمكين "مراقبة تكامل الملفات" باستخدام عامل Log Analytics

تتوفر FIM فقط من صفحات Defender لـ Cloud في مدخل Microsoft Azure. لا توجد حاليا واجهة برمجة تطبيقات REST للعمل مع FIM.

  1. من منطقة Advanced protection للوحة معلومات Workload protections، حدد File integrity monitoring.

    لقطة شاشة من لقطة شاشة لفتح لوحة معلومات مراقبة سلامة الملفات.

    توفر المعلومات التالية لكل مساحة عمل:

    • إجمالي عدد التغييرات التي حدثت في الأسبوع الماضي (قد ترى شرطة "-" إذا لم يتم تمكين FIM على مساحة العمل)
    • العدد الإجمالي لأجهزة الكمبيوتر والأجهزة الظاهرية التي ترسل تقارير إلى مساحة العمل
    • الموقع الجغرافي لمساحة العمل
    • اشتراك Azure الذي يدل على أن مساحة العمل منخفضة

  2. استخدم هذه الصفحة لكي:

    • تصل إلى حالة كل مساحة عمل وإعداداتها وعرضهم

    • أيقونة خطة الترقية. قم بترقية مساحة العمل لاستخدام ميزات الأمان المحسنة. يشير هذا الرمز إلى أن مساحة العمل أو الاشتراك غير محميين بواسطة Microsoft Defender for Servers. لاستخدام ميزات FIM، يلزم حماية اشتراكك بهذه الخطة. تعرف على كيفية تمكين Defender for Servers.

    • الأيقونة تمكين FIM على جميع الأجهزة ضمن مساحة العمل وتكوين خيارات FIM. تشير هذه الأيقونة إلى أن FIM غير ممكن لمساحة العمل. إذا لم يكن هناك زر تمكين أو ترقية، وكانت المساحة فارغة، فهذا يعني أن FIM ممكنة بالفعل على مساحة العمل.

      لقطة شاشة لتمكين FIM لمساحة عمل محددة.

  3. حدّد ⁧⁩⁩Enable⁩. تعرَض تفاصيل مساحة العمل بما في ذلك عدد أجهزة Windows وLinux ضمن مساحة العمل.

    لقطة شاشة لصفحة تفاصيل مساحة عمل FIM.

    كما تسرَد سرد الإعدادات الموصى بها لنظامي التشغيل Windows وLinux. قم بتوسيع Windows filesوRegistryوLinux files لمراجعة القائمة الكاملة للعناصر الموصى بها.

  4. قم بإلغاء تحديد خانات الاختيار لأي كيانات موصى بها لا تريد مراقبتها بواسطة FIM.

  5. حدد Apply file integrity monitoring لتمكين FIM.

بإمكانك تغيير الإعدادات في أي وقت. تعرف على المزيد حول تحرير الكيانات المراقبة.

تعطيل File Integrity Monitoring

تستخدم FIM حل تعقب التغييرات من Azure لتعقب التغييرات في بيئتك وتحديدها. من خلال تعطيل FIM، يمكنك إزالة حل Change Tracking من مساحة العمل المحددة.

لتعطل FIM:

  1. من لوحة معلومات مراقبة سلامة الملفات لمساحة عمل، حدد تعطيل.

    لقطة شاشة لتعطيل مراقبة سلامة الملف من صفحة الإعدادات.

  2. حدد إزالة.

مراقبة مساحات العمل والكيانات والملفات

تدقيق مساحات العمل المُراقَبة

تعرض لوحة معلومات File integrity monitoring لمساحات العمل حيث يتم تمكين FIM. تفتح لوحة معلومات FIM بعد تمكين FIM على مساحة عمل أو عند تحديد مساحة عمل في نافذة file integrity monitoring التي تم تمكين FIM عليها بالفعل.

لقطة شاشة للوحة معلومات FIM ولوحاتها الإعلامية المتنوعة.

تعرض لوحة معلومات FIM لمساحة العمل التفاصيل الآتية:

  • إجمالي عدد الأجهزة المُتصلة بمساحة العمل
  • إجمالي عدد التغييرات التي تمت خلال الفترة الزمنية المحددة
  • تفصيل نوع التغيير (الملفات، السجل)
  • تفصيل لفئة التغيير (معدلة، تمت إضافتها، مزالة)

حدد Filter في أعلى لوحة المعلومات لتغيير الفترة الزمنية التي تعرَض التغييرات لها.

لقطة شاشة لعامل تصفية الفترة الزمنية للوحة معلومات FIM.

