Monitorování integrity souborů v Microsoft Defenderu pro cloud
Monitorování integrity souborů (FIM) zkoumá soubory operačního systému, registry Windows, aplikační software a systémové soubory Linuxu, které by mohly znamenat útok.
FIM (monitorování integrity souborů) používá řešení Azure Change Tracking ke sledování a identifikaci změn ve vašem prostředí. Pokud je fim povolené, máte prostředek řešení Change Tracking typu Řešení. Pokud odeberete prostředek Change Tracking , zakážete také funkci Monitorování integrity souborů v defenderu pro cloud. FIM umožňuje využívat funkci Change Tracking přímo v defenderu pro cloud. Podrobnosti o frekvenci shromažďování dat najdete v tématu Podrobnosti o shromažďování dat sledování změn.
Defender pro cloud doporučuje entity, které se mají monitorovat pomocí FIM, a můžete také definovat vlastní zásady FIM nebo entity, které se mají monitorovat. FIM vás informuje o podezřelé aktivitě, jako jsou:
- Vytvoření nebo odebrání klíče souboru a registru
- Úpravy souborů (změny velikosti souboru, seznamy řízení přístupu a hodnota hash obsahu)
- Změny registru (změny velikosti, seznamy řízení přístupu, typ a obsah)
Řada standardů dodržování právních předpisů vyžaduje implementaci kontrol FIM, jako jsou PCI-DSS a ISO 17799.
Které soubory mám monitorovat?
Při výběru souborů, které chcete monitorovat, zvažte soubory, které jsou pro váš systém a aplikace důležité. Monitorujte soubory, které neočekáváte, že se budou měnit bez plánování. Pokud zvolíte soubory, které se často mění aplikacemi nebo operačním systémem (například soubory protokolu a textové soubory), dojde k šumu, což ztěžuje identifikaci útoku.
Defender for Cloud poskytuje následující seznam doporučených položek pro monitorování na základě známých vzorů útoku.
| Linuxové soubory | Soubory Windows | Klíče registru Windows (HKLM = HKEY_LOCAL_MACHINE) |
|---|---|---|
| /bin/login | C:\autoexec.bat | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} |
| /bin/passwd | C:\boot.ini | HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} |
| /etc/*.conf | C:\config.sys | HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot |
| /usr/bin | C:\Windows\system.ini | HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Windows |
| /usr/sbin | C:\Windows\win.ini | HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon |
| /popelnice | C:\Windows\regedit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders |
| /sbin | C:\Windows\System32\userinit.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
| /bota | C:\Windows\explorer.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| /usr/local/bin | C:\Program Files\Microsoft Security Client\msseces.exe | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
| /usr/local/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx | |
| /opt/bin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices | |
| /opt/sbin | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce | |
| /etc/crontab | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE} | |
| /etc/init.d | HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351} | |
| /etc/cron.hourly | HKLM\SOFTWARE\WOW6432Node\Microsoft\systém Windows NT\CurrentVersion\IniFileMapping\system.ini\boot | |
| /etc/cron.daily | HKLM\SOFTWARE\WOW6432Node\Microsoft\systém Windows NT\CurrentVersion\Windows | |
| /etc/cron.weekly | HKLM\SOFTWARE\WOW6432Node\Microsoft\systém Windows NT\CurrentVersion\Winlogon | |
| /etc/cron.monthly | HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders | |
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices | ||
| HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce | ||
| HKLM\SYSTEM\CurrentControlSet\Control\hivelist | ||
| HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile | ||
| HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile |
Další kroky
V tomto článku jste se seznámili s monitorováním integrity souborů (FIM) v defenderu pro cloud.
Dále můžete: