مراقبة سلامة الملفات في Microsoft Defender for Cloud
تفحص مراقبة تكامل الملفات (FIM) ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثًا عن التغييرات التي قد تشير إلى وجود هجوم.
تستخدم FIM (مراقبة تكامل الملفات) حل Azure Change Tracking لتعقب التغييرات في بيئتك وتحديدها. عند تمكين FIM، يكون لديك مورد Change Tracking من النوع Solution. إذا قمت بإزالة مورد Change Tracking ، فستقوم أيضا بتعطيل ميزة File Integrity Monitoring في Defender for Cloud. يتيح لك FIM الاستفادة من Change Tracking مباشرة في Defender for Cloud. للحصول على تفاصيل تكرار جمع البيانات، راجع تغيير تفاصيل جمع بيانات التعقب.
يوصي Defender for Cloud الكيانات للمراقبة باستخدام مراقبة تكامل بيانات الملفات، كما يمكنك تحديد نهج FIM الخاصة بك أو الكيانات التي تريد مراقبتها. تبلغك FIM عن النشاط المريب مثل:
- إنشاء الملفات ومفتاح التسجيل أو إزالته
- تعديلات الملفات (التغييرات في حجم الملف وقوائم التحكم في الوصول (ACL) وتجزئة المحتوى)
- تعديلات السجلات (التغييرات في الحجم وقوائم التحكم في الوصول والنوع والمحتوى)
تتطلب العديد من معايير التوافق التنظيمي تنفيذ عناصر تحكم FIM، مثل، PCI-DSS وISO 17799.
ما هي الملفات التي يلزم مراقبتها؟
عند اختيار الملفات التي يلزم مراقبتها، ضع في اعتبارك الملفات الهامة لنظامك وتطبيقاتك. مراقبة الملفات التي لا تتوقع تغييرها بدون التخطيط. إذا اخترت الملفات التي يتم تغييرها بشكل متكرر عن طريق التطبيقات أو نظام التشغيل (مثل ملفات السجل والملفات النصية)، فسيؤدي ذلك إلى حدوث ضجيج، مما يجعل من الصعب تحديد الهجوم.
يوفر Defender for Cloud القائمة التالية من العناصر المستحسنة للمراقبة استنادا إلى أنماط الهجوم المعروفة.
| Linux files | Windows files | مفاتيح التسجيل من Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows |
| /bin | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /boot | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
الخطوات التالية
في هذه المقالة، تعلمت عن مراقبة تكامل الملفات (FIM) في Defender for Cloud.
بعد ذلك، يمكنك: