Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Defender for Servers Plan 2 in Microsoft Defender for Cloud trägt die Funktion "Dateiintegritätsüberwachung" dazu bei, Unternehmensressourcen und -werte sicher zu halten. Es überprüft und analysiert Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware- und Linux-Systemdateien auf Änderungen, die auf einen Angriff hindeuten könnten.
Nachdem Sie Defender für Server Plan 2 aktiviert haben, folgen Sie den Anweisungen in diesem Artikel, um die Dateiintegritätsüberwachung mithilfe des Microsoft Defender für Endpunkt-Agents und der agentlosen Computerüberprüfung zum Sammeln von Daten zu konfigurieren.
Hinweis
- Wenn Sie eine frühere Version der Dateiintegritätsüberwachung mit dem Log Analytics-Agent (Microsoft Monitoring Agent (MMA)) oder dem Azure Monitor-Agent (AMA) verwenden, können Sie zur neuen Dateiintegritätsüberwachung migrieren.
- Ab Juni 2025 erfordert die Dateiintegritätsüberwachung, die von Microsoft Defender für Endpunkt unterstützt wird, eine Mindestversion.
Aktualisieren Sie den Agent nach Bedarf.
- Windows: 10.8760 oder höher.
- Linux: 30.124082 oder höher.
Voraussetzungen
Sie müssen Defender für Server Plan 2 für Ihr Abonnement aktivieren.
Sie müssen den Defender für Endpunkt-Agent über die Defender for Servers-Erweiterungen auf Computern installieren, die Sie überwachen möchten.
Sie müssen Nicht-Azure-Computer mit Azure Arc verbinden.
Sie müssen das Scannen von agentlosen Computern in Ihrem Abonnement aktivieren, um zusätzliche Abdeckung zu erhalten und benutzerdefinierte Pfade zu überwachen.
Zum Aktivieren und Deaktivieren der Dateiintegritätsüberwachung benötigen Sie Arbeitsbereichsbesitzer - und Sicherheitsadministratorberechtigungen . Berechtigungen für Sicherheitsleser können Ergebnisse anzeigen.
Überprüfen der Version des Defender for Endpoint-Clients
Bevor Sie beginnen, überprüfen Sie, ob die Defender für Endpunkt-Clientversion auf Ihren Computern mindestens die Mindestversion ist, die für die Dateiintegritätsüberwachung erforderlich ist.
Windows Server 2019 oder höher – der Defender für Endpunkt-Agent wird als Teil fortlaufender Betriebssystemupdates aktualisiert. Stellen Sie sicher, dass auf Windows-Computern das neueste Update installiert ist.
Erfahren Sie mehr über den Einsatz des Windows Server Update Services, um Rechner in großem Umfang zu installieren.
Windows Server 2016 und Windows Server 2012 R2 – Sie müssen Computer manuell auf die neueste Agent-Version aktualisieren.
Sie können KB 5005292 aus dem Microsoft Update-Katalog installieren. KB 5005292 wird regelmäßig mit der aktuellen Agent-Version aktualisiert.
Linux-Computer – Der Defender für Endpunkt-Agent wird automatisch aktualisiert, wenn die automatische Bereitstellung für die Computer in Defender für Cloud aktiviert ist. Nach der Installation der MDE.Linux-Erweiterung auf einem Linux-Computer versucht der Computer, die Agentversion jedes Mal zu aktualisieren, wenn die virtuelle Maschine (VM) neu gestartet wird. Sie können die Agent-Version auch manuell aktualisieren.
Aktivieren von Überwachung der Dateiintegrität
Die Dateiintegritätsüberwachung ist standardmäßig nicht aktiviert. Sie können es im Microsoft Defender für Cloud-Portal aktivieren.
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen>relevantes Abonnement.
Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.
Setzen Sie im Abschnitt Dateiintegritätsüberwachung den Schalter auf Ein.
Wählen Sie "Konfiguration bearbeiten" aus.
Wählen Sie einen Arbeitsbereich aus, um die Dateiintegritätsüberwachungsdaten zu speichern. (Optional) Oder wählen Sie "Neu erstellen" aus, um einen neuen Arbeitsbereich zu erstellen.
Wählen Sie im Abschnitt Empfohlene zu überwachende Regel die Option Bearbeiten aus.
Wählen Sie die Dateien und Registrierungen aus, die für die Überwachung empfohlen werden.
Stellen Sie sicher, dass der Statusschalter auf "Aktiviert" festgelegt ist, und wählen Sie die Änderungstypen aus, die Sie überwachen möchten. Standardmäßig werden alle für die Überwachung empfohlenen Entitäten ausgewählt. Sie können Entitäten aus der Überwachung entfernen, indem Sie die Schaltfläche "Drei Punkte" neben der Überwachungsregel und dann " Löschen" auswählen.
Wählen Sie Übernehmen aus, um die Änderungen zu speichern.
(Optional) Wählen Sie +Regel hinzufügen , um eine benutzerdefinierte Regel zu erstellen.
Geben Sie unter dem Abschnitt " Neue benutzerdefinierte Regel hinzufügen " einen Regelnamen und (optional) eine Regelbeschreibung ein.
Stellen Sie sicher, dass der Statusschalter auf "Aktiviert" festgelegt ist.
Wählen Sie die Änderungstypen aus, und definieren Sie den Entitätstyp und den Entitätspfad für Ihre benutzerdefinierten Regeln.
Wählen Sie Übernehmen aus, um die Änderungen zu speichern.
(Optional) Wählen Sie " Regel löschen" aus, um eine Regelkonfiguration zu löschen.
Wählen Sie Übernehmen.
Wählen Sie Continue (Weiter) aus.
Überprüfen des Aktivierungsstatus für die Dateiintegritätsüberwachung
Überprüfen Sie die Aktivierung der Dateiintegritätsüberwachung, um sicherzustellen, dass sie korrekt ist und alle Voraussetzungen erfüllt sind.
Wechseln Sie zu Workload-Schutz>Dateiintegritätsüberwachung.
Wählen Sie "Einstellungen" aus.
Überprüfen Sie auf fehlende Voraussetzungen.
Wählen Sie ein Abonnement aus, und überprüfen Sie Korrekturmaßnahmen für den erforderlichen Arbeitsbereich.
Aktivieren Sie das Kontrollkästchen für alle erforderlichen Korrekturen.
Wählen Sie Übernehmen.
Deaktivieren der Überwachung der Dateiintegrität
Wenn Sie die Dateiintegritätsüberwachung deaktivieren, werden keine neuen Ereignisse erfasst. Die vor der Deaktivierung gesammelten Daten verbleiben jedoch im Log Analytics-Arbeitsbereich gemäß der Aufbewahrungsrichtlinie für Arbeitsbereiche.
Deaktivieren Sie wie folgt:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen>relevantes Abonnement.
Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.
Setzen Sie im Abschnitt Dateiintegritätsüberwachung den Schalter auf Aus.
Wählen Sie Übernehmen.
Wählen Sie Continue (Weiter) aus.
Wählen Sie Speichern.
Nächster Schritt
- Ereignisse, die für die Dateiintegritätsüberwachung gesammelt werden, sind in den Datentypen enthalten, die für den 500 MB-Vorteil für Defender für Server Plan 2-Kunden berechtigt sind. Erfahren Sie mehr über die Vorteile.
- Überprüfen Sie die Änderungen in der Dateiintegritätsüberwachung.