تسرد علامة التبويب Servers الأجهزة التي تقدم التقارير إلى مساحة العمل هذه. لكل جهاز، تسرد لوحة المعلومات ما يلي:

  • إجمالي التغييرات التي تمت خلال الفترة الزمنية المحددة
  • تفصيل لإجمالي التغييرات مع تغييرات الملف أو تغييرات السجل

عند تحديد جهاز، يظهر الاستعلام مع النتائج التي تحدد التغييرات التي أجريت خلال الفترة الزمنية المحددة للجهاز. يمكنك توسيع التغيير للحصول على مزيد من المعلومات.

لقطة شاشة لاستعلام تحليلات السجل تعرض التغييرات التي تم تحديدها بواسطة Microsoft Defender لمراقبة تكامل الملفات في السحابة.

تسرد علامة التبويب Changes (الموضحة أدناه) جميع التغييرات لمساحة العمل خلال الفترة الزمنية المحددة. تسرد لوحة المعلومات لكل كيان تم تغييره ما يلي:

  • الجهاز الذي تم التغيير عليه
  • نوع التغيير (في السجل أو الملف)
  • فئة التغيير (معدلة، تمت إضافتها، مزالة)
  • تاريخ إجراء التغيير ووقته

لقطة شاشة لعلامة تبويب Microsoft Defender for Cloud لمراقبة تغييرات سلامة الملفات.

تفتح Change details عند إدخال تغيير في حقل البحث أو تحديد كيان مدرج ضمن علامة التبويب Changes.

لقطة شاشة من Microsoft Defender لمراقبة تكامل الملفات في السحابة تعرض جزء التفاصيل للتغيير.

تحرير الكيانات الخاضعة للمراقبة

  1. من لوحة معلومات مراقبة تكامل الملفات لمساحة عمل، حدد الإعدادات من شريط الأدوات.

    لقطة شاشة للوصول إلى إعدادات مراقبة سلامة الملف لمساحة عمل.

    تفتح Workspace Configuration مع علامات تبويب لكل نوع من العناصر التي يمكن مراقبتها:

    • Windows registry
    • Windows files
    • Linux Files
    • محتوى الملف
    • خدمات Windows

    تسرد كل علامة تبويب الكيانات التي بإمكانك تحريرها في تلك الفئة. لكل كيان مُدرج، يحدد Defender for Cloud ما إذا كان FIM ممكنا (صحيح) أم غير ممكن (خطأ). حرر الكيان لتمكين FIM أو تعطيله.

    لقطة شاشة لتهيئة مساحة العمل لمراقبة تكامل الملفات في Microsoft Defender for Cloud.

  2. حدد إدخالاً من إحدى علامات التبويب وحرر أيًا من الحقول المتوفرة في جزء Edit for Change Tracking. تتضمن الخيارات:

    • تمكين (True) أو تعطيل (False) لمراقبة تكامل بيانات الملفات
    • توفير اسم الكيان أو تغييره
    • توفير القيمة أو المسار أو تغييرهما
    • حذف الكيان

  3. تجاهُل التغييرات أو حفظها.

إضافة كيان جديد للمراقبة

  1. من لوحة معلومات مراقبة تكامل الملفات لمساحة عمل، حدد الإعدادات من شريط الأدوات.

    تفتح Workspace Configuration.

  2. في تكوين مساحة العمل:

    1. حدد علامة التبويب لنوع الكيان الذي ترغب في إضافته: سجل Windows أو ملفات Windows أو ملفات Linux أو محتوى الملفات أو خدمات Windows.

    2. حدد إضافة.

      في هذا المثال، حددنا Linux Files.

      لقطة شاشة لإضافة عنصر للمراقبة في Microsoft Defender لمراقبة تكامل الملفات في Cloud.

  3. حدد إضافة. تفتح Add for Change Tracking.

  4. أدخل المعلومات اللازمة وحدد حفظ.

مراقبة المسارات والمجلدات باستخدام wildcards

استخدم أحرف البدل لتبسيط التعقب عبر التوجيهات. تنطبق القواعد التالية عند تكوين مُراقبة المجلد باستخدام أحرف البدل:

  • يجب توفير Wildcards لتتبع عدة ملفات.
  • يمكن استخدام أحرف البدل فقط في الجزء الأخير من المسار، مثل C:\folder\file أو /etc/*.conf
  • إذا تضمن متغير البيئة مسارا غير صالح، ينجح التحقق من الصحة ولكن يفشل المسار عند تشغيل المخزون.
  • عند تعيين المسار، تجنب المسارات العامة مثل c:\*.*، مما يؤدي إلى اجتياز عدد كبير جدا من المجلدات.

قارن خطوط الأساس باستخدام File Integrity Monitoring

تُعلمك مراقبة سلامة الملفات (FIM) عند حدوث تغييرات في المناطق الحساسة في مواردك، حتى تتمكن من التحقيق في النشاط غير المصرح به ومعالجته. يراقب FIM ملفات Windows وسجلات Windows وملفات Linux.

تفعيل عمليات التحقق من التسجيل التكراري المضمنة

توفر الإعدادات الافتراضية لخلية التسجيل FIM طريقة ملائمة لمراقبة التغييرات التكرارية داخل مناطق الأمان العامة. على سبيل المثال، قد يقوم المتطفل بتكوين برنامج نصي لتنفيذه في سياق LOCAL_SYSTEM عن طريق تكوين تنفيذ عند بدء التشغيل أو إيقاف التشغيل. لمراقبة التغييرات من هذا النوع، قم بتمكين الفحص الداخلي.

السجل.

إشعار

تنطبق عمليات التحقق المتكررة فقط على خلايا الأمان الموصى بها وليس على مسارات التسجيل المخصصة.

إضافة فحص تسجيل مخصص

تبدأ خطوط أساس FIM بتحديد خصائص الحالة الجيدة المعروفة لنظام التشغيل والتطبيق الداعم. على سبيل المثال، سنركز على تكوينات نهج كلمة المرور ل Windows Server 2008 والإصدارات الأحدث.

اسم السياسة إعداد التسجيل
وحدة تحكم المجال: رفض تغييرات كلمة مرور حساب الجهاز MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
عضو المجال: تشفير بيانات القناة الآمنة أو توقيعها رقمياً (دائماً) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
عضو المجال: تشفير بيانات القناة الآمنة رقمياً (إن أمكن) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
عضو المجال: التوقيع رقمياً على بيانات القناة الآمنة (إن أمكن) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
عضو المجال: تعطيل تغييرات كلمة مرور حساب الجهاز MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
عضو المجال: الحد الأقصى لعمر كلمة مرور حساب الجهاز MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
عضو المجال: يتطلب مفتاح جلسة قوي (Windows 2000 أو أحدث) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
أمان الشبكة: تقييد مصادقة NTLM: NTLM في هذا المجال MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
أمان الشبكة: تقييد NTLM: قم بإضافة استثناءات الخادم في هذا المجال MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
أمان الشبكة: تقييد NTLM: تدقيق مصادقة NTLM في هذا المجال MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

إشعار

لمعرفة المزيد بشأن إعدادات السجل التي تدعمها إصدارات أنظمة التشغيل المختلفة، ارجع إلى جدول البيانات المرجعي لإعدادات نهج المجموعة.

لتكوين FIM لمراقبة الخطوط الأساسية للسجل:

  1. في نافذة إضافة سجل Windows لتعقب التغييرات، حدد مربع النص مفتاح تسجيل Windows.

  2. أدخل مفتاح التسجيل التالي:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    تمكين FIM على التسجيل.

تعقب التغييرات على ملفات Windows

  1. في نافذة Add Windows File for Change Tracking، في مربع النص Enter path، أدخل المجلد الذي يحتوي على الملفات التي تريد تتبعها. في المثال الموضح في الشكل التالي، يوجد تطبيق ويب Contoso في محرك الأقراص \:D ضمن بنية المجلد ContosWebApp.

  2. قم بإنشاء إدخال ملف Windows مخصص عن طريق توفير اسم لفئة الإعداد، وتمكين التكرارية، وتحديد المجلد العلوي باستخدام لاحقة حرف بدل (*).

    لقطة شاشة لتمكين FIM على ملف.

استرجاع بيانات التغيير

توجد بيانات مراقبة تكامل الملفات ضمن مجموعة جدول Azure Log Analytics / ConfigurationChange.

  1. قم بتعيين نطاق زمني لاسترداد ملخص بالتغييرات حسب المورد.

    في المثال التالي، نقوم باسترداد جميع التغييرات في آخر 14 يوما في فئات السجل والملفات:

    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType

  2. لعرض تفاصيل تغييرات التسجيل:

    1. إزالة الملفات من عبارة where .
    2. أزل سطر التلخيص واستبدله بفقرة ترتيب:
    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey

يمكن تصدير التقارير إلى CSV للأرشفة و/أو توجيهها إلى تقرير Power BI.

بيانات FIM.

الخطوات التالية

تعرف على المزيد حول Defender for Cloud في: