Sdílet prostřednictvím


Monitorování integrity souborů v Microsoft Defenderu pro cloud

Monitorování integrity souborů (FIM) zkoumá soubory operačního systému, registry Windows, aplikační software a systémové soubory Linuxu, které by mohly znamenat útok.

FIM (monitorování integrity souborů) používá řešení Azure Change Tracking ke sledování a identifikaci změn ve vašem prostředí. Pokud je fim povolené, máte prostředek řešení Change Tracking typu Řešení. Pokud odeberete prostředek Change Tracking , zakážete také funkci Monitorování integrity souborů v defenderu pro cloud. FIM umožňuje využívat funkci Change Tracking přímo v defenderu pro cloud. Podrobnosti o frekvenci shromažďování dat najdete v tématu Podrobnosti o shromažďování dat sledování změn.

Defender pro cloud doporučuje entity, které se mají monitorovat pomocí FIM, a můžete také definovat vlastní zásady FIM nebo entity, které se mají monitorovat. FIM vás informuje o podezřelé aktivitě, jako jsou:

  • Vytvoření nebo odebrání klíče souboru a registru
  • Úpravy souborů (změny velikosti souboru, seznamy řízení přístupu a hodnota hash obsahu)
  • Změny registru (změny velikosti, seznamy řízení přístupu, typ a obsah)

Řada standardů dodržování právních předpisů vyžaduje implementaci kontrol FIM, jako jsou PCI-DSS a ISO 17799.

Které soubory mám monitorovat?

Při výběru souborů, které chcete monitorovat, zvažte soubory, které jsou pro váš systém a aplikace důležité. Monitorujte soubory, které neočekáváte, že se budou měnit bez plánování. Pokud zvolíte soubory, které se často mění aplikacemi nebo operačním systémem (například soubory protokolu a textové soubory), dojde k šumu, což ztěžuje identifikaci útoku.

Defender for Cloud poskytuje následující seznam doporučených položek pro monitorování na základě známých vzorů útoku.

Linuxové soubory Soubory Windows Klíče registru Windows (HKLM = HKEY_LOCAL_MACHINE)
/bin/login C:\autoexec.bat HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/bin/passwd C:\boot.ini HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/*.conf C:\config.sys HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\IniFileMapping\SYSTEM.ini\boot
/usr/bin C:\Windows\system.ini HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Windows
/usr/sbin C:\Windows\win.ini HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Winlogon
/popelnice C:\Windows\regedit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
/sbin C:\Windows\System32\userinit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
/bota C:\Windows\explorer.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
/usr/local/bin C:\Program Files\Microsoft Security Client\msseces.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
/usr/local/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
/opt/bin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
/opt/sbin HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
/etc/crontab HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{C689AAB8-8E78-11D0-8C47-00C04FC295EE}
/etc/init.d HKLM\SOFTWARE\WOW6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllRemoveSignedDataMsg{603BCC1F-4B59-4E08-B724-D2C6297EF351}
/etc/cron.hourly HKLM\SOFTWARE\WOW6432Node\Microsoft\systém Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
/etc/cron.daily HKLM\SOFTWARE\WOW6432Node\Microsoft\systém Windows NT\CurrentVersion\Windows
/etc/cron.weekly HKLM\SOFTWARE\WOW6432Node\Microsoft\systém Windows NT\CurrentVersion\Winlogon
/etc/cron.monthly HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SYSTEM\CurrentControlSet\Control\hivelist
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

Další kroky

V tomto článku jste se seznámili s monitorováním integrity souborů (FIM) v defenderu pro cloud.

Dále můžete